• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Các đặc tính điều khiển truy nhập theo ngữ cảnh (CBACP)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Các đặc tính điều khiển truy nhập theo ngữ cảnh (CBACP)

    Các đặc tính điều khiển truy nhập theo ngữ cảnh (CBACP)


    ( tác giả : Lê Trường Sơn )



    Đặc tính CBAC (Context Based Access Control) cung các điều khiển truy nhập cho từng ứng dụng trên biên giới mạng của hệ thống. CBAC giúp router quản lý được trạng thái cố định, dựa trên thông tin của các packet được xem xét, và ra quyết định traffic nào nên được cho phép hay từ chối. CBAC là trọng điểm của các đặc tính trong Cisco IOS firewall, có các đặc điểm sau:
    - Nhận dạng và ngăn chặn các tấn công theo kiểu từ chối dịch vụ (DoS)
    - Tạo ra được các cảnh báo thời gian thực và các dấu vết kiểm tra
    - Cung cấp việc điều khiển truy nhập cho từng ứng dụng
    - Cung cấp việc chặn trên các gói TCP và UDP thông thường

    CBAC có thể được dùng cho intranet, extranet và Internet bởi khả năng chắt lọc các gói TCP và UDP dựa trên các thông tin trong các giao thức ứng dụng. Không giống như access-list chỉ giới hạn việc xem xét packet ở mức độ cơ bản ở tầng network, CBAC có khả năng xem xét không những ở tầng network và transport mà còn các thông tin giao thức của ở tầng ứng dụng để biết về các trạng thái của các kết nối TCP và UDP. Việc giám sát mở rộng này cho phép hỗ trợ các giao thức liên quan đến các kênh tạo ra trên các kênh điều khiển của ứng dụng ví dụ như FTP, Remote Procedure Call và SQL.
    Khi NAT được áp dụng cho các traffic đi qua một router mà có sử dụng CBAC, firewall sẽ thực hiện các giám sát theo kiểu CBAC và che giấu các thông tin bên trong. Quá trình này cung cấp việc bảo vệ thêm cho các giao thức mà CBAC không hỗ trợ.
    CBAC cũng hỗ trợ việc chặn JAVA, lọc các trafic HTTP. Java Applet có thể bị chặn dựa trên địa chỉ IP của server. CBAC cũng có khả năng chặn quyền truy nhập các Java applet không được nhúng vào file nén hoặc các file lưu trữ hoặc có thể chỉ cho phép người dùng download các applet này từ các nguồn đáng tin cậy.

    Nhận dạng vào bảo vệ hệ thống với các tấn công từ chối dịch vụ:

    CBAC kiểm tra traffic đi qua firewall, khám pháp và quản lý các thông tin trạng thái cho các kết nối TCP và UDP. Thông tin trạng thái này được dùng để tạo ra những trạng thái mở tạm thời trong các access-list của firewall cho phép traffic trả về và các kết nối dữ liệu có thể đi được.
    Việc giám sát các packet tại tầng ứng dụng và quản lý các thông tin session TCP và UDP cung cấp CBAC khả năng nhận dạng và ngăn chặn một số tấn công trong mạng, chẳng hạn như SYN flooding. Các thông điệp SYN được gửi đến các server từ client đóng vai trò là bước đầu tiên trong 3 bước bắt tay thiết lập kết nối TCP.


    Trạng thái flood gói SYN xảy ra khi có hàng trăm hoặc hàng ngàn thông điệp SYN của TCP được gửi đến server nhưng không bao giờ hoàn tất các kết nối này. Kết quả là số lượng lớn các kết nối chưa hoàn tất (half-open session) có thể làm cho server bị quá tải, và sẽ từ chối các yêu cầu hợp lệ. Đây là một dạng của kiểu tấn công từ chối dịch vụ.
    CBAC giúp bảo vệ hệ thống từ các tấn công từ chối dịch vụ theo một số cách khác nhau. CBAC xem xét các số sequence của các packet trong các kết nối TCP để xem các số sequence này có nằm trong phạm vi tương ứng hay không. CBAC cũng có khả năng loại bỏ các kết nối không hoàn tất (half-open connection), nhận dạng số lượng kết nối tăng đột ngột vào hệ thống và tạo ra các cảnh báo cho người quản trị
    Trạng thái flood gói SYN xảy ra khi có hàng trăm hoặc hàng ngàn thông điệp SYN của TCP được gửi đến server nhưng không bao giờ hoàn tất các kết nối này. Kết quả là số lượng lớn các kết nối chưa hoàn tất (half-open session) có thể làm cho server bị quá tải, và sẽ từ chối các yêu cầu hợp lệ. Đây là một dạng của kiểu tấn công từ chối dịch vụ.
    CBAC giúp bảo vệ hệ thống từ các tấn công từ chối dịch vụ theo một số cách khác nhau. CBAC xem xét các số sequence của các packet trong các kết nối TCP để xem các số sequence này có nằm trong phạm vi tương ứng hay không. CBAC cũng có khả năng loại bỏ các kết nối không hoàn tất (half-open connection), nhận dạng số lượng kết nối tăng đột ngột vào hệ thống và tạo ra các cảnh báo cho người quản trị.

    Tạo ra được các cảnh báo thời gian thực và các dấu vết kiểm tra:

    CBAC có khả năng tạo ra được các cảnh báo thời gian thực và các dấu vết kiểm tra. Các đặc điểm lưu các dấu vết kiểm tra cao cấp sử dụng syslog theo dõi tất cả các thông tin trao đổi cùng với thời gian tương ứng, địa chỉ máy nguồn, máy đích, port sử dụng và tổng số lượng byte dữ liệu truyền đi cho các báo cáo dựa trên các session. Các cảnh báo thời gian thực gửi các thông điệp lỗi syslog đến các thiết bị quản lý trung tâm khi nhận dạng các thao tác có dấu hiệu nghi ngờ. Sử dụng các luật kiểm tra CBAC, bạn có thể cấu hình các cảnh báo và lưu các dấu vết kiểm tra trên cơ sở từng ứng dụng. Nếu bạn muốn tạo các thông tin cho việc lưu các dấu vết kiểm soát thông tin cho traffic HTTP, bạn có thể đặc tả các luật liên quan đến việc giám sát traffic HTTP.

    CBAC thông thường sẵn sàng chỉ cho traffic của IP. Chỉ có các packet của TCP và UDP được giám sát. Bắt đầu từ phiên bản 12.2(15)T, CBAC hỗ trợ giám sát các loại thông điệp phổ biến nhất của giao thức ICMP. Bảng sau minh họa các loại ICMP hỗ trợ bởi CBAC.


    Những traffic nào không thể lọc được bằng CBAC thì nên dùng extended IP ACL để lọc.
    Chú ý:
    CBAC không thể bảo vệ hệ thống từ những tấn công xuất phát nội bộ từ mạng bên trong. CBAC chỉ có thể nhận dạng và bảo vệ hệ thống từ những tấn công đi qua thiết bị Cisco IOS Firewall.

    Bật cơ chế logging và kiểm tra các dấu vết nhằm cung cấp các thông tin ghi nhận việc truy nhập vào hệ thống thông qua firewall, bao gồm các việc thử truy nhập vào hệ thống không xác thực. Để cấu hình các chức năng này, dùng câu lệnh logging và ip inspect audit-trail trong mode configuration. Ví dụ:

    Router1#configure terminal
    Router1(config)#service timestamps log datetime
    Router1(config)#logging 192.168.20.1
    Router1(config)#logging facility 5
    Router1(config)#ip inspect audit-trail
    Anh không là hacker giỏi nên anh không thể hack được trái tim em

  • #2
    Cách hoạt động của cơ chế CBAC:

    Một luật kiểm soát được tạo ra nhằm đặc tả giao thức nào bạn muốn giám sát. Khi đó, bạn có thể dùng luật này cho những giao tiếp cổng trên router và đặc tả hướng cho traffic cần được xem xét (in hoặc out). Chỉ những giao thức được đặc tả mới được xem xét bởi CBAC. Nếu packet bị từ chối bởi một ACL, packet này sẽ bị loại bỏ trước khi bị CBAC giám sát.

    CBAC tạo ra những trạng thái mở tạm thời trong ACL ở các cổng trên router có sử dụng Cisco IOS firewall. Những trạng thái mở này được tạo ra khi những traffic đi ra từ hệ thống bên trong hệ thống mạng của bạn thông qua Cisco IOS firewall. Những trạng thái mở này vẫn cho phép traffic trên đường về mà bình thường sẽ bị chận. Điều này chỉ xảy ra nếu các traffic đi về là một phần của các session dữ liệu có nguồn gốc xuất phát từ bên trong hệ thống mạng và kích hoạt CBAC khi đi ra khỏi 1 giao tiếp cổng nào đó. Ví dụ :



    Trong ví dụ trên, ACL ở hướng inbound tại cổng Fa0/1 được cấu hình chặn các traffic telnet, và không sử dụng outbound ACL tại cấu hình trên cổng Fa0/0. Khi yêu cầu kết nối Telnet từ Client đi qua Cisco IOS Firewall, CBAC tạo ra những trạng thái mở tạm thời cho inbound ACL tại cổng Fa0/1 nhằm cho phép traffic Telnet trở về cho Client.

    CBAC giám sát và xem xét chỉ những kênh điều khiển trong các kết nối (không phải kênh dữ liệu). Ví dụ trong các session FTP bao gồm cả kênh điều khiển và kênh dữ liệu, tuy nhiên chỉ có kênh điều khiển bị xem xét.

    CBAC giám sát những câu lệnh đặc trưng cho ứng dụng trong kênh điều khiển, nhận dạng và ngăn chặn những tấn công nhất định trong tầng ứng dụng.

    Bất cứ khi nào một packet bị xem xét , một bảng trạng thái được cập nhật chứa thông tin về trạng thái của kết nối của packet. Traffic được cho phép đi trở về thông qua Cisco IOS Firewall là những packet được cấp quyền trong bảng trạng thái.

    Ví dụ sau minh họa cho quá trình xem xét session passive FTP"


    1. FTP client gửi ra ngoài một gói đồng bộ TCP (SYN) trên kênh điều khiển:
    Client ----SYN----- --> Server

    2. Firewall làm cho hợp lệ trong quy luật của mình nhằm cho phép kết nối và tạo ra trạng thái mở trong ACL:
    Client <-- ----SYN ACK ----Server

    3. Quá trình bắt tay thiết lập TCP thành công:
    Client ----- ACK ----- --> Server

    4. Khi câu lệnh ls được sử dụng, FTP client gửi câu lệnh PASV và LIST đến server
    Client ----- PASV ----- --> Server
    Server <-- ------ Address/port info ----- Server
    Khi thấy bộ address / port trong reply cho câu lệnh PASV, firewall tạo ra trước một session và một trạng thái mở trong ACL của mình. Trạng thái mở này chỉ từ client đến server bởi vì client sẽ cố gắng kết nối đến server để tạo ra kênh dữ liệu như đặc tả trong Passive FTP.

    5. FTP client gửi thông điệp SYN cho kết nối dữ liệu này:
    Client ----- SYN DAT ----- --> server

    6. Khi nhìn thấy gói đồng bộ SYN, firewall tạo ra những trạng thái mở cho phép thông điệp SYN ACK đáp ứng từ server:
    Client --> -----SYN ACK ------ Server

    Tạo ra những trạng thái mở có thể mất từ 5 đến 10 giây. Ít nhất 3 gói được trao đổi lẫn nhau giữa client và server khi người sử dụng dùng câu lệnh ls:
    - PASV
    - Đáp ứng đến PASV với thông tin địa chỉ /port
    - Thông điệp SYN với địa chỉ/port mới.

    Các session UDP
    Không giống với các sesion TCP, các session UDP không thiết lập kết nối trước khi truyền dữ liệu. Đặc tính này của các session UDP làm cho việc nhận dạng các packet cùng session trở nên khó hơn. Trong những trường hợp này, CBAC sử dụng các địa chỉ IP nguồn và đích và port ứng dụng và packet có được nhận dạng hay không ngay khi một packet UDP tương tự để xác định packet có cùng một session cụ thể nào không. "Ngay khi" có nghĩa là trong khoảng thời gian UDP idle được cấu hình trước.

    Các dòng trong ACL
    Cisco IOS phiên bản 12.3(4)T trở đi cung cấp một tính năng mới gọi là bỏ qua việc kiểm tra đối với ACL (ACL bypassing). Trước khi có tính năng này, một packet có thể bị kiểm tra qua 3 ACL: một dành cho input ACL, một dành cho output ACL, và một cho session kiểm soát. Khi tính năng bỏ qua việc kiểm tra đối với ACL được sử dụng, nó bỏ qua nhu cầu cần thiết cho các ACL input và output động. Bởi vì mỗi lần CBAC tạo ra một ACL động cho một session nào đó, điều này có nghĩa rằng những packet co trùng đúng với ACL thuộc về một phần của các session có sẵn, do đó được cho phép. Tính năng bỏ qua việc kiểm tra đối với ACL mặc định được thực hiện.
    Các ACL động được tạo ra tạm thời không được lưu vào nvram.
    Anh không là hacker giỏi nên anh không thể hack được trái tim em

    Comment


    • #3
      Xử lý các session không hoàn tất (half-open)
      Một session không hoàn tất là session được mở chỉ theo một hướng. Đối với traffic TCP, điều này có nghĩa là session không hoàn tất quá trình bắt tay 3 bước. Đối với traffic UDP, điều này có nghĩa là traffic trả về không nhận dạng.

      CBAC có thể đánh giá tỷ lệ và số lượng những session không hoàn tất vài lần một phút. Nếu các giá trị thu thập được lớn hơn ngưỡng giá trị cho phép, firewall sẽ tự động xoá các session này, Quá trình xóa này có thể tiếp tục cho đến khi giá trị này trở lại giá trị thấp hơn giá trị ngưỡng được đặt ra.
      Bạn có thể cài đặt giá trị ngưỡng cho số lượng và tỷ lệ các session không hoàn tất bằng cách dùng các câu lệnh max-incomplete high, max-incomplete low, one-minute high, và one-minute low.

      Các hạn chế của CBAC- Nếu bạn cấu hình lại ACL của mình khi bạn cấu hình CBAC, nên biết rằng nếu ACL của bạn khóa traffic TFTP vào một cổng, bạn sẽ không thể thực hiện netboot qua cổng này.
      - CBAC hoạt động cho các gói IP và một số lượng nhỏ các gói trong giao thức ICMP. Chỉ có TCP, UDP và các packet ICMP phổ biến nhất được giám sát. Các traffc IP khác, như là các quảng bá giao thức tìm đường không thể bị xem xét bằng CBAC mà thay vào đó nên bị lọc bằng extended ACL.
      - Việc xem xét H.323v2 và giao thức Real Time Streaming Protocol (RTSP) chỉ hỗ trợ cho các ứng dụng multimedia client/server: Cisco IP/TV, RealNetworks RealAudio G2 Player, và Apple QuickTime 4.

      Các giao thức hỗ trợ:
      Bạn có thể cấu hình CBAC để xem xét tất cả các session TCP và UDP. Bạn cũng có thể cấu hình CBAC xem xét chi tiết các giao thức ở tầng ứng dụng như sau:
      - Các session TCP, không cần quan tâm giao thức ở tầng ứng dụng là gì
      - Các session UDP, không cần quan tâm giao thức ở tầng ứng dụng là gì
      - FTP
      - SMTP
      - SQL*NET
      - TFTP
      - Các câu lệnh trong UNIX R (rlogin, rexec, rsh)
      - RPC (Sun RPC, không phải là DCE RPC hoặc Microsoft RPC)
      - HTTP (Chặn Java)
      - Microsoft NetShow
      - RealAudio
      - StreamWorks
      - VDOLive
      - CU-SeeMe
      - H.323
      - RTSP

      RTSP
      RTSP là giao thức tầng ứng dụng dùng để điều khiển việc phân phối dữ liệu có thuộc tính thời gian thật như là audio và video. Theo như định nghĩa trong RFC 2326, RTSP có thể hoạt động dùng UDP hoặc TCP. Hiện tại, CBAC chỉ hỗ trợ cho RTSP trên nền TCP, mà được hiện thực bởi nhiều nhà cung cấp sản phẩm bao gồm : Cisco IP/TV, RealAudio G2 Player, Apple QuickTime 4 software, và RealNetworks.

      RTSP có thể dùng nhiều cơ chế transport dữ liệu khác nhau, các loại sau được CBAC hỗ trợ:
      - RealNetworks Real Data Transport (RDT): RDT là giao thức riêng được phát triền bởi RealNetwork nhằm truyền tải dữ liệu, sử dụng RTSP cho việc điều khiển liên lạc và RDT cho các kết nối dữ liệu và việc truyền lại những gói bị mất.
      - Interleaved (dùng tunnel mode): RTSP dùng kênh điều khiển để thiết lập tunnel cho traffic RTP hoặc RDT.
      - Synchronized Multimedia Integration Language (SMIL): SMIL là một ngôn ngữ tương tự như HTML cho phép việc tạo ra các ứng dụng multimedia có thể tương tác được chứa các thành phần như nhạc, voice, hình ảnh, text, video và đồ họa.
      - Real-Time Transport Protocol (RTP): RTP là giao thức tầng transport cho RTSP. RTP dùng các packet UDP để truyền các dữ liệu thời gian thực. Nó có thể được dùng kết hợp với giao thức Real-time Transport Control Protocol (RTCP) để lấy các đáp ứng về chất lượng truyền và thông tin về các bên tham gia vào session.

      Khi RTSP dùng TCP port 554 hoặc 8554 để mở kết nối đến một server multimedia. Port dữ liệu giữa client và server được thương lượng giữa client và server trên UDP port giữa 1024 và 65536. RTP và RTCP port làm việc chung với nhau, với RTP dùng một số port chẵn và RTCP dùng giá trị port liên tiếp nhau.
      CBAC dùng client port và các thông tin kết nối để tạo ra các dòng ACL động. Khi các kết nối kết thúc, CBAC tự động loại bỏ các dòng ACL động này

      H.323
      CBAC hỗ trợ xem xét H.323:
      - H.323v1 : Khi một kết nối TCP được tạo ra giữa client và server (H.225), một kênh riêng biệt cho việc điều khiển media (H.245) được mở ra thông qua các kênh multimedia để đánh giá và cho các hoạt động thương lượng có trong dịch vụ video.
      - H.323v2 cung cấp thêm các tùy chọn, bao gồm "fast start". Lựa chọn này giúp tối thiểu hoá thời gian trễ giữa thời gian người sử dụng khởi tạo một kết nối và thời gian người sử dụng lấy được dữ liệu. Phiên bản này tương thích ngược với việc giám sát version 1. Client mở một kết nối đếm server dùng port 1720. Kênh dữ liệu giữa client và server được tự động thương lượng dùng các UDP port giữa 1024 và 65536
      CBAC dùng các port client và các thông tin kết nối để tạo ra các dòng động trong ACL. Khi các kết nối kết thúc, CBAC tự động loại bỏ các dòng ACL động này

      Cấu hình CBAC:

      Các bước sau minh họa việc cấu hình CBAC:
      Bước 1: lựa chọn cổng
      Bước 2: cấu hình IP ACL tại cổng
      Bước 3: Cấu hình các giá trị time-out và các giá trị ngưỡng
      Bước 4: Định nghĩa các luật dùng trong xem xét
      Bước 5: Áp dụng các luật này vào 1 cổng
      Bước 6: cấu hình logging, ...

      Lựa chọn cổng:

      Bước này là bước lên kế hoạch cho các cấu hình CBAC của bạn. Đầu tiên bạn phải xác định trên cổng nào (internal hay external) bạn muốn cấu hình CBAC. Cấu hình CBAC trên cả 2 hướng khi các hệ thống ở cả 2 phía cần sự bảo vệ và cho các bảo vệ với các tấn công từ chối dịch vụ.

      Cấu hình IP ACL trên cổng
      All ACLs that evaluate traffic leaving the protected network should permit traffic that will be inspected by CBAC. If Telnet will be inspected by CBAC, for example, Telnet traffic should be permitted on all ACLs that apply to traffic leaving the network.
      Việc cấu hình ACL đúng rất quan trọng cho CBAC làm việc chính xác. Dùng 2 luật đánh giá tổng quát này khi bạn muốn đánh giá các IP ACL của mình trên Cisco IOS firewall.
      - Traffic được CBAC cho phép rời khỏi hệ thống mạng thông qua Cisco IOS firewall
      - Dùng Extended ACL nhằm từ chối các traffic đi vào hệ thống mạng của bạn thông qua Cisco IOS firewall.

      Cấu hình các giá trị time-out và các giá trị ngưỡng

      Các giá trị timeout và các giá trị ngưỡng giúp CBAC xác định thời gian quản lý các thông tin trạng thái cho 1 session và giúp loại bỏ những sesssion không hoàn tất kết nối của mình, các giá trị có thể có:

      Anh không là hacker giỏi nên anh không thể hack được trái tim em

      Comment


      • #4
        Ánh xạ từ Port đến ứng dụng (PAM – Port to Application Mapping):

        Ánh xạ từ Port đến ứng dụng là một đặc tính của Cisco IOS Firewall nhằm cho phép việc ánh xạ các port UDP và TCP đến các ứng dụng mạng. Tính năng này rất hữu ích trong những môi trường chạy dịch vụ dùng các port khác với các port phổ biến rộng rãi. Một ví dụ của việc này là dùng port 8080 khác với port phổ biến là 80 cho các dịch vụ HTTP chạy trên các proxy server. Bạn có thể cho phép việc ánh xạ này cho một host duy nhất, một subnet, hay toàn bộ hệ thống mạng.
        PAM thiết lập một bảng chứa thông tin ánh xạ từ port đến ứng dụng. Trong suốt quá trình khi firewall bắt đều, các thông tin ánh xạ được khai báo trong hệ thống sẽ xây dựng bảng PAM. CBAC dùng thông tin trong bảng để xem xét traffic trên những phạm vi port không phổ biến/ không chuẩn.

        PAM có 3 cơ chế ánh xạ :- Những ánh xạ port ở cấp độ hệ thống (System-defined port mapping): những ánh xạ này là tất cả những dịch vụ sử dụng cơ chế ánh xạ các port phổ biến hoặc đăng ký trước. Thông tin ánh xạ này không thể bị xóa hay thay đổi. Ví dụ, các dịch vụ SMTP có thể không bị thay đổi được thành port dùng trong H.323 1720 hoặc ngược lại.
        - Những ánh xạ port ở cấp độ người sử dụng: với mục đích yêu cầu CBAC xem xét những ứng dụng hay dịch vụ mạng dùng các port không chuẩn. Một dịch vụ hay ứng dụng có thể ánh xạ tới nhiều port khác nhau. Ví dụ, nếu Telnet đang chạy trên port 5000 và 5001 khác với port mặc định là 23, bạn có thể dùng PAM để ánh xạ port 5000 và 5001 đến các dịch vụ Telnets.
        - Những ánh xạ port đặc trưng cho thiết bị đầu cuối: ánh xạ port có thể được ánh xạ cho những host và các subnet sử dụng ánh xạ đặc trưng cho host. Ví dụ, những thiết bị trên subnet 192.168.10.0/24 có thể chạy dịch vụ Telnet trên port 5000, trong khi các subnet khác tiếp tục dùng port mặc định là 23.

        Các bước cấu hình PAM:Để cấu hình PAM, bạn cần cấu hình trước một access-list standard. Câu lệnh ip port-map, cho phép bạn liên kết một port với một ứng dụng nào đó. Xem xét ví dụ sau:

        Router#configure terminal
        Router(config)#access-list 1 permit 192.168.10.1
        Router(config)#ip port-map telnet port 5000 list 1


        Ví dụ này ánh xạ dịch vụ Telnet cho host 192.168.10.1 đến port 5000

        Định nghĩa luật xem xét :
        Các luật dùng trong xem xét định nghĩa IP traffic được giám sát bởi CBAC. Câu lệnh này cho phép bạn định nghĩa một số luật dùng trong xem xét:

        ip inspect name inspection-name protocol [alert {on | off}]
        [audit-trail {on | off}] [timeout seconds]
        no ip inspect name [inspection-name protocol]





        Thông thường, một luật xem xét được định nghĩa cho mỗi cổng giao tiếp. Tuy nhiên, có lúc bạn cũng có thể cấu hình cùng một luật cho cả 2 hướng trên cùng một cổng trên firewall. Trong những tình huống này, bạn nên cấu hình 2 luật riêng biệt cho mỗi hướng trên router. Luật xem xét chứa đựng một chuỗi các câu phát biểu chứa các thông tin về giao thức có cùng tên.

        Cấu hình những luật xem xét TCP và UDP tổng quát:
        Để cấu hình luật xem xét CBAC cho các packet TCP và UDP, dùng 2 câu lệnh sau:
        • ip inspect name inspection-name tcp [timeout seconds]
        • ip inspect name inspection-name udp [timeout seconds]
        Với việc giám sát TCP và UDP, các packet đi vào hệ thống mạng phải tương ứng với các packet trước đó xuất phát từ hệ thống đi ra. Các giá trị cần so trùng của packet là địa chỉ IP nguồn và đích cùng với port nguồn và đích (theo hướng ngược lại), nếu khác nhau, các packet đi vào sẽ bị chặn.
        Với luật giám sát UDP, các packet đáp ứng chỉ được cho phép qua firewall nếu chúng đến trong khoảng thời gian do bạn định sẵn từ lúc packet cuối cùng được gửi ra ngoài. (cấu hình thời gian này dùng lệnh: ip inspect udp idle-time).
        Anh không là hacker giỏi nên anh không thể hack được trái tim em

        Comment


        • #5
          Cấu hình xem xét các đặc tính Java:
          Nhằm hạn chế các nguy cơ tấn công có trong Java applet, bạn có thể cấu hình CBAC lọc Java applet tại firewall. Việc lọc này cho phép người sử dụng download những applet nằm bên trong firewall và những applet được cho phép nằm bên ngoài firewall.
          ip inspect name inspection-name http [java-list access-list] [alert {on | off}]
          [audit-trail {on | off}] [timeout seconds]

          Ví dụ:
          ip inspect name test1 http java-list 3 audit-trail on
          Ví dụ trên đặt 1 luật có tên là test1 để chặn Java applet.

          Chú ý:
          CBAC không nhận dạng hoặc chận các Java applet đã bị đóng gói trong một định dạng khác. Java applet chứa trong các file ZIP hay JAR sẽ không bị nhận dạng hoặc chận tại firewall. CBAC cũng không nhận dạng hoặc chận các applet được load từ FTP, gopher, HTTP hoặc trên những port không chuẩn.

          Chú ý

          Việc chặn Java tạo ra những kiểm soát chặt chẽ trên những gói TCP. Để kiểm tra chính xác các Java applet không nằm trong những đáp ứng, firewall sẽ loại bỏ những gói TCP không theo thứ tự. Nhưng bởi vì chỉ có hệ thống mạng quyết định packet sẽ được route như thế nào, firewall không thể điều khiển thứ tự của các packet này; firewall chỉ có thể loại bỏ và truyền lại tất cả những gói TCP không theo thứ tự.

          Áp dụng các luật xem xét lên cổng giao tiếp:
          Để áp dụng một luật xem xét lên cổng giao tiếp sử dụng câu lệnh: ip inspect inspection-name {in | out} lên cổng tương ứng.

          Router(config)#interface Ethernet0
          Router(config-int)#ip inspect test1 in


          Kiểm tra và debug CBAC:

          Anh không là hacker giỏi nên anh không thể hack được trái tim em

          Comment


          • #6
            Debug CBAC
            Có 3 loại debug cho CBAC
            - Các câu lệnh debug tổng quát
            - Các câu lệnh debug ở tầng transport
            - Các câu lệnh debug ở tầng ứng dụng

            Bạn có thể bật chế độ hiển thị các thông điệp lưu dấu vết kiểm tra lên console sau khi session CBAC nào đó kết thúc. Dùng câu lệnh sau: ip inspect audit trail.

            Những câu lệnh debug tổng quát


            Các câu lệnh debug ở mức độ tầng transport

            Để giám sát và xử lý các cấu hình CBAC cho TCP và UDP, dùng các câu lệnh debug sau:
            - debug ip inspect tcp - Hiển thị những thông điệp về các sự kiện TCP được xem xét bởi CBAC, chứa các thông tin chi tiết về các gói TCP.
            - debug ip inspect udp - Hiển thị những thông điệp về các sự kiện UDP được xem xét bởi CBAC, chứa các thông tin chi tiết về các gói UDP.
            Anh không là hacker giỏi nên anh không thể hack được trái tim em

            Comment


            • #7
              Sử dụng đặc tính Authentication Proxy

              Authentication proxy là một trong những thành phần chủ yếu của bộ đặc tính trong Cisco IOS firewall. Khi không có tính năng này, việc truy xuất vào tài nguyên trong hệ thống được hạn chế bằng địa chỉ IP nguồn của gói, và chính sách áp dụng hiện thực bằng cách dùng access-list cho mỗi địa chỉ source cần kiểm tra. Không có cách nào đảm bảo được chỉ có những người có quyền mới truy xuất được tài nguyên từ những thiết bị của chính họ hay những người không có quyền không thử truy xuất vào tài nguyên không được phép.
              Authentication proxy cho phép người quản trị giới hạn quyền truy xuất tài nguyên trên cơ sở từng người sử dụng và điều chỉnh chi tiết quyền hạn cho mỗi cá nhân thay vì sử dụng 1 chính sách chung cho tất cả mọi người.

              Cách hoạt động của Authentication proxy:

              Authentication proxy không phải là một dịch vụ trong suốt đối với người sử dụng, dịch vụ này yêu cầu người sử dụng tương tác với nó. Authentication proxy được kích hoạt khi người sử dụng khởi tạo một session HTTP, HTTPS, FTP hay Telnet thông qua Cisco IOS firewall. Firewall sẽ kiểm tra xem người sử dụng đã được xác thực chưa, nếu người sử dụng đã được xác thực, firewall sẽ cho phép kết nối này, nếu chưa, firewall sẽ hiển thị yêu cầu người sử dụng nhập vàp username và password và sẽ kiểm tra thông tin này với các server TACACS+ hoặc server RADIUS.
              Quá trình authentication proxy đòi hỏi 3 bước khi có một nguồn khởi tạo kết nối đến đích đến ở hệ thống bên trong của firewall. Xem ví dụ ở hình bên dưới:




              Hình ảnh hoạt động Authentication Proxy:
              Ví dụ dưới minh họa hình ảnh của trang truy nhập của authentiation proxy. Người sử dụng phải điền vào thông tin username và password để có thể tiếp tục truy nhập vào tài nguyên

              Khi người sử dụng nhập đúng username và password:


              Authentication proxy và Cisco IOS firewall:

              Tính năng authentication proxy có trong các phiên bản IOS 12.0.5T. Authentication proxy tương thích với một số đặc tính bảo mật sau trong Cisco IOS :
              - Context-Based Access Control (CBAC): nếu bạn cấu hình authentication proxy làm việc với CBAC, bạn có thể tạo ra các access-list động. Nếu bạn không cấu hình authentication proxy với CBAC, bạn cần tham chiếu đến các ACL tĩnh trong Cisco IOS firewall.
              - NAT : cho phép đổi các địa chỉ bên trong hệ thống thành các địa chỉ public bên ngoài. Nếu sử dụng authentication proxy trên firewall đang thực hiện NAT, bạn phải dùng CBAC để bảo đảm các session đổi địa chỉ không đụng độ với nhau.
              - Authentication proxy mã hóa IPSec làm việc trong suốt với mã hóa IPSec
              - Authentication proxy trong phần mềm VPN client có thể được dùng xác thực người sử dụng khi tạo ra kết nối VPN. Đặc điểm này cung cấp thêm một mức bảo mật cho người quản trị bằng cách xác thực trước người sử dụng trước khi các kết nối có mã hóa được tạo ra.
              - Tính năng Authentication proxy trong Cisco IOS Firewall Intrusion Detection System (IDS) làm việc trong suốt đối với Cisco IOS firewall IDS.
              Anh không là hacker giỏi nên anh không thể hack được trái tim em

              Comment


              • #8
                Cấu hình Authentication proxy trên Cisco IOS firewall
                Authentication proxy cho phép người sử dụng kết nối thông qua firewall đến tài nguyên nào đó chỉ khi server AAA đã kiểm tra thành công. Sau khi việc xác thực hoàn tất, Cisco IOS firewall nhận thông tin về cấp quyền từ server AAA ở định dạng ACL động. Luôn nên đảm bảo traffic chạy đúng qua Cisco IOS firewall trước khi hiện thực Authentication proxy. Có nhiều cách khác nhau để cấu hình authentication proxy và mỗi cách sẽ khác nhau một chút phụ thuộc vào dịch vụ được sử dụng trên Cisco IOS firewall và hướng của traffic khi đi qua Firewall.

                Một số cấu hình Authentication Proxy được Cisco đưa ra :

                - Authentication proxy hướng inbound ( không dùng chung với CBAC hay NAT)
                - Authentication proxy hướng outbound (không dùng chung với CBAC hay NAT)
                - Authentication proxy hướng inbound (dùng chung với CBAC, nhưng không với NAT)
                - Authentication proxy hướng outbound (dùng chung với CBAC, nhưng không với NAT)
                - Authentication proxy hướng inbound (dùng chung với CBAC và NAT)
                - Authentication proxy hướng outbound (dùng chung với CBAC và NAT)
                - Authentication proxy hướng inbound với IPsec và VPN client (không dùng chung với CBAC hay NAT)
                - Authentication proxy hướng outbound với IPsec và VPN client (không dùng chung với CBAC hay NAT)
                - Authentication proxy hướng inbound với IPsec và VPN client (dùng chung với CBAC và NAT)
                - Authentication proxy hướng outbound với IPsec và VPN client (dùng chung với CBAC và NAT)

                Phần này chỉ tập trung vào cấu hình Cisco IOS firewall cho hướng inbound và outbound mà không sử dụng CBAC, NAT, IPSec hay VPN Client.

                Các bước cấu hình Authentication Proxy:

                Bước 1: Cấu hình AAA
                Bước 2: Cấu hình HTTP server
                Bước 3: Cấu hình Authentication Proxy
                Bước 4: Kiểm tra cấu hình

                Bước 1: Cấu hình AAA

                Cho phép tính năng AAA trên Cisco IOS Firewall
                aaa new-model


                Định nghĩa phương thức xác thực được tận dụng khi login
                aaa authentication login default [tacacs+ | radius]

                Từ khoá auth-proxy cho phép bật cơ chế authentication proxy cho phương thức xác thực AAA ( TACACS+ hay RADIUS) và cho phép router download các ACL động từ server AAA.
                aaa authorization auth-proxy default [method1 [method2...]]

                Từ khóa auth-proxy trong câu lệnh này kích hoạt chức năng accounting cho authentication proxy
                aaa accounting auth-proxy default start-stop group tacacs+

                Nhận dạng AAA server bằng hostname hoặc bằng địa chỉ IP
                tacacs-server host hostname
                hoặc
                radius-server host hostname

                Cấu hình key xác thực và mã hóa nhằm đảm bảo kênh truyền thông tin giữa Cisco IOS Firewall và server AAA được bảo mật.
                tacacs-server key key
                or
                radius-server key key

                Tạo ACL nhằm cho phép các traffic từ AAA server trả về Cisco IOS Firewall.
                access-list [access-list-number] permit tcp host source eq tacacs | radius host destination


                Bước 2: Cấu hình HTTP server

                Trong bước này, bạn cấu hình HTTP server hoạt động và thiết lập các phương thức xác thực



                Bước 3: Cấu hình Authentication Proxy

                Bước này cấu hình authentication proxy trên Cisco IOS firewall. Dùng các câu lệnh trong bảng sau:


                Bước 4: Kiểm tra cấu hình Authenticatino Proxy:
                Sử dụng câu lệnh show ip auth-proxy để hiển thị và kiểm tra cấu hình athentication proxy.
                Anh không là hacker giỏi nên anh không thể hack được trái tim em

                Comment


                • #9
                  Cisco IOS IPS

                  Các đặc tính của Cisco IOS IPS:

                  Cisco IOS IPS cung cấp cho router khả năng xem xét các gói khi các gói này chạy qua router. Nó cũng tìm kiếm bất kỳ traffic nào có dấu hiệu giống như các traffic tấn công hệ thống. Nếu tìm thấy có dấu hiệu tấn công từ các traffic đi vào hệ thống, Cisco IOS IPS sẽ nhanh chóng tương tác và loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống. Cisco IOS IPS có thể được cấu hình thông báo một server syslog hay server quản lý bằng các cảnh báo, bằng loại bỏ những gói được so trùng đúng với dấu hiệu tấn công hoặc reset lại kết nối TCP, hoặc kết hợp tất cả các hành động. Chú ý rằng, mặc dù những tính năng này luôn được tích hợp trong hệ điều hành Cisco IOS bằng đặc tính Cisco IOS Firewall, các tính năng mới dựa vào IPS có những đặc điểm nâng cao sau:

                  • Khả năng lưu trữ các dấu hiệu tấn công mở rộng của Cisco IOS IPS cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần cứng, cho phép bạn có thể bổ sung và chỉnh sửa hoặc có thể tạo những dấu hiệu riêng của mình. Các dấu hiệu mới này có thể được áp dụng mà không cần phải nâng cấp hệ điều hành Cisco IOS.
                  • Khả năng quét các dấu hiệu song song : tất cả các dấu hiệu tđược quét theo kiểu song song chứ không tuần tự.
                  • Khả năng hỗ trợ ACL extended : hỗ trợ cả các ACL extended đánh số hay đánh theo tên.
                  Các tấn công nhận dạng bởi các dấu hiệu trong Cisco IOS IPS được chia làm 4 loại:
                  • Khai thác : một hành động nắm quyền truy xuất vào hệ thống hay các tài nguyên mạng
                  • Từ chối dịch vụ (DoS) : Hành động gửi một lượng lớn các yêu cầu đến một hệ thống hay các tài nguyên mạng với ý định gây ngưng trệ / làm tổn hại đến các hoạt động bình thường.
                  • Dò thám : hành động thu nhập thông tin để tập họp dữ liệu trên hệ thống và các tài nguyên mạng và biến chúng thành các mục tiêu cho các tấn công sau này
                  • Sử dụng không đúng : một hành động làm vi phạm đến chính sách của hệ thống

                  Bốn loại dấu hiệu trên có thể áp dụng cho các loại sau:
                  • Đơn lẻ: các dấu hiệu đơn lẻ kích hoạt IPS với các mẫu đơn giản luôn là một gói đến một máy nào đó. Những dấu hiệu loại này có xu hướng sử dụng ít bộ nhớ vì IPS không cần thu thấp một lượng lớn dữ liệu.
                  • Kết hợp: các dấu hiệu kết hợp đòi hỏi IPS thu thập và so sánh nhiều và với số lượng lớn các dữ liệu phức tạp sau đó mới kích hoạt một sự kiện, đây luôn là một tấn công trên nhiều máy, qua một thời gian mở rộng và với nhiều packet được xem xét.
                  Các chức năng có trong Cisco IOS IPS:

                  Cisco IOS IPS có 2 thành phần chính: signature definition files (SDF) và signature micro-engines (SME).
                  SDF chứa các định nghĩa các dấu hiệu tấn công và các hành động tương ứng cho mỗi dấu hiệu. File này thường có dạng XML. Cisco IOS IPS tải và dịch các file này trong các cấu trúc dữ liệu bên trong thiết bị với các thông tin cần thiết để có thể nhận dạng mỗi dấu hiệu tấn công. Vị trí của file SDF được định nghĩa trước, có thể nằm trong vùng nhớ Flash của router hoặc trên các server từ xa có khả năng chạy TFTP, FTP, SCP (Secure Copy Protocol), hoặc RCP (Remote Copy Protocol). Các router với phiên bản IOS từ 12.3(8)T trở lên có chứa một file SDF được cấu hình trước tên là Attack-drop.sdf trong hệ thống file Flash, chứa các thông tin mới nhất về các dấu hiệu tấn công và worm phổ biến.

                  Một SME sẽ tải file SDF và quét các dấu hiệu dưới các điều kiện khác nhau trùng khớp với một mẫu đã định nghĩa sẵn. Cơ cấu SME sẽ lấy các giá trị từ các gói dữ liệu và chuyển sang thành phần regular-expression để xem xét. Cơ cấu này có thể tìm kiếm và so trùng nhiều mẫu đồng thời với nhau. Các phiên bản hiện tại của Cisco IOS IPS 12.3(11)T chứa Atomic.IP, Atomic.ICMP, Atomic.IPOPTIONS, Atomic.UDP, Atomic.TCP, Service.DNS, Service.RPC, Service.SMTP, Service.HTTP, and Service.FTP SMEs. File SDF thông thường chứa các định nghĩa các dấu hiệu tấn công từ một vài lựa chọn trên.

                  Chú ý:
                  Cisco IOS phiên bản 12.3(14)T cung cấp nhiều khả năng điều khiển và xem xét, như các tính năng bảo mật ứng dụng cao cấp cho việc sử dụng không đúng port 80 và trong các môi trường sử dụng VoIP.

                  Các hạn chế của Cisco IOS IPS:
                  Trước khi cài đặt và cấu hình Cisco IOS IPS, nên xem xét một vài nhân tố:

                  Bộ nhớ của hệ thống:
                  Một trong những vấn đề chính liên quan đến số lượng các dấu hiệu có thể tải lên Cisco router đó là lượng bộ nhớ của router dành cho các dấu hiệu này. Một router với 128MB bộ nhớ RAM có thể hỗ trợ 563 dấu hiệu, nếu router này có 256MB RAM, số lượng dấu hiệu tấn công có thể có là 737 dấu hiệu.

                  Xem xét hình sau:




                  Các dấu hiệu tấn công không hỗ trợ:

                  Cisco IOS IPS ( từ phiên bản Cisco IOS phiên bản 12.3(8)T) sẽ không hỗ trợ các dấu hiệu sau:

                  - 1100 tấn công dùng IP fragment (attack, atomic)
                  - 1105 dùng địa chỉ nguồn broadcast (compound/attack)
                  - 1106 dùng địa chỉ nguồn multicast (compound/attack)
                  - 8000 file password của FTP (attack/atomic)

                  Các tính năng CLI không hỗ trợ:

                  Các hành động Cisco IOS IPS ( như reset lại kết nối TCP ) không còn cấu hình được trên mode giao diện dòng lệnh (CLI). Dấu hiệu này được điều chỉnh trước với các hành động làm hạn chế các tấn công.
                  Last edited by sát thủ đẹp trai; 09-08-2007, 10:56 PM.
                  Anh không là hacker giỏi nên anh không thể hack được trái tim em

                  Comment


                  • #10
                    Các ứng dụng Cisco IOS IPS


                    Hình trên minh họa cách thức Cisco IOS IPS đáp ứng với một tấn công. Khi các traffic có khả năng gây hại được nhận dạng ra, Cisco IOS IPS gửi cảnh báo đến các server syslog và server quản lý và loại bỏ traffic hay reset lại kết nối.

                    Cấu hình Cisco IOS IPS:
                    Bạn có thể cấu hình Cisco IOS IPS theo 3 cách:
                    - Dùng giao diện dòng lệnh (CLI) : Một số câu lệnh cơ bản hỗ trợ Cisco IOS IPS được hỗ trợ trong giao diện dòng lệnh. Tập lệnh này bao gồm cho phép hay không cho phép các dấu hiệu, áp dụng các luật lên giao tiếp cổng, dùng các ACL cho traffic, cài đặt các thông số thông báo, lựa chọn các hệ thống mạng được bảo vệ, tải file SDF, đặt tên cho các chính sách cấu hình.
                    - Cisco Router and Security Device Manager (SDM): Giao diện Cisco SDM hỗ trợ cấu hình các tính năng IPS như trên, cũng hỗ trợ các tùy chọn quy định hành động của Cisco IOS IPS, chẳng hạn reset lại kết nối, nhân bản hay tạo ra các dấu hiệu nhân dạng tấn công, các chức năng này có thể không được cấu hình trong mode giao diện dòng lệnh.
                    - CiscoWorks VPN/Security Management Solution IDS Management Center (VMS IDS): VMS IDS phiên bản 2.3 có hỗ trợ Cisco IOS IPS. VMS IDS quản lý Cisco IOS IPS theo cách nó quản lý trên thiết bị Cisco IDS 4200.

                    Trong tài liệu này, chúng ta chỉ xem xét cấu hình Cisco IOS IPS trên giao diện dòng lệnh:

                    Các bước cần thực hiện:
                    Bước 1: Khởi tạo Cisco IOS IPS trên router
                    Bước 2: Cấu hình các dấu hiệu nhận dạng tấn công
                    Bước 3: Tạo và áp dụng các luật IPS
                    Bước 4: Kiểm tra cấu hình

                    Khởi tạo Cisco IOS IPS:

                    Cấu hình loại thông báo cho router:
                    Cisco IOS IPS cung cấp một vài phương thức thông báo:
                    - Cisco IOS logging: Sử dụng định dạng syslog để gửi thông điệp đến server syslog.
                    - Giao thức PostOffice Protocol (POP): Giao thức này dùng để cung cấp cho Cisco router IOS Firewall IDS và các thiết bị IDS cơ chế liên lạc với nhau và với hệ thống quản lý. POP hoạt động bằng cách đẩy các câu cảnh báo đến các server quản lý. (IOS > 12.3(14)T)
                    - Security Device Event Exchange (SDEE): Đây là các định dạng thông điệp và giao thức liên lạc của IPS theo chuẩn ICSA.

                    Dùng câu lệnh : ip ips notify log | sdee để cấu hình Cisco IOS IPS để chuyển các thông điệp cảnh báo đến các server Syslog, SDM hoặc VMS IDS.


                    Chú ý:
                    Để dùng được SDEE, server HTTP phải được kích hoạt. Dùng câu lệnh ip http server để cho phép HTTPS trên router.

                    Để cấu hình Cisco IOS IPS chuyển các cảnh báo đến các thiết bị có tính năng Cisco Unix Director, Cisco Secure Policy Manager (CSPM), và IDS Management Center (MC), dùng câu lênh ip ips notify nr-director ở mode global configuration.


                    Cấu hình bộ đệm dành cho các sự kiện:
                    Kích thước bộ đệm của router dành cho cho các sự kiện xác định lượng bộ nhớ sử dụng trên router. Việc giới hạn kích thước này cho các cảnh báo là vô cùng quan trọng. Nếu sử dụng tính năng thông báo các sự kiện, tối đa có thể có 200 sự kiện có thể được lưu trong bộ đệm của router. Câu lệnh sau thiết lập kích thước bộ đệm lưu trữ các thông báo SDEE:

                    ip sdee events events

                    events: là giá trị từ 1 đến 1000 chỉ định số lượng event tối đa có thể được lưu trong bộ đệm. Câu lệnh này được thực hiện ở mode Global configuration.

                    Câu lệnh sau dùng để thiết lập kích thước bộ đệm cho POP:

                    ip ips po max-events num-of-events

                    num-of-events : là số có giá trị từ 1 đến 65535 chỉ định số event lớn nhất có thể nằm trong bộ đệm. Giá trị mặc định là 100.

                    Định nghĩa mạng được bảo vệ

                    Nhằm để nhận dạng một cuộc tấn công, Cisco IOS IPS phải có khả năng xác định phạm địa chỉ của các mạng được bảo vệ. Chức năng này không ảnh hưởng đến hoạt động của IDS nhưng được dùng để ghi nhận traffic đi vào hay đi ra khỏi hệ thống. Câu lệnh sau đặc tả phạm vi địa chỉ trong hệ thống được bảo vệ:

                    ip ips protected ip-addr to ip-addr
                    Anh không là hacker giỏi nên anh không thể hack được trái tim em

                    Comment


                    • #11
                      Làm việc với các dấu hiệu và luật trong Cisco IOS IPS:

                      Tải các dấu hiệu tấn công:

                      Cisco IOS IPS có 2 loại file định nghĩa các dấu hiệu tấn công:
                      - IPS SDF (mặc định ) : Đây là 132 dấu hiệu được xây dựng sẵn trong Cisco IOS IDS nhằm cho phép tương thích với các công nghệ cũ. Các dấu hiệu có sẵn trong các phiên bản Cisco IOS phiên bản từ 12.3(8)T trở đi và được cài đặt gửi thông báo mặc định.
                      - Attack-drop.sdf : hiện tại file Attack-drop.sdf chứa 118 dấu hiệu IPS. File này nằm trong bộ nhớ flash của tất cả router có sử dụng Cisco IOS IPS cùng phiên bản 12.3(8)T trở đi và có thể được bổ sung thêm vào hay bớt đi các dấu hiệu dựa theo yêu cầu của hệ thống của bạn.

                      Câu lệnh cần thiết để tải những file SDF cần thiết từ một vị trí nào đó là:
                      ip ips sdf location url

                      Câu lệnh này được dùng trong mode global configuration . Tham số url có thể là vùng nhớ Flash, FTP server, RCP và TFTP server.
                      Nếu router không thể tìm thấy file cần thiết trong tham số url, router sẽ tìm và tải file dấu hiệu xây dựng sẵn của mình. Để không cho router tải những file nội bộ của mình, dùng câu lệnh sau ở mode global configuration
                      no ip ips sdf built-in
                      Cisco recommends using the signatures provided in Flash for attack mitigation. If the built-in signatures do not provide adequate protection for a network, you can merge these signatures with Attack-drop.sdf. The copy [/erase] url ips-sdf command enables you to merge the two files. Table 13-5 briefly describes the command and its options.
                      Cisco đề nghị sử dụng các dấu hiệu được cung cấp trong Flash để làm giảm việc tấn công. Nếu các dấu hiệu này không cung cấp đủ mức độ bảo vệ cho hệ thống mạng của bạn, bạn có thể kết hợp những dấu hiệu này với file Attack-drop.sdf. Câu lện copy [/erase] url ips-sdf cho phép bạn kết hợp 2 file này lại. Xem câu lệnh sau và các tùy chọn:


                      Mặc định khi Cisco IOS biên dịch các dấu hiệu mới, IOS vẫn chuyển những gói dữ liệu nhưng không quét so trùng với các dấu hiệu này. Để ra lệnh router loại bỏ tất cả gói cho đến khi các dấu hiệu được xây dựng hoàn chỉnh, dùng câu lệnh sau:

                      ip ips fail closed

                      It is important to define normal traffic on the network and configure the signatures accordingly to ensure that the IDS reacts to traffic that is truly malicious. If the IPS reacts to normal traffic, the alert is referred to as false positive. A false negative occurs when the IPS incorrectly interprets malicious traffic as normal for the network. To further reduce the number of false positive alerts, it is important to correctly configure the signature thresholds and disable or exclude specific signatures. Disabling a signature turns the signature off completely. When a signature is excluded, it designates specific hosts on the networks that are not inspected for a signature. A signature number identifies all IPS signatures. You can find the signature numbers and explanations at Cisco.com.
                      Use the ip ips signature command in global configuration mode to attach a policy to a signature. The command syntax is as follows:

                      ip ips signature signature-id [:sub-signature-id] {delete | disable | list acl-list}

                      Việc định nghĩa các traffic bình thường trên mạng và cấu hình các dấu hiệu tương ứng để đảm bảo IDS sẽ tương tác với traffic thật sự có hại đến hệ thống là rất quan trọng. Nếu IPS tương tác với traffic bình thường, cảnh báo được liên hệ như là trạng thái false positive. Trạng thái false negative xảy ra khi IPS diễn dịch các traffic có khả năng gây hại như là traffic bình thường. Để làm giảm số lượng cảnh báo false positive, nên cấu hình chính xác các giá trị ngưỡng của các dấu hiệu hoặc tắt và loại bỏ một số dấu hiệu nào đó. Sử dụng câu lệnh sau để gắn một chính sách vào một dấu hiệu :

                      ip ips signature signature-id [:sub-signature-id] {delete | disable | list acl-list}


                      Tạo và áp dụng các luật của IPS
                      Cho phép Cisco IOS IPS sẽ cài đặt các dấu hiệu mới nhất trên router trong lần đầu. Vì vậy , bước này được dùng để chuẩn bị cho các router mới.
                      Sử dụng câu lệnh ip ips để tạo ra một luật IPS và áp dụng vào traffic đi vào hay đi ra khỏi router. Xem hình dưới:


                      Kiểm tra cấu hình Cisco IOS IPS


                      Các câu lệnh clear cho phép bạn xóa các thông tin trạng thái và cấu hình


                      Các câu lệnh debug cho phép bạn chẩn đoán và xem xét các thông tin liên quan đến các sự kiện do router sinh ra và các trạng thái tổng quát

                      Anh không là hacker giỏi nên anh không thể hack được trái tim em

                      Comment

                      Working...
                      X