Quy trình cài đặt và kiểm tra Sourcefire3D
Quy trình cài đặt và kiểm tra Sourcefire3D
Mục Lục
1. Các yêu cầu cần thiết trước khi cài Sourcefire3D
STT Nội dung Ghi Chú
1
1.1. Yêu cầu thiết bị
- Chuẩn bị 01 thiết bị cài được vmware esxi
- Có 03 card mạng với chế độ IPS và 02 card mạng với IDS
- RAM yêu cầu 8Gb
- CPU 3.0 trở lên
- Bộ nhớ ngoài (HDD): tối thiểu 160GB
- Nguồn điện hỗ trợ: 100-240V
- Dây mạng theo chuẩn có bấm đầu mạng
2
1.2. Đánh giá và chuẩn bị môi trường cài đặt
- Môi trường phù hợp vmware esxi
- Phải đủ các điều kiện phần cứng như trên
- Đánh giá yêu cầu đặt thiết bị Sensor
3
1.3. Chuẩn bị phần mềm
- Chuẩn bị phần mềm Sourcefie3D sensor
- Phần mềm có bản quyền
2. Thông tin cơ bản về Sourcefire3D Sensor
STT Nội dung Ghi chú
1
2.1. Phạm vi Sourcefire:
- Vận hành và quản trị đối với hệ thống IPS/IDS áp dụng cho vùng
DMZ, ServerFarm, hệ thống cần giám sát
- Thiết kế hệ thống IPS giúp phát hiện và ngăn ngừa các cuộc tấn
công, các nguy cơ tiềm ẩn về an toàn bảo mật thông tin… từ bên

ngoài vào vùng DMZ hoặc Server Frame
- Phát hiện và đưa ra các báo cáo về các cuộc tấn công, các
nguy cơ bảo mật, lỗ hổng an ninh… của các server, dịch vụ của
các VLAN giám sát.
Quy trình cài đặt và kiểm tra Sourcefire3D
- Phát hiện các cuộc tấn công, các nguy cơ bảo mật.Từ người dùng
đưa ra những cảnh báo những vi phạm về chính sách bảo mật.
Những vi phạm này có thể là: một cuộc tấn công nguy hiểm xảy ra,
một sự cố liên quan tới một máy chủ hay một dịch vụ.
2
2.2. Mô hình điển hình của Sourcefire:
- Sourcefire Khi triển khai vào hệ thống có thể hoạt động Inline (IPS)
hoặc Passive (IDS), để có thể phát hiện và ngăn chặn các cuộc tấn
công hay các nguy cơ an ninh mạng.
- Các Event của các Sensor sẽ được chuyển về thiết bị quản lý tập
trung.
3
2.3. Nguyên lý hoạt động của Sourcefire:
a. Nguyên lý chung:
- Interface Sets: Interface Sets được tạo ra có ở hai mode Passive và
Inline
- Detection Engine: làm nhiệm vụ thực thi Monitoring trên Interface
Sets (như những người gác cổng).
- Policy: Là chính sách áp dụng cho các loại Detection Engine.
b. Giải thích:
- Step 1: Các port sensing trên thiết bị Sourcefire 3D Sensor được
nhóm lại thành: Interface Sets. Mô hình trên là tạo ra Interface Sets
ở dạng Inline mode.
- Step 2: Trên các interface sets này tạo ra các Detection Engine với
chức năng giám sát.

- Step 3: Để các Detection Engine hoạt động cần phải xây dựng chính
sách thiết lập để áp dụng cho các Detection Engine này.
- Step 4: Khi Detection Engine có các hành động block traffic hay
phát hiện ra các nguy cơ an ninh sẽ đưa ra các Event.
c. Nguyên lý phân tích gói tin
- Khi gói tin được capture bởi thiết bị Sourcefire gói tin đó sẽ được:
+ Decode bởi thành phần Decoders của Sourcefire
+ Sau đó gói tin sẽ được chuyển vào quá trình Preprocessors
+ Gói tin sẽ được so sánh với tập Rules được sử dụng
+ Quá trình đó sẽ đưa ra được một cơ sở dữ liệu về các Event
+ Các Event đó có thể được lọc ra thành các dạng Event khác nhau.
- Nội dung của event:
+ Time: Thời gian chính xác của event
+ Priority: Mức độ ưu tiên(High, Normal, Low)
+ Detection Engine: Tên của Detection Engine sinh ra Event
+ Protocol: Giao thức được sử dụng event
+ Source IP: Địa chỉ IP nguồn của gói tin
+ Destination IP: Địa chỉ IP đích của gói tin
+ Source User: Source User sinh ra Event
+ Destination User: Destination User sinh ra Event
Quy trình cài đặt và kiểm tra Sourcefire3D
+ Message: Tên của Event
+ Classification: Event được sinh ra với các Rule thuộc nhóm nào
+ Count: Số lượng Event xảy ra
4
2.4. Nguyên tắc quản trị
- Quản trị qua giao diện Web (HTTPS) cho phép cấu hình, xem trạng
thái, log, report
- User root: là user quyền cao nhất trong hệ điều hành của Sourcefire
- User admin: là user có quyền cao nhất trong giao diện Web, có đầy

đủ các quyền để cấu hình Sourcefire hỗ trợ trên nền Web
- User khác: có thể gán vào các group để phân quyền.
- Người quản trị thiết bị cao nhất đề xuất quản lý User: root và
Admin.
- Những người quản lý một vùng mạng muốn xem các Report và
trạng thái thiết bị sử
- dụng User bình thường được tạo ra khi cấu hình thiết bị.
5
2.5. Nguyên tắc tích hợp IPS/IDS
- Tích hợp các thiết bị Sourcefire vào vùng mạng Management: Vùng
mạng Management tạo ra một VLAN mới cho phép ra Internet, cắm
các port management của thiết bị Sourcefire vào các port đã được
phân hoạch.
- Tích hợp tính năng IDS vào vùng chỉ cần tính năng giám sát: Do
tính năng IDS không gây dán đoạn đối với hệ thống khi triển khai
nên có thể triển khai vào thời gian sau giờ làm việc. Cắm các port
Sensing của thiết bị Sourcefire 3D Sensor vào các port đã được phân
hoạch trên các thiết bị Cisco. Thiết lập Span port cho các port đó
trên thiết bị Cisco để các luồng giao tiếp sẽ được đẩy qua port này.
3. Triển khai và quản trị các thiết lập hệ thống
STT Nội dung Ghi Chú
1
3.1. Thiết lập các thông số quản trị cho các thiết bị Sourcefire
- Cắm cable quản trị cho các thiết bị
 Trên các thiết bị Sourcefire Sensor 3D cổng quản trị là cổng Eth1
nằm phía sau thiết bị.
 Trên thiết bị Sourcefire cổng quản trị là cổng Eth0 nằm phía sau
thiết bị
 Cable quản trị được đánh dấu rõ ràng và cần phải chuẩn bị trước
khi tiến hành lắp đặt thiết bị

 Chuẩn bị các Cable cắm vào các port sensing như trong mô hình
triển khai ở phần trên.
Quy trình cài đặt và kiểm tra Sourcefire3D
- Thiết lập các thông số cơ bản cho thiết bị Sourcefire
 Đặt tên cho thiết bị theo đúng quy hoạch
 Địa chỉ IP
 Password quản trị
 truy cập thiết bị qua giao diện web: bằng cách https://IP
User:admin và Password: Sourcefire
 Sau khi triển khai hoàn tất người quản trị thiết bị Sourcefire phải
thay đổi password mặc định của thiết bị.
2
3.2. Active License cho các thiết bị Sourcefire
- License Certificate
 Trong License Certifcate này bao gồm:
+ Model sản phẩm
+ Serial Number
+ License Key
+ Activation Key
+ Tên License
- Active License cho các thiết bị
 Truy cập vào các thiết bị thông qua https://ip rồi đăng nhập vào
thiết bị. Copy License từ file mà Sourcefire gửi vào mail rồi Paste
vào cửa sổ License (Operations> System Settings > License).
Nhấn Submit License để active License cho thiết bị
 Có thể active license từ lần đầu tiên Login vào hệ thống
3
3.3. Upgrade cho các thiết bị Sourcefire
- Sourcefire cho phép Update tự động hoặc do người quản trị
upload gói update download từ trang support của Sourcefire (Người

quản trị có thể yêu cầu nhà phân phối cung cấp các bản cập nhật này,
Account đăng nhập vào trang support chỉ cung cấp khi khách hàng đã
tham gia và có chứng chỉ về khóa học do hãng Sourcefire cung cấp).
- Toàn bộ quá trình update này được thực hiện tự động 1 lần/ngày. Nên
thực hiện vào khoảng thời gian từ 0-5 giờ sáng.
- Thiết lập Update tự động cho các thiết bị:
 Vào thiết bị Sourcefire. Operations > Tools > Scheduling >Add
Task
 Lựa chọn chạy tự động hàng ngày, thời điểm chạy
4
3.4. Thiết lập System Policy áp dụng cho các thiết bị
- System Policy có thể được thực hiện giám sát và thay đổi các thông số
tại phần System Policy.
- Mức độ ảnh hưởng của System policy tùy thuộc vào các cấu hình và
áp dụng cho các thiết bị.
- Người quản trị cần phải giám sát các chính sách được thiết lập đã
Quy trình cài đặt và kiểm tra Sourcefire3D
đúng chưa và áp dụng cho các thiết bị có phù hợp hay không.
- Tạo ra một System Policy mới
- Sau khi tạo ra một System Policy người quản trị có thể apply policy
đó cho toàn bộ các thiết bị Sourcefire
5
3.5. Thiết lập quản lý Users
- Người quản trị hệ thống Sourcefire IDS/IPS có thể tạo ra nhiều User
với những vai trò khác nhau cho từng User.
- Tránh việc gán quyền dư thừa không cần thiết cho User gây ảnh
hưởng về công tác bảo mật cho hệ thống
- Người quản trị cần tạo ra các User chỉ có khả năng xem các Event và
không có quyền thay đổi hệ thống để cho người phân tích các Event
có thể truy cập.

6
3.6. Giám sát hệ thống
- Giám sát chung
 Hiệu năng của thiết bị có thể được giám sát Real-time tại giao diện
giám sát chung hoặc được giám sát theo tuần, theo ngày hoặc theo
giờ đã đã qua
 Từ kết quả này nếu Performance gần chạm tới tới hạn của thiết bị
người quản trị vận hành cần phải nghĩ tới việc nâng cấp thiết bị
hoặc giảm thiểu các truy cập bằng các thiết lập mạng khác.
 Vào thiết bị SourceFire >Operations > Monitoring >
Performance rồi lựa chọn thiết bị muốn xem.
- Giám sát trạng thái của các thiết bị
 Người quản trị cũng cần thường xuyên giám sát các tác vụ đang
thực thi, để kiểm tra xem có tác vụ nào bị Fails không thực hiện
được hay không để từ đó đưa ra các quá trình Troubleshooting cho
phù hợp
- Giám sát Health của hệ thống
 Người quản trị hàng ngày cần phải kiểm tra tình trạng hoạt
động của các thiết bị Sourcefire. Giám sát Health của hệ thống
đảm bảo các thiết bị đều hoạt động và ở mức độ cho phép (theo
thiết lập default của hãng)
 Health policy mặc định được áp dụng cho tất cả các thiết bị, ngoài
ra người quản trị có khả năng thay đổi các thông số sao cho phù
hợp. (Ví như khi thiết bị Sourcefire hoạt động hơn 90% CPU thì
cảnh báo).
7
3.7. Cấu hình Interface Sets và Detection Engine
a. Cấu hình Interface Sets
- Interface Sets là nhóm các Port Sensing trên thiết bị Sourcefire 3D
Sensor. Người quản trị có thể nhóm các Interface lại thành một

Interface Sets.
- Interface Sets có các dạng như:
Quy trình cài đặt và kiểm tra Sourcefire3D
+ Passive – thực hiện hoạt động IDS
+ Inline – Thực hiện hoạt động như IPS
- Trên SourceFire thực hiện: Operations > Detection Engine >Interface
Sets. Lựa chọn tên, loại và tạo ra trên thiết bị Sourcefire 3D Sensor
nào.
b. Cấu hình Detection Engine
- IPS Detection Engine cho phép phát hiện và ngăn chặn các cuộc tấn
công mạng
- Mỗi Interface Sets có thể tạo ra nhiều loại Detection Engine giám sát.
- Detection Engine là các engine có chức năng giám sát trên Interface
Sets, người quản trị có thể giám sát xem các Detection Engine được
áp dụng đúng trên các Interface Sets hay chưa.
- Detection Engine có thể được người quản trị thay đổi
8
3.8. Quản trị các thiết lập về chính sách
a. Quản trị IPS
- Quản trị Intrusion Policy
 Intrusion Policy là chính sách được áp dụng cho một hoặc nhiều
Detection Engine. Intrusion policy thiết lập các thông số:
+ Tên của Policy
+ Policy này được áp dụng cho thiết bị Sensor nào hay Detection
Engine nào chịu ảnh hưởng trực tiếp từ chính sách nay.
+ Tại Policy này với bao nhiêu Rule cấu hình Enable và có bao
nhiêu Rule ở chế độ: Chỉ cảnh báo (Generate Events) và ngăn
chặn/cảnh báo (Drop and generate event).
 Có sẵn 3 mức độ cho người quản tri lựa chon khi cấu hình chính
sách (High) Security over connectivity; (Lower) Connectivity over

security; và (Normal) balanced security and connectivity
 Người quản trị có thể xem và thay đổi các Detection Engine chịu
chính sách này.
 Người quản trị có thể tinh chính các biến cho các rules hoạt động
một cách hiệu quả nhất từ các thay đổi va định nghĩa mới Variable
 Toàn bộ rule của Sourcefire là khoảng trên 20.000 Rules đuợc
update thường xuyên qua đặt tự động.
 Mỗi Policy Intrusion áp dụng cho mỗi Detection Engine chúng ta
có thể áp dụng những Rules được Enable/Disable khác nhau.
 Ngoài các rule được enable và disable mặc định người quản trị cần
phân tích tình hình để có thể bật tắt các rule sao cho đáp ứng yêu
cầu về bảo mật của hệ thống.
 Sau một loạt các thiết lập người quản trị cần phải “Commit
Changes” để đồng ý và lưu cấu hình cho Intrusion policy.
b. Rule Editor
- Mặc định Sourcefire có khoảng trên 20.000 Rules nhưng người quản
trị hoàn toàn có thể thêm các Rule mới vào đảm bảo các chính sách
bảo mật cho hệ thống của mình.
c. Quản trị chính sách bảo mật
Quy trình cài đặt và kiểm tra Sourcefire3D
- Chính sách bảo mật hay Policy Compliance được áp dụng cho hệ
thống Sourcefire nhằm phát hiện và cảnh báo các vi phạm về bảo mật
trong hệ thống mạng.
d. Rule Management
- Người quản trị sử dụng Rule management để quản lý các Rule để phát
hiện các vi phạm chính sách bảo mật cũng như các nguy cơ cần cảnh
báo.
- Từ đây người quản trị có thể tạo mới chỉnh sửa, xóa các rule
e. Policy Management
- Policy Management cho phép tạo ra một chính sách sử dụng một số

rule có sẵn hoặc do người quản trị tạo ra áp dụng cho thiết bị
Sourcefire phát hiện ra các vi phạm về bảo mật. Policy sử dụng
Response để đưa ra các cảnh báo khi có vi phạm về bảo mật
- Người quản trị có thể xem các policy, kiểm tra hay thay đổi cấu hình
của các policy này.
9
3.9. Phân tích events
- Phân tích và tạo ra report là một trong các công việc quan trọng nhất
của người vận hành và quản trị hệ thống IDS/IPS
- Các report tạo ra mặc định và thường xuyên được theo dõi đã được tạo
ra bởi report vềbáo cáo
- Event Summary:
 Event Summary là tổng hợp các Event liên quan tới hệ thống
Sourcefire như:
+ Intrusion Event
+ Event được phân tích dựa trên bảng biểu
+ Event được theo dõi theo trình tự
 Người quản trị hàng ngày cần theo dõi Event Summary này để
giám sát hoạt động của hệ thống.
- Drashboard:
 Người quản trị có thể theo dõi các thông tin chung nhất về hệ
thống qua Drashboard
- Phân tích Event về IPS:
 Intrusion Event được thiết kế và thực hiện chi tiết tại tài liệu thiết
kế Report.
 Intrusion Event liên quan toàn bộ các Event về IPS, người quản trị
có thể kiểm tra theo dõi số lượng Event theo:
+ Theo thời gian
+ Theo Detection Engine
+ Có thể lọc theo nhiều lựa chọn khác nhau

4. Hướng dẫn cài đặt sourcefire 3D và cấu hình kết nối
ST
T
Nội dung Ghi Chú
Quy trình cài đặt và kiểm tra Sourcefire3D
1
4.1. Thông tin lưu ý trước khi cài đặt
- Thay đổi địa chỉ MAC quản tri: 00:50:56:00:25:01
- Chuẩn bị gói cài Sourcefire 3D
- Network connection: Bridged
- Nên đặt 3 card mạng trở lên.
 Card 01: monitoring
 Card 02: sensing
 Card 03: sensing
2
4.2. Quá trình cài đặt và cấu hình
1. Chọn “yes” bước đầu tiên
2. Chọn lựa chọn “no”
3. Bước 3
4. Hoàn thành quá trình cài đặt
5. Đăng nhập user, password mặc định của hãng Sourcefire
- Khi đăng nhập với quyền admin
 User: admin
 Pass: Sourcefire
- Khi đăng nhập với quyền admin mới có thể nâng quyền lên root
 User: root
 Pass: Sourcefire
6. Đăng nhập vào giao diện https://IP
Quy trình cài đặt và kiểm tra Sourcefire3D
7. Cấu hình interface set

8. Cấu hình detection Engine
9. Tạo policy
Quy trình cài đặt và kiểm tra Sourcefire3D
3
4.3. Áp đặt luật lên Policy
- Trong Policy có rất nhiều rule với các thành phần và chức năng khác
nhau tùy vào mục đích của người quản trị cần giám sát hệ thống:
- Rule có 3 mức :
 Generate event: bật rule với tính năng này phục vụ cho IDS là
chính
 Drop and Generate event: bật tính năng này nhằm ngăn chặn và
phát hiện sự kiện phục vụ chính khi sử dụng ở chế độ Inline cua IPS
 Disable: Tắt rule khi không cần rule này nưa
Hình ành minh họa
4
4.4. Cấu hình kết nối Sourcefire3D Sensor với Sourcefire DC
- Cấu hình trên Sensor: hai bên để giao tiếp được nhau phải cấu hình
thông nhau.
- Cấu hình trên DC
Quy trình cài đặt và kiểm tra Sourcefire3D
5
4.5. Cấu hình kết nối SourcefireDC với Arcsight
- Cấu hình trên SourcefireDC
 Hostname: địa chi IP Arcsight
 Password: mật khẩu
- Cấu hình trên Arcsight
Bước 1:
Bước 2:
Quy trình cài đặt và kiểm tra Sourcefire3D
Bước 3:

5. Giải quyết sự cố
ST
T
Nội dung Ghi Chú
1 Khi triển khai IPS dạng Inline đôi khi có thể xảy ra một vài sự cố liên quan tới
việc chặn nhầm các dịch vụ đang hoạt động.
Khi có sự cố xảy ra người quản trị cần làm theo các bước sau:
Bước 1: Tìm các Event liên quan tới dịch vụ bị block
Bước 2: Xác định rule block
Bước 3: Thiết lập lại rules trong Intrusion Policy.
- Edit Intrusion Policy
- Tìm rules name trong mục filter
Bước 4: Phân tích nguy cơ khi disable rule đó trong Intrusion Policy.
2 Trong quá trình cài đặt cần kiểm tra những thông tin sau:
- Dùng dây mạng đảm bảo chất lượng
- Interface đã được map đúng chưa
- Dùng wireshark bắt gói tin thử xem traffic đã có chưa nếu xác định rõ
là có rồi mới khoanh vùng xử lý đến sourcefire
- Đặt những luật đơn giản kiểm tra hoạt động của Sourcefire như rule
bắt gói tin lệnh Ping ICMP, bắt truy cập gói tin thông qua giao diện
Quy trình cài đặt và kiểm tra Sourcefire3D
web http.
- Trong quá trình cài đặt Sourcefire có gì mắc lỗi không
- UBHN có một lỗi không cài được sourcefire là do định dạng ổ cứng ảo
phải đặt ở IDE (đây là chú ý với một số máy ảo )