phamminhtuan
24-06-2011, 02:26 AM
Bùi Nguyễn Hoàng Long
VnPro
Lab 9: Thực hiện tạo Custom Stream Signature
http://img64.imageshack.us/img64/1103/image001ta.gif
I. Mô tả:
Tạo một Signature tùy chọn mà sẽ cho biết sự vi phạm xảy ra khi gói Telnet (23) chứa từ “admin” (không phân biệt hoa thường)
IPS Sensor nên có hành động Deny Connnection Inline và Produce Alert cho mỗi lần vi phạm.
Cấu hình IPS Sensor để chuyển sang Summary Alert nếu sự vi phạm xảy ra 3 lần trong 60 giây với cùng địa chỉ tấn công.
II. Cấu hình
Đảm bảo cổng Monitor được Enable và tạo và gán Vlan Pair vào Virtual Sensor
http://img87.imageshack.us/img87/139/image002xl.jpg
Trong Signature Definitions chọn Custom Signature Wizard để thực hiện tạo mới Signature
http://img854.imageshack.us/img854/8339/image003wv.jpg
Chọn Signature Engine mà Custom Signature thuộc
http://img830.imageshack.us/img830/5982/image004cb.jpg
Định nghĩa Custom Signature với Signature ID và Signature Name
http://img804.imageshack.us/img804/1416/image005un.jpg
Xác định tham số cho Custom Signature
http://img97.imageshack.us/img97/7498/image006in.jpg
Xác định mức độ tin cậy và mức độ ảnh hưởng của Custom Signature
http://img651.imageshack.us/img651/1772/image007fb.jpg
Chọn Advanced, để tùy chỉnh những tham số cảnh báo
http://img163.imageshack.us/img163/4308/image008xq.jpg
Xác định Event Count
http://img232.imageshack.us/img232/8695/image009aj.jpg
Cảnh báo sẽ được tạo tương ứng với mỗi sự vi phạm xảy ra
http://img703.imageshack.us/img703/3255/image010k.jpg
Khi 3 lần vi phạm xảy ra trong vòng 60 giây sẽ tạo một cảnhh báo Summary
http://img845.imageshack.us/img845/1147/image011l.jpg
Chọn Yes để thực hiện tạo Custom Signature
http://img37.imageshack.us/img37/5007/image012wi.jpg
Custom Signature sau khi được tạo
http://img18.imageshack.us/img18/5360/image013am.jpg
http://img846.imageshack.us/img846/2272/image014c.jpg
Thực hiện kiểm tra họat động của Custom Signature
http://img6.imageshack.us/img6/8956/image015xy.jpg
Giả sử rằng kể tấn công muốn thực hiện đoán tài khoản người dùng với login là: “admin” hoặc những biến thể khác. Kết nối TCP sẽ bị Deny khi nhận được từ “admin”
http://img87.imageshack.us/img87/8244/image016ug.jpg
Bạn có thể thực hiện với nhiều lần vi phạm, để kiểm tra cảnh báo được tạo
http://img844.imageshack.us/img844/5049/image017zc.jpg
http://img585.imageshack.us/img585/5986/image018al.jpg
VnPro
Lab 9: Thực hiện tạo Custom Stream Signature
http://img64.imageshack.us/img64/1103/image001ta.gif
I. Mô tả:
Tạo một Signature tùy chọn mà sẽ cho biết sự vi phạm xảy ra khi gói Telnet (23) chứa từ “admin” (không phân biệt hoa thường)
IPS Sensor nên có hành động Deny Connnection Inline và Produce Alert cho mỗi lần vi phạm.
Cấu hình IPS Sensor để chuyển sang Summary Alert nếu sự vi phạm xảy ra 3 lần trong 60 giây với cùng địa chỉ tấn công.
II. Cấu hình
Đảm bảo cổng Monitor được Enable và tạo và gán Vlan Pair vào Virtual Sensor
http://img87.imageshack.us/img87/139/image002xl.jpg
Trong Signature Definitions chọn Custom Signature Wizard để thực hiện tạo mới Signature
http://img854.imageshack.us/img854/8339/image003wv.jpg
Chọn Signature Engine mà Custom Signature thuộc
http://img830.imageshack.us/img830/5982/image004cb.jpg
Định nghĩa Custom Signature với Signature ID và Signature Name
http://img804.imageshack.us/img804/1416/image005un.jpg
Xác định tham số cho Custom Signature
http://img97.imageshack.us/img97/7498/image006in.jpg
Xác định mức độ tin cậy và mức độ ảnh hưởng của Custom Signature
http://img651.imageshack.us/img651/1772/image007fb.jpg
Chọn Advanced, để tùy chỉnh những tham số cảnh báo
http://img163.imageshack.us/img163/4308/image008xq.jpg
Xác định Event Count
http://img232.imageshack.us/img232/8695/image009aj.jpg
Cảnh báo sẽ được tạo tương ứng với mỗi sự vi phạm xảy ra
http://img703.imageshack.us/img703/3255/image010k.jpg
Khi 3 lần vi phạm xảy ra trong vòng 60 giây sẽ tạo một cảnhh báo Summary
http://img845.imageshack.us/img845/1147/image011l.jpg
Chọn Yes để thực hiện tạo Custom Signature
http://img37.imageshack.us/img37/5007/image012wi.jpg
Custom Signature sau khi được tạo
http://img18.imageshack.us/img18/5360/image013am.jpg
http://img846.imageshack.us/img846/2272/image014c.jpg
Thực hiện kiểm tra họat động của Custom Signature
http://img6.imageshack.us/img6/8956/image015xy.jpg
Giả sử rằng kể tấn công muốn thực hiện đoán tài khoản người dùng với login là: “admin” hoặc những biến thể khác. Kết nối TCP sẽ bị Deny khi nhận được từ “admin”
http://img87.imageshack.us/img87/8244/image016ug.jpg
Bạn có thể thực hiện với nhiều lần vi phạm, để kiểm tra cảnh báo được tạo
http://img844.imageshack.us/img844/5049/image017zc.jpg
http://img585.imageshack.us/img585/5986/image018al.jpg