Tìm hiểu về IPS [Archive] - Vietnamese Professional

dangquangminh

09-04-2008, 12:54 AM

Cisco IOS IPS

Các đặc tính của Cisco IOS IPS

Chức năng Cisco IOS IPS cung cấp cho router khả năng xem xét các gói khi các gói này chạy qua router. Nó cũng tìm kiếm bất kỳ traffic nào có dấu hiệu giống như các traffic tấn công hệ thống. Nếu tìm thấy có dấu hiệu tấn công từ các traffic đi vào hệ thống, Cisco IOS IPS sẽ nhanh chóng tương tác và loại bỏ các nguy cơ trước khi nó gây những ảnh hưởng không tốt đến hệ thống. Cisco IOS IPS có thể được cấu hình thông báo một server syslog hay server quản lý bằng các cảnh báo, bằng loại bỏ những gói được so trùng đúng với dấu hiệu tấn công hoặc reset lại kết nối TCP, hoặc kết hợp tất cả các hành động.

Bạn cũng nên chú ý rằng, mặc dù những tính năng này luôn được tích hợp trong hệ điều hành Cisco IOS bằng đặc tính Cisco IOS Firewall, các tính năng mới dựa vào IPS có những đặc điểm nâng cao sau:

• Khả năng lưu trữ các dấu hiệu tấn công mở rộng của Cisco IOS IPS cung cấp hơn 700 dấu hiệu tấn công hỗ trợ trong phần cứng, cho phép bạn có thể bổ sung và chỉnh sửa hoặc có thể tạo những dấu hiệu riêng của mình. Các dấu hiệu mới này có thể được áp dụng mà không cần phải nâng cấp hệ điều hành Cisco IOS.

• Khả năng quét các dấu hiệu song song đồng thời: tất cả các dấu hiệu tđược quét theo kiểu song song chứ không tuần tự.

• Khả năng hỗ trợ ACL extended : hỗ trợ cả các ACL extended đánh số hay đánh theo tên.

Các tấn công nhận dạng bởi các dấu hiệu trong Cisco IOS IPS được chia làm 4 loại:

• Khai thác : một hành động nắm quyền truy xuất vào hệ thống hay các tài nguyên mạng

• Từ chối dịch vụ (DoS) : Hành động gửi một lượng lớn các yêu cầu đến một hệ thống hay các tài nguyên mạng với ý định gây ngưng trệ / làm tổn hại đến các hoạt động bình thường.

• Dò thám : hành động thu nhập thông tin để tập họp dữ liệu trên hệ thống và các tài nguyên mạng và biến chúng thành các mục tiêu cho các tấn công sau này

• Sử dụng không đúng : một hành động làm vi phạm đến chính sách của hệ thống

Bốn loại dấu hiệu trên có thể áp dụng cho các hình thức sau:

• Đơn lẻ: các dấu hiệu đơn lẻ kích hoạt IPS với các mẫu đơn giản luôn là một gói đến một máy nào đó. Những dấu hiệu loại này có xu hướng sử dụng ít bộ nhớ vì IPS không cần thu thấp một lượng lớn dữ liệu.
• Kết hợp: các dấu hiệu kết hợp đòi hỏi IPS thu thập và so sánh nhiều và với số lượng lớn các dữ liệu phức tạp sau đó mới kích hoạt một sự kiện, đây luôn là một tấn công trên nhiều máy, qua một thời gian mở rộng và với nhiều packet được xem xét.

Các chức năng có trong Cisco IOS IPS

Cisco IOS IPS có 2 thành phần chính: signature definition files (SDF) và signature micro-engines (SME).

SDF chứa các định nghĩa các dấu hiệu tấn công và các hành động tương ứng cho mỗi dấu hiệu. File này thường có dạng XML. Cisco IOS IPS tải và dịch các file này trong các cấu trúc dữ liệu bên trong thiết bị với các thông tin cần thiết để có thể nhận dạng mỗi dấu hiệu tấn công. Vị trí của file SDF được định nghĩa trước, có thể nằm trong vùng nhớ Flash của router hoặc trên các server từ xa có khả năng chạy TFTP, FTP, SCP (Secure Copy Protocol), hoặc RCP (Remote Copy Protocol). Các router với phiên bản IOS từ 12.3(8)T trở lên có chứa một file SDF được cấu hình trước tên là Attack-drop.sdf trong hệ thống file Flash, chứa các thông tin mới nhất về các dấu hiệu tấn công và worm phổ biến.

Một SME sẽ tải file SDF và quét các dấu hiệu dưới các điều kiện khác nhau trùng khớp với một mẫu đã định nghĩa sẵn. Cơ cấu SME sẽ lấy các giá trị từ các gói dữ liệu và chuyển sang thành phần regular-expression để xem xét. Cơ cấu này có thể tìm kiếm và so trùng nhiều mẫu đồng thời với nhau. Các phiên bản hiện tại của Cisco IOS IPS 12.3(11)T chứa Atomic.IP, Atomic.ICMP, Atomic.IPOPTIONS, Atomic.UDP, Atomic.TCP, Service.DNS, Service.RPC, Service.SMTP, Service.HTTP, and Service.FTP SMEs. File SDF thông thường chứa các định nghĩa các dấu hiệu tấn công từ một vài lựa chọn trên.

Chú ý:
Cisco IOS phiên bản 12.3(14)T cung cấp nhiều khả năng điều khiển và xem xét, như các tính năng bảo mật ứng dụng cao cấp cho việc sử dụng không đúng port 80 và trong các môi trường sử dụng VoIP.

Các hạn chế của Cisco IOS IPS:
Trước khi cài đặt và cấu hình Cisco IOS IPS, nên xem xét một vài nhân tố:

Bộ nhớ của hệ thống:
Một trong những vấn đề chính liên quan đến số lượng các dấu hiệu có thể tải lên Cisco router đó là lượng bộ nhớ của router dành cho các dấu hiệu này. Một router với 128MB bộ nhớ RAM có thể hỗ trợ 563 dấu hiệu, nếu router này có 256MB RAM, số lượng dấu hiệu tấn công có thể có là 737 dấu hiệu.

Xem xét hình sau:

Dấu hiệu ..........Bộ nhớ MB
Atomic.IP ..........0.004
Atomic.IPOPTIONS ..........0.004
Atomic.ICMP ..........0.005
Atomic.UDP ..........0.006
Atomic.TCP ..........0.05
Service.HTTP ..........0.08
Service.DNS ..........0.006
Service.RPC ..........0.006

Các dấu hiệu tấn công không hỗ trợ:

Cisco IOS IPS ( từ phiên bản Cisco IOS phiên bản 12.3(8)T) sẽ không hỗ trợ các dấu hiệu sau:

- 1100 tấn công dùng IP fragment (attack, atomic)
- 1105 dùng địa chỉ nguồn broadcast (compound/attack)
- 1106 dùng địa chỉ nguồn multicast (compound/attack)
- 8000 file password của FTP (attack/atomic)

Các tính năng CLI không hỗ trợ:

Các hành động Cisco IOS IPS ( như reset lại kết nối TCP ) không còn cấu hình được trên mode giao diện dòng lệnh (CLI). Dấu hiệu này được điều chỉnh trước với các hành động làm hạn chế các tấn công.

Các ứng dụng Cisco IOS IPS

http://www.wimaxpro.org/Hinh_upload/hinh_blog/IPS1.jpg

Hình trên minh họa cách thức Cisco IOS IPS đáp ứng với một tấn công. Khi các traffic có khả năng gây hại được nhận dạng ra, Cisco IOS IPS gửi cảnh báo đến các server syslog và server quản lý và loại bỏ traffic hay reset lại kết nối.

Cấu hình Cisco IOS IPS:
Bạn có thể cấu hình Cisco IOS IPS theo 3 cách:
- Dùng giao diện dòng lệnh (CLI) : Một số câu lệnh cơ bản hỗ trợ Cisco IOS IPS được hỗ trợ trong giao diện dòng lệnh. Tập lệnh này bao gồm cho phép hay không cho phép các dấu hiệu, áp dụng các luật lên giao tiếp cổng, dùng các ACL cho traffic, cài đặt các thông số thông báo, lựa chọn các hệ thống mạng được bảo vệ, tải file SDF, đặt tên cho các chính sách cấu hình.
- Cisco Router and Security Device Manager (SDM): Giao diện Cisco SDM hỗ trợ cấu hình các tính năng IPS như trên, cũng hỗ trợ các tùy chọn quy định hành động của Cisco IOS IPS, chẳng hạn reset lại kết nối, nhân bản hay tạo ra các dấu hiệu nhân dạng tấn công, các chức năng này có thể không được cấu hình trong mode giao diện dòng lệnh.
- CiscoWorks VPN/Security Management Solution IDS Management Center (VMS IDS): VMS IDS phiên bản 2.3 có hỗ trợ Cisco IOS IPS. VMS IDS quản lý Cisco IOS IPS theo cách nó quản lý trên thiết bị Cisco IDS 4200.