Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Virtual Sensor với ASA SSM AIP

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Virtual Sensor với ASA SSM AIP

    Bùi Nguyễn Hoàng Long
    VnPro


    Lab 14 Thực hiện Virtual Sensor với ASA SSM AIP
    I. Mô tả
    Virtual Sensor cho phép áp đặt những chính sách khác nhau, tuy theo đặc điểm của tài nguyên hay những vùng khác nhau cần bảo vệ, ví dụ máy chủ là Windows Server hay Linux, vùng DMZ1 hay DMZ...Và những chính sách sẽ bao gồm: Signature Defintation, Anomaly Detections, Event Action Rules...
    Trong bài Lab này yêu cầu dùng Sig ID 2004 để định nghĩa chính sách vi phạm
    • Với icmp echo request đến 192.168.2.2 chỉ tạo ra cảnh báo
    • Với icmp echp request đến 192.168.2.3 tạo ra cảnh báo và deny packet inline


    II. Cấu hình
    1. Cấu hình trên SSM AIP
    Trong Policies, chọn Add để tạo chính sách Sig mới



    Đặt tên cho chính sách Sig



    Trong Analysis Engine chọn Add để tạo Virtual Sensor mới



    Bạn có thể định nghĩa thêm Event Action Rules PolicyAnomaly Detection Policy để kết hợp với Virtual Sensor mới được tạo, trong trường hợp này ta gán sig1 vào vs1



    Sau khi tạo mới Virtual Sensor, ta có hai Virtual Sensor là vs0 và vs1



    Kích hoạt Sig ID 2004 trong sig0 với hành động là Produce Alert



    Kích hoạt Sig ID 2004 trong sig1 với hành động là Produce Alert, Deny Packet Inline


    2. Cấu hình trên ciscoasa
    Cấu hình thông tin cổng inside
    ciscoasa(config)# interface e0/0
    ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
    ciscoasa(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    ciscoasa(config-if)# no shut

    Cấu hình thông tin cổng inside
    ciscoasa(config)# interface e0/1
    ciscoasa(config-if)# ip address 192.168.3.1 255.255.255.0
    ciscoasa(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    ciscoasa(config-if)# no shut

    Tắt tính năng NAT (tùy chọn)
    ciscoasa(config)# no nat-control

    Xác định ACL để cho phép truy cập với icmp
    ciscoasa(config)# access-list PING permit icmp any any
    ciscoasa(config)# access-group PING in interface outside

    Xác định luồng dữ liệu sẽ được giám sát bởi sensor
    ciscoasa(config)# access-list VS0 permit ip any host 192.168.2.2
    ciscoasa(config)# access-list VS1 permit ip any host 192.168.2.3

    Định nghĩa class-map VS0
    ciscoasa(config)# class-map VS0
    ciscoasa(config-cmap)# match access-list VS0

    Định nghĩa class-map VS1
    ciscoasa(config)# class-map VS1
    ciscoasa(config-cmap)# match access-list VS1

    Định nghĩa policy-map
    ciscoasa(config)# policy-map POLICY

    VS0 sẽ được xử lý bởi virtual sensor 0
    ciscoasa(config-pmap)# class VS0
    ciscoasa(config-pmap-c)# ips inline fail-open sensor vs0

    VS1 sẽ được xử lý bởi virtual sensor 1
    ciscoasa(config-pmap)# class VS1
    ciscoasa(config-pmap-c)# ips inline fail-open sensor vs1

    Gán chính sách lên cổng
    ciscoasa(config)# service-policy POLICY interface outside

    III. Kiểm tra
    Thực hiện sự vi phạm với icmp echo request đến 192.168.2.2, trong trường này sẽ nhận được Reply vì chính sách vs0 chỉ tạo cảnh báo





    Tương tự thực hiện sự vi phạm với icmp echo request đến 192.168.2.3, lúc này gói icmp sẽ bị loại bỏ và cảnh báo được tạo.





    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
Working...
X