Tìm hiểu về mô hình Hostbased IPS.
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.97 MB, 0 trang )
Khoa Mạng máy tính và Truyền thông
Thực hành bài 2
Nhóm thực hiện: (chỉ ghi tên sinh viên tham gia vào bài thực hành)
Nguyễn Thanh Tâm - 12520909
Đặng Thái Hoà - 12520596
Phan Ngọc Đức - 12520079
Lưu ý: sinh viên tải bài thực hành của nhóm lên website môn học.
Thời gian thực hiện bài thực hành: 5 tiết.
Mục tiêu:
- Tìm hiểu về mô hình Host-based IPS.
- Tìm hiểu về sản phẩm Host-based IPS của McAfee
- Áp dụng mô hình Host-based IPS của McAfee vào trong môi trường thực hành.
Bài 1: Mô tả sản phẩm Host-based IPS của McAfee (3 điểm)
1.1 McAfee Host-based IPS là gì? (mô tả sơ lược)
McAfee Host-based IPS là Host IPS: là phát hiện xâm nhập và phòng chống hệ thống dựa trên
máy chủ bảo vệ tài nguyên hệ thống và các ứng dụng từ các cuộc tấn công bên ngoài và nội bộ.
Là một phầm mềm cài trên thiết bị đầu cuối, để bảo vệ thiết bị đầu cuối đó. Nó chỉ có khả năng
bảo vệ các thiết bị đầu cuối (Máy tính) mà nó được cài đặt trên đó.
Có khả năng:
o Ngăn chặn các tác động của Mã độc hại.
o Có khả năng biết được sự khác nhau giữa các sự kiện tấn công và sự kiện bình
thường, ngăn chặn được các cuộc tấn công chưa từng được biết tới.
o Bảo vệ được các lỗ hỏng trong các ứng dụng.
1.2 McAfee Host-base IPS sử dụng các kỹ thuật nào để phát hiện xâm nhập? (chỉ cần
liệt kê)
Host IPS protection
Host IPS policies
Host IPS policy management
Host IPS policy tracking and tuning
1.3 Liệt kê và mô tả sơ lược về chức năng của các thành phần (components) trong hệ
thống McAfee:
1
ePolicy Orchestrator server and repository - Quản lý công cụ để cài đặt phần mềm,
,triển khai chính sách, hoạt động quản lý, tạo các bản báo cáo, lưu trữ và phân phối nội
dung và cập nhật phần mềm.
McAfee Agent - Agent cài đặt một hệ thống quản lý làm việc như một trung gian giữa
Host Intrusion Prevention client , ePolicy Orchestrator server và cơ sở dữ liệu. Agent có
nhiệm vụ gửi dữ liệu cho Client từ Server và ngược lại.
Host Intrusion Prevention extensions - Giao diện quản lý chính sách trong ePolicy
Orchestrator console cài đặt trên Server.
Host Intrusion Prevention client - Thành phần chính cung cấp phần mềm bảo vệ chống
xâm nhập trên máy trạm hoặc Server nơi nó được cài đặt.
Host Intrusion Prevention content updates (IPS protection only) - Cập nhật nội dung
bảo mật, bao gồm những dấu hiệu và những ứng dụng tin cậy, cung cấp thường xuyên
giúp IPS cập nhật bảo mật.
1.4 So sánh sự tương đồng về các thành phần của hệ thống McAfee Host-based IPS và
của một hệ thống Host-base IPS chuẩn:
Một hệ thống Host-base IPS chuẩn gồm có 2 thành phần:
o End-point Agents: Phần mềm được cài đặt trên thiết bị đầu cuối, để bảo vệ
thiết bị đầu cuối đó.
o Cơ sở hạ tầng quản lý: Để quản lý các Agents.
Một hệ thống McAfee Host-based IPS gồm 4 thành phần, cũng được chia vào
2 nhóm như hệ thống Host-base IPS chuẩn:
o End-point Agents: Bao gồm McAfee Agent và Host Intrusion Prevention
client.
o Cơ sở hạ tầng quản lý: ePolicy Orchestrator server và Host Intrusion
Prevention extensions.
1.5 Vẽ mô hình tổng quát của một hệ thống McAfee Host-based IPS. (Bao gồm các
thành phần thiết yếu của 1 )
2
Bài 2: Triển khai mô hình Host-based IPS của McAfee (4 điểm)
(Sẽ được hướng dẫn trong khi thực hành)
2.1 Nêu ra yêu cầu về thành phần cần thiết để chuẩn bị cho việc triển khai hệ thống
McAfee Host-based IPS (Gợi ý: các thành phần nào?; triển khai trên hệ điều hành
nào?)
Máy ảo windows server 2008 R2 dùng để cài server. Máy có cấu hình RAM 2GB và dung
lượng đĩa cứng = 40GB.
Máy ảo windows server 2008 R2 dùng để cài client. Máy có cấu hình RAM 1GB và dung
lượng đĩa cứng vừa đủ sử dụng.
3
Mạng internet.
Phần mềm cài đặt epo server: epo464l.zip.
.Net framework 2.0.
Trình duyệt Firefox
2.3 Vẽ sơ đồ triển khai hệ thống McAFee Host-based IPS trong thực hành (ghi rõ nhiệm
vụ của từng máy trong hệ thống Host-based IPS)
2.3 Nêu ra các bước thực hiện triển khai mô hình McAFee Host-based IPS. (Bao gồm
cài đặt trên server; triển khai tới các agent và các bước cấu hình IPS)
Cài đặt trên server:
4
5
6
7
Cuối cùng nhấp Install để cài đặt.
Triển khai đến Agent và cấu hình IPS
Đăng nhập vào ePolicy
Điền thông tin
8
Menu Software Software manager
9
Cài McAfee Agent
10
Check in Mcafee Host Intrusion Prevention 8.0
11
12
Cài đặt Management Extension.
Chọn Evaluation trong mục Checked In Software. Chọn McAfee Host Intrusion Prevention
8.0. Chọn Management Extension ở phần phía dưới, nhấp Download để tải về.
13
Sau khi tải về, ta chọn Install Extension, chọn đường dẫn tới Extension vừa tải.
14
Nhấp OK để cài đặt
15
16
Triển khai McAfee agent trên máy client
Vào System tree System tree actions New systems
Sau đó điền thông tin vào bảng, nhấp OK để tạo
17
Kiểm tra kết quả cài đặt ở client
18
Server đã đồng bộ với system
Triển khai Host Intrusion Prevention trên máy client
Chọn system cần triển khai, vào Actions Agent Run client task now
Chọn theo hình và nhấn Create New Task
19
Sau khi tùy chọn những thông số thích hợp chọn Run task now
Bài 3: Kiểm tra sự hoạt động của McAfee HIPS vừa được thực hiện. (3 điểm)
3.1 Hãy cho biết McAfee Host-based IPS 8.0 trên Platform Windows có bao nhiêu dấu
hiệu (signatures)?
Có 816 dấu hiệu
20
3.2 Cho biết tên của các dấu hiệu có số id sau đây?
- 993: System Drive Executable Modification
21
- 1001: Windows Agent Shielding – File Modification
- 1003: Windows Agent Shielding - Process Access
22
- 3840: Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution
- 6003: Generic SQL Injection - I
23
3.2 Làm cách nào để chạy (start) và ngưng (stop) dịch vụ HIPS trên các agent.
Chọn Policy Catalog.
Product: chọn Host Intrsion Prevention 8.0:IPS
Category: chọn IPS Option
Sau đó nhấp vào My Default
Để Start HIPS trên Agent ta tích dấu vào dòng Host IPS enable sau đó chọn Save
24
Để stop ta bỏ tick dấu rồi chọn Save
3.2 Làm theo các bước sau:
Bước 1: ngưng (stop) dịch vụ HIPS trên các agent
Bước 2: tạo 1 file bất kỳ trong thư mục
C:\Program Files\McAfee\Host Intrusion Prevention
Việc tạo file có thành công hay không? (không cần trả lời tại sao)
Tạo được file
25
