Tải bản đầy đủ (.pdf) (104 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Cấu hình và quản trị SOURCEFIRE IPS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.11 MB, 104 trang )

Page | 1 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn





























TÀI LIỆU THIẾT KẾ, CẤU
HÌNH QUẢN TRỊ VÀ GIẢI
QUYẾT SỰ CỐ KHI TRIỂN
KHAI SOURCEFIRE IPS
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 2 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
BẢNG THEO DÕI THAY ĐỔI

Phiên bản
Ngày cập nhật
Người cập nhật
Chú thích
2.0
6/2012
Hoàng Tuấn Đạt
First Release










[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 3 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
Nội dung chính của tài liệu

I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 7
II. THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI 8
III. TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG 22
IV. QUẢN TRỊ CÁC THIẾT LẬP VỀ CHÍNH SÁCH 53
V. PHÂN TÍCH EVENTS 72
VI. THIẾT KẾ VÀ TẠO REPORT 86
VII. GIẢI QUYẾT SỰ CỐ KHI IPS CHẶN NHẦM DỊCH VỤ 101
VIII. KẾT LUẬN 104


[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 4 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội

Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
Mục lục

I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 7
1. Mục đích của tài liệu 7
2. Phạm vi tài liệu 7
II. THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI 8
1. Tính năng thiết kế 9
2. Mô hình triển khai điển hình của Sourcefire 11
3. Nguyên lý hoạt động của hệ thống IDS/IPS Sourcefire 12
4. Nguyên tắc quản trị 17
5. Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động 18
6. Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội. 19
a. Mô hình tổng thể. 19
b. Mô hình chi tiết các vùng 19
III. TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG 22
1. Thiết lập các thông số quản trị cho các thiết bị Sourcefire 23
2. Active License cho các thiết bị Sourcefire 25
3. Upgrade cho các thiết bị Sourcefire 27
4. Cấu hình các thiết lập hệ thống (System settings) 29
a. Information 30
b. License 30
c. Network 31
d. Network Interface 31
e. Process 32
f. Remote Management 32
g. Time 32
g. Ngoài ra còn có một số thiết lập khác như 32
5. Thiết lập quản trị tập trung cho các thiết bị Sourcefire 33
6. Thiết lập System policy áp dụng cho các thiết bị Sourcefire 35

7. Thiết lập Health Policy cho các thiết bị 40
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 5 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
8. Thiết lập quản lý Users 41
9. Giám sát hệ thống 42
10. Bộ công cụ hỗ trợ 46
11. Cấu hình Interface Sets và Detection Engine. 50
IV. QUẢN TRỊ CÁC THIẾT LẬP VỀ CHÍNH SÁCH 53
1. Quản trị IPS 54
2. Quản trị RNA 64
3. Quản trị chính sách bảo mật 69
V. PHÂN TÍCH EVENTS 72
1. Event Summary 72
2. Phân tích Event về IPS 78
3. Phân tích Event về RNA 81
VI. THIẾT KẾ VÀ TẠO REPORT 86
1. Các bước thực hiện tạo Report profile. 86
a. Tạo Report profile theo đúng tài liệu thiết kế 86
c. Tạo các Report Profile từ Search Query. 92
2. Gửi report tự động 93
a. Cấu hình Email Notification 93
b. Tạo Task tự động gửi mail 94
3. Gửi cảnh báo các cuộc tấn công nguy hiểm tự động 96
a. Tạo Policy Compliance 96

b. Tạo Responses 99
VII. GIẢI QUYẾT SỰ CỐ KHI IPS CHẶN NHẦM DỊCH VỤ 101
VIII. KẾT LUẬN 104








[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 6 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn

Bảng các thuật ngữ sử dụng trong tài liệu
STT
Thuật ngữ
Viết đầy đủ
Một vài thông tin
1
DC
Defense Center
Thiết bị Sourcefire DC cho phép quản lý tập
trung các thiết bị Sourcefire khác. Cung cấp các

tính năng khác cho giải pháp Sourcefire
2
3D Sensor
3D Sensor
Thiết bị Sourcefire 3D Sensor làm nhiệm vụ
Monitoring và thực thi các chính sách IPS/IDS
3
IDS
Intrusion Detection System
Tính năng trên thiết bị 3D Sensor cho phép phát
hiện các cuộc tấn công mạng.
4
IPS
Intrusion Prevention System
Tính năng trên thiết bị 3D Sensor chop phép
phát hiện và ngăn chặn các cuộc tấn công
mạng.
5
RNA
Real-Time Network Awareness
Là một tính năng của giải pháp Sourcefire:
- Network profile
- Kết hợp với IPS/IDS tối ưu bảo vệ hệ
thống mạng
6
RUA
Real-time Users Awareness
Cho phép lưu các sự kiện với yếu tố người dùng
7
Event

Event
Một sự kiện về bảo mật
8
Span Port
Span Port
Span Port là port sử dụng trên các thiết bị
Switch/router cho phép monitoring traffic các
VLAN. Thiết bị Sourcefire khi hoạt động chế
độ IDS sẽ cần sử dụng Span Port
9
Interface
Interface
Interface trên thiết bị
10
Management
Interface
Management Interface
Cổng quản trị của thiết bị
11
Interface Sets
Interface Sets
Nhóm các Interface
12
Detection
Engine
Detection Engine
Engine phát hiện các cuộc tấn công trên các
Interface Sets
13
Intrusion

Policy
Intrusion Policy
Policy áp dụng cho các Detection Engine
14
NOTE
NOTE
Các chú ý phụ khác
15
SEU
Security Enhancement
Update
Update rule cho thiết bị Sourcefire

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 7 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU
1. Mục đích của tài liệu
- Là tài liệu chi tiết về nguyên lý hoạt động cấu hình, giám sát và giải quyết sự cố liên quan
tới việc triển khai thiết bị IPS Sourcefire tại KHÁCH HÀNGAAA HN. Đây là tài liệu với
mục đích viết ra cho người triển khai, quản trị và giám sát hệ thống IPS/IDS sử dụng.
- Cung cấp cho người quản trị hiểu bản chất và nguyên lý hoạt động của thiết bị IPS
Sourcefire.
- Mô hình tích hợp hệ thống phù hợp để người quản trị của KHÁCH HÀNGAAA HN có
thể tích hợp vào mô hình thực tế. Cấu hình phù hợp và đầy đủ các tính năng của thiết bị.

- Giám sát hoạt động của thiết bị và giải quyết các sự cố liên quan.
2. Phạm vi tài liệu
- Tài liệu áp dụng cho việc vận hành và quản trị đối với hệ thống IPS/IDS áp dụng cho
vùng DMZ, ServerFarm.

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 8 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
II. THIẾT KẾ HỆ THỐNG IPS TẠI KHÁCH HÀNGAAA HÀ NỘI
1. Tính năng thiết kế
2. Mô hình triển khai IPS/IDS điển hình của Sourcefire
3. Nguyên lý hoạt động của hệ thống IPS Sourcefire
4. Nguyên tắc quản trị
5. Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động
6. Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 9 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
1. Tính năng thiết kế

- Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc tấn công, các nguy cơ tiềm
ẩn về an toàn bảo mật thông tin… từ bên ngoài vào vùng DMZ hoặc Server Frame của
KHÁCH HÀNGAAA Hà Nội
- Tính năng RNA bổ xung cho IPS/IDS cung cấp tính năng Network profile (OS, Services,
Open Ports, Vulnerability, Host static). Từ đó kết hợp với IPS/IDS để tự động cấu hình,
tinh chỉnh Rules
Yêu cầu tính năng cụ thể về hệ thống IPS tại KHÁCH HÀNGAAA Hà Nội
STT
Tính năng
Mô tả
1
Tính năng IPS
bảo vệ các
vùng mạng
- Phát hiện các cuộc tấn công từ bên ngoài như
Worms, Trojans, Buffer overflows, DoS attacks,
Backdoor attacks, Spyware, Port scans, VoIP
attacks, IPv6 attacks, Statistical anomalies, Protocol
anomalies, P2P attacks, Blended threats, Zero-day
attacks… vào các server dịch vụ
- Có thể xác lập các qui tắc ngăn chặn các cuộc tấn
công hoặc xác lập chế độ tự động tinh chỉnh tùy theo
các dịch vụ
- Đưa ra các báo cáo về các cuộc tấn công, các lỗ hổng
bảo mật
2
Tính năng IDS
phát hiện các
cuộc tấn công
cho các VLAN

thiết lập giám
sát.
- Phát hiện và đưa ra các báo cáo về các cuộc tấn
công, các nguy cơ bảo mật, lỗ hổng an ninh… của
các server, dịch vụ của các VLAN giám sát.
- Phát hiện các cuộc tấn công, các nguy cơ bảo mật…
từ người dùng
- Trong trường hợp xảy ra tấn công từ ngoài vào các
host trong vùng giám sát thì có thể thiết lập tính năng
IPS trên thiết bị để bảo vệ các host ngăn chặn tấn
công từ bên ngoài vào các vùng đó
3
Tính năng
giám sát cảnh
báo tức thời
(Real time
Network
Awarreness -
RNA)
- RNA giúp phát hiện các nguy cơ an ninh mạng:
Network profile (OS, Services, Open Ports,
Vulnerability, Host static). RNA kết hợp với IPS,
IDS để tự động active/disable các rules cần thiết để
bảo vệ hệ thống mạng.
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 10 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN

Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
STT
Tính năng
Mô tả
- Tính năng Passive Scan cho phép RNA phát hiện
nguy cơ an ninh hệ thống mạng mà không ảnh
hưởng tới năng lực hệ thống mạng
4
IT Policy
complicance
- Đưa ra những cảnh báo những vi phạm về chính sách
bảo mật. Những vi phạm này có thể là: một cuộc tấn
công nguy hiểm xảy ra, một sự cố liên quan tới một
máy chủ hay một dịch vụ.
- Cảnh báo có thể thực hiện qua Email, SNMP hay
SYSLOG.
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 11 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn

2. Mô hình triển khai điển hình của Sourcefire
Phân tích mô hình điển hình của Sourcefire
- Sourcefire có hai dòng sản phẩm, Sourcefire Defense Center là thiết bị quản lý tập trung,
Sourcefire 3D Sensor là dòng thiết bị Sensor cung cấp các tính năng IPS/IDS.

- Sourcefire Khi triển khai vào hệ thống có thể hoạt động Inline (IPS) hoặc Passive (IDS),
để có thể phát hiện và ngăn chặn các cuộc tấn công hay các nguy cơ an ninh mạng.
- Các Event của các Sensor sẽ được chuyển về thiết bị quản lý tập trung.

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 12 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
3. Nguyên lý hoạt động của hệ thống IDS/IPS Sourcefire
a. Nguyên lý chung


Sơ đồ thành phần & nguyên lý hoạt động

Giải thích nguyên lý hoạt động và các thành phần của thiết bị SourceFire sensor
qua ví dụ sau:
- Thiết bị SourceFire 3D Sensor 3D3500có 8 cổng Ethernet làm nhiệm vụ Sensing:
- Interface Sets:
+ Các cổng này được nhóm vào các Interface Sets khác nhau. Trên hình với 3
Interface Sets được tạo
+ Interface Sets được tạo ra có ở hai mode Passive và Inline (Inline và Inline with
Fail Open)
- Detection Engine: làm nhiệm vụ thực thi Monitoring trên Interface Sets (như những
người gác cổng). Ở trên hình có hai Detection Engine được tạo và thực thi nhiệm vụ
Monitoring trên các Interface Sets. Có 3 loại Detection Engine là: IPS, RNA, RUA
- Policy: Là chính sách áp dụng cho các loại Detection Engine. Intrusion Policy áp

dụng cho IPS Detection Engine, Detection Policy áp dụng cho RNA.
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 13 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
Sơ đồ giải thích nguyên lý hoạt động của IDS/IPS Sourcefire.
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 14 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn

Step 1: Các port sensing trên thiết bị Sourcefire 3D Sensor được nhóm lại thành:
Interface Sets. Mô hình trên là tạo ra Interface Sets ở dạng Inline mode.
Step 2: Trên các interface sets này tạo ra các Detection Engine với chức năng giám
sát.
Step 3: Để các Detection Engine hoạt động cần phải xây dựng chính sách thiết lập để
áp dụng cho các Detection Engine này.
Step 4: Khi Detection Engine có các hành động block traffic hay phát hiện ra các
nguy cơ an ninh sẽ đưa ra các Event.
b. Nguyên lý phân tích gói tin
Khi gói tin đi vào thiết bị Sourcefire sẽ được xử lý qua các bước:



Khi gói tin được capture bởi thiết bị Sourcefire gói tin đó sẽ được:
- Decode bởi thành phần Decoders của Sourcefire
- Sau đó gói tin sẽ được chuyển vào quá trình Preprocessors
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 15 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
- Gói tin sẽ được so sánh với tập Rules được sử dụng
- Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event
- Các Event đó có thể được lọc ra thành các dạng Event khác nhau. Từ các Event được
phát sinh sẽ được thực hiện để làm một số tác vụ khác.
Hiểu về quá trình phân tích traffic network

Event sẽ có nội dung:

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 16 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
Note: Impact Flag là tính năng kết hợp giữa IPS và RNA cho phép đánh giá mức độ rủi
ro của cuộc tấn công. Mức độ nguy hiểm nhất là Flag 1, tiếp theo là 2,3,4 mức độ ít rủi ro

nhất là mức độ Flag 1.
Quá trình xử lý gói tin và Decoding

Quá trình này sẽ Decode gói tin từ Layer 2


Sau khi Decode thiết bị Sourcefire sẽ thực hiện tiếp quá trình Preprocessors và so sánh
với tập Rules
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 17 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn

Các Event sẽ được tạo ra từ các quá trình


4. Nguyên tắc quản trị
- Quản trị qua giao diện Web (HTTPS) cho phép cấu hình, xem trạng thái, log, report
- Quản trị qua giao diện Console (SSH) cho phép giải quyết một số sự cố và các thiết
lập sâu trong OS của Sourcefire
- Hỗ trợ SNMP
- User root: là user quyền cao nhất trong hệ điều hành của Sourcefire chỉ cho phép
Console để giải quyết một số lỗi hệ thống.
- User admin: là user có quyền cao nhất trong giao diện Web, có đầy đủ các quyền để
cấu hình Sourcefire hỗ trợ trên nền Web
- User khác: có thể gán vào các group để phân quyền.

- Người quản trị thiết bị cao nhất đề xuất quản lý User: root và Admin.
- Những người quản lý một vùng mạng muốn xem các Report và trạng thái thiết bị sử
dụng User bình thường được tạo ra khi cấu hình thiết bị.
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 18 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
5. Nguyên tắc tích hợp hệ thống IDS/IPS vào hệ thống đang hoạt động
- Tích hợp các thiết bị Sourcefire vào vùng mạng Management: Vùng mạng
Management tạo ra một VLAN mới cho phép ra Internet, cắm các port management
của thiết bị Sourcefire vào các port đã được phân hoạch.
- Tích hợp tính năng IDS vào vùng chỉ cần tính năng giám sát: Do tính năng IDS không
gây dán đoạn đối với hệ thống khi triển khai nên có thể triển khai vào thời gian sau
giờ làm việc. Cắm các port Sensing của thiết bị Sourcefire 3D Sensor vào các port đã
được phân hoạch trên các thiết bị Cisco. Thiết lập Span port cho các port đó trên thiết
bị Cisco để các luồng giao tiếp sẽ được đẩy qua port này.
- Tích hợp tính năng IPS: Do tính năng IPS có gây ra sự gián đoạn trong hệ thống nên
khi tích hợp hệ thống cần phải làm theo các bước:
+ Cấu hình thiết bị trước
+ Bật thiết bị và vận hành thử nghiệm trong hệ thống
+ Gửi công văn yêu cầu hệ thống có thể sẽ gián đoạn trong thời gian 30” (30 giây) để
tích hợp thiết bị vào hệ thống và kiểm tra các lỗi trong quá trình vận hành.

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012


Page | 19 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
6. Mô hình triển khai Sourcefire IDS/IPS tại KHÁCH HÀNGAAA Hà Nội.
a. Mô hình tổng thể.
Mô hình tổng thể tích hợp IPS Sourcefire vào hệ thống mạng KHÁCH HÀNGAAA
Hà Nội
Mail
Web
Epay
App
DMZ Zone
GPC
VNPT-Net Đại lý
Internet
Cty Viễn
thông
TT ĐHTT
Cty Điện
thoại
Inside Zone
ASA5580
Extranet Zone
VDC
E-Office
Server
Applications
Server

Database
Server
Server Farm
Zone
IPS/IDS
IPS/IDS
SW7606
SW2960G
SW2960
SW2960
SW6509
GW-HNI

- Cấu hình thiết bị ở chế độ IPS (Inline mode) để bảo vệ cho các server cung cấp dịch
vụ đặt trong vùng DMZ và vùng server Fram.
- Cấu hình thiết bị ở chế độ IDS (passive mode) để giám sát vùng mạng Internal.
b. Mô hình chi tiết các vùng
- Mô hình triển khai IPS để bảo vệ vùng server farm.
- Cấu hình 2 cặp cổng quang trên 1 thiết bị Sensor 3D3500 hoạt động ở chế độ IPS
(Inline fail-open mode) và đấu nối 2 cặp cổng này xen giữa vào 2 kết nối quang hiện
tại giữa Firewall ASA và Switch 2960G (switch cung cấp kết nối cho các server trong
vùng Server farm) nhằm mục đích bảo vệ các server trong vùng server farm.
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 20 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn

E-Office
Server
Applications
Server
Database
Server
Server Farm
Zone
ASA5580
SW2960G
Sourcefire
3D3500
Inline fail open mode

- Mô hình triển khai IPS để bảo vệ vùng DMZ
Cấu hình 1 cặp cổng quang trên thiết bị Sensor 3D3500 còn lại hoạt động ở chế độ
IPS (Inline fail-open mode) và đấu nối cặp cổng này xen giữa vào kết nối quang hiện
tại giữa Firewall ASA và Switch 2960 (switch cung cấp kết nối cho các server trong
vùng DMZ) nhằm mục đích bảo vệ các server trong vùng DMZ.
Mail
Web
Epay
App
DMZ Zone
ASA5580
Sourcefire
3D3500
Inline fail open mode
SW2960


- Mô hình triển khai IDS để giám sát vùng Inside.
Mail
Web
Epay
App
DMZ Zone
Cty Viễn
thông
TT ĐHTT
Cty Điện
thoại
Inside Zone
ASA5580
E-Office
Server
Applications
Server
Database
Server
Server Farm
Zone
SW7606
Sourcefire
3D3500
Sourcefire
3D3500
Passive mode
Passive mode
SPAN port SPAN port


Cấu hình các cổng đồng, cổng quang còn lại trên các thiết bị Sensor 3D3500 hoạt
động ở chế độ IDS (Passive mode) nhằm mục đích giám sát các vùng mạng, VLAN
trong vùng Inside và đưa ra các báo cáo về tình hình an ninh mạng. Các cổng này
được kết nối đến các cổng SPAN port trên switch.
[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 21 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
- Mô hình quản lý tập trung
Mgt_port
Switch
Mgt_port
Mgt_port
Sourcefire
3D3500
Sensor
Sourcefire
3D3500
Sensor
Sourcefire
DC1500
Management
VLAN

Thiết lập mạng quản lý cho các thiết bị IPS/IDS: Kết nối các cổng mangement trên
các thiết bị Sensor 3D3500 và Sourcefire DC1500 một VLAN quản lý trên mạng. Từ

đây, thiết bị Sourcefire DC1500 có thể quản lý tất cả các thiết bị Sensor 3D3500.

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 22 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
III. TRIỂN KHAI VÀ QUẢN TRỊ CÁC THIẾT LẬP HỆ THỐNG
1. Thiết lập các thông số quản trị cho các thiết bị Sourcefire
2. Active License cho các thiết bị Sourcefire
3. Upgrade cho các thiết bị Sourcefire
4. Cấu hình các thiết lập hệ thống (system settings)
5. Thiết lập quản trị tập trung cho các thiết bị Sourcefire
6. Thiết lập System Policy áp dụng cho các thiết bị
7. Thiết lập Health Policy cho các thiết bị
8. Thiết lập quản lý User
9. Giám sát hệ thống
10. Bộ công cụ hỗ trợ
11. Cấu hình Interface Sets và Detection Engine.



[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 23 Copyright by Tocbatdat Research Manager of I-Train


CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
1. Thiết lập các thông số quản trị cho các thiết bị Sourcefire
a. Cắm cable quản trị cho các thiết bị
- Trên các thiết bị Sourcefire Sensor 3D cổng quản trị là cổng Eth1 nằm phía sau thiết bị.
- Trên thiết bị Sourcefire DC cổng quản trị là cổng Eth1 nằm phía sau thiết bị
- Cable quản trị được đánh dấu rõ ràng và cần phải chuẩn bị trước khi tiến hành lắp đặt
thiết bị
- Chuẩn bị các Cable cắm vào các port sensing như trong mô hình triển khai ở phần trên.
b. Thiết lập các thông số cơ bản cho thiết bị Sourcefire
+ Đặt tên cho thiết bị theo đúng quy hoạch của KHÁCH HÀNGAAA HN.
+ Địa chỉ IP
+ Password quản trị
- Địa chỉ IP mặc định của thiết bị là: 192.168.45.45, truy cập thiết bị qua giao diện web:
bằng cách https://192.168.45.45 User:admin và Password: Sourcefire
Giao diện lần đầu tiên đăng nhập cho phép chúng ta thiết lập lại các thông số cơ bản
cho thiết bị Sourcefire

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 24 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội
Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
- Toàn bộ các thiết bị Sourcefire tại KHÁCH HÀNGAAA Hà Nội được thiết lập các
thông số như trong tài liệu đi kèm về: tên thiết bị, IP, port, user/password đăng nhập
thiết bị cùng một số thông số phụ của thiết bị.

STT
Tên thiết bị
Đặt tên
IP quản trị quy hoạch
1
DC1500
SN: NA


2
3D3500
SN: 3D35-04051201-FA02A


3
3D3500
SN: 3D35-11091106-FA02A



- Sau khi triển khai hoàn tất người quản trị thiết bị Sourcefire của KHÁCH HÀNGAAA
Hà Nội phải thay đổi password mặc định của thiết bị.

[TL: Thiết kế, cấu hình quản trị và giải quyết sự cố khi triển khai Sourcefire IPS]
6, 2012

Page | 25 Copyright by Tocbatdat Research Manager of I-Train

CÔNG TY TNHH I-TRAIN
Địa chỉ: Số 11, ngõ 2, đường Trần Quý Kiên, Cầu Giấy, Hà Nội

Điện thoại: (+84 4) 62-820-238 Fax: (+84 4) 62-511-615 Website: http:// www.i-train.vn
2. Active License cho các thiết bị Sourcefire
a. License Certificate bàn giao cho KHÁCH HÀNGAAA

- Trong License Certifcate này chưa đầy đủ các thông tin cần thiết để Active License cho
các thiết bị Sourcefire tại KHÁCH HÀNGAAA Hà Nội bao gồm:
+ Model sản phẩm
+ Serial Number
+ License Key
+ Activation Key
+ Tên License

Bảng các License cần Active cho các thiết bị
b. Lấy License từ hãng Sourcefire
Truy cập vào website:
Lấy các văn bản License đi kèm với thiết bị để lấy Activation Key rồi điền vào form dưới
đây tại Website. Sourcefire.com sẽ tự động gửi License Key là một file.txt vào mail.

c. Active License cho các thiết bị
Khi có được toàn bộ các File License của các thiết bị, ta tiến hành active license cho các
thiết bị Sourcefire
Truy cập vào các thiết bị thông qua https://ip rồi đăng nhập vào thiết bị. Copy License từ
file mà Sourcefire gửi vào mail rồi Paste vào cửa sổ License (Operations System
Settings  License). Nhấn Submit License để active License cho thiết bị
Note: Có thể active license từ lần đầu tiên Login vào hệ thống. Toàn bộ các thiết bị tại
KHÁCH HÀNGAAA Hà Nội đã được Active License. Tài liệu này cho phép active
license khi cài lại thiết bị.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×