Chương 5: Triển khai phòng chống xâm nhập (GIÁO TRÌNH AN TOÀN MẠNG)

Một cuộc tấn công được khởi chạy trên một mạng có cảm biến được triển khai trênpromiscuous IDS mode; do đó các bản sao của tất cả các gói được gửi đến bộ cảmbiến IDS để phân tích gói.. S

Chương 5: Triển khai phòng chống xâm nhập

Mục tiêu:

 Mô tả công nghệ IDS và IPS cơ bản được nhúng trong các giải pháp IDS và IPSdựa trên mạng và lưu trữ trên máy chủ của Cisco

 Định cấu hình Cisco IOS IPS bằng CLI và CCP

 Kiểm chứng Cisco IOS bằng CLI và CCP

Đặc điểm IDS và IPS

Iron Port

Hệ thống phát hiện xâm nhập (IDS)

1 Một cuộc tấn công được khởi chạy trên một mạng có cảm biến được triển khai trênpromiscuous IDS mode; do đó các bản sao của tất cả các gói được gửi đến bộ cảmbiến IDS để phân tích gói Tuy nhiên, máy mục tiêu sẽ bị tấn công độc hại

2 Cảm biến IDS, khớp với lưu lượng truy cập độc hại tới signature và gửi lệnhchuyển đổi để từ chối quyền truy cập vào nguồn lưu lượng truy cập độc hại

3 IDS cũng có thể gửi báo thức đến bàn điều khiển quản lý để ghi nhật ký và cácmục đích quản lý khác

3 Cảm biến IPS cũng có thể gửi báo thức đến bàn điều khiển quản lý để ghi nhật ký

và các mục đích quản lý khác

4 Lưu lượng truy cập vi phạm chính sách có thể bị bộ cảm biến IPS giảm xuống

So sánh các giải pháp IDS và IPS

Đặc điểm chung của IDS và IPS

 Cả hai công nghệ đều được triển khai dưới dạng cảm biến

 Cả hai công nghệ đều sử dụng signature để phát hiện các mẫu lạm dụng tronglưu lượng mạng

 Cả hai có thể phát hiện các mẫu nguyên tử (gói đơn) hoặc các mẫu tổng hợp(nhiều gói)

 Không có tác động mạngnếu có lỗi cảm biến

 Không có tác động mạngnếu có quá tải cảm biến

 Hành động phản hồi không thểdừng các gói kích hoạt

 Điều chỉnh đúng yêu cầu chohành động phản hồi

 Phải có chính sách bảo mật tốt

 Dễ bị tổn thương hơn với kỹthuật trốn mạng

So sánh các giải pháp IDS và IPS

 Các sự cố cảm biến có thể ảnh hưởng đến lưu lượng mạng

 Quá tải cảm biến tác động đến mạng

 Phải có chính sách bảo mật tốt

 Một số tác động trên mạng (độ trễ, jitter)

Triển khai dựa trên mạng

Triển khai dựa trên máy chủ

Cisco Security Agent

Cisco Security Agent Screens

Cisco Trust Agent

Cờ vẫy trong khay hệ thống

cho biết sự cố bảo mật tiềm

ẩn.

CSA duy trì một tệp nhật ký cho phép người dùng xác minh các vấn đề và tìm hiểu thêm thông tin.

Một thông điệp cảnh báo xuất hiện khi CSA phát hiện một vấn đề.

Giải pháp dựa trên máy chủ

Ưu điểm và nhược điểm của HIPS

 Sự thành công hay thất bại của một

cuộc tấn công có thể dễ dàng được

xác định

 HIPS không phải lo lắng về các cuộc

tấn công phân mảnh hoặc các cuộc

tấn công Time to Live (TTL) thay

đổi

 HIPS có quyền truy cập vào lưu

lượng truy cập ở dạng không được

mã hóa

 HIPS không cung cấp hình ảnh mạng hoàn chỉnh

 HIPS có yêu cầu hỗ trợ nhiều hệ điều hành

Giải pháp dựa trên mạng

Giải pháp Cisco IPS - Mô đun AIM và Mạng được nâng cao (IPS NME)

 Tích hợp IPS vào bộ định tuyến Cisco 1841 (chỉ IP IPS), bộ định tuyến 2800 và

3800 ISR

 IPS AIM chiếm một khe AIM bên trong trên router và có CPU riêng và DRAM

 Theo dõi lưu lượng truy cập lên đến 45 Mb / s

 Cung cấp bảo vệ xâm nhập đầy đủ tính năng

 Có thể giám sát lưu lượng từ tất cả các giao diện bộ định tuyến

 Có thể kiểm tra lưu lượng truy cập GRE và IPsec đã được giải mã tại bộ định tuyến từ mạng công ty

 Chạy cùng một hình ảnh phần mềm như Cisco IPS Sensor Appliances

Giải pháp IPS của Cisco - ASA AIP-SSM

 Mô-đun hiệu năng cao được thiết kế để cung cấp các dịch vụ bảo mật bổ sung cho Thiết bị bảo mật thích ứng Cisco ASA 5500 Series

Mạng lưới công

ty

Một IPS mạng có thể được thực hiện bằng cách

sử dụng một thiết bị IPS chuyên dụng, chẳng hạnnhư loạt IPS 4200 hoặc có thể được thêm vào bộđịnh tuyến ISR, thiết bị tường lửa ASA hoặccông tắc Catalyst 6500

 Thiết kế không đĩa để cải thiện độ tin cậy

 Giao diện Ethernet 10/100/1000 bên ngoài để quản lý và tải xuống phần mềm

 Khả năng phòng chống xâm nhập

 Chạy cùng một hình ảnh phần mềm như thiết bị cảm biến Cisco IPS

Bộ cảm biến Cisco IPS 4200 Series

 Giải pháp thiết bị tập trung vào việc bảo vệ các thiết bị mạng, dịch vụ và ứng dụng

 Phát hiện tấn công tinh vi được cung cấp

Giải pháp Cisco IPS - Dòng sản phẩm Cisco Catalyst 6500 IDSM-2

 Mô-đun bảo vệ xâm nhập chuyển mạch tích hợp cung cấp dịch vụ bảo mật giá trị cao trong thiết bị mạng lõi mạng

 Hỗ trợ số lượng VLAN không hạn chế

 Khả năng phòng chống xâm nhập

 Chạy cùng một hình ảnh phần mềm như Thiết bị cảm biến Cisco IPS

Cảm biến IPS

 Các yếu tố ảnh hưởng đến việc lựa chọn và triển khai cảm biến IPS:

1 Lượng lưu lượng mạng

2 Cấu trúc liên kết mạng

3 Ngân sách an ninh

4 Nhân viên an ninh có sẵn

 Quy mô thực hiện

1 Nhỏ (văn phòng chi nhánh)

2 Lớn

3 Doanh nghiệp

 Máy chủ hiển thị với kẻ tấn công

Network IPS

 Chi phí hiệu quả

 Không hiển thị trên mạng

Phương pháp phát hiện IDS / IPS

 Bao gồm một gói, hoạt động hoặc sự kiện

 Không yêu cầu hệ thống xâm nhập để duy trì thông tin trạng thái

 Dễ dàng xác định

• Composite

 Cũng được gọi là Signature trạng thái

 Xác định chuỗi các hoạt động được phân phối trên nhiều máy chủ

 Signature phải duy trì trạng thái được gọi là the event horizon

Ví dụ về loại Atomic

Tấn công LAND

Signature File

Signature Micro-Engines

Signature Triggers

Pattern-based Detection • Cấu hình dễ dàng

• Ít giả mạo hơn

• Thiết kế signature tốt

• Không phát hiện signature chưa biết

• Ban đầu có nhiều sai tích cực

• Signature phải được tạo, cập nhật và điều chỉnh

Anomaly- based Detection • Đơn giản và đáng tin

cậy

• Chính sách tùy chỉnh

• Có thể phát hiện các cuộc tấn công không xácđịnh

• Đầu ra chung

• Chính sách phải được tạo

Policy-based Detection • Cấu hình dễ dàng

• Có thể phát hiện các cuộc tấn công không xácđịnh

• Khó lập hồ sơ hoạt động điển hình

• Thu thập thông tin về tấn công

• Máy chủ Dedicated honey pot

• Máy chủ Honey pot server không được tin cậy

Pattern-based Detection

Atomic Signature Stateful Signature

Pattern- based detection

Không yêu cầu trạng thái nào để kiểm tra mẫu để xácđịnh xem có nên áp dụng hành động Signature hay không

Phải duy trì trạng thái hoặc kiểm tra nhiều mục để xác định xem có nên áp dụng hành động Signature hay không

Example

Phát hiện yêu cầu Giao thức phân giải địa chỉ (ARP) có địa chỉ Ethernet nguồn là FF: FF: FF: FF:

FF: FF

Tìm kiếm chuỗi bí mật trênnhiều gói trong phiên TCP

Anomaly-based Detection

Signature Type Atomic Signature Stateful Signature

Anomaly-based detection

Không yêu cầu trạng thái nào để xác định hoạt động lệch khỏi cấu hình bình thường

State bắt buộc phải xác định hoạt động lệch khỏi

hồ sơ thông thường

Example

Phát hiện lưu lượng truy cập đến một cổng đích không nằm trong cấu hình thông thường

Xác minh tuân thủ giao thức cho lưu lượng truy cậpHTTP

Policy-based Detection

Signature Trigger

Signature Type Atomic Signature Stateful Signature

Policy-based detection

Không yêu cầu trạng thái nào để xác định hành vi không mong muốn

Hoạt động trước(state) cần thiết để xác định hành vi không mong muốn

Example

Phát hiện các gói phân mảnh lớn bất thường bằng cách chỉ kiểm tra đoạn cuốicùng

Một máy chủ Unix SUN gửi yêu cầu RPC đến máy chủ từ xa mà không cần tham khảo chương trình SUN PortMapper

Honey Pot-based Detection

• Sử dụng một máy chủ giả để thu hút các cuộc tấn công

• Phân tán các cuộc tấn công khỏi các thiết bị mạng thực

• Cung cấp phương tiện để phân tích các loại tấn công và mẫu lưu lượng truy cập độchại

• Có ích cho việc tìm kiếm các cuộc tấn công thông thường vào tài nguyên mạng và triển khai các bản vá / sửa lỗi cho mục đích mạng thực và triển khai các bản vá / sửa lỗi cho các mục đích mạng thực.

Cisco IOS IPS Solution Benefits

1 Nó sử dụng cơ sở hạ tầng định tuyến cơ bản để cung cấp thêm một lớp bảo mật

2 Bởi vì Cisco IOS IPS là nội tuyến và được hỗ trợ trên một loạt các nền tảng định tuyến, các cuộc tấn công có thể được giảm thiểu hiệu quả bằng cách từ chối lưu lượng truy cập độc hại từ cả bên trong và bên ngoài mạng

3 Khi được sử dụng kết hợp với các giải pháp Cisco IDS, Cisco IOS Firewall, VPN

và Network Admission Control (NAC), Cisco IOS IPS cung cấp khả năng bảo vệ mối đe dọa tại các điểm allentry cho mạng

4 Nó được hỗ trợ bởi các công cụ quản lý dễ dàng và hiệu quả, chẳng hạn như CCP

5 Kích thước của cơ sở dữ liệu chữ ký được thiết bị hỗ trợ phụ thuộc vào lượng bộ nhớ có sẵn trong bộ định tuyến

Tuning IPS Signature Alarms

Loại báo động Hoạt động mạng Hoạt động IPS Kết quả

False positive Lưu lượng người

dùng bình thường

Có cảnh báo Điều chỉnh cảnh báo

False negative Lưu lượng truy cập

tấn công

Không cảnh báo Điều chỉnh cảnh báo

True positive Lưu lượng truy cập

tấn công Có cảnh báo Ideal settingTrue negative Lưu lượng người

dùng bình thường Không cảnh báo Ideal setting

Signature Tuning Levels

IPS Signature Actions

• Bất cứ khi nào một signature phát hiện hoạt động mà nó được cấu hình, the

signature sẽ kích hoạt một hoặc nhiều hành động Một số hành động có thể được thực hiện:

Tạo cảnh báo Hành động này ghi sự kiện vào Event

Store dưới dạng cảnh báoTạo thông báo chi tiết Hành động này bao gồm kết xuất được mã

hóa của gói vi phạm trong cảnh báo

Logging the Activity

Log attacker packets Hành động này bắt đầu ghi nhật ký IP trên

các gói chứa địa chỉ kẻ tấn công và gửi một cảnh báo

Log pair packets Hành động này bắt đầu ghi nhật ký IP trên

các gói có chứa kẻ tấn công và cặp địa chỉ Thông tin - Hoạt động kích hoạt chữ ký không phải là mối đe

dọa trực tiếp, nhưng thông tin được cung cấp hữu ích

nạn nhân.

Log victim packets Hành động này bắt đầu ghi nhật ký IP trên

các gói chứa địa chỉ nạn nhân và gửi một cảnh báo

Dropping/Preventing the Activity

Deny attacker inline • Chấm dứt gói hiện tại và các gói

trong tương lai từ địa chỉ kẻ tấn công này trong một khoảng thời gian

• Các cảm biến duy trì một danh sáchcác kẻ tấn công hiện đang bị từ chối bởi hệ thống

• Các mục nhập có thể bị xóa khỏi danh sách theo cách thủ công hoặc chờ bộ hẹn giờ hết hạn

• Bộ hẹn giờ là bộ hẹn giờ trượt cho mỗi mục nhập

• Nếu danh sách kẻ tấn công bị từ chối có dung lượng và không thể thêm mục nhập mới, gói đó vẫn bị

từ chối

Deny connection inline • Chấm dứt gói dữ liệu hiện tại và

các gói trong tương lai lưu lượng TCP

Deny packet inline • Chấm dứt gói tin

Resetting a TCP Connection/Blocking Activity/Allowing Activity

Đặt lại kết nối TCP Reset TCP connection Gửi TCP reset để chiếm

quyền điều khiển và chấm dứt luồng TCP

Blocking future activity Yêu cầu chặn kết nối Hành động này gửi yêu cầu

tới thiết bị chặn để chặn kếtnối này

Request block host Hành động này gửi yêu cầu

tới thiết bị chặn để chặn máy chủ lưu trữ tấn công này

Yêu cầu bẫy SNMP Gửi yêu cầu đến thành

phần ứng dụng thông báo của cảm biến để thực hiện thông báo SNMP

Cho phép hoạt động Cho phép quản trị viên xác

định ngoại lệ cho chữ ký được định cấu hình

Planning a Monitoring Strategy

MARS Characteristics

Có bốn yếu tố cần xem xét khi lập kế hoạch chiến lược giám sát

1 Phương thức quản lý

2 Sự tương quan sự kiện

3 Nhân viên an ninh

4 Kế hoạch phản ứng sự cố

Cisco IPSSolutions

• Giải pháp được quản lý cục bộ:

- Bộ định tuyến Cisco và Trình quản lý thiết bị bảo mật (SDM) hoặc CCP

- Trình quản lý thiết bị Cisco IPS (IDM)

• Giải pháp được quản lý tập trung:

- Trình xem sự kiện IDS của Cisco (IEV)

- Trình quản lý bảo mật của Cisco (CSM)

- Hệ thống giám sát, phân tích và phản hồi của Cisco (MARS)

Cisco Router and Security Device Manager

Toán tử bảo mật kiểm tra đầu ra được tạo ra bởi thiết bị MARS:

• MARS được sử dụng để quản lý tập trung tất cả các cảm biến IPS quản lý tất cả các cảm biến IPS

• MARS được sử dụng để tương quan tất cả các sự kiện IPS và Syslog

ở một vị trí trung tâm

• Nhà điều hành bảo mật phải tiến hành theo kế hoạch ứng phó sự cố được xác định trong Chính sách an ninh mạng

Cisco IPSDevice Manager

• Công cụ cấu hình dựa trên web

• Vận chuyển miễn phí với phần mềm Cisco IPS Sensor

• Cho phép quản trị viên

• Cho phép quản trị viên định cấu hình và quản lý cảm biến

• Máy chủ web nằm trên cảm biến và có thể được truy cập thông qua trình duyệt web

Cisco IPSEvent Viewer

Cho phép quản trị viên kiểm soát ứng dụng Cisco IOS IPS trên giao diện, nhập và chỉnh sửa tệp định nghĩa chữ ký (SDF) từ Cisco.com và định cấu hình hành động mà Cisco IOS IPS thực hiện nếu phát hiện thấy mối đe dọa

Theo dõi và ngăn chặn xâm nhập bằng cách so sánh lưu lượng truy cập với chữ ký của các mối

đe dọa đã biết và chặn lưu lượng truy cập khi phát hiện thấy mối đe dọa

Cisco Security Manager

Cisco Security Monitoring Analytic and Response System

• Xem và quản lý báo thức cho tối đa năm cảm biến

• Kết nối và xem báo thức trong thời gian thực hoặc trong các tệp nhật ký được nhập

• Định cấu hình bộ lọc và chế độxem để giúp bạn quản lý báo thức

• Nhập và xuất dữ liệu sự kiện

để phân tích thêm

• Giải pháp mạnh mẽ, dễ sử dụng để cung cấp tập trung tất cả các khía cạnh của cấuhình thiết bị và chính sách bảo mật cho tường lửa Cisco, VPN và IPS

• Hỗ trợ cho cảm biến IPS vàIPS Cisco IOS

• Phần mềm cảm biến IPS dựa trên chính sách tự động

và cập nhật chữ ký

• Trình hướng dẫn cập nhật chữ ký

Secure Device Event Exchange

• Định dạng SDEE được phát triển để cải thiện việc truyền thông các sự kiện được tạo ra bởi các thiết bị bảo mật

• Cho phép các loại sự kiện bổ sung được đưa vào khi chúng được xác định

Best Practices

• Tham khảo 5.2.5.5

• Nhu cầu nâng cấp cảm biến với các gói chữ ký mới nhất phải được cân bằng với thời gian ngừng hoạt động tạm thời

• Khi thiết lập một triển khai lớn các cảm biến, tự động cập nhật các gói chữ ký thay

vì tự nâng cấp mọi cảm biến

• Khi có sẵn các gói chữ ký mới, hãy tải xuống chữ ký mới

• Giải pháp trọn gói, dựa trên thiết bị cho phép mạng

và mạng bảo mật và quản trị viên bảo mật giám sát, xác định, cách ly và chống lại các mối đe dọa bảo mật

• Cho phép các tổ chức sử dụng hiệu quả hơn các tài nguyên mạng và bảo mật của họ

• Hoạt động cùng với Cisco CSM

• Khi có các gói chữ ký mới, hãy tải xuống các gói chữ ký mới đến một máy chủ bảo mật trong mạng quản lý Sử dụng IPS khác để bảo vệ máy chủ này khỏi bị tấn công bởi bên ngoài

• Đặt các gói chữ ký trên một máy chủ FTP chuyên dụng trong mạng quản lý Nếu không có bản cập nhật chữ ký, có thể tạo chữ ký tùy chỉnh để phát hiện và giảm thiểu một cuộc tấn công cụ thể

• Cấu hình máy chủ FTP để cho phép truy cập chỉ đọc vào các tệp trong thư mục màcác gói chữ ký chỉ được đặt từ tài khoản mà bộ cảm biến sẽ sử dụng

• Định cấu hình các cảm biến để tự động cập nhật chữ ký bằng cách kiểm tra máy chủ FTP cho các gói chữ ký mới định kỳ Hãy bỏ qua thời gian trong ngày khi các cảm biến kiểm tra máy chủ FTP cho các gói chữ ký mới

• Các mức chữ ký được hỗ trợ trên bảng điều khiển quản lý phải được đồng bộ hóa với các gói chữ ký trên chính các cảm biến

IPS Global Correlation

Tổng quan về triển khai iOS IPS

1 Tải xuống các tệp iOS IPS

2 Tạo một thư mục cấu hình IOS IPS trên Flash

3 Cấu hình khóa crytpo IPS của iOS

4 Enable IOS IPS

5 tải gói IOS IPS Signature vào router

Tham khảo 5.3.1

1 Tải tập tin Signature

Tôi muốn sử dụng CLI để

quản lý các tập tin chữ ký

của tôi cho IPS Tôi đã tải

xuống các tệp iOS IPS

Tải xuống các tệp gói Signature IOS IPS và khóa mật mã công khai

2 Tạo thư mục

Để đổi tên thư mục:

3 Định cấu hình Khóa mật mã

1 - Đánh dấu và sao chép văn bản có trong tập tin khóa công cộng

2 - Dán nó vào chế độ cấu hình chung

Xác nhận Khóa mật mã