• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Nên triển khai IPS thế nào?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Nên triển khai IPS thế nào?

    Chào các bạn,

    Các bạn có kinh nghiệm triển khai 1 IPS trên thực tế thế nào có thể giới thiệu giúp mình?

    Mình muốn hỏi là nên enable những signature gì, nên control nó và monitor nó thế nào, chứ không phải cách cấu hình nó, cái đó thì sách vở đã nói quá nhiều rồi. Mình muôn hỏi về thực tế, vì thấy rất nhiều công ty có IPS nhưng hầu như chỉ để cho có, chẳng làm gì cả.

    Thanks các bạn,

  • #2
    Originally posted by hungpham View Post
    Chào các bạn,

    Các bạn có kinh nghiệm triển khai 1 IPS trên thực tế thế nào có thể giới thiệu giúp mình?

    Mình muốn hỏi là nên enable những signature gì, nên control nó và monitor nó thế nào, chứ không phải cách cấu hình nó, cái đó thì sách vở đã nói quá nhiều rồi. Mình muôn hỏi về thực tế, vì thấy rất nhiều công ty có IPS nhưng hầu như chỉ để cho có, chẳng làm gì cả.

    Thanks các bạn,

    Chào bạn,

    Nếu có IPS thì bạn sẽ cần enable các signature mặc định có sẵn của Cisco khuyến cáo, khi nào phát hiện tấn công mới thì ta mới add thêm signature vào.
    Bạn đã biết cách cấu hình mà lại không biết điều khiển và monitor nó, vậy bạn nên mua thêm cuốn IPS của Vnpro về đọc, hoàn toàn bằng tiếng việt. Đọc xong bạn có thể biết là nên triển khai thiết bị IPS mình ở mode nào, chỉ cho nó lắng nghe hay cho nó vừa lắng nghe vừa ngăn chặn được tấn công, cách control các signature, nếu có nhiều vlan thì làm sao,...

    Còn dưới đây mô tả sơ cách thức dùng một signature mặc định và update một signature trong router khi bạn phát hiện ta tấn công mới:

    Configuring IPS for IOS
    You can enable IPS features in IOS using the default SDF. Signatures may be added manually to the SDF, or you can pay Cisco for the latest signatures.
    First we need to enable what’s called Security Device Event Exchange notifications:
    router(config)#ip ips notify sdee
    Then we must configure an IPS rule name that will be used for associating with interfaces.
    router(config)# ip ips name MYIPSRULES
    The next step is to specify where the SDF file will come from. The following command specifies that the file 256MB.sdf can be found in flash memory. You can also specify tftp or any other protocol your Cisco knows how to handle, but it’s best to use flash memory to ensure no dependencies on other servers.
    router(config)# ip ips sdf location flash:256MB.sdf
    Finally, we simply enable IPS on the interface (in both directions). It is also a good idea to enable IP reassembly on the interface, so that the IPS rule can evaluate entire IP packets at once.
    router(config)#interface fastEthernet 0
    router(config-if)#ip ips MYIPSRULES in
    router(config-if)#ip ips MYIPSRULES out
    router(config-if)#ip virtual-reassembly
    Now you have a working IPS, based on the file in your flash called 256MB.sdf. That file must be downloaded from Cisco using your CCO login linked to a valid support contract.
    The Power of Community
    If you don’t feel like paying Cisco for signature updates, you can update the SDF yourself. When a new attack surfaces, you’ll often find Cisco IPS XML signatures posted to various online forums. You can and should use them.
    To view your current SDF version, you can run: sh ip ips signatures
    To merge the IPS SDF configuration with new information, you can copy in an XML file. Just like copying in any configuration snippet, the updates will be merged, not replaced. Say we got sigs.xml from a helpful network operator. To enable these signatures, we simply run:
    router#copy tftp://serer.fqdn/sigs.xml ips-sdf
    That’s it! You’ll see that 256MB.sdf on the flash memory is now a bit larger. It’s a good idea (and is recommended by Cisco) to rename 256MB.sdf to avoid confusion, now that you are no longer running a Cisco-sanctioned version.
    Enabling IPS on supported routers is quite easy, but can lead to some interesting troubleshooting sessions. Be sure you have a syslog server that your routers all log to: it will save hours of work. Also, search around; you may find a source for XML updates that you wish to trust, and then it’s pretty easy to automate daily merges into your local SDF.

    Trích: http://www.longitudetech.com/network...ith-cisco-ips/

    Comment


    • #3
      Cám ơn bạn đã trả lời.

      Nhưng bạn cho mình hỏi là nếu chưa enable signature thì làm sao biết được là mạng bị tấn công hay không? Mình thấy mặc định khi config xong thì đã có 1 số signature đã được enable rồi, nhưng đối với những sig đã bị disable thì nếu có tấn công làm sao mình biết được?

      Ngoài ra, IPS monitor và log lại các event, nhưng đâu phải lúc nào nhìn event cũng hiểu đâu, nên mình muốn hỏi về kinh nghiệm làm sao để hiểu được log của nó.

      Thanks bạn,

      Comment


      • #4
        Chào bạn,

        Có những signature được cấu hình dựa theo ngưỡng, ví dụ bạn thấy ngày đó có nhiều điều bất thường (do IPS báo mặc dù chưa có signature enable cho tấn công này), tức là có nhiều traffic nào đó hơn bình thường thì IPS nó báo => bạn xem phải traffic user hay do gì rồi mới tìm cách ngăn chặn.

        Bạn muốn biết cách xem log thì tìm mua cuốn IPS như mình nói đi, trong đó nó có chỉ.

        Comment

        Working...
        X