phamminhtuan
17-06-2011, 11:14 PM
Bùi Nguyễn Hoàng Long
VnPro
Lab 14 Thực hiện Virtual Sensor với ASA SSM AIP
http://img685.imageshack.us/img685/914/image001mwe.jpg
I. Mô tả
Virtual Sensor cho phép áp đặt những chính sách khác nhau, tuy theo đặc điểm của tài nguyên hay những vùng khác nhau cần bảo vệ, ví dụ máy chủ là Windows Server hay Linux, vùng DMZ1 hay DMZ...Và những chính sách sẽ bao gồm: Signature Defintation, Anomaly Detections, Event Action Rules...
Trong bài Lab này yêu cầu dùng Sig ID 2004 để định nghĩa chính sách vi phạm
Với icmp echo request đến 192.168.2.2 chỉ tạo ra cảnh báo
Với icmp echp request đến 192.168.2.3 tạo ra cảnh báo và deny packet inline
II. Cấu hình
1. Cấu hình trên SSM AIP
Trong Policies, chọn Add để tạo chính sách Sig mới
http://img29.imageshack.us/img29/5559/image002xi.jpg
Đặt tên cho chính sách Sig
http://img714.imageshack.us/img714/4189/image003hn.jpg
Trong Analysis Engine chọn Add để tạo Virtual Sensor mới
http://img215.imageshack.us/img215/9922/image004mx.jpg
Bạn có thể định nghĩa thêm Event Action Rules Policy và Anomaly Detection Policy để kết hợp với Virtual Sensor mới được tạo, trong trường hợp này ta gán sig1 vào vs1
http://img808.imageshack.us/img808/3756/image005rk.jpg
Sau khi tạo mới Virtual Sensor, ta có hai Virtual Sensor là vs0 và vs1
http://img863.imageshack.us/img863/8707/image006cf.jpg
Kích hoạt Sig ID 2004 trong sig0 với hành động là Produce Alert
http://img830.imageshack.us/img830/4919/image007t.jpg
Kích hoạt Sig ID 2004 trong sig1 với hành động là Produce Alert, Deny Packet Inline
http://img13.imageshack.us/img13/976/image008xho.jpg
2. Cấu hình trên ciscoasa
Cấu hình thông tin cổng inside
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut
Cấu hình thông tin cổng inside
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# ip address 192.168.3.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
Tắt tính năng NAT (tùy chọn)
ciscoasa(config)# no nat-control
Xác định ACL để cho phép truy cập với icmp
ciscoasa(config)# access-list PING permit icmp any any
ciscoasa(config)# access-group PING in interface outside
Xác định luồng dữ liệu sẽ được giám sát bởi sensor
ciscoasa(config)# access-list VS0 permit ip any host 192.168.2.2
ciscoasa(config)# access-list VS1 permit ip any host 192.168.2.3
Định nghĩa class-map VS0
ciscoasa(config)# class-map VS0
ciscoasa(config-cmap)# match access-list VS0
Định nghĩa class-map VS1
ciscoasa(config)# class-map VS1
ciscoasa(config-cmap)# match access-list VS1
Định nghĩa policy-map
ciscoasa(config)# policy-map POLICY
VS0 sẽ được xử lý bởi virtual sensor 0
ciscoasa(config-pmap)# class VS0
ciscoasa(config-pmap-c)# ips inline fail-open sensor vs0
VS1 sẽ được xử lý bởi virtual sensor 1
ciscoasa(config-pmap)# class VS1
ciscoasa(config-pmap-c)# ips inline fail-open sensor vs1
Gán chính sách lên cổng
ciscoasa(config)# service-policy POLICY interface outside
III. Kiểm tra
Thực hiện sự vi phạm với icmp echo request đến 192.168.2.2, trong trường này sẽ nhận được Reply vì chính sách vs0 chỉ tạo cảnh báo
http://img215.imageshack.us/img215/9397/image009zo.jpg
http://img847.imageshack.us/img847/6115/image010x.jpg
Tương tự thực hiện sự vi phạm với icmp echo request đến 192.168.2.3, lúc này gói icmp sẽ bị loại bỏ và cảnh báo được tạo.
http://img691.imageshack.us/img691/8106/image011ft.jpg
http://img684.imageshack.us/img684/6553/image012um.jpg
VnPro
Lab 14 Thực hiện Virtual Sensor với ASA SSM AIP
http://img685.imageshack.us/img685/914/image001mwe.jpg
I. Mô tả
Virtual Sensor cho phép áp đặt những chính sách khác nhau, tuy theo đặc điểm của tài nguyên hay những vùng khác nhau cần bảo vệ, ví dụ máy chủ là Windows Server hay Linux, vùng DMZ1 hay DMZ...Và những chính sách sẽ bao gồm: Signature Defintation, Anomaly Detections, Event Action Rules...
Trong bài Lab này yêu cầu dùng Sig ID 2004 để định nghĩa chính sách vi phạm
Với icmp echo request đến 192.168.2.2 chỉ tạo ra cảnh báo
Với icmp echp request đến 192.168.2.3 tạo ra cảnh báo và deny packet inline
II. Cấu hình
1. Cấu hình trên SSM AIP
Trong Policies, chọn Add để tạo chính sách Sig mới
http://img29.imageshack.us/img29/5559/image002xi.jpg
Đặt tên cho chính sách Sig
http://img714.imageshack.us/img714/4189/image003hn.jpg
Trong Analysis Engine chọn Add để tạo Virtual Sensor mới
http://img215.imageshack.us/img215/9922/image004mx.jpg
Bạn có thể định nghĩa thêm Event Action Rules Policy và Anomaly Detection Policy để kết hợp với Virtual Sensor mới được tạo, trong trường hợp này ta gán sig1 vào vs1
http://img808.imageshack.us/img808/3756/image005rk.jpg
Sau khi tạo mới Virtual Sensor, ta có hai Virtual Sensor là vs0 và vs1
http://img863.imageshack.us/img863/8707/image006cf.jpg
Kích hoạt Sig ID 2004 trong sig0 với hành động là Produce Alert
http://img830.imageshack.us/img830/4919/image007t.jpg
Kích hoạt Sig ID 2004 trong sig1 với hành động là Produce Alert, Deny Packet Inline
http://img13.imageshack.us/img13/976/image008xho.jpg
2. Cấu hình trên ciscoasa
Cấu hình thông tin cổng inside
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut
Cấu hình thông tin cổng inside
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# ip address 192.168.3.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
Tắt tính năng NAT (tùy chọn)
ciscoasa(config)# no nat-control
Xác định ACL để cho phép truy cập với icmp
ciscoasa(config)# access-list PING permit icmp any any
ciscoasa(config)# access-group PING in interface outside
Xác định luồng dữ liệu sẽ được giám sát bởi sensor
ciscoasa(config)# access-list VS0 permit ip any host 192.168.2.2
ciscoasa(config)# access-list VS1 permit ip any host 192.168.2.3
Định nghĩa class-map VS0
ciscoasa(config)# class-map VS0
ciscoasa(config-cmap)# match access-list VS0
Định nghĩa class-map VS1
ciscoasa(config)# class-map VS1
ciscoasa(config-cmap)# match access-list VS1
Định nghĩa policy-map
ciscoasa(config)# policy-map POLICY
VS0 sẽ được xử lý bởi virtual sensor 0
ciscoasa(config-pmap)# class VS0
ciscoasa(config-pmap-c)# ips inline fail-open sensor vs0
VS1 sẽ được xử lý bởi virtual sensor 1
ciscoasa(config-pmap)# class VS1
ciscoasa(config-pmap-c)# ips inline fail-open sensor vs1
Gán chính sách lên cổng
ciscoasa(config)# service-policy POLICY interface outside
III. Kiểm tra
Thực hiện sự vi phạm với icmp echo request đến 192.168.2.2, trong trường này sẽ nhận được Reply vì chính sách vs0 chỉ tạo cảnh báo
http://img215.imageshack.us/img215/9397/image009zo.jpg
http://img847.imageshack.us/img847/6115/image010x.jpg
Tương tự thực hiện sự vi phạm với icmp echo request đến 192.168.2.3, lúc này gói icmp sẽ bị loại bỏ và cảnh báo được tạo.
http://img691.imageshack.us/img691/8106/image011ft.jpg
http://img684.imageshack.us/img684/6553/image012um.jpg