Tweet
bạn có thể giải thích cũng như ý nghĩa của mô hình trên qua việc sử dụng CS-Mars dc không???
-
-
2.5 Cấu hình IDS VLAN pair:
Cấu hình Vlan Pair trên IDSSensor theo các bước sau:
Bước 2: Tại phần xác nhận người sử dụng , đăng nhập bằng account sau
Username: cisco
Password: vnpro@vnpro
Bước 3: Nhấp chuột tại tab Configuration
Bước 4: Chọn thư mục Virtual Sensor, Edit để chỉnh sửa và bật Vlan Pair ở dạng enable như hình vẽ
Bước 5: Chọn OK và Apply để xác nhận thông tin vừa chọn
3. Xem file Log trên IDSSensor
Chúng ta có 3 PC thực hiên Ping vào địa chỉ 192.168.3.15 cùng 1 lúc:
- IP: 10.0.0.10
- IP: 10.0.0.11
- IP: 10.0.0.12
1 PC dùng chương trình Nmap để quét địa chỉ 192.168.3.15
- IP: 10.0.0.13
Hình: File Log trên IDSSensor
Ở Tab Events ta nhận được file Log sẽ báo cáo về các dạng tấn công vào đích ở đây la ICMP và TCP SYN port. Chọn file bất kỳ và nhấn tab Details sẽ cho ta chi tiết về gói tin được gởi tới và trả về:
Hình: Chi tiết về gói tin ICMP
Hình: Chi tiết về TCP SYN Port
II. Nhận biết thiết bị trên CSMars và tình trạng hoạt động của hệ thống mạng
1. Nhận biết thiết bị
Sau khi hoàn thành các bước trên, ta sẽ cấu hình nhận thiết bị bên CSMars
Bước 1: Mở trình duyệt Internet Explorer and gõ vào địa chỉ: https://192.168.1.10
Bước 2: Đăng nhập bằng account
Username: pnadmin
Password: pnadmin
Bước 3: Chọn ADMIN > Security and Monitor Devices > Add
Bước 4: Chọn thiết bị cần để cấu hình
1.1 Nhận kết nối giữa RouterGW với CSMars bằng SNMP
Chú ý:
SNMP RO Community: marstring
Hình: Cấu hình nhận Router trên CSMars
1.2. Nhận kết nối firewallASA với CSMars bằng TELNET
Chú ý:
Password: cisco
Enable password: ciscoasa
SNMP ro community: cisco123
Hình: Cấu hình nhận ASA trên CSMars
1.3. Kết nối IDSsensor
Chú ý:
Password: vnpro@vnpro
Hình: Cấu hình nhận IDS trên CSMars
1.4. Cấu hình Netflow trên CSMars
Mở chế độ Enable Netflow in CSMars: Admin > System Setup > NetFlow Config Info
Hình: Cấu hình nhận Netflow trên CSMarsLast edited by phamminhtuan; 11-10-2009, 04:01 AM.Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blogComment
-
2. Tình trạng hoạt động của hệ thống mạng CSMars
2.1. Summary
Sau khi hoàn thành cấu hình CSMars sẽ cho ta thấy mô hình kết nối, sơ đồ tấn công, các rules, các events, netflow…
Chúng ta sẽ thấy trong tab Summary page và Network Status:
Hình: Sơ đồ về hệ thống mạng
Hình: Sơ đồ về hệ thống mạng bị tấn công
Hình: Số liệu các từng loại Incident
Hình: Sơ đồ các Rule sử dụng
Hình: Sơ đồ IP của tấn công và mục tiêu
Hình: Sơ đồ Events, Session, Netflow
Hình: Sơ đồ False Positive
2.2. Incident
Chọn tab Incident, Ta thấy được các loại tấn công ở đây: ICMP và Nmap OS, IP Source, IP Destination, và thiết bị nào gửi về
Ngoài ra còn thấy được Rules ứng với mỗi Incident
Hình: Incident và Rule tưong ứng
2.3. Event
Hình trên mô tả một loạt các sự kiện xảy ra trên hệ thống mạng, mà IDSSensor gửi về, loại sự kiện là TCP SYN Port Sweep, ICMP Echo Reqest
Path information: Mô hình miêu tả đường tấn công của hacker:
2.4. Queries
Queries dạng lọc các Events
Hình: Queries dạng Rule Rank
2.5. Rules and Reports
Rule được người dùng sử dụng với Rule Name: rule Denied Ping được mô tả để phát hiện gói tin dạng ICMP
Rules rank
User Rules:
Reports đựoc xem dạng HTML
Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blogComment
-
Anh nói kiểu tấn công của Hacker trong mô hình trên được không, và tấn công như thế nào, sử dụng protocol nào???.
thanks anhComment
-
Chào bạn,
- Ở PC 10.0.0.10 dùng NMAP scan IP 192.168.3.15.
- Có dùng thêm ping (ICMP echo request) từ 10.0.0.11, 10.0.0.10 hoặc 10.0.0.40 tới IP 192.168.3.15
Nói chung bạn chỉ cần dùng NMAP quét port cho việc test là được.Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blogComment
-
bạn có thể hướng dẫn cách giả lập Mars dc không vì mình ko có thiết bị làm.
thank ban nhiềuComment
-
Giả lập CSMARS
Chào bạn,
Bạn xem file này, còn image thì bạn liên hệ bạn Quốc Lễ về cài.
nguyenquocle@wimaxpro.orgPhạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blogComment
-
sẵn ban cho mình hỏi mình nghe nói giả lập Mars cần máy cấu hình mạnh mới dc.
Máy mình core 2 dual 2.4 Ram 4G không bik chạy nỗi ko???
thank bạnComment
-
Chào bạn,
Bạn xem hướng dẫn nó có nói luôn phần đó, ví dụ nó nói RAM chỉ cần 512 là đủ, HDD yêu cầu 120GB.Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blogComment
-
cho mình hỏi trong phần show cấu hình asa của bạn ko có config pass và SNMP
Nhưng trong mục config giao tiếp với Mars bạn ghi là
Password: cisco
Enable password: ciscoasa
SNMP ro community: cisco123
Là sao vậy bạn???
Và cho mình hỏi là sao không config netflow trên các thiết bị mà chỉ config trên Mars, config vậy dùng để làm gì???
thank bạn nhiều .
Last edited by onemore; 27-10-2009, 11:10 PM.Comment
-
Bên trang 3 phần config asa có password của Asa cần để giao tiếp với CSMARS.
Comment
-
Sr bạn, vì mình sơ ý ko kéo thanh xem hết config.
Cho mình hỏi thêm là chổ config Switch, có 2 interface vlan. Nhưng tại sao không đặt IP cho mỗi interface vLAN. Trường hơp này nếu như đặt cùng lớp mạng thì ko dc. Giai thích dùm mình nha,
thanks
Comment
-
Trường hợp này không cấu hình ip cho vlan ban ah`, chỉ cần trunk qua thiết bị IDS là ok thui, lúc đó ping bình thườngOriginally posted by onemore View PostComment
-
Chào, cho mình hỏi cách update firmware của CS-MARS với. Mình chỉ biết là down IOS về để lên FTP server rồi update nhưng không biết down ở đâu và khi down thì cần account gì của Cisco không? Bản hiện tại của mình là 3.4. ThanksComment
-
very nice post!!! i have to learning for lot of information for this sites...Sharing for wonderful information.Thanks for sharing this valuable information to our vision. You have posted a trust worthy blog keep sharing
AxaEngineersComment
Comment