Announcement

**cntt1986** · 06-09-2009, 05:07 PM

Anh cho em hỏi bên VNpro có thiết bị thực hành CS-MARS ko anh, Cái này mình có thể làm Lab ảo nhưng có hỗ trợ hết ko anh
thanks a

**phamminhtuan** · 07-09-2009, 02:03 AM

Chào bạn,
Bên Vnpro có đầy đủ thiết bị phục vụ cho môn CCSP và CCIE security, tất nhiên có thiết bị CSMARS cho bạn thực hành.

**cntt1986** · 17-09-2009, 06:25 PM

tiếp phần Queries đi anh tuấn ơi O:-)

**phamminhtuan** · 18-09-2009, 02:36 AM

IV. QUERIES

1. Khái niệm:
Truy vấn dữ liệu trên CS-Mars có thể đơn giản như là chọn một Query đã xác định trước và gửi nó, hoặc là phức tạp như định nghĩa các biến hoặc các hành động để kéo dữ liệu từ nhiều nguồn.
Ba loại truy vấn tồn tại cho CS-Mars, và hai trong ba có thể yêu cầu thay đổi cách thức mà bạn muốn xem các dữ liệu đang được truy vấn.
vQuery type
vInstant queries
vOn-demand queries và manual queries
2. Các loại Query
2.1 Query type
Để truy cập vào các công cụ cấu hình Query type, bấm vào nút Edit ở phần cuối của vùng Query Type trên trang Query.

Hình: CS-MARS Query Type công cụ cấu hình và vùng Query Type

Công cụ cấu hình Query type có năm thuộc tính phải được cấu hình để có được kết quả
vResult Format
vOrder/Rank By
vFilter by Time
vUse Only Firing Events
vMaximum Rank Returned
Khi đã hoàn thành việc chuyển dữ liệu trong công cụ cấu hình Query type, bấm vào nút Apply ở trên hoặc dưới bên phải của các công cụ Query.

Hình: CS-MARS Query Type có thể thay đổi
2.2 Instant Queries

Tất cả những biểu tượng q này sau khi cụ thể các giá trị được hiển thị trong CS-Mars. Biểu tượng này được gọi là các Instant Query. Tại bất cứ thời điểm nào khi đang xem dữ liệu, có thể nhấp vào biểu tượng này và yêu cầu tìm kiếm dữ liệu có liên quan đến giá trị là biểu tượng bên cạnh.

Hình : Biểu tượng CS-MARS Instant Query

Nhấp vào biểu tượng q để chuyển hướng vào trang Query,với giá trị của q trong các bộ lọc thích hợp

Hình: Trang CS-MARS Query Populated Filter

2.3 On-Demand Queries và Manual Queries

Hai chủ đề sẽ được thảo luận để điều chỉnh kỹ năng truy vấn của CS-Mars:

vOn-demand queries: là những query dựa trên tất cả các báo cáo đã được lưu bởi nhà phân tích an ninh và các quản trị viên hoặc đã được cung cấp "canned" với các dụng cụ điện.

vManual queries: là những Query ngay từ đầu đã được hoàn thành. Manual Queries có thể được lưu lại như là các báo cáo đểchúng có thể được tái sử dụng trong tương lai để tránh lặp lại kết quả.

Hình: CS-MARS Manual Query

Phần tiếp theo REPORTS

**phamminhtuan** · 19-09-2009, 02:43 AM

I.REPORTS

1. Khái niệm

Bằng cách sử dụng CS-Mars cung cấp có giá trị minh sát, tích hợp, và kiểm soát mạng thông qua việc tương quan giữa các dữ liệu, giảm sai tích cực, giảm thiểu, và miêu tả hình ảnh lớp 2 và lớp 3 của hạ tầng mạng. Sử dụng thông tin này cho việc điều tra và giảm thiểu lý do là rất có ích, tuy nhiên thiếu cái cốt lõi không có nghĩa rằng báo cáo dữ liệu từ nhiều nguồn khác nhau.

Những nhà quản lý mạng muốn nhìn thấy những báo cáo cơ bản mà có thể dễ dàng đọc, dòng đầu tiên mà các nhà quản lý mạng muốn xem là dữ liệu và hành động một cách chi tiết, nhưng không phải dữ liệu ban đầu. Việc phân tích các dạng bảo mật một cách chi tiết và bình thường hóa dữ liệu, thêm vào đó mô hình đồ thị sẽ giúp dễ hiểu những gì đang xảy ra và cái hướng giải quyết vấn đề đó. CS-Mars được tổ chức rất cao trong việc báo cáo các thông tin có thể được sử dụng phổ biến và hữu ích cho nhiều nguồn
2. Các loại Report
2.1 Sử dụng Reports định sẵn
Reports xác định sẵn thường được gọi là Reports đóng hộp đã được có sẵn trong dữ liệu. CS-MARS chứa khoản 175 Reports loại này. Con số này sẽ tăng lên ứng vói mỗi mã CS-MARS. Cisco cung cấp các Reports bằng cách tạo ra dựa trên ‎ kiến phản hồi của khác hàng, của mỗi người sử dụng.
Bởi vì có đến 175 Reports có sẵn, trong danh sách CS-MARS sẽ sắp xếp thành các nhóm để dễ dàng tìm kiếm và quản l‎ý. Có một vài nhóm đã được mặc định sẵn và có thể tạo nhóm riêng cho người sử dụng. Nhớ‎ rằng khi mà tạo một nhóm riêng có một vài Reports sẽ nằm trong tất cả các nhóm. Một vài nhóm được tạo nên bằng cách xác định Reports có sẵn nào ứng với các yêu cầu.
Một Report có sẵn thì dễ dàng để điều chỉnh để phù hợp với yêu cầu sử dụng
Để xem các Reports có sẵn, Chọn Query/Reports > Report.

Hình: Trang CS-MARS Report

Có thể xem các Report được xác định sẵn theo 2 cách:
vSử dụng tab Report
vLấy reports theo yêu cầu truy vấn
2.1.1 Sử dụng Tab Report

Ở trang Report, sẽ có một list các reports mặc định là 25. Có thể điều chỉnh để xem tất cả các dạng Report bằng cách sử dụng thanh cuộn tại góc trái của trang Report, bằng cách nhấn nút Next, sẽ thấy các dòng Report

Hình: Điều chỉnh Report ở trang CS-MARS Report
2.2.1 Lấy Report theo yêu cầu
Theo các bước trình tự sau:
Bước 1: Chọn dạng report muốn xem

Bước 2: Sủ dụng thanh cuốn ở giữa hoặc cuối trang, chọn 1 trong những nút sau:
- View HTML
- View CSV
Bước 3: Nhấn nút View Report
2.2 Tạo riêng một Reports

CS-MARS cho phép tạo Report bằng các sử dụng công cụ Report Creation . Hầu hết CS-MARS cung cấp cho khách hàng những thông tin nếu họ muốn sử dụng công cụ Query để tạo và lưu Report; tuy nhiên, việc thuận lợi nhất khi làm là xem những kết quả của Report/query trước khi cấu hình Report. Mục đính của mục này là thảo luận phương pháp sử dụng nút Add trên Tab Reports. Việc lưu Report trên trang Query được xem như giống thanh công cụ Report Creation .
Để tạo được Report, theo những bước sau:
Bước 1: Tại trangQuery/Reports, nhấn nút Report.

Bước 2: Nhấn nút Add.

Bước 3: Đưa tên và mô tả dạng Report, nhấn Next.

Bước 4: Đưa thời gian sử dụng Report và hoàn thành như hình.

Hình: Tạo Report

Bước 5: Thêm người nhận cho Report.

Bước 6: Sử dụng công cụQuery nếu muốn nhập nội dung

Bước7: Nhấp Submit để lưu lại.

2.3 Cách nhận Report

Khi mà Report được cấu hình và xem trên CS-MARS, có thể xem Report dưới dạng HTML thông qua trình duyệt hoặc có thể chọn xem dạng CSV.

Hình: CS-MARS Report dạng HTML( View Activity: All Top Destinations)

Nếu chọn xem dạng CSV, một màn hình mới sẽ xuất hiện cung cấp một đường dẫn để lưu về trên máy. Sau khi lưu file về trên máy tính có thể mở bằng ứng dụng Microsoft Excel.

Hình: CS-MARS Report dạng file CSV

**cntt1986** · 19-09-2009, 09:45 AM

Hi anh Tuấn, anh có thể đưa ra một kiểu tấn công cụ thể từ một hacker. Và quy trình CS-MARS thực hiện như thế nào từ việc collect thông tin, gửi syslog, queries, incident, report... được không ạ ???
thanks anh

**phamminhtuan** · 19-09-2009, 03:14 PM

Chào bạn,
Khoảng vài ngày nữa hết phần lí thuyết thì phần đó sẽ có thôi, bạn cứ từ từ xem cho kĩ trước đã.

**phamminhtuan** · 20-09-2009, 02:54 AM

VI. NETFLOW

1. Khái niệm

Netflow là một công nghệ về mạng lưới giám sát lượng truy cập của Cisco. Dựa trên giao thức UDP, các báo cáo sẽ được tìm thấy trên Router hoặc Switch.. Mỗi luồng (flow) là một gói nhỏ các gói tin chứa đựng các thiết lập, chuyển dữ liệu và thông tin Teardown

Các ứng dụng Netflow cung cấp một cách hiệu quả nhiều dịch vụ cho các ứng dụng IP bao gồm hệ thống mạng lưới kế toán, mạng lưới thanh toán, an ninh, hệ thống, khả năng giám sát và thiết lập tấn công DoS. Netflow cung cấp những thông tin giá trị về mạng lưới người sử dụng, các ứng dụng, lưu lượng người truy cập và các gói tin định tuyến. Netflow được Cisco phát minh và đi đầu trong công nghệ lưu lượng dòng chảy IP

Sau khi cấu hình thiết bị IOS hoặc CATOS cho Netflow, các thông tin về dòng chảy và các thông số liên quan sẽ được đóng gói trong một gói UDP và sẽ được gửi tới các điểm thu được xác định. Bởi vì nhiều dòng chảy được đóng gói thành một gói UDP, do đó Netflow trở thành một hệ thống giám sát hiệu quả và tiện ích bởi Syslog và SNMP

2. Netflow trong Csmars

CSMars sử dụng Netflow phiên bản 5 và 7 để xác định mạng lưới sử dụng, phát hiên hành vi người sử dụng, lưu lượng băng thông và các liên quan đến các hành động tấn công, các sự kiện và các báo cáo của thiết bị NIDS và tường lửa. Mặc dù Netflow có vài sự khác biệt thông tin giữa hai phiên bản 5 và 7, nhưng CSMars sử dụng cả hai thông tin trên cả hai phiên bản 5 và 7, vì thế không có sự phân biệt nào trên cả hai phiên bản này

Do sự phát triển cao cùng với cơ sở dữ liệu nhiều nên CSMars không lưu trữ thông tin Netflow trong cơ sở dữ liệu, tuy nhiên chúng ta có thể cấu hình dung lượng nếu cần thiết

Sau khi phát hiện hành vi tấn công, Csmars bắt đầu lưu tự động đầy đủ hồ sơ Netflow cho các hoạt động tấn công, quá trình thông minh của hệ thống này sẽ cung cấp tất cả thông tin mà hệ thống phân tích cần

Bởi vì CSMars theo dõi, giám sát, và lưu trữ mạng lưới liên quan đến hoạt động, nó có khả năng báo cáo sai các hành vi hoạt động từ máy chủ. Ví dụ như chúng ta tưởng tượng rằng CSMars biết hầu hết các kết nối đến máy chủ qua các cổng 137, 138,139 nhưng sau đó đột nhiên nhiều máy trạm sẽ làm 25 cổng kết nối khác qua các cổng mặc định, Csmars sẽ kích hoạt cảnh báo sâu mail, cố để thông báo việc thay đổi của các thiết bị,. Ngoài ra, CSMars sử dụng thông tin Netflow để đua ra các cấp độ hoạt động của hệ thống mạng bằng cách đưa ra một đồ thị kết nối theo thời gian.

Hình: Biểu đồ thể hiện các sự kiện và Netflow

Chúng ta có thể thấy qua biểu đồ, CSMars báo cáo sai hoạt động ở cổng 80 và 445, đây là ví dụ về trạng thái hoạt động của cổng. Đây là một khả năng phát hiển ra sâu và virus trên hệ thống mạng. Thông thường các chương trình độc hại thì không có, chưa tên hoặc không có những thông tin gì về chữ ký của tổ chức, bạn chỉ phát hiện và phòng chống bằng cách sử dụng CSMars. Dữ liệu tường lửa và thông tin Netflow sẽ giúp chúng ta làm được

3. Cấu hình Netflow

vXác minh thông báo thực và quét những nơi mang tính nguy hiểm
Tiếp nhận và phiên dịch log dữ liệu khi bạn nhận được hàng ngàn sự kiện trên một giây là một sự chịu đựng khó chống cự. Quá trình lấy các log sự kiện một cách hợp pháp và sự tương quan bằng thủ công giữa chúng có thể được so sánh để tìm kiếm một haystack cho một needle.
CS-Mars giống như một hệ thống. Sự thông minh được xây dựng vào hệ thống một cách hiệu quả làm giảm dữ liệu incident thông qua xây dựng trong các công cụ xác nhận. Điều này cho phép người phân tích tập trung nỗ lực của họ trên thực tế,những incident chính đáng.

vSự am hiểu về False Positive

Việc giảm thiểu false positives là một chủ đề mà IDS và các nhà sản xuất SIM( security information management) phải nỗ lực liên tục. Hệ thống log của IDS phải được xem xét và phân tích để xác định giá trị của chúng vàcác giải pháp của SIM để báo cáo dữ liệu event hay incident khi chúng nhận được những dữ liệu báo động, ngay cả khi một tường lửa hoặc ACLs từ chối lưu lượng. Dù bằng cách nào, sự điều chỉnh có thể là một khó khăn, tổn hại, và thường xảy ra quá trình không thực hiện được gì nhiều.
CS-Mars có thể phân loại một false positive thành hai loại:
oHệ thống xác định
oKhông được xác nhận
vHệ thống xác định

CS-Mars đã xác định rằng incident là không thành công. Điều này là có thể vì một thiết bị ngăn ngừa incident từ sự kiện hoặc dữ liệu được cung cấp nói với CS-Mars rằng những hệ thống đích không phải là dễ bị nguy hiểm đến các loại hình tấn công.
vKhông được xác nhận

CS-Mars đã xác định rằng incident đã không thành công, nhưng là những dữ liệu thực, tuy nhiên, có một hiểu nhầm về việc đánh giá các dữ liệu mang tính nguy hiểm. Trên trang Summary, điều này sẽ được hiển thị như là "To be confirmed," đó chỉ đơn giản có nghĩa là nhà phân tích có thể xác nhận hoặc từ chối đánh giá của CS-Mars.
Trong CS-MARS,việc điều chỉnh một false positive bao gồm việc tạo một drop rule.Drop rule có 2 loại:
oChặn những sự kiện hoàn tất, xóa bỏ những sự kiện từ cơ sở dữ liệu và ngừng việc log các sự kiện
oĐăng nhập vào cơ sở dữ liệu không chỉ tạo ra incident mà còn lưu giữ những sự kiện vào cơ sở dữ liệu của CSMARS
Có thể tạo một drop rule (hoặc điều chỉnh false positive) dưới Rules > Drop Rules > Add hoặc nhấp vào đường dẫn False Positive ở cột Tune của session bất kỳ. Cả hai phương pháp đều cho kết quả o tab Drop Rule.

Hình: Đường dẫn CS-MARS False Positive
vSự hiểu biết về những phân tích mang tính nguy hiểm

Các thông tin đánh giá mang tính chất nguy hiểm là một bằng chứng quan trọng mà nhà phân tích an ninh sử dụng để xác định xem liệu một cuộc tấn công có thành công hay không. CS-Mars sử dụng những dữ liệu phân tích mang tính nguy hiểm để giúp nó hiểu những rủi ro tồn tại cho các thiết bị trên mạng và để cân nhắc họ chống lại mục tiêu dữ liệu event và session cho các hệ thống cụ thể. Quá trình này cho phép CS-Mars giảm thiểu sự kiện như là một false positive hoặc mở rộng nó như là một incident. Điều quan trọng cần đề cập là những dữ liệu phân tích mang tính nguy hiểm có thể không được xem trong CS-Mars.
CS-MARS có thể thu được thông tin phân tích những tính chất mang tính nguy hiểm từ hai nguồn:
vBuilt-in Nessus utility
vThird-party VA tool
vHiểu biết về Access IP, Reporting IP

Khi xác định một thiết bị báo cáo hoặc sự giảm thiểu thiết bị trong giao diện web, Mars cho phép (và đôi khi yêu cầu) bạn để xác định một số địa chỉ IP. Sự hiểu biết mục đích các địa chỉ khác nhau thì rất quan trọng để xác định một cách hiệu quả các thiết bị mà bạn muốn theo dõi và quản lý. Đó cũng là điều quan trọng để hiểu mối quan hệ của chúng với các thiết lập khác mà bạn có thể nhận ra. Nếu một thiết bị có một giao diện duy nhất và một địa chỉ IP liên kết với các giao diện, access và reporting IP có địa chỉ giống nhau được gán cho giao diện. Mars thu thập thông tin này một cách riêng biệt để hỗ trợ cho những thiết bị có nhiều giao diện, nhiều địa chỉ IP liên kết với một giao diện, hoặc cả hai.

oAccess IP

Mars sử dụng access IP để vừa kết nối với thiết bị dành cho mạng dựa trên session của quản trị viên vừa kết nối với một máy chủ từ xa mà trên đó một có chứa tập tin lưu giữ các cấu hình của thiết bị này. Những giá trị được xác định bằng cách truy cập các loại mà bạn chọn. Hầu hết các thiết bị cũng yêu cầu bạn phải xác định rõ ràng các địa chỉ IP của máy cho phép quản lý chúng.

oReporting IP

Reporting IP là địa chỉ IP nguồn của các văn bản sự kiện, log, thông báo, hoặc traps mà bắt nguồn từ thiết bị. Mars sử dụng các địa chỉ này để nhận được các văn bản kết hợp với đúng thiết bị. Đối với thiết bị dùng ở nhà riêng lẻ, các địa chỉ reporting IP tương tự như access IP;đối với thiết bị dùng ở nhà đôi hoặc nhiều, địa chỉ này phải được liên kết rõ ràng với các syslog, NetFlow, các dịch vụ SNMP đang chạy trên các thiết bị báo cáo. Hầu hết các thiết bị cũng đòi hỏi, cho mỗi loại văn bản, rõ ràng là bạn xác định được địa chỉ IP của máy mà văn bản sẽ được hiển thị. Các máy thường được gọi là mục tiêu đăng nhập vào các máy chủ. Các thiết bị Mars phải được liệt kê trong số các máy như là một phần của các thiết bị đã chuẩn bị.

Vai trò của reporting IP trong MARS khác với accessIP là các reporting IP được xem là những địa chỉ thụ động từ MARS. Mars hiện không yêu cầu tìm kiếm trên thiết bị dùng địa chỉ này. Những hoạt động được thực hiện dùng access IP truy cập và loại access.

Mars chỉ chấp nhận một địa chỉ reporting IP cho mỗi thiết bị. Đối với các thiết bị hỗ trợ hai định dạng văn bản, chẳng hạn như NetFlow và syslog, bạn phải đảm bảo rằng cả hai định dạng văn bản bị buộc vào cùng một địa chỉ IP nguồn (reporting IP). Trong các thiết bị IOS của Cisco, điều phổ biến này không phải là mặc định, do đó bạn phải thay đổi reporting IP syslog hay NetFlow để phù hợp với địa chỉ IP khác. Nếu các loại văn bản không bắt nguồn từ một địa chỉ IP chung, một trong số chúng được xem là bắt nguồn từ một thiêt bị không báo cáo và Mars hiện không phân tích những sự kiện này một cách chính xác.

**phamminhtuan** · 21-09-2009, 02:21 AM

3.1 Cấu hình Netflow trên CSMars

Việc kích hoạt netflow trên CSmars thực sự đơn giản:

Bước 1: Admin > System Setup > Device Configuration and Discover Information > NetFlow Config Info

Bước 2: Nhập cổng của Port dữ liệu NetFlow. Mặc định UDP 2055.

Bước 3: Tiếp theo là bật lên hoặc tắt chế đọ đó bằng enable/disable

Bước 4: Tùy chọn để lưu dữ liệu Netflow.

Bước 5: Lựa chọn để xác định các mạng mà bạn muốn đánh giá.

Bước 6: Nhấn Submit.

Bước 7: Nhấn Active ở góc trái trên CSMars.

Hình: Cấu hình Netflow trên Csmars

3.2 Router

3.2.1 Cấu hình SNMP

Khi bạn đã thêm Router vào cơ sở dữ liệu của database, nếu bạn chọn loại SNMP, Csmars sử dụng SNMP cho 4 mục đích:

vĐọc cấu hình
vĐưa ra được sơ đồ mạng
vBáo cáo
vBáo cáo từ các thiết bị kết nối

Để xác định đầy đủ SNMP, cần cung cấp community dạng rw hoặc ro, kích hoạt các traps, xác định SNMP server, trong trường hợp này là thiết bị Csmars

Ví dụ trong trường hợp này community là marstring và Ip kết nối thiệt bị CSMars là 192.168.0.100

IOS Router (config)# snmp-server community marstring RO <ACL name if required>
IOS Router (config)# snmp-server community marstring RW
IOS Router (config)# snmp-server enable traps
IOS Router (config)# snmp-server host 192.168.0.100 marstring

Chúng ta có thể giới hạn địa chỉ IP được sử dụng bởi SNMP bằng cách kết hợp tên trong danh sách với lệnh snmp-sever community

3.2.2 Cấu hình Netflow trên Router Cisco

Ví dụ như địa chỉ IP cuả thiết bị CSMars 192.168.0.100 và cổng kết nối giữa router và Csmars là fastethernet0/1, lệnh ip flow-export để chắc chắn rằng địa chỉ IP của source của dữ liệu Netflow giống với reporting IP khi cấu hình trên CSMars

IOS Router (config)# ip flow-export version 5IOS Router (config)# ip flow-export destination 192.168.0.100 2055IOS Router (config)# ip flow-export source interface FastEthernet 0/1IOS Router (config)# interface FastEthernet 0/1 IOS Router (config-int)# ip route-cache flow

CSMars chỉ chấp nhận 1 IP reporting trên 1 thiết bị, điều quan trọng là reporting IP Netflow phải giống reporting IP của file log trên router. Syslog và Netflow sử dụng khác reporting IP trên cùng 1 thiết bị

3.2.3 Cấu hình file Log trên Router Cisco:

IOS Router(config)#logging on
IOS Router(config)#logging source-interface FastEthernet 0/1
IOS Router(config)#logging trap
IOS Router(config)#logging 192.168.0.100

Bước 1: Nhập tên thiết bị.

Bước 2: Nhập địa chỉ IP quản lý, hay gọi là access IP.

Bước 3: Nhập IP thiết bị gởi file log và SNMP hay còn gọi reporting IP

Bước 4: Nhấn nút Discover.

Bước 5: Nhấnnút Submit.

Bước 6: Nhấn nút Active.

Hình: Cấu hình thiết bị Router

**onemore** · 21-09-2009, 12:33 PM

Hi bạn,

trong CS-MARS có nói về IP accouting. vậy bạn nói về phần này cho mình hiểu rỏ hơn nha. thank you

**phamminhtuan** · 21-09-2009, 04:09 PM

Chào bạn,

Bạn xem bài viết về AAA để biết accounting là gì.

Giới thiệu tổng quan AAA - Vietnamese Professional

http://vnpro.org/forum/showthread.php?t=7996

Implementing Secure Converged Wide Area Networks

Còn muốn cấu hình nó thì bạn tham khảo link này.

User Guide for Cisco Security MARS Local Controller, Release 5.3.x - Configuring AAA Devices  [Cisco Security Monitoring, Analysis and Response System]

http://www.cisco.com/en/US/docs/security/security_management/cs-mars/5.3/user/guide/local_controller/cfgaaasv.html

**phamminhtuan** · 22-09-2009, 05:34 AM

3.3. Switch

Các switch của Cisco báo cáo các sự kiện cho CSMARS bằng cách sử dụng giao thức khác nhau, nhưng chủ yếu syslog hoặc SNMP.

3.3.1. Cấu hình switch để kích hoạt L2 Discovery

Một thiết bị Layer 2 Discovery là một trong những tính năng quan trọng nhất của CSMARS. Tính năng này cho phép CSMARS xác định nguồn và đích đến con đường của việc tấn công một cách chính xác. Tính năng này sẽ trở thành đặc biệt quan trọng khi việc tấn công sử dụng IP giả được đưa ra trong mạng của bạn.

Switch sử dụng sự kết hợp của các bản forwarding tables và ARP để kết nối với source switching port của bên tấn công. CSMARS có thể sử dụng thông tin này, cùng với các thiết bị định tuyến (Router) và các mạng lưới thông tin mô hình được phát hiện từ lớp 3 như: các thiết bị định tuyến và tường lửa, để xác định chính xác mã nguồn hoặc đích của bên tấn công. CSMARS truy xuất switch bằng cách sử dụng SNMP để quét các bảng forwarding và gửi kết quả thông tin lại cho CS-Mars cho việc báo cáo về mô hình. Kết quả của quá trình này là CSMARS có thể xác định nguồn của sự tấn công trong mạng lưới của bạn ngay cả khi phương pháp IP giả đã được sử dụng.

3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP

Để kích hoạt tính năng Layer 2 Discovery của switch Cisco, bạn phải kích hoạt tính năng SNMP. Trên switch, SNMP được kích hoạt bằng cách sử dụng cùng một bước IOS như là một router.

Cấu hình Switch để kích hoạt Syslog

3.3.3 IOS Switches kích hoạt Syslog
Quá trình cấu hình syslog bằng cách sử dụng IOS của Cisco trên một router thì chính xác giống như các cấu hình syslog trên một switch.

3.3.4. IOS Switches kích hoạt NetFlow

NetFlow trên IOS switches được cấu hình chính xác giống như Netflow trên IOS routers.

3.4. Cấu hình tường lửa
CSMARS cho phép thông tin liên lạc giữa rất nhiều loại khác nhau và thương hiệu sản phẩm của tường lửa. Ngoài các nhãn hiệu của tường lửa Cisco, CSMARS làm việc với tường lửa NetScreen Juniper, Check Point tường lửa, và thiết bị Check Point Nokia tường lửa cũng bằng nhau. CSMARS cũng hoạt động bên trong với các trang web lưu trữ từ thiết bị mạng và NetCache.
Công việc sau đây phải được thực hiện trên các thiết bị của tường lửa Cisco để cho phép truy cập từ thiết bị CSMARS:
vCấu hình Administrative Access SSH. (Telnet access không được khuyến cáo.)
v Cấu hình syslog để được gửi cho CSMARS.

3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco
Việc đầu tiên cần phải làm để cho phép CSMARS truy cập vào thiết bị tường lửa ASA là để cho phép một giao thức mà có thể truy cập vào command-line interface (CLI)của tường lửa.

Telnet là một giao thức truy cập của tường lửa Cisco, nhưng không được khuyến khích bởi vì tên người dùng, mật khẩu và cấu hình tường lửa được hiển thị rõ ràng trong văn bản như thông tin trong mạng. Những tác động này là nếu một hacker có quyền truy cập vào mạng và đang chạy mạng sniffer, hacker có thể nhìn thấy tất cả các thông tin bảo mật quan trọng, bao gồm cả tài liệu đăng nhập vào tường lửa.
telnet 192.168.0.100 255.255.255.255 management
password cisco

**cntt1986** · 05-10-2009, 03:40 PM

bắt đầu thực hành chưa anh ?

**phamminhtuan** · 08-10-2009, 11:45 AM

3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco

Chỉ đơn giản cần phải nói cho SSH địa chỉ IP được phép truy cập và những gì giao diện được phép truy cập thông qua. Nó không nên sử dụng giao diện bên ngoài, vì ngay cả khi SSH được mã hóa, nó sẽ mở bức tường lửa để có thể tấn công mật khẩu.

domain-name internetworkexpert.com
crypto key generate rsa general-keys modulus 512
ssh 192.168.0.100 255.255.255.255 management
password cisco

Tiếp theo bạn cần phải cấu hình tường lửa gởi các văn bản syslog để CS-Mars có thể hiểu những thông báo này và tương quan chúng với các mạng lưới khác và sự kiện an ninh.

Để cấu hình tường lửa Cisco cho đúng để gởi các văn bản syslog, cần phải kích hoạt tính năng đăng nhập và chọn đăng nhập thiết bị mà bạn muốn sử dụng.

logging enable
logging host management 192.168.0.100
logging trap debugging
logging rate-limit <event per second rate desired> 1

3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco

CSMARS sử dụng SNMP trên tường lửa để có được thông tin từ các tường lửa, giúp CSMARS nhận ra một thiết bị có thể bị tấn công.Việc giảm thiểu các lệnh trên tường lửa Cisco là không thể vì SNMP không có sẵn trên các thiết bị Firewall của Cisco.

snmp-server host inside 192.168.0.100 community cisco123
snmp-server community cisco123

3.4.4 Nhận một thiết bị Firewall của Cisco vào CSMARS

Bước 1: Trước tiên điều hướng tới Admin > Security and Monitoring Device > Add panel
Bước 2: Chọn loại thiết bị mà bạn muốn thêm vào cơ sở dữ liệu CSMARS.

Bước 3: Nhập tên thiết bị cho Cisco firewall.

Bước 4: Nhập địa chỉ IP truy cập của quản lý tường lửa(firewall-management).

Bước 5: Nhập địa chỉ IP đó sẽ là nguồn gốc của báo cáo SNMP và syslog.

Bước 6: Chọn SSH như là loại truy cập.

Bước 7: Nhập chuỗi SNMP community. Trong trường hợp này, chúng tôi được sử dụng cisco123.

Bước 8: Chọn Yes để kích hoạt các kiểm tra thiết bị này.

Bước 9: Click vào Khám phá để đảm bảo rằng CSMARS có thể liên hệ với tường lửa Cisco.

Bước 10: Nhấp vào Submit để thêm thiết bị tường lửa vào cơ sở dữ liệu của thiết bị CSMARS

Bước 11: Click vào Activate để kích hoạt thông tin liên lạc giữa tường lửa và thiết bị CSMARS

3.5 Nhận thiết bị Cisco IPS vào CSMARS

Cấu hình thiết bị IPS và thêm chúng vào CS-Mars là rất quan trọng ,giúp bạn thành công trong việc bảo vệ mạng. CSMARS tán thành việc sử dụng các SDEE cho thiết bị IPS, nó sẽ chạy qua giao thức SSL. Khi đăng ký, các thiết bị IPS gửi CSMARS các sự kiện về an ninh trong thời gian thực.
Bước 1: Trước tiên điều hướng tới Admin > Security and Monitoring Device > Add panel
Bước 2: Chọn loại thiết bị bạn muốn thêm vào cơ sở dữ liệu của CS-Mars .
Bước 3: Nhập tên cho thiết bị Cisco IPS.

Bước 4: Nhập địa chỉ IP của quản lý truy cập vào thiết bị Cisco IPS.

Bước 5: Nhập địa chỉ IP và đó sẽ là nguồn của những sự kiện trên SDEE IPS. IP này sẽ có cùng IP với giao diện quản lý cuả thiết bị Cisco IPS.
Bước 6: Các loại hình truy cập mặc định là SSL và có thể không thay đổi.

Bước 7: Nhập tên người dùng và mật khẩu vào thiết bị Cisco IPS.

Bước 8: Chọn Yes để kích hoạt sử dụng nguồn lực giám sát.

Bước 9: Chọn Yes để lấy IP log từ thiết bị.
Bước 10: Để cung cấp cho CS-Mars những thông tin quan trọng về việc tính toán đường dẫn sự tấn công sẽ được sử dụng để giảm thiểu, xác định các mạng đang được theo dõi bởi các cảm biến(sensor).

Bước 11:Nhấp vào Test Connectivity để bảo đảm CSMARS của bạn có thể liên lạc với các thiết bị Cisco IPS.

Bước 12: Nhấp vào Submit để thêm IPS Cisco vào cơ sở dữ liệu của thiết bị CSMARS.
Bước 13: Click vào Activate để kích hoạt thông tin liên lạc.

**phamminhtuan** · 10-10-2009, 02:30 AM

Mô hình và cấu hình lab

I. Mô hình và cấu hình thiết bị

1. Mô hình

2. Cấu hình thiết bị

Bao gồm: RouterGW, IDSsensor, FirewallASA ,SWVLAN.

2.1. Router

Code:

      [FONT=Verdana]hostname RouterGW[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]enable password router[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]interface FastEthernet0/0[/FONT]
  
  [FONT=Verdana] ip address 172.16.1.2 255.255.255.0[/FONT]
  
  [FONT=Verdana] no shut[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]interface FastEthernet0/1[/FONT]
  
  [FONT=Verdana] ip address 10.0.0.2 255.255.255.0[/FONT]
  
  [FONT=Verdana] no shut[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]ip route 0.0.0.0 0.0.0.0 172.16.1.1[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]username admin password 123[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]logging on[/FONT]
  [FONT=Verdana]logging trap notifications[/FONT]
  [FONT=Verdana]logging source-interface FastEthernet0/0[/FONT]
  [FONT=Verdana]logging 192.168.2.43[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]snmp-server community marstring RW[/FONT]
  [FONT=Verdana]snmp-server enable traps snmp[/FONT]
  [FONT=Verdana]snmp-server host 192.168.2.43 marstring[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]ip flow-export destination 192.168.2.43 2055[/FONT]
  [FONT=Verdana]ip flow-export source fastEthernet 0/0[/FONT]
  [FONT=Verdana]ip flow-export version 5[/FONT]
  [FONT=Verdana]ip flow-cache timeout active 5[/FONT]
  [FONT=Verdana]ip flow-cache timeout inactive 15[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]interface fastEthernet 0/0[/FONT]
  [FONT=Verdana] ip route-cache flow[/FONT]
  [FONT=Verdana]![/FONT]
  
  [FONT=Verdana]line vty 0 4[/FONT]
  [FONT=Verdana] password cisco[/FONT]
  [FONT=Verdana] login[/FONT]
  [FONT=Verdana]!  [/FONT]

2.2. ASA

Code:

     [FONT=Verdana]hostname firewallasa[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]interface Ethernet0/0[/FONT]
  [FONT=Verdana] nameif management[/FONT]
  [FONT=Verdana] security-level 100[/FONT]
  [FONT=Verdana] ip address 192.168.2.1 255.255.255.0[/FONT]
  [FONT=Verdana] no shut[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]interface Ethernet0/2[/FONT]
  [FONT=Verdana] nameif outside[/FONT]
  [FONT=Verdana] security-level 0[/FONT]
  [FONT=Verdana] ip address 172.16.1.1 255.255.255.0[/FONT]
  [FONT=Verdana] no shut[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]interface Ethernet0/1[/FONT]
  [FONT=Verdana] nameif userlocal[/FONT]
  [FONT=Verdana] security-level 100[/FONT]
  [FONT=Verdana] ip address 192.168.3.1 255.255.255.0[/FONT]
  [FONT=Verdana] no shut[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]access-list PINGOUT-IN extended permit icmp 10.0.0.0 255.255.255.0 host 192.168.3.15[/FONT]
  [FONT=Verdana]access-list SNMPOUT extended permit udp any any eq snmp[/FONT]
  [FONT=Verdana]access-list SNMPIN extended permit udp 172.16.1.0 255.255.255.0 any eq snmptrap[/FONT]
  [FONT=Verdana]access-group SNMPOUT in interface management[/FONT]
  [FONT=Verdana]access-group PINGOUT-IN in interface outside[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]logging enable[/FONT]
  [FONT=Verdana]logging trap 5[/FONT]
  [FONT=Verdana]logging host management 192.168.2.43[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]static (management,outside) 172.16.1.0 192.168.2.0 netmask 255.255.255.0[/FONT]
  [FONT=Verdana]route outside 0.0.0.0 0.0.0.0 172.16.1.2 1[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]snmp-server community cisco123[/FONT]
  [FONT=Verdana]snmp-server enable traps snmp[/FONT]
  [FONT=Verdana]snmp-server host management 192.168.2.43 community cisco123[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]ssh 192.168.2.43 255.255.255.255 management[/FONT]
  [FONT=Verdana]domain-name vnpro.org[/FONT]
  [FONT=Verdana]crypto key generate rsa general-keys modulus 1024[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]telnet 192.168.2.43 255.255.255.255 management[/FONT]
  [FONT=Verdana]password ciscoasa[/FONT]
  [FONT=Verdana]![/FONT]

2.3. Switch

Code:

      [FONT=Verdana]hostname SWVLAN[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]vlan 101[/FONT]
  [FONT=Verdana] name vlan101[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]vlan 102[/FONT]
  [FONT=Verdana] name vlan102[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]interface FastEthernet0/1[/FONT]
  [FONT=Verdana] switchport host[/FONT]
  [FONT=Verdana] switchport access vlan 101[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]interface FastEthernet0/2[/FONT]
  [FONT=Verdana] switchport host[/FONT]
  [FONT=Verdana] switchport access vlan 102[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]interface fastEthernet 0/24[/FONT]
  [FONT=Verdana] switchport mode trunk [/FONT]
  [FONT=Verdana] switchport trunk allowed vlan 101,102[/FONT]
  [FONT=Verdana] switchport trunk encapsulation dot1q[/FONT]

2.4. IDSsensor

Code:

     [FONT=Verdana]service host[/FONT]
  [FONT=Verdana] network-settings[/FONT]
  [FONT=Verdana]  host-ip 192.168.2.10/24,192.168.2.2[/FONT]
  [FONT=Verdana]   host-name IDSSensor[/FONT]
  [FONT=Verdana]    access-list 192.168.2.0/24[/FONT]
  [FONT=Verdana]![/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]service interface[/FONT]
  [FONT=Verdana]  physical-interfaces fastEthernet0/0[/FONT]
  [FONT=Verdana]   subinterface-type inline-vlan-pair[/FONT]
  [FONT=Verdana]    subinterface 1[/FONT]
  [FONT=Verdana]     vlan1 101[/FONT]
  [FONT=Verdana]     vlan2 102[/FONT]
  [FONT=Verdana]     exit[/FONT]
  [FONT=Verdana]    exit[/FONT]
  [FONT=Verdana]   admin-state enabled[/FONT]
  [FONT=Verdana]   exit[/FONT]
  [FONT=Verdana]  exit[/FONT]
  [FONT=Verdana]Apply Changes:?[yes]: yes[/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana]Assign the subinterface to the Analysis Engine:[/FONT]
  [FONT=Verdana] [/FONT]
  [FONT=Verdana] service analysis-engine[/FONT]
  [FONT=Verdana]  virtual-sensor vs0[/FONT]
  [FONT=Verdana]   physical-interface fastEthernet0/0 subinterface-number 1[/FONT]
  [FONT=Verdana]   exit[/FONT]
  [FONT=Verdana]  exit[/FONT]
  [FONT=Verdana]Apply Changes:?[yes]: yes[/FONT]

Announcement

Bài viết về CSMARS

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment