Upload
nguyen-trung-dung
View
70
Download
11
Embed Size (px)
Citation preview
`
B A N V Ậ N H À N H V À Q U Ả N T R Ị H Ệ T H Ố N G
TÀI LIỆU THIẾT KẾ
IPS/IDS SourceFire
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
2 / 31 Ban Vận hành và Quản trị Hệ thống
BẢNG THEO DÕI THAY ĐỔI
Phiên bản Ngày cập nhật Người cập nhật Chú thích
2.0 Sep - 2012 Hoàng Tuấn Đạt Second Release.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
3 / 31 Ban Vận hành và Quản trị Hệ thống
Mục lục nội dung I Lời mở đầu ............................................................................................................................... 5
I.1 Mục đích của tài liệu ........................................................................................................ 5 I.2 Phạm vi tài liệu ................................................................................................................. 5
II Mục đích thiết kế ...................................................................................................................... 5 II.1 Thiết kế tính năng ............................................................................................................. 5 II.2 Thiết kế đáp ứng các yêu cầu kỹ thuật ............................................................................. 5
III Thiết kế hệ thống IPS/IDS .................................................................................................... 5 III.1 Các yêu cầu ...................................................................................................................... 6
IV Giải pháp IPS/IDS của SourceFire ....................................................................................... 8 IV.1 Mô hình triển khai IPS/IDS điển hình của SourceFire..................................................... 8 IV.2 Nguyên lý hoạt động ...................................................................................................... 10
IV.3 Nguyên tắc chung ........................................................................................................... 14 IV.3.1 Nguyên tắc quản trị ................................................................................................. 14 IV.3.2 Nguyên tắc tạo Reports ........................................................................................... 15
IV.3.3 Nguyên tắc tích hợp hệ thống IPS/IDS vào hệ thống đang hoạt động.................... 15 V Mô hình triển khai SourceFire IPS/IDS cho CÔNG TY AAA .............................................. 16
V.1 Mô hình Logic SourceFire quản lý tập trung ................................................................. 16
V.2 Mô hình vật lý SourceFire quản lý tập trung ................................................................. 18 V.3 Mô hình triển khai IPS ................................................................................................... 18
V.4 Mô hình triển khai IDS cho ServerFarm ........................................................................ 20 V.5 Mô hình logic của thiết bị SourceFire 3D2100 .............................................................. 22 V.6 Mô hình logic của thiết bị SourceFire 3D2500 .............................................................. 22
V.7 Sơ đồ lắp đặt thiết bị lên Rack ....................................................................................... 23 VI Thiết kế chi tiết tạo Reports ................................................................................................ 25
VI.1 Phân loại Report ............................................................................................................. 25 VI.2 Nội dung một Intrusion Event ........................................................................................ 25
VI.3 Tạo các report về các vùng mạng cần giám sát .............................................................. 26 VI.4 Tìm kiếm Event theo mức độ nguy hiểm ....................................................................... 27
VI.5 Intrusion Report cần tạo ................................................................................................. 28 VII Phụ lục ................................................................................................................................ 31
VII.1 Bảng các thuật ngữ/từ viết tắt sử dụng trong tài liệu .................................................. 31
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
4 / 31 Ban Vận hành và Quản trị Hệ thống
Mục lục bảng, sơ đồ
Hình 1: Mô hình triển khai SourceFire IPS/IDS điển hình ............................................................. 8
Hình 2: Sơ đồ thành phần & nguyên lý hoạt động........................................................................ 10
Hình 3: Mô hình logic quản lý tập trung....................................................................................... 17
Hình 4: Mô hình vật lý quản lý tập trung...................................................................................... 18
Hình 5: Mô hình triển khai IPS cho tòan vùng DMZ ................................................................... 19
Hình 6: Mô hình triển khai IPS cho VLAN DMZ Chứng khoán ................................................. 20
Hình 7: Mô hình triển khai IDS ................................................................................................... 21
Hình 8: Mô hình logic SourceFire 3D2100 .................................................................................. 22
Hình 9: mô hình logic SourceFire 3D2500 .................................................................................. 22
Hình 10: Sơ đồ vị trí lắp đặt trên Rack ......................................................................................... 24
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
5 / 31 Ban Vận hành và Quản trị Hệ thống
I Lời mở đầu
I.1 Mục đích của tài liệu
Tài liệu thiết kế hệ thống IPS (Intrusion Prevention System) /IDS (Intrusion Detection System)
SourceFire là tài liệu thiết kế chi tiết từ sơ đồ logic đến sơ đồ đấu nối vật lý các thiết bị IPS cho
vùng DMZ, IDS cho vùng ServerFarm của Tập đoàn CÔNG TY AAA
Thiết kế mô tả chi tiết các nguy cơ bảo mật ngày càng tăng cao & phức tạp nhằm vào các hệ
thống mạng ngày nay và phương pháp giúp nâng cao, tăng cường an ninh bảo mật cho các hệ
thống mạng của Tập đoàn sử dụng các công nghệ IPS, IDS
I.2 Phạm vi tài liệu
Tài liệu áp dụng cho các phân vùng Internet – DMZ Module, ServerFarm Module, Management
Module
II Mục đích thiết kế
II.1 Thiết kế tính năng
- Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc tấn công, các nguy cơ tiềm
ẩn về an toàn bảo mật thông tin… từ bên ngoài vào vùng DMZ hoặc VLAN DMZ
Chứng khoán
- Thiết kế hệ thống IDS giúp phát hiện và đưa ra các cảnh báo về các cuộc tấn công, các lỗ
hổng bảo mật, các nguy cơ về bảo mật an toàn thông tin… cho các vùng ServerFarm
- Tính năng RNA bổ xung cho IPS/IDS cung cấp tính năng Network profile (OS, Services,
Open Ports, Vulnerability, Host static). Từ đó kết hợp với IPS/IDS để tự động cấu hình,
tinh chỉnh Rules
- Tính năng RUA cho phép lưu các Event với yếu tố User. Tuy nhiên hiện nay hệ thống
mạng của CÔNG TY AAA chưa triển khai hoàn thiện hệ thống Active Directory nên
tính năng này chưa được sử dụng
II.2 Thiết kế đáp ứng các yêu cầu kỹ thuật
- Tính sẵn sàng hệ thống.
- Khả năng mở rộng hệ thống.
- Hệ thống hoạt động có hiệu suất cao.
- Bảo mật hệ thống.
- Khả năng quản lý hệ thống
III Thiết kế hệ thống IPS/IDS
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
6 / 31 Ban Vận hành và Quản trị Hệ thống
III.1 Các yêu cầu
Yêu cầu về tính năng
STT Tính năng Mô tả
1 IPS cho vùng DMZ /or
VLAN DMZ Chứng khoán
- Phát hiện các cuộc tấn công từ bên ngoài như
Worms, Trojans, Buffer overflows, DoS attacks,
Backdoor attacks, Spyware, Port scans, VoIP
attacks, IPv6 attacks, Statistical anomalies,
Protocol anomalies, P2P attacks, Blended threats,
Zero-day attacks… vào các server dịch vụ vùng
DMZ, hoặc VLAN DMZ Chứng khoán, đảm bảo
các server vùng DMZ được bảo vệ
- Ngăn chặn các cuộc tấn công với các recommend
rules hay tự động tinh chỉnh sử dụng RNA
recommend rules, manual các rules tùy theo các
dịch vụ
- Đưa ra các báo cáo về các cuộc tấn công, các lỗ
hổng bảo mật… nhằm vào các server DMZ ,
VLAN DMZ Chứng khoán
2 IDS cho vùng ServerFarm
- Phát hiện và đưa ra các báo cáo về các cuộc tấn
công, các nguy cơ bảo mật, lỗ hổng an ninh… của
các server, dịch vụ vùng ServerFarm.
- Phát hiện các cuộc tấn công, các nguy cơ bảo
mật… từ người dùng vùng
- Trong trường hợp xảy ra tấn công vào các server
quan trọng vùng ServerFarm, có thể thiết lập tính
năng IPS trên thiết bị để bảo vệ server, ngăn chặn
tấn công
3 RNA kết hợp với IPS/IDS
- RNA giúp phát hiện các nguy cơ an ninh mạng
như OS, Services, Open Ports, Vulnerability,
Host static
- RNA kết hợp với IPS, IDS để tự động
active/disable các rules cần thiết để bảo vệ hệ
thống mạng. Trong mô hình mạng của CÔNG TY
AAA tính năng RNA được mặc định đi kèm với
IPS, IDS
- Tính năng Passive Scan cho phép RNA phát hiện
hệ thống mạng mà không ảnh hưởng tới hệ thống
mạng
4 RUA - Kết hợp với cơ sở dữ liệu LDAP để nhận dạng
thông tin người dùng
Yêu cầu tính năng kỹ thuật:
STT Tính năng Mô tả
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
7 / 31 Ban Vận hành và Quản trị Hệ thống
1 Tính sẵn sàng của hệ thống.
- IPS được triển khai inline fail-open mode, khi có
sự cố về thiết bị hay hỏng nguồn điện, thiết bị tự
động bypass traffic, không làm gián đoạn traffic
- IDS được triển khai out-of-path, sử dụng cổng
SPAN trên các thiết bị switch, router để đổ luồng
traffic cần giám sát, không ảnh hưởng tới hoạt
động mạng
2 Khả năng mở rộng hệ thống.
- Thiết bị quản lý tập trung DC1000 có khả năng
quản lý lên đến 25 sensor, hiện tại mạng CÔNG
TY AAA chỉ gồm 3 sensor (01 3D2500 & 02
3D2100)
- 3D2100 gồm 4 sensing interface, có khả năng
giám sát lên đến 4 vùng mạng
- 3D2500 gồm 8 sensing interface, có khả năng
giám sát lên đến 8 vùng mạng
- Với việc cấu hình dùng SPAN port, có thể lựa
trọn VLAN, dải VLAN cần giám sát
- Đảm bảo khả năng nâng cấp, mở rộng hệ thống
3 Hệ thống hoạt đống có hiệu
suất cao.
- Thiết bị 3D2500 được triển khai inline fail-open
mode, với khả năng sử lý, phân tích gói tin với độ
trễ < 1 ms, throughput lên đến 500Mbps
- Thiết bị 3D2100 được triển khai dùng SPAN
port, hỗ trợ throughput lên đến 250Mbps
- DC1000 có khả năng lưu trữ 10 triệu events
4 Bảo mật hệ thống.
- IPS/IDS là giải pháp hàng đầu cho vần đề an ninh
mạng hiện nay
- Thiết bị được cấu hinh update các lỗ hổng bảo
mật, tinh chỉnh các rule tự động, sẵn sàng phát
hiện và ngăn ngừa các cuộc tấn công mới
5 Khả năng quản lý hệ thống - Có khả năng quản lý và phân cấp quyền quản trị
nhằm đáp ứng mềm dẻo trong quản trị
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
8 / 31 Ban Vận hành và Quản trị Hệ thống
IV Giải pháp IPS/IDS của SourceFire
IV.1 Mô hình triển khai IPS/IDS điển hình của SourceFire
Hình 1: Mô hình triển khai SourceFire IPS/IDS điển hình
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
9 / 31 Ban Vận hành và Quản trị Hệ thống
- Với vùng mạng biên – Perimeter zone, SourceFire sensor được triển khai IPS inline nhằm
phát hiện và ngăn ngừa các cuộc tấn công từ Internet vào bên trong mạng Intranet & vùng
server dịch vụ DMZ
- Với vùng mạng lõi – Core zone, SourceFire sensor được triển khai IDS out-of-path, các
switch, router đẩy traffic cần giám sát tới sensor để thực hiện phân tích, phát hiện các
cuộc tấn công.
- Với vùng mạng nội bộ quan trọng - Internal Zone, SourceFire sensor được triển khai IPS
inline phía trước vùng server quan trọng cần bảo vệ, ngoài ra có thể triển khai IDS out-
of-path tới các vùng mạng cần giám sát, phát hiện tấn công như wireless…
- SourceFire sensor được triển khai inline với các mode sau:
o Passive: Với mode passive, sensor làm nhiệm vụ của IDS
o Inline: với mode inline, sensor làm nhiệm vụ của IPS, nhưng khi có sự cố như
hỏng nguồn, sensor sẽ drop gói tin
o inline fail-open: với mode inline fail-open, sensor làm nhiệm vụ IPS, khi có sự cố
như hỏng nguồn, traffic được by-pass qua thiết bị. Với các model sensor 3D2100
& 3D2500 khi fail-open, sensor đóng vai trò như straight-through device (hay nối
cáp thẳng). Việc nối cáp cho sensor ở mode inline fail-open được thực hiện kết
nối mạng bình thường như chưa có thiết bị sensor.
- SourceFire IDS sensor được triển khai out-of-path, có thể sử dụng các kiểu kết nối sau:
o Sử dụng Hub: traffic được đi qua Hub sẽ được broadcast ra toàn bộ các interface
kết nối, dễ trỉên khai. Nhược điểm là sử dụng Hub sẽ gây ra colission domain
(miền xung đột) trong mạng.
o Sử dụng SPAN port: các thiết bị mạng như switch, router hỗ trợ Span Port cho
phép cấu hình mirror traffic trên các port khác hay các VLAN tới port SPAN.
Việc kết nối sensor tới các vùng mạng cần giám sát được thực hiện qua các Span
port này. Nhược điểm: tùy theo năng lực của thiết bị mạng (switch, router) hỗ trợ
cấu hình Span port, việc mirror traffic trên thiết bị qua Span port không thể vượt
quá năng lực của Span port (băng thông có khả năng hỗ trợ trên Span port của
thiết bị)
o Sử dụng Network tap: tương tự như Hub, network tap cho phép monitor passive
các phân vùng mạng. Nhược điểm: cần đầu tư thêm thiết bị
- Căn cứ vào tính năng sản phẩm SourceFire sensor & mô hình triển khai, việc triển khai
IPS/IDS SourceFire cho CÔNG TY AAA được thực hiện như sau:
o Triển khai IPS inline fail-open mode cho vùng DMZ hay VLAN DMZ Chứng
khoán
o Triển khai IDS out-of-path sử dụng Span port trên các thiết bị switch cho vùng
ServerFarm. Do năng lực thiết bị sensor chỉ hỗ trợ 250Mbps & năng lực băng
thông hỗ trợ cấu hình Span port trên các thiết bị switch, việc triển khai IDS sensor
cho vùng ServerFarm (gồm các kết nối 10G & 1G) chỉ được áp dụng trên các
VLAN quan trọng.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
10 / 31 Ban Vận hành và Quản trị Hệ thống
IV.2 Nguyên lý hoạt động
Hình 2: Sơ đồ thành phần & nguyên lý hoạt động
Giải thích nguyên lý hoạt động và các thành phần của thiết bị SourceFire sensor
qua ví dụ sau:
- Thiết bị SourceFire sensor 3D2500có 8 cổng Ethernet làm nhiệm vụ Sensing:
- Interface Sets:
+ Các cổng này được nhóm vào cá Interface Sets khác nhau. Trên hình với 3 Interface
Sets được tạo
+ Interface Sets được tạo ra có ở hai mode Passive và Inline (Inline và Inline with
Fail Open)
- Detection Engine: làm nhiệm vụ thực thi Monitoring trên Interface Sets. Ở trên hình
có hai Detection Engine được tạo và thực thi nhiệm vụ Monitoring trên các Interface
Sets
- Intrusion Policy: Là chính sách áp dụng cho Detection Engine (ví dụ như những
Rule nào được bật, hành vi đối với một cuộc tấn công). Hình trên có hai Intrusion
Policy được tạo áp dụng vào hai Detection Engine
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
11 / 31 Ban Vận hành và Quản trị Hệ thống
Khi gói tin được capture bởi Sourcefire thiết bị sẽ tiến hành xử lý:
Khi gói tin được capture bởi thiết bị Sourcefire gói tin đó sẽ được:
- Decode bởi thành phần Decoders của Sourcefire
- Sau đó gói tin sẽ được chuyển vào quá trình Preprocessors
- Gói tin sẽ được so sánh với tập Rules được sử dụng
- Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event
- Các Event đó có thể được lọc ra thành các dạng Event khác nhau. Từ các Event được
phát sinh sẽ được thực hiện để làm một số tác vụ khác.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
12 / 31 Ban Vận hành và Quản trị Hệ thống
Hiểu về quá trình phân tích traffic network
Event sẽ có nội dung:
Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi
ro của cuộc tấn công. Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro
nhất là mức độ Flag 1.
Quá trình xử lý gói tin và Decoding
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
13 / 31 Ban Vận hành và Quản trị Hệ thống
Quá trình này sẽ Decode gói tin từ Layer 2
Sau khi Decode thiết bị Sourcefire sẽ thực hiện tiếp quá trình Preprocessors và so sánh
với tập Rules
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
14 / 31 Ban Vận hành và Quản trị Hệ thống
Các Event sẽ được tạo ra từ các quá trình
IV.3 Nguyên tắc chung
IV.3.1 Nguyên tắc quản trị
- Quản trị qua giao diện Web (HTTPS) cho phép cấu hình, xem trạng thái, log, report
- Quản trị qua giao diện Console (SSH) cho phép giải quyết một số sự cố và các thiết
lập sâu trong OS của Sourcefire
- Hỗ trợ SNMP
- User root: là user quyền cao nhất trong hệ điều hành của Sourcefire chỉ cho phép
Console để giải quyết một số lỗi hệ thống.
- User admin: là user có quyền cao nhất trong giao diện Web, có đầy đủ các quyền để
cấu hình Sourcefire hỗ trợ trên nền Web
- User khác: có thể gán vào các group để phân quyền.
- Người quản trị thiết bị cao nhất đề xuất quản lý User: root và Admin.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
15 / 31 Ban Vận hành và Quản trị Hệ thống
- Những người quản lý một vùng mạng muốn xem các Report và trạng thái thiết bị sử
dụng User bình thường được tạo ra khi cấu hình thiết bị.
IV.3.2 Nguyên tắc tạo Reports
- Các loại reports:
+ Intrusion Report: Là các Report về xâm nhập, các cuộc tấn công, các giao tiếp bất
hợp pháp
+ RNA Report: cho phép tạo các report về Network Profile: Trạng thái của các host,
Active Host, Open Ports, Vulnerabiltiy.
+ Log Event: Các Event liên quan tới quản trị
+ Drashboard: Cho phép giám sát Real-time, monitoring thiết, các Event liên quan tới
Sourcefire trong một khoảng thời gian nhất định
- Cách tạo ra report:
+ Report được tạo ra từ Detection Engines của các Sensors của Sourcefire
+ Report về Intrustion và RNA mặc định đã cho phép người dùng truy cập thiết bị
và đưa ra các report
+ Về thiết kế và tạo ra các report mới trong phần thiết kế chi tiết sẽ nói rõ hơn
IV.3.3 Nguyên tắc tích hợp hệ thống IPS/IDS vào hệ thống đang hoạt động
- Tích hợp các thiết bị Sourcefire vào vùng mạng Management: Vùng mạng
Management tạo ra một VLAN mới cho phép ra Internet, cắm các port management
của thiết bị Sourcefire vào các port đã được phân hoạch.
- Tích hợp tính năng IDS vào vùng Server Farm và User: Do tính năng IDS không gây
dán đoạn đối với hệ thống khi triển khai nên có thể triển khai vào thời gian sau giờ
làm việc. Cắm các port Sensing của thiết bị Sourcefire 3D Sensor vào các port đã
được phân hoạch trên các thiết bị Cisco. Thiết lập Span port cho các port đó trên thiết
bị Cisco để các luồng giao tiếp sẽ được đẩy qua port này.
- Tích hợp tính năng IPS: Do tính năng IPS có gây ra sự gián đoạn trong hệ thống nên
khi tích hợp hệ thống cần phải làm theo các bước:
+ Cấu hình thiết bị trước
+ Bật thiết bị và vận hành thử nghiệm trong hệ thống
+ Gửi công văn yêu cầu hệ thống có thể sẽ gián đoạn trong thời gian 30’ để tích hợp
thiết bị vào hệ thống và kiểm tra các lỗi trong quá trình vận hành.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
16 / 31 Ban Vận hành và Quản trị Hệ thống
V Mô hình triển khai SourceFire IPS/IDS cho CÔNG TY AAA
V.1 Mô hình tổng thể
BIG-IP 3400
BIG-IP 3400
DMZ Module
INTERNET
ISP1
ISP2
LMS3.1
RSA server
ACS
SiSiSiSi
SiSiSiSiSiSi SiSi
DNS
DNS
Aggregation Switch
(Ca3750G)
Aggregation Switch
(Ca3750-E)
SiSi
SiSiSiSi
Router_02
(R3845)
SiSi
SiSi
SiSi
IPS
IDS
IDS
DC1000
Hình 3: Mô hình tổng thể
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
17 / 31 Ban Vận hành và Quản trị Hệ thống
V.2 Mô hình Logic SourceFire quản lý tập trung
IPS sensor IDS01 sensor IDS02 sensor
Management
SourceFire
3D2500
Sensor
SourceFire
3D2100
Sensor
DMZ ServerFarm
SourceFire
DC1000
VLAN
Mgt_VLAN215
10.29.115.0/24
Hình 4: Mô hình logic quản lý tập trung
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
18 / 31 Ban Vận hành và Quản trị Hệ thống
V.3 Mô hình vật lý SourceFire quản lý tập trung
IPS sensor IDS01 sensor IDS02 sensor
DMZ Module Server Farm Module
Management Module
VLAN
Mgt_VLAN215
10.29.115.0/24
SourceFire
DC1000
eth0
gmt interface
eth0
gmt interface
eth0
gmt interface
eth0
gmt interface
Hình 5: Mô hình vật lý quản lý tập trung
V.4 Mô hình triển khai IPS
Hiện nay triển khai thiết bị Sourcefire tại CÔNG TY AAA có hai tình huống xảy ra
khi triển khai tính năng IPS với thiết bị Sourcefire 3D2500 cho vùng DMZ
- Trường hợp 1: Triển khai IPS cho cả vùng DMZ
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
19 / 31 Ban Vận hành và Quản trị Hệ thống
IPS sensor
ASA FW01
ASA FW02
DMZ.SW01
DMZ.SW02
DMZ01.SW01
DMZ01.SW02
External DMZ Module
Internal DMZ Module
Hình 6: Mô hình triển khai IPS cho tòan vùng DMZ
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
20 / 31 Ban Vận hành và Quản trị Hệ thống
- Trường hợp 2: Triển khai IPS cho một VLAN của CÔNG TY AAA Chứng Khoán
ASA FW01
ASA FW02
DMZ.SW01
DMZ.SW02
IPS sensor
Sw.BVSC
Hình 7: Mô hình triển khai IPS cho VLAN DMZ Chứng khoán
Việc lựa chọn mô hình triển khai phụ thuộc vào một số yếu tố:
- Với mô hình 1:
o Phạm vi ảnh hưởng của việc triển khai tác động đến toàn vùng DMZ
o Băng thông tác động đến hiệu năng thiết bị từ các vùng DMZ tới Internet,
Server Fam & các vùng mạng khác.
- Với mô hình 2:
o Thiết bị 3D2500 thuộc dự án CÔNG TY AAASC, lựa chọn mô hình 2 sẽ làm
tách bạch vấn đề quản lý.
o Phạm vi ảnh hưởng của việc triển khai chỉ tác động đến các server thuộc
VLAN Chứng khoán
o Băng thông tác động đến hiệu năng thiết bị không lớn
o Việc triển khai ảnh hưởng đến mô hình HA của thiết kế cho DMZ Chứng
khoán
Việc triển khai IPS cho vùng DMZ của CÔNG TY AAA giúp bảo vệ các server vùng DMZ:
- Phát hiện và ngăn ngừa các cuộc tấn công vào các server dịch vụ vùng DMZ
- Tạo các báo cáo về các cuộc tấn công từ ngòai vào các server public dịch vụ của Tập
đoàn
- Tạo các báo cáo về các lỗ hổng, nguy cơ an toàn thông tin… trên các server vùng
DMZ
V.5 Mô hình triển khai IDS cho ServerFarm
Triển khai IDS gồm 2 thiết bị sensor 3D2100, cấu hình Span port trên các thiết bị switch, router
để mirror traffic thuộc các VLAN quan trọng của vùng ServerFarm cần giám sát tới 2 sensor.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
21 / 31 Ban Vận hành và Quản trị Hệ thống
T1/1/1
T1/1/2
T1/1/1
T1/1/2
T1/1/1
T1/1/2
T1/1/1
T1/1/2
Sta
ck w
ise
T12/1
T12/2
T12/3
T12/4
T12/2
T12/1
T12/3
T12/4
Sw-SFAcc01.1
Sw-SFAcc01.2
Sta
ck w
ise
3750E
3750E
Sw-SFAcc02.1
Sw-SFAcc02.2
3750E
3750E
G7/2
G7
/1
G7
/2
G7
/1
SiSi
SiSi
Sw-SFAgg02
Cat6513
Cat6513
Sw-SFAgg01
IDS01 sensor
IDS02 sensor
Span port
Span port
eth1 eth2
eth1 eth2
eth3
eth4
eth4
eth3
IDS engine
IDS engineIPS engine
IPS engine
Hình 8: Mô hình triển khai IDS
Trong trường hợp hoạt động bình thường, các interface set & detection engine đều được thiết lập
ở chế độ IDS, giám sát hoạt động mạng, đưa ra các báo cáo về tình hình an ninh mạng.
Trong trường hợp khẩn cấp, khi có tấn công đến 1 server quan trọng, có thể cầu hình 1 cặp
interface & detection engine chưa dùng thành chế độ IPS nhằm ngăn ngừa tấn công, bảo vệ
server
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
22 / 31 Ban Vận hành và Quản trị Hệ thống
V.6 Mô hình logic của thiết bị SourceFire 3D2100
3D2100 sensor
Failed-open Inline Interface sets
Passive ids interface set
IPS Detection Engine
IDS
RNA Detection Engine
Hình 9: Mô hình logic SourceFire 3D2100
V.7 Mô hình logic của thiết bị SourceFire 3D2500
3D2500 sensor
Failed-open Inline Interface sets
IPS Detection Engine
RNA Detection Engine
Hình 10: mô hình logic SourceFire 3D2500
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
23 / 31 Ban Vận hành và Quản trị Hệ thống
V.8 Sơ đồ lắp đặt thiết bị lên Rack
- Thiết bị SourceFire DC1000 được lắp đặt tại tủ Rack C1, vị trí U33
- Thiết bị SourceFire Sensor 3D2100 IDS01 được lắp đặt tại tủ Rack A1, ví trí U36
- Thiết bị SourceFire Sensor 3D2100 IDS02 được lắp đặt tại tủ Rack A2, ví trí U36
- Thiết bị SourceFire Sensor 3D2500 IPS được lắp đặt tại tủ Rack A1, vị trí U40
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
24 / 31 Ban Vận hành và Quản trị Hệ thống
Hình 11: Sơ đồ vị trí lắp đặt trên Rack
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
25 / 31 Ban Vận hành và Quản trị Hệ thống
VI Thiết kế chi tiết tạo Reports
VI.1 Phân loại Report
- Report tổng thể về tình hình an ninh, tấn công trên toàn bộ mạng hay từng vùng mạng
theo VLAN hay theo dải IP. Report tổng thể áp dụng cho các cấp quản lý để nắm
được thông tin toàn cảnh về tình hình an ninh mạng
- Report chi tiết về các cuộc tấn công, lỗ hổng… trên từng vùng mạng theo VLAN hay
theo dải IP. Report này liệt kê chi tiết theo các template có sẵn được khuyến nghị của
hãng SourceFire gồm các thông tin chi tiết về IP nguồn, đích, port/service nguồn đích
của các cuộc tấn công, mức độ nguy hiểm, thông tin về các cuộc tấn công… Report
này được áp dụng cho người quản trị mạng và ứng dụng trên các server để thiết lập
các chính sách ngăn ngừa tấn công.
VI.2 Nội dung một Intrusion Event
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
26 / 31 Ban Vận hành và Quản trị Hệ thống
Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi ro của
cuộc tấn công. Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro nhất là mức
độ Flag 0.
VI.3 Tạo các report về các vùng mạng cần giám sát
Khi tìm kiếm Intrusion Event Sourcefire cho phép tìm kiếm từ tất cả các yếu tốt liên quan tới nội
dung của Event và nhiều Options khác.
Tạo ra một Instrusion Event Search với tên Report 10.36.8.0/24 thiết lập Option Source
IP:10.36.8.0/24 và Destination IP:10.36.8.0/24 rồi Save lại thành một Search Temp
Sau đó chúng ta có thể xuất report từ Report 10.36.8.0/24 theo khoảng thời gian nhất định.
Các options tìm kiếm từ một Search Temp
Sau khi tạo ra được một Search Temp chúng ta có thể tạo ra một Report (lưu ý Sourcefire đã có
sẵn một loạt các Search Temp):
Thiết lập Report Information
Bước 1: Đặt tên cho Report
Bước 2: Report Category IPS (hoặc RNA, RUA) nếu là Intrusion Event thì là IPS
Bước 3: Detection Engine chúng ta sẽ lấy các Event từ Detection Engine nào
Bước 4: Thiết lập Search Query từ Searh Temp đã tạo từ trước hoặc các Search Tem có sẵn
Bước 5: Workflow để mặc định Event-Specific
Thiết lập Report Sections
Bước 6: Time – thiết lập khoảng thời gian cần lấy Report
Bước 7: Add Summary Report – chọn chi tiết (Detail)
Thiết lập Report Options
Bước 8: Thiết lập dạng file xuất ra
Bước 9: Generate Report
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
27 / 31 Ban Vận hành và Quản trị Hệ thống
VI.4 Tìm kiếm Event theo mức độ nguy hiểm
- Mức độ nguy hiểm cao là mức độ cần phải quan tâm trước tiên bởi những cuộc tấn
công có thể xảy ra.
- Mức độ nguy hiểm cao khi: Priority ở mức High và Impact Flag là Red, Organge,
Yellow, Blue là cần phải quan tâm đầu tiên.
- Bước 1: Tạo ra một Search Temp với Priority ở mức High và Impact Flag là Red,
Organge, Yellow, Blue là cần phải quan tâm đầu tiên.
- Bước 2: Tạo ra một Report trong trong một khoảng thời gian cần quan tâm
- Khi số lượng Event nhiều vượt quá số lượng giới hạn của thiết bị (Sourcefire
DC1000 có khả năng lưu 10.000.000 Event) các Event cũ sẽ tự động bị xóa theo
First-In-First-Out (FIFO).
- Chúng ta có thể giám sát để khi số lượng Event nhiều và cũ, không quan trọng nữa
chúng ta có thể xóa bằng tay.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
28 / 31 Ban Vận hành và Quản trị Hệ thống
VI.5 Intrusion Report cần tạo
STT Report Vùng mạng áp
dụng
Nội dung của Report Người phân tích Khoảng
thời gian
cần tạo
Report
Khi xảy
ra sự cố
về bảo
mật
1 Tổng thể - (1) Toàn bộ các
vùng mạng được
Monitoring
- (2) Server Farm
- (3) DMZ
- (1) Toàn bộ Event từ tất cả các
vùng mạng với tất cả các mức độ.
Trong một khoảng thời gian nhất
định.
- (2) Toàn bộ Event từ vùng Server
Farm
- (3) Toàn bộ Event từ vùng DMZ
- (4) Toàn bộ Event từ vùng User
- (1) Người quản lý IT và cán bộ bảo
mật phân tích.
- (2) Người quản lý IT của vùng
Server Farm, cán bộ phụ trách bảo mật
- (3) Người quản lý IT của vùng
DMZ, cán bộ phụ trách bảo mật
- (4) Người phụ trách IT của vùng
User, cán bộ phụ trách bảo mật
1lần/1tuần
2 Mức độ
nguy hiểm
cao
- (5) Toàn bộ các
vùng mạng được
Monitoring
- (6) Server Farm
- (7) DMZ
- (5) Toàn bộ Event cảnh báo các
cuộc tấn công nguy hiểm (Priority là
High, Impact Flag 1-4) từ tất cả các
vùng mạng. Trong một khoảng thời
gian nhất định.
- (6) Toàn bộ Event cảnh báo các
cuộc tấn công nguy hiểm từ vùng
Server Farm
- (7) Toàn bộ Event cảnh báo các
cuộc tấn công nguy hiểm từ vùng
DMZ
- (8) Toàn bộ Event cảnh báo các
cuộc tấn công nguy hiểm từ
vùngUser
- (5) Người quản lý IT và cán bộ bảo
mật phân tích.
- (6) Người quản lý IT của vùng
Server Farm, cán bộ phụ trách bảo mật
- (7) Người quản lý IT của vùng
DMZ, cán bộ phụ trách bảo mật
- (8) Người phụ trách IT của vùng
User, cán bộ phụ trách bảo mật
1lần/1ngày - Tạo ngay
một bản
Report (5)
(6), (7),
(8) rồi
phân tích
đích tấn
công
3 Chi tiết - Tất cả các VLAN
của vùng Server
Farm
- Tất cả VLAN
- Mỗi VLAN tạo ra một Report
Temp, ghi lại toàn bộ các Event từ
vùng mạng đó
- Report từ các VLAN sẽ được gửi
trực tiếp tới: Người quản trị vùng
VLAN đó, người quản lý Server tại
vùng đó, và cán bộ phụ trách bảo mật
1lần/1tuần - Tạo ngay
một
Report từ
VLAN bị
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
29 / 31 Ban Vận hành và Quản trị Hệ thống
của vùng DMZ
- Khi có cuộc tấn công xảy ra, hoặc sự
cố thì các Report của VLAN sẽ được
người quản lý IT, cán bộ bảo mật,
người quản trị máy chủ và các dịch vụ
của đích bị tấn công phân tích
tấn công
Nội dung của một Reports
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
30 / 31 Ban Vận hành và Quản trị Hệ thống
Alert
- Đối với những cuộc tấn công nguy hiểm cực cao (Priority High và Impact Flag là 1) sẽ gửi mail
trực tiếp cho người quản trị.
- Các bước chi tiết sẽ được trình bày trong tài liệu triển khai.
[Tại liệu thiết kế IPS/IDS SourceFire] Aug 1, 2010
31 / 31 Ban Vận hành và Quản trị Hệ thống
VII Phụ lục
VII.1 Bảng các thuật ngữ/từ viết tắt sử dụng trong tài liệu
STT Thuật ngữ Viết đầy đủ Chú giải
1 DC Defense
Center
Thiết bị Sourcefire DC cho phép quản lý tập trung các
thiết bị Sourcefire khác. Cung cấp các tính năng khác cho
giải pháp Sourcefire
2 3D Sensor 3D Sensor Thiết bị Sourcefire 3D Sensor làm nhiệm vụ Monitoring
và thực thi các chính sách IPS/IDS
3 IDS
Intrusion
Detection
System
Tính năng trên thiết bị 3D Sensor cho phép phát hiện các
cuộc tấn công mạng.
4 IPS
Intrusion
Prevention
System
Tính năng trên thiết bị 3D Sensor chop phép phát hiện và
ngăn chặn các cuộc tấn công mạng.
5 RNA
Real-Time
Network
Awareness
Là một tính năng của giải pháp Sourcefire:
- Network profile
- Kết hợp với IPS/IDS tối ưu bảo vệ hệ thống mạng
6 RUA
Real-time
Users
Awareness
Cho phép lưu các sự kiện với yếu tố người dùng
7 Event Event Một sự kiện về bảo mật
8 Span Port Span Port
Span Port là port sử dụng trên các thiết bị Switch/router
cho phép monitoring traffic các VLAN. Thiết bị
Sourcefire khi hoạt động chế độ IDS sẽ cần sử dụng Span
Port
9 Interface Interface Interface trên thiết bị
10 Management
Interface
Management
Interface Cổng quản trị của thiết bị
11 Interface Sets Interface Sets Nhóm các Interface
12 Detection
Engine
Detection
Engine Engine phát hiện các cuộc tấn công trên các Interface Sets
13 Intrusion
Policy
Intrusion
Policy Policy áp dụng cho các Detection Engine
14 NOTE NOTE Các chú ý phụ khác