03.Giai Phap Mau2

`

B A N V Ậ N H À N H V À Q U Ả N T R Ị H Ệ T H Ố N G

TÀI LIỆU THIẾT KẾ

IPS/IDS SourceFire

[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010

2 / 31 Ban Vận hành và Quản trị Hệ thống

BẢNG THEO DÕI THAY ĐỔI

Phiên bản Ngày cập nhật Người cập nhật Chú thích

2.0 Sep - 2012 Hoàng Tuấn Đạt Second Release.



Mục lục nội dung I Lời mở đầu ............................................................................................................................... 5

I.1 Mục đích của tài liệu ........................................................................................................ 5 I.2 Phạm vi tài liệu ................................................................................................................. 5

II Mục đích thiết kế ...................................................................................................................... 5 II.1 Thiết kế tính năng ............................................................................................................. 5 II.2 Thiết kế đáp ứng các yêu cầu kỹ thuật ............................................................................. 5

III Thiết kế hệ thống IPS/IDS .................................................................................................... 5 III.1 Các yêu cầu ...................................................................................................................... 6

IV Giải pháp IPS/IDS của SourceFire ....................................................................................... 8 IV.1 Mô hình triển khai IPS/IDS điển hình của SourceFire..................................................... 8 IV.2 Nguyên lý hoạt động ...................................................................................................... 10

IV.3 Nguyên tắc chung ........................................................................................................... 14 IV.3.1 Nguyên tắc quản trị ................................................................................................. 14 IV.3.2 Nguyên tắc tạo Reports ........................................................................................... 15

IV.3.3 Nguyên tắc tích hợp hệ thống IPS/IDS vào hệ thống đang hoạt động.................... 15 V Mô hình triển khai SourceFire IPS/IDS cho CÔNG TY AAA .............................................. 16

V.1 Mô hình Logic SourceFire quản lý tập trung ................................................................. 16

V.2 Mô hình vật lý SourceFire quản lý tập trung ................................................................. 18 V.3 Mô hình triển khai IPS ................................................................................................... 18

V.4 Mô hình triển khai IDS cho ServerFarm ........................................................................ 20 V.5 Mô hình logic của thiết bị SourceFire 3D2100 .............................................................. 22 V.6 Mô hình logic của thiết bị SourceFire 3D2500 .............................................................. 22

V.7 Sơ đồ lắp đặt thiết bị lên Rack ....................................................................................... 23 VI Thiết kế chi tiết tạo Reports ................................................................................................ 25

VI.1 Phân loại Report ............................................................................................................. 25 VI.2 Nội dung một Intrusion Event ........................................................................................ 25

VI.3 Tạo các report về các vùng mạng cần giám sát .............................................................. 26 VI.4 Tìm kiếm Event theo mức độ nguy hiểm ....................................................................... 27

VI.5 Intrusion Report cần tạo ................................................................................................. 28 VII Phụ lục ................................................................................................................................ 31

VII.1 Bảng các thuật ngữ/từ viết tắt sử dụng trong tài liệu .................................................. 31



Mục lục bảng, sơ đồ

Hình 1: Mô hình triển khai SourceFire IPS/IDS điển hình ............................................................. 8

Hình 2: Sơ đồ thành phần & nguyên lý hoạt động........................................................................ 10

Hình 3: Mô hình logic quản lý tập trung....................................................................................... 17

Hình 4: Mô hình vật lý quản lý tập trung...................................................................................... 18

Hình 5: Mô hình triển khai IPS cho tòan vùng DMZ ................................................................... 19

Hình 6: Mô hình triển khai IPS cho VLAN DMZ Chứng khoán ................................................. 20

Hình 7: Mô hình triển khai IDS ................................................................................................... 21

Hình 8: Mô hình logic SourceFire 3D2100 .................................................................................. 22

Hình 9: mô hình logic SourceFire 3D2500 .................................................................................. 22

Hình 10: Sơ đồ vị trí lắp đặt trên Rack ......................................................................................... 24



I Lời mở đầu

I.1 Mục đích của tài liệu

Tài liệu thiết kế hệ thống IPS (Intrusion Prevention System) /IDS (Intrusion Detection System)

SourceFire là tài liệu thiết kế chi tiết từ sơ đồ logic đến sơ đồ đấu nối vật lý các thiết bị IPS cho

vùng DMZ, IDS cho vùng ServerFarm của Tập đoàn CÔNG TY AAA

Thiết kế mô tả chi tiết các nguy cơ bảo mật ngày càng tăng cao & phức tạp nhằm vào các hệ

thống mạng ngày nay và phương pháp giúp nâng cao, tăng cường an ninh bảo mật cho các hệ

thống mạng của Tập đoàn sử dụng các công nghệ IPS, IDS

I.2 Phạm vi tài liệu

Tài liệu áp dụng cho các phân vùng Internet – DMZ Module, ServerFarm Module, Management

Module

II Mục đích thiết kế

II.1 Thiết kế tính năng

- Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc tấn công, các nguy cơ tiềm

ẩn về an toàn bảo mật thông tin… từ bên ngoài vào vùng DMZ hoặc VLAN DMZ

Chứng khoán

- Thiết kế hệ thống IDS giúp phát hiện và đưa ra các cảnh báo về các cuộc tấn công, các lỗ

hổng bảo mật, các nguy cơ về bảo mật an toàn thông tin… cho các vùng ServerFarm

- Tính năng RNA bổ xung cho IPS/IDS cung cấp tính năng Network profile (OS, Services,

Open Ports, Vulnerability, Host static). Từ đó kết hợp với IPS/IDS để tự động cấu hình,

tinh chỉnh Rules

- Tính năng RUA cho phép lưu các Event với yếu tố User. Tuy nhiên hiện nay hệ thống

mạng của CÔNG TY AAA chưa triển khai hoàn thiện hệ thống Active Directory nên

tính năng này chưa được sử dụng

II.2 Thiết kế đáp ứng các yêu cầu kỹ thuật

- Tính sẵn sàng hệ thống.

- Khả năng mở rộng hệ thống.

- Hệ thống hoạt động có hiệu suất cao.

- Bảo mật hệ thống.

- Khả năng quản lý hệ thống

III Thiết kế hệ thống IPS/IDS



III.1 Các yêu cầu

Yêu cầu về tính năng

STT Tính năng Mô tả

1 IPS cho vùng DMZ /or

VLAN DMZ Chứng khoán

- Phát hiện các cuộc tấn công từ bên ngoài như

Worms, Trojans, Buffer overflows, DoS attacks,

Backdoor attacks, Spyware, Port scans, VoIP

attacks, IPv6 attacks, Statistical anomalies,

Protocol anomalies, P2P attacks, Blended threats,

Zero-day attacks… vào các server dịch vụ vùng

DMZ, hoặc VLAN DMZ Chứng khoán, đảm bảo

các server vùng DMZ được bảo vệ

- Ngăn chặn các cuộc tấn công với các recommend

rules hay tự động tinh chỉnh sử dụng RNA

recommend rules, manual các rules tùy theo các

dịch vụ

- Đưa ra các báo cáo về các cuộc tấn công, các lỗ

hổng bảo mật… nhằm vào các server DMZ ,

VLAN DMZ Chứng khoán

2 IDS cho vùng ServerFarm

- Phát hiện và đưa ra các báo cáo về các cuộc tấn

công, các nguy cơ bảo mật, lỗ hổng an ninh… của

các server, dịch vụ vùng ServerFarm.

- Phát hiện các cuộc tấn công, các nguy cơ bảo

mật… từ người dùng vùng

- Trong trường hợp xảy ra tấn công vào các server

quan trọng vùng ServerFarm, có thể thiết lập tính

năng IPS trên thiết bị để bảo vệ server, ngăn chặn

tấn công

3 RNA kết hợp với IPS/IDS

- RNA giúp phát hiện các nguy cơ an ninh mạng

như OS, Services, Open Ports, Vulnerability,

Host static

- RNA kết hợp với IPS, IDS để tự động

active/disable các rules cần thiết để bảo vệ hệ

thống mạng. Trong mô hình mạng của CÔNG TY

AAA tính năng RNA được mặc định đi kèm với

IPS, IDS

- Tính năng Passive Scan cho phép RNA phát hiện

hệ thống mạng mà không ảnh hưởng tới hệ thống

mạng

4 RUA - Kết hợp với cơ sở dữ liệu LDAP để nhận dạng

thông tin người dùng

Yêu cầu tính năng kỹ thuật:

STT Tính năng Mô tả



1 Tính sẵn sàng của hệ thống.

- IPS được triển khai inline fail-open mode, khi có

sự cố về thiết bị hay hỏng nguồn điện, thiết bị tự

động bypass traffic, không làm gián đoạn traffic

- IDS được triển khai out-of-path, sử dụng cổng

SPAN trên các thiết bị switch, router để đổ luồng

traffic cần giám sát, không ảnh hưởng tới hoạt

động mạng

2 Khả năng mở rộng hệ thống.

- Thiết bị quản lý tập trung DC1000 có khả năng

quản lý lên đến 25 sensor, hiện tại mạng CÔNG

TY AAA chỉ gồm 3 sensor (01 3D2500 & 02

3D2100)

- 3D2100 gồm 4 sensing interface, có khả năng

giám sát lên đến 4 vùng mạng

- 3D2500 gồm 8 sensing interface, có khả năng

giám sát lên đến 8 vùng mạng

- Với việc cấu hình dùng SPAN port, có thể lựa

trọn VLAN, dải VLAN cần giám sát

- Đảm bảo khả năng nâng cấp, mở rộng hệ thống

3 Hệ thống hoạt đống có hiệu

suất cao.

- Thiết bị 3D2500 được triển khai inline fail-open

mode, với khả năng sử lý, phân tích gói tin với độ

trễ < 1 ms, throughput lên đến 500Mbps

- Thiết bị 3D2100 được triển khai dùng SPAN

port, hỗ trợ throughput lên đến 250Mbps

- DC1000 có khả năng lưu trữ 10 triệu events

4 Bảo mật hệ thống.

- IPS/IDS là giải pháp hàng đầu cho vần đề an ninh

mạng hiện nay

- Thiết bị được cấu hinh update các lỗ hổng bảo

mật, tinh chỉnh các rule tự động, sẵn sàng phát

hiện và ngăn ngừa các cuộc tấn công mới

5 Khả năng quản lý hệ thống - Có khả năng quản lý và phân cấp quyền quản trị

nhằm đáp ứng mềm dẻo trong quản trị



IV Giải pháp IPS/IDS của SourceFire

IV.1 Mô hình triển khai IPS/IDS điển hình của SourceFire

Hình 1: Mô hình triển khai SourceFire IPS/IDS điển hình



- Với vùng mạng biên – Perimeter zone, SourceFire sensor được triển khai IPS inline nhằm

phát hiện và ngăn ngừa các cuộc tấn công từ Internet vào bên trong mạng Intranet & vùng

server dịch vụ DMZ

- Với vùng mạng lõi – Core zone, SourceFire sensor được triển khai IDS out-of-path, các

switch, router đẩy traffic cần giám sát tới sensor để thực hiện phân tích, phát hiện các

cuộc tấn công.

- Với vùng mạng nội bộ quan trọng - Internal Zone, SourceFire sensor được triển khai IPS

inline phía trước vùng server quan trọng cần bảo vệ, ngoài ra có thể triển khai IDS out-

of-path tới các vùng mạng cần giám sát, phát hiện tấn công như wireless…

- SourceFire sensor được triển khai inline với các mode sau:

o Passive: Với mode passive, sensor làm nhiệm vụ của IDS

o Inline: với mode inline, sensor làm nhiệm vụ của IPS, nhưng khi có sự cố như

hỏng nguồn, sensor sẽ drop gói tin

o inline fail-open: với mode inline fail-open, sensor làm nhiệm vụ IPS, khi có sự cố

như hỏng nguồn, traffic được by-pass qua thiết bị. Với các model sensor 3D2100

& 3D2500 khi fail-open, sensor đóng vai trò như straight-through device (hay nối

cáp thẳng). Việc nối cáp cho sensor ở mode inline fail-open được thực hiện kết

nối mạng bình thường như chưa có thiết bị sensor.

- SourceFire IDS sensor được triển khai out-of-path, có thể sử dụng các kiểu kết nối sau:

o Sử dụng Hub: traffic được đi qua Hub sẽ được broadcast ra toàn bộ các interface

kết nối, dễ trỉên khai. Nhược điểm là sử dụng Hub sẽ gây ra colission domain

(miền xung đột) trong mạng.

o Sử dụng SPAN port: các thiết bị mạng như switch, router hỗ trợ Span Port cho

phép cấu hình mirror traffic trên các port khác hay các VLAN tới port SPAN.

Việc kết nối sensor tới các vùng mạng cần giám sát được thực hiện qua các Span

port này. Nhược điểm: tùy theo năng lực của thiết bị mạng (switch, router) hỗ trợ

cấu hình Span port, việc mirror traffic trên thiết bị qua Span port không thể vượt

quá năng lực của Span port (băng thông có khả năng hỗ trợ trên Span port của

thiết bị)

o Sử dụng Network tap: tương tự như Hub, network tap cho phép monitor passive

các phân vùng mạng. Nhược điểm: cần đầu tư thêm thiết bị

- Căn cứ vào tính năng sản phẩm SourceFire sensor & mô hình triển khai, việc triển khai

IPS/IDS SourceFire cho CÔNG TY AAA được thực hiện như sau:

o Triển khai IPS inline fail-open mode cho vùng DMZ hay VLAN DMZ Chứng

khoán

o Triển khai IDS out-of-path sử dụng Span port trên các thiết bị switch cho vùng

ServerFarm. Do năng lực thiết bị sensor chỉ hỗ trợ 250Mbps & năng lực băng

thông hỗ trợ cấu hình Span port trên các thiết bị switch, việc triển khai IDS sensor

cho vùng ServerFarm (gồm các kết nối 10G & 1G) chỉ được áp dụng trên các

VLAN quan trọng.



IV.2 Nguyên lý hoạt động

Hình 2: Sơ đồ thành phần & nguyên lý hoạt động

Giải thích nguyên lý hoạt động và các thành phần của thiết bị SourceFire sensor

qua ví dụ sau:

- Thiết bị SourceFire sensor 3D2500có 8 cổng Ethernet làm nhiệm vụ Sensing:

- Interface Sets:

+ Các cổng này được nhóm vào cá Interface Sets khác nhau. Trên hình với 3 Interface

Sets được tạo

+ Interface Sets được tạo ra có ở hai mode Passive và Inline (Inline và Inline with

Fail Open)

- Detection Engine: làm nhiệm vụ thực thi Monitoring trên Interface Sets. Ở trên hình

có hai Detection Engine được tạo và thực thi nhiệm vụ Monitoring trên các Interface

Sets

- Intrusion Policy: Là chính sách áp dụng cho Detection Engine (ví dụ như những

Rule nào được bật, hành vi đối với một cuộc tấn công). Hình trên có hai Intrusion

Policy được tạo áp dụng vào hai Detection Engine



Khi gói tin được capture bởi Sourcefire thiết bị sẽ tiến hành xử lý:

Khi gói tin được capture bởi thiết bị Sourcefire gói tin đó sẽ được:

- Decode bởi thành phần Decoders của Sourcefire

- Sau đó gói tin sẽ được chuyển vào quá trình Preprocessors

- Gói tin sẽ được so sánh với tập Rules được sử dụng

- Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event

- Các Event đó có thể được lọc ra thành các dạng Event khác nhau. Từ các Event được

phát sinh sẽ được thực hiện để làm một số tác vụ khác.



Hiểu về quá trình phân tích traffic network

Event sẽ có nội dung:

Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi

ro của cuộc tấn công. Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro

nhất là mức độ Flag 1.

Quá trình xử lý gói tin và Decoding



Quá trình này sẽ Decode gói tin từ Layer 2

Sau khi Decode thiết bị Sourcefire sẽ thực hiện tiếp quá trình Preprocessors và so sánh

với tập Rules



Các Event sẽ được tạo ra từ các quá trình

IV.3 Nguyên tắc chung

IV.3.1 Nguyên tắc quản trị

- Quản trị qua giao diện Web (HTTPS) cho phép cấu hình, xem trạng thái, log, report

- Quản trị qua giao diện Console (SSH) cho phép giải quyết một số sự cố và các thiết

lập sâu trong OS của Sourcefire

- Hỗ trợ SNMP

- User root: là user quyền cao nhất trong hệ điều hành của Sourcefire chỉ cho phép

Console để giải quyết một số lỗi hệ thống.

- User admin: là user có quyền cao nhất trong giao diện Web, có đầy đủ các quyền để

cấu hình Sourcefire hỗ trợ trên nền Web

- User khác: có thể gán vào các group để phân quyền.

- Người quản trị thiết bị cao nhất đề xuất quản lý User: root và Admin.



- Những người quản lý một vùng mạng muốn xem các Report và trạng thái thiết bị sử

dụng User bình thường được tạo ra khi cấu hình thiết bị.

IV.3.2 Nguyên tắc tạo Reports

- Các loại reports:

+ Intrusion Report: Là các Report về xâm nhập, các cuộc tấn công, các giao tiếp bất

hợp pháp

+ RNA Report: cho phép tạo các report về Network Profile: Trạng thái của các host,

Active Host, Open Ports, Vulnerabiltiy.

+ Log Event: Các Event liên quan tới quản trị

+ Drashboard: Cho phép giám sát Real-time, monitoring thiết, các Event liên quan tới

Sourcefire trong một khoảng thời gian nhất định

- Cách tạo ra report:

+ Report được tạo ra từ Detection Engines của các Sensors của Sourcefire

+ Report về Intrustion và RNA mặc định đã cho phép người dùng truy cập thiết bị

và đưa ra các report

+ Về thiết kế và tạo ra các report mới trong phần thiết kế chi tiết sẽ nói rõ hơn

IV.3.3 Nguyên tắc tích hợp hệ thống IPS/IDS vào hệ thống đang hoạt động

- Tích hợp các thiết bị Sourcefire vào vùng mạng Management: Vùng mạng

Management tạo ra một VLAN mới cho phép ra Internet, cắm các port management

của thiết bị Sourcefire vào các port đã được phân hoạch.

- Tích hợp tính năng IDS vào vùng Server Farm và User: Do tính năng IDS không gây

dán đoạn đối với hệ thống khi triển khai nên có thể triển khai vào thời gian sau giờ

làm việc. Cắm các port Sensing của thiết bị Sourcefire 3D Sensor vào các port đã

được phân hoạch trên các thiết bị Cisco. Thiết lập Span port cho các port đó trên thiết

bị Cisco để các luồng giao tiếp sẽ được đẩy qua port này.

- Tích hợp tính năng IPS: Do tính năng IPS có gây ra sự gián đoạn trong hệ thống nên

khi tích hợp hệ thống cần phải làm theo các bước:

+ Cấu hình thiết bị trước

+ Bật thiết bị và vận hành thử nghiệm trong hệ thống

+ Gửi công văn yêu cầu hệ thống có thể sẽ gián đoạn trong thời gian 30’ để tích hợp

thiết bị vào hệ thống và kiểm tra các lỗi trong quá trình vận hành.



V Mô hình triển khai SourceFire IPS/IDS cho CÔNG TY AAA

V.1 Mô hình tổng thể

BIG-IP 3400

BIG-IP 3400

DMZ Module

INTERNET

ISP1

ISP2

LMS3.1

RSA server

ACS

SiSiSiSi

SiSiSiSiSiSi SiSi

DNS

DNS

Aggregation Switch

(Ca3750G)

Aggregation Switch

(Ca3750-E)

SiSi

SiSiSiSi

Router_02

(R3845)

SiSi

SiSi

SiSi

IPS

IDS

IDS

DC1000

Hình 3: Mô hình tổng thể



V.2 Mô hình Logic SourceFire quản lý tập trung

IPS sensor IDS01 sensor IDS02 sensor

Management

SourceFire

3D2500

Sensor

SourceFire

3D2100

Sensor

DMZ ServerFarm

SourceFire

DC1000

VLAN

Mgt_VLAN215

10.29.115.0/24

Hình 4: Mô hình logic quản lý tập trung



V.3 Mô hình vật lý SourceFire quản lý tập trung

IPS sensor IDS01 sensor IDS02 sensor

DMZ Module Server Farm Module

Management Module

VLAN

Mgt_VLAN215

10.29.115.0/24

SourceFire

DC1000

eth0

gmt interface

eth0

gmt interface

eth0

gmt interface

eth0

gmt interface

Hình 5: Mô hình vật lý quản lý tập trung

V.4 Mô hình triển khai IPS

Hiện nay triển khai thiết bị Sourcefire tại CÔNG TY AAA có hai tình huống xảy ra

khi triển khai tính năng IPS với thiết bị Sourcefire 3D2500 cho vùng DMZ

- Trường hợp 1: Triển khai IPS cho cả vùng DMZ



IPS sensor

ASA FW01

ASA FW02

DMZ.SW01

DMZ.SW02

DMZ01.SW01

DMZ01.SW02

External DMZ Module

Internal DMZ Module

Hình 6: Mô hình triển khai IPS cho tòan vùng DMZ



- Trường hợp 2: Triển khai IPS cho một VLAN của CÔNG TY AAA Chứng Khoán

ASA FW01

ASA FW02

DMZ.SW01

DMZ.SW02

IPS sensor

Sw.BVSC

Hình 7: Mô hình triển khai IPS cho VLAN DMZ Chứng khoán

Việc lựa chọn mô hình triển khai phụ thuộc vào một số yếu tố:

- Với mô hình 1:

o Phạm vi ảnh hưởng của việc triển khai tác động đến toàn vùng DMZ

o Băng thông tác động đến hiệu năng thiết bị từ các vùng DMZ tới Internet,

Server Fam & các vùng mạng khác.

- Với mô hình 2:

o Thiết bị 3D2500 thuộc dự án CÔNG TY AAASC, lựa chọn mô hình 2 sẽ làm

tách bạch vấn đề quản lý.

o Phạm vi ảnh hưởng của việc triển khai chỉ tác động đến các server thuộc

VLAN Chứng khoán

o Băng thông tác động đến hiệu năng thiết bị không lớn

o Việc triển khai ảnh hưởng đến mô hình HA của thiết kế cho DMZ Chứng

khoán

Việc triển khai IPS cho vùng DMZ của CÔNG TY AAA giúp bảo vệ các server vùng DMZ:

- Phát hiện và ngăn ngừa các cuộc tấn công vào các server dịch vụ vùng DMZ

- Tạo các báo cáo về các cuộc tấn công từ ngòai vào các server public dịch vụ của Tập

đoàn

- Tạo các báo cáo về các lỗ hổng, nguy cơ an toàn thông tin… trên các server vùng

DMZ

V.5 Mô hình triển khai IDS cho ServerFarm

Triển khai IDS gồm 2 thiết bị sensor 3D2100, cấu hình Span port trên các thiết bị switch, router

để mirror traffic thuộc các VLAN quan trọng của vùng ServerFarm cần giám sát tới 2 sensor.



T1/1/1

T1/1/2

T1/1/1

T1/1/2

T1/1/1

T1/1/2

T1/1/1

T1/1/2

Sta

ck w

ise

T12/1

T12/2

T12/3

T12/4

T12/2

T12/1

T12/3

T12/4

Sw-SFAcc01.1

Sw-SFAcc01.2

Sta

ck w

ise

3750E

3750E

Sw-SFAcc02.1

Sw-SFAcc02.2

3750E

3750E

G7/2

G7

/1

G7

/2

G7

/1

SiSi

SiSi

Sw-SFAgg02

Cat6513

Cat6513

Sw-SFAgg01

IDS01 sensor

IDS02 sensor

Span port

Span port

eth1 eth2

eth1 eth2

eth3

eth4

eth4

eth3

IDS engine

IDS engineIPS engine

IPS engine

Hình 8: Mô hình triển khai IDS

Trong trường hợp hoạt động bình thường, các interface set & detection engine đều được thiết lập

ở chế độ IDS, giám sát hoạt động mạng, đưa ra các báo cáo về tình hình an ninh mạng.

Trong trường hợp khẩn cấp, khi có tấn công đến 1 server quan trọng, có thể cầu hình 1 cặp

interface & detection engine chưa dùng thành chế độ IPS nhằm ngăn ngừa tấn công, bảo vệ

server



V.6 Mô hình logic của thiết bị SourceFire 3D2100

3D2100 sensor

Failed-open Inline Interface sets

Passive ids interface set

IPS Detection Engine

IDS

RNA Detection Engine

Hình 9: Mô hình logic SourceFire 3D2100

V.7 Mô hình logic của thiết bị SourceFire 3D2500

3D2500 sensor

Failed-open Inline Interface sets

IPS Detection Engine

RNA Detection Engine

Hình 10: mô hình logic SourceFire 3D2500



V.8 Sơ đồ lắp đặt thiết bị lên Rack

- Thiết bị SourceFire DC1000 được lắp đặt tại tủ Rack C1, vị trí U33

- Thiết bị SourceFire Sensor 3D2100 IDS01 được lắp đặt tại tủ Rack A1, ví trí U36

- Thiết bị SourceFire Sensor 3D2100 IDS02 được lắp đặt tại tủ Rack A2, ví trí U36

- Thiết bị SourceFire Sensor 3D2500 IPS được lắp đặt tại tủ Rack A1, vị trí U40



Hình 11: Sơ đồ vị trí lắp đặt trên Rack



VI Thiết kế chi tiết tạo Reports

VI.1 Phân loại Report

- Report tổng thể về tình hình an ninh, tấn công trên toàn bộ mạng hay từng vùng mạng

theo VLAN hay theo dải IP. Report tổng thể áp dụng cho các cấp quản lý để nắm

được thông tin toàn cảnh về tình hình an ninh mạng

- Report chi tiết về các cuộc tấn công, lỗ hổng… trên từng vùng mạng theo VLAN hay

theo dải IP. Report này liệt kê chi tiết theo các template có sẵn được khuyến nghị của

hãng SourceFire gồm các thông tin chi tiết về IP nguồn, đích, port/service nguồn đích

của các cuộc tấn công, mức độ nguy hiểm, thông tin về các cuộc tấn công… Report

này được áp dụng cho người quản trị mạng và ứng dụng trên các server để thiết lập

các chính sách ngăn ngừa tấn công.

VI.2 Nội dung một Intrusion Event



Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi ro của

cuộc tấn công. Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro nhất là mức

độ Flag 0.

VI.3 Tạo các report về các vùng mạng cần giám sát

Khi tìm kiếm Intrusion Event Sourcefire cho phép tìm kiếm từ tất cả các yếu tốt liên quan tới nội

dung của Event và nhiều Options khác.

Tạo ra một Instrusion Event Search với tên Report 10.36.8.0/24 thiết lập Option Source

IP:10.36.8.0/24 và Destination IP:10.36.8.0/24 rồi Save lại thành một Search Temp

Sau đó chúng ta có thể xuất report từ Report 10.36.8.0/24 theo khoảng thời gian nhất định.

Các options tìm kiếm từ một Search Temp

Sau khi tạo ra được một Search Temp chúng ta có thể tạo ra một Report (lưu ý Sourcefire đã có

sẵn một loạt các Search Temp):

Thiết lập Report Information

Bước 1: Đặt tên cho Report

Bước 2: Report Category IPS (hoặc RNA, RUA) nếu là Intrusion Event thì là IPS

Bước 3: Detection Engine chúng ta sẽ lấy các Event từ Detection Engine nào

Bước 4: Thiết lập Search Query từ Searh Temp đã tạo từ trước hoặc các Search Tem có sẵn

Bước 5: Workflow để mặc định Event-Specific

Thiết lập Report Sections

Bước 6: Time – thiết lập khoảng thời gian cần lấy Report

Bước 7: Add Summary Report – chọn chi tiết (Detail)

Thiết lập Report Options

Bước 8: Thiết lập dạng file xuất ra

Bước 9: Generate Report



VI.4 Tìm kiếm Event theo mức độ nguy hiểm

- Mức độ nguy hiểm cao là mức độ cần phải quan tâm trước tiên bởi những cuộc tấn

công có thể xảy ra.

- Mức độ nguy hiểm cao khi: Priority ở mức High và Impact Flag là Red, Organge,

Yellow, Blue là cần phải quan tâm đầu tiên.

- Bước 1: Tạo ra một Search Temp với Priority ở mức High và Impact Flag là Red,

Organge, Yellow, Blue là cần phải quan tâm đầu tiên.

- Bước 2: Tạo ra một Report trong trong một khoảng thời gian cần quan tâm

- Khi số lượng Event nhiều vượt quá số lượng giới hạn của thiết bị (Sourcefire

DC1000 có khả năng lưu 10.000.000 Event) các Event cũ sẽ tự động bị xóa theo

First-In-First-Out (FIFO).

- Chúng ta có thể giám sát để khi số lượng Event nhiều và cũ, không quan trọng nữa

chúng ta có thể xóa bằng tay.



VI.5 Intrusion Report cần tạo

STT Report Vùng mạng áp

dụng

Nội dung của Report Người phân tích Khoảng

thời gian

cần tạo

Report

Khi xảy

ra sự cố

về bảo

mật

1 Tổng thể - (1) Toàn bộ các

vùng mạng được

Monitoring

- (2) Server Farm

- (3) DMZ

- (1) Toàn bộ Event từ tất cả các

vùng mạng với tất cả các mức độ.

Trong một khoảng thời gian nhất

định.

- (2) Toàn bộ Event từ vùng Server

Farm

- (3) Toàn bộ Event từ vùng DMZ

- (4) Toàn bộ Event từ vùng User

- (1) Người quản lý IT và cán bộ bảo

mật phân tích.

- (2) Người quản lý IT của vùng

Server Farm, cán bộ phụ trách bảo mật


DMZ, cán bộ phụ trách bảo mật

- (4) Người phụ trách IT của vùng

User, cán bộ phụ trách bảo mật

1lần/1tuần

2 Mức độ

nguy hiểm

cao

- (5) Toàn bộ các

vùng mạng được

Monitoring

- (6) Server Farm

- (7) DMZ

- (5) Toàn bộ Event cảnh báo các

cuộc tấn công nguy hiểm (Priority là

High, Impact Flag 1-4) từ tất cả các

vùng mạng. Trong một khoảng thời

gian nhất định.


cuộc tấn công nguy hiểm từ vùng

Server Farm


cuộc tấn công nguy hiểm từ vùng

DMZ


cuộc tấn công nguy hiểm từ

vùngUser

- (5) Người quản lý IT và cán bộ bảo

mật phân tích.


Server Farm, cán bộ phụ trách bảo mật


DMZ, cán bộ phụ trách bảo mật

- (8) Người phụ trách IT của vùng

User, cán bộ phụ trách bảo mật

1lần/1ngày - Tạo ngay

một bản

Report (5)

(6), (7),

(8) rồi

phân tích

đích tấn

công

3 Chi tiết - Tất cả các VLAN

của vùng Server

Farm

- Tất cả VLAN

- Mỗi VLAN tạo ra một Report

Temp, ghi lại toàn bộ các Event từ

vùng mạng đó

- Report từ các VLAN sẽ được gửi

trực tiếp tới: Người quản trị vùng

VLAN đó, người quản lý Server tại

vùng đó, và cán bộ phụ trách bảo mật

1lần/1tuần - Tạo ngay

một

Report từ

VLAN bị



của vùng DMZ

- Khi có cuộc tấn công xảy ra, hoặc sự

cố thì các Report của VLAN sẽ được

người quản lý IT, cán bộ bảo mật,

người quản trị máy chủ và các dịch vụ

của đích bị tấn công phân tích

tấn công

Nội dung của một Reports



Alert

- Đối với những cuộc tấn công nguy hiểm cực cao (Priority High và Impact Flag là 1) sẽ gửi mail

trực tiếp cho người quản trị.

- Các bước chi tiết sẽ được trình bày trong tài liệu triển khai.



VII Phụ lục

VII.1 Bảng các thuật ngữ/từ viết tắt sử dụng trong tài liệu

STT Thuật ngữ Viết đầy đủ Chú giải

1 DC Defense

Center

Thiết bị Sourcefire DC cho phép quản lý tập trung các

thiết bị Sourcefire khác. Cung cấp các tính năng khác cho

giải pháp Sourcefire

2 3D Sensor 3D Sensor Thiết bị Sourcefire 3D Sensor làm nhiệm vụ Monitoring

và thực thi các chính sách IPS/IDS

3 IDS

Intrusion

Detection

System

Tính năng trên thiết bị 3D Sensor cho phép phát hiện các

cuộc tấn công mạng.

4 IPS

Intrusion

Prevention

System

Tính năng trên thiết bị 3D Sensor chop phép phát hiện và

ngăn chặn các cuộc tấn công mạng.

5 RNA

Real-Time

Network

Awareness

Là một tính năng của giải pháp Sourcefire:

- Network profile

- Kết hợp với IPS/IDS tối ưu bảo vệ hệ thống mạng

6 RUA

Real-time

Users

Awareness

Cho phép lưu các sự kiện với yếu tố người dùng

7 Event Event Một sự kiện về bảo mật

8 Span Port Span Port

Span Port là port sử dụng trên các thiết bị Switch/router

cho phép monitoring traffic các VLAN. Thiết bị

Sourcefire khi hoạt động chế độ IDS sẽ cần sử dụng Span

Port

9 Interface Interface Interface trên thiết bị

10 Management

Interface

Management

Interface Cổng quản trị của thiết bị

11 Interface Sets Interface Sets Nhóm các Interface

12 Detection

Engine

Detection

Engine Engine phát hiện các cuộc tấn công trên các Interface Sets

13 Intrusion

Policy

Intrusion

Policy Policy áp dụng cho các Detection Engine

14 NOTE NOTE Các chú ý phụ khác

Documents

03.Giai Phap Mau2