Diệp Bảo Khánh Vi
Phạm Thành Nhân

I. Giới thiệu về CSMars


1. Phần mở đầu

Trong mạng lưới môi trường an ninh mạng ngày nay, có một loại bệnh đang tồn tại. Nhiều công ty hiểu rằng họ cần các thiết bị an ninh để bảo vệ chúng từ mạng lưới dựa trên các cuộc tấn công. Vấn đề là vì các thiết bị an ninh đã được triển khai, tập đoàn đặt niềm tin mù quáng vào những gì mà họ đang làm và cho rằng mối đe dọa đang được ngừng lại. Đây là sai lầm lớn nhất trong mạng lưới an ninh thế giới ngày hôm nay. Tin tặc, tất nhiên, biết được điều này và thiết kế để tấn công phá hoại những dụng cụ bảo mật hiện có bằng cách sử dụng các giao thức và các gói tin hợp lệ.

Doanh nghiệp và các tập đoàn nhận thấy là ngay bây giờ để thực sự cung cấp một cách hiệu quả việc bảo vệ mạng lưới của họ, họ cần phải thực hiện bước tiếp theo và kiểm tra chặt chẽ mạng lưới cơ sở hạ tầng, máy chủ, ứng dụng, và các sự kiện an ninh để xác định xem liệu có một cuộc tấn công khai thác các thiết bị của họ trên mạng.

Giám sát an ninh của Cisco, phân tích, và đáp ứng hệ thống (Cisco Security Monitoring, Analysis, and Response System-CSMARS) là một thiết bị mạng mà an ninh được triển khai chặt chẽ hơn và cung cấp các hệ thống tự động nhận biết và giảm thiểu mối đe dọa đến an ninh hiện có và triển khai mạng lưới. Trong gần như tất cả các trường hợp, các doanh nghiệp sẽ nhận thức được việc tiết kiệm chi phí đáng kể và sự thay đổi mạnh mẽ hiệu quả của an ninh bằng việc triển khai CS-Mars.

vThuật ngữ: CSMARS phân biệt các event, session and incident.





Event: những thông điệp còn sơ sài (ví dụ: IDS, firewalls logs) gửi đến thiết bị bởi các thiết bị báo cáo








Session: hàng loạt các event mà chia sẻ những thông tin thông thường end-to-end (IPđích, cổng đích, IP nguồn, cổng nguồn và giao thức)








Incident: hàng loạt các session mà phù hợp với một rule được xác định




vCông nghệ: có ba công nghệ chính:

o Correlation: hiệu suất cao trong việc thống nhất giữa hai giai đoạn tương quan và những rule linh hoạt cho các phân tích incident và giảm thiểu:

-Hồ sơ của mạng lưới giao thông (lưu lượng net) và phát hiện những gì bất thường

-Tương quan các event với session

-Áp dụng các tương quan của rule vào session để xác định incident

o Phân tích Vector: thực hiện các loại hình phân tích:

-Phân tích các incident để xác định các mối đe dọa hợp lệ

-Phân tích đường dẫn

-Phân tích tính nguy hiểm cho các máy bị nghi ngờ

-Quét những tương quan có tính chất nguy hiểm

o Giảm thiểu: thực hiện và xây dựng chuyên môn để nhận ra và đề nghị giảm thiểu cho các cuộc tấn công trước khi chúng có thể phá hủy toàn bộ mạng lưới:

- Khám phá tối ưu "choke point" (ví dụ: gần nhất lớp 2 switchport).Đề nghị các lệnh giảm thiểu và đẩy mạnh việc xác nhận bởi người sử dụng


-Thông báo cho người sử dụng về việc thay đổi cấu hình

-------------------------------------------------------------------------------------------------------------------Còn tiếp

2. Quy trình lưu lượng của CSMARS

http://img199.imageshack.us/img199/7051/79395202.jpg (http://img199.imageshack.us/i/79395202.jpg/)
Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập các sự kiện còn sơ xài,từ đó giảm thiểu được sự tấn công.Quy trình có thể được mô tả như sau:
-Bước 1:Thiết bị này này phải bắt đầu với nhận thức đầy đủ về mô hình của mạng lưới. Nó dùng thông tin cấu hình đã hoàn tất từ router và switch, máy chủ và các máy vi tính khác, cùng với các thông tin từ các thiết bị an ninh để xây dựng một hình ảnh đầy đủ của mạng lưới.

-Bước 2: Không chỉ các thiết bị an ninh (tường lửa và IDS) mà các thiết bị mạng (router và switch) và hệ thống cuối (server) gửi logging và mạng lưới thông tin. Thiết bị MARS cũng có thể thu thập dữ liệu của Cisco IOS NetFlow từ router và switch, làm cho hiệu suất mạng và tính toán các dữ liệu sẵn có để hội nhập với các sự kiện dữ liệu. Dữ liệu NetFlow có thể xác định các mạng lưới giao thông bất thường - đột ngột thay đổi trong mức độ lưu lượng.

-Bước 3: Sessionization dùng các nhận thức về mô hình của mạng lưới để kết hợp nhiều sự kiện vào end to end session.

-Bước 4: Session-Based Active Correlation, sử dụng bằng cách gắn liền các rule do người sử dụng xác định, tương quan thông tin những session với dữ liệu NetFlow để xác định các ứng viên có tiềm năng cho việc hoàn thành mạng lưới tấn công, gọi tắt là incident

-Bước 5: CSMARS appliance performs automatic vulnerability assessment, which uses information about end system to identify false positive, building rules to reduce future analysis and processing of candidate incidents. Thiết bị CSMARS tự động thực hiện các hành động được đánh giá mang tính chất nguy hiểm, nó sử dụng các thông tin về kết thúc hệ thống để xác định false-positive, xây dựng các rule để giảm bớt quá trình phân tích trong tương lai các ứng viên của incident.

-Bước 6: Thông báo cho các nhà điều hành về những incident thực tế và các hướng dẫn để giảm thiểu.

-Bước 7: Xác định xem chúng có thực sự là incident hay là false-positive. Với một quyết định, người dùng có thể phân loại false-positive và nhanh chóng giảm số lượng các báo cáo incident.

-------------------------------------------------------------------------------------------------------------------Còn tiếp

bài viết hay quá anh Tuấn ơi. Em đang tìm hiểu nè, anh Post tiếp nha.

Thanks anh.

3. Lựa chọn các thiết bị để giám sát

Tất cả các chiến lược giám sát bao hàm việc lựa chọn các loại thiết bị theo dõi giám sát và có bao nhiêu dữ liệu để cung cấp thiết bị MARS. Tất cả các thiết bị trên mạng lưới của bạn là máy, gateway, thiết bị an ninh, hoặc máy chủ, cung cấp một số cấp độ dữ liệu mà Mars có thể sử dụng để nâng cao tính chính xác của nhận dạng an ninh về incident. Tuy nhiên, cân nhắc cẩn thận về những dữ liệu để cung cấp có thể cải thiện việc xác định thời gian phản hồi của sự tấn công bằng cách đảm bảo rằng Mars không thực hiện việc phân tích tương quan sự kiện là cần thiết hay dư thừa. Đăng nhập không cần thiết và báo cáo bởi thiết bị báo cáo cũng có thể làm giảm hiệu quả của mạng lưới.

Bảng xác nhận thiết bị loại, mô tả những thông tin nào chúng có thể cung cấp, và đề xuất cấu hình như thế nào cho các thiết bị trong mạng của bạn.

http://img39.imageshack.us/img39/2748/21992956.jpg (http://img39.imageshack.us/i/21992956.jpg/)
http://img89.imageshack.us/img89/2217/88989232.jpg (http://img89.imageshack.us/i/88989232.jpg/)
http://img197.imageshack.us/img197/8206/26769073.jpg (http://img197.imageshack.us/i/26769073.jpg/)
---------------------------------------------------------------------------------------------------------------------Còn tiếp

4. Thông tin liên lạc CSMARS

Thiết bị Mars là một thiết bị thụ động trừ việc nhận biết, giảm thiểu hoặc các hoạt động điều tra được kiểm soát hoặc một thiết bị yêu cầu phải đăng nhập để nhận được các thông số tương ứng. Nó dùng một loạt các phương tiện để nhận được các log, khám phá mô hình mạng, và giảm thiểu mối đe dọa và cảnh báo các quản trị viên.

v CSMARS nhận log bằng cách sử dụng các giao thức: syslog, SNMP traps HTTP hay HTTPS và SDEE (cho IPS).

v CSMARS khám phá mô hình mạng thực hiện các công việc bằng cách sử dụng những giao thức này: SNMPv1 (read only access được yêu cầu), telnet, SSH hoặc FTP và SDEE, vv.

v CSMARS thực hiện giảm thiểu bằng cách sử dụng những giao thức này: telnet, SSH, SNMPv1 (write access được yêu cầu).

v CSMARS cảnh báo các quản trị viên bằng cách sử dụng những giao thức: E-mail, SNMP trap, syslog, pager, SMS

5. Các tính năng và lợi ích của CSMARS

-Mạng thông minh tập hợp sự kiện: có được mạng lưới trí tuệ bởi sự hiểu biết các mô hình và cấu hình thiết bị router,switch và tường lửa trong hồ sơ mạng lưới giao thông

-Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình huống bằng cách đó đã làm giảm đáng kể dữ kiệu sự kiện sơ sài, tạo điều kiện ưu tiên việc đáp ứng, và tối đa các kết quả từ triển khai biện pháp đối phó

-Tập hợp hiệu suất cao và củng cố: Mars, giải pháp lấy được hàng ngàn nguyên sự kiện, sắp xếp các incident một cách hiệu quả với việc giảm thiểu những dữ liệu chưa từng có, và cô đọng lại thông tin này. Quản lý khối lượng sự kiện an ninh cao, đòi hỏi một sự an toàn và ổn định về nền tảng logging.

-Xác định Incident: CsMars giúp đẩy nhanh và đơn giản hóa quá trình xác định mối đe dọa, điều tra, xác nhận và giảm thiểu

-Tác dụng của đòn bẩy giảm thiểu với tự động giảm thiểu: có khả năng xác định điểm cốt lõi thiết bị tấn công theo đường dẫn và tự động cung cấp các thiết bị thích hợp lệnh mà người sử dụng có thể sử dụng để giảm thiểu các mối đe dọa

-Điều tra thời gian thực và theo đúng báo cáo

-Triển khai nhanh chóng: Mars được đặt trên một TCP / IP nework, nơi nó có thể gửi và nhận các syslog, SNMP traps, và thiết lập bảo mật các session và triển khai với mạng lưới và an ninh thông qua các thiết bị đạt tiêu chuẩn an toàn hoặc các nhà cung cấp giao thức cụ thể:

-Mở rộng quản lý: cung cấp một cái nhìn toàn bộ doanh nghiệp, phổ biến các quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, và các mẫu báo cáo, điều tra và phối hợp phức tạp với việc làm tăng nhanh các query and report.
---------------------------------------------------------------------------------------------------------------------Còn tiếp

nữa đi bác ơi heheheh bài viết đang hay mà ...

6. CSMARS triển khai các tùy chọn

CSMARS phân phối kiến trúc phụ thuộc vào kích thước và yêu cầu của một mạng lưới. Các thiết bị có thể được triển khai như sau


oChế độ Standalone: Đây là trung tâm quản lý thông qua một trang web an toàn dựa trên giao diện hỗ trợ rule theo quản trị viên. Quản lý của các thiết bị báo cáo, query, rule và report được thực hiện trên thiết bị này. Khi CSMARS trong chế độ standalone liên lạc với các CSMARS Global Controller, các chế độ thiết bị thay đổi thành CSMARS Local Controller

oCSMARS Local Controller: CSMARS Local Controller triển khai tương tự như với standalone được mở rộng khả năng giao tiếp với các CSMARS Global Controller.

oCSMARS Global Controller: Đây là một thiết bị giao tiếp với một hoặc nhiều LC,cho phép hoạt động ở trung tâm và quản lý của LC trong CS-Mars được phân phối triển khai. Điều quan trọng cần lưu ý rằng các GC hiện không tiến hành trên toàn cầu của tất cả các dữ liệu LC tương quan.
Giao tiếp giữa LC và GC xảy ra thông qua HTTPS.CS- Mars LC gửi tổng kết snapshots của các dữ liệu vào GC. Vì vậy, tất cả các dữ liệu vẫn còn nguyên trên LC. Khi bạn bấm vào các dữ liệu trong GC, một session HTTPS mới được mở cho LC, sau đó bạn sẽ xem các dữ liệu trên LC. Tất cả quản lý hoặc lệnh của quản trị viên gửi từ GC cho LC được thực hiện thông qua các thông tin liên lạc HTTPS.

Phần sau "Rules"

Hay wa'''. Tiếp đi anh uiiii

II. Rules


1.Khái niệm

Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hành động. Các hành động khác nhau từ việc tạo Incident và False-positive để tạo ra e-mail thông báo Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một Incident được tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động. Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặc phức tạp hơn là đặc điểm các hành động chẳng hạn như một máy Server kết nối với máy Client thông qua các Port và sau đó gửi đến những hành động đó trên mạng lưới.

2.Các lại Rules

Trong CS-Mars, Rules và Reports về cơ bản là cùng một cấu trúc, sự khác biệt là chúng có mục đích và kết quả khác nhau. Queries là nền tảng cho Rules và Reports. Queries được sử dụng để lọc các tiêu chuẩn cho việc xác định những dữ liệu của một Report hoặc cho phù hợp với một Rule để có những hành động thiết thực. Một hành động mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng. Để kích hoạt các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của Rules.


Có 2 loại Rules:

Inspection rules
Drop rules

2.1 Inspection Rules:
Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho một Incident được tạo ra và xử lý chúng. Hành động mặc định cho một Inspection Rule là tạo ra một Incident ID, mỗi ID là một số duy nhất để định dạng các dữ liệu mà cụ thể ở đây là kích hoạt các Rules. Việc tạo ra các Incident ID này dẫn đến việc đẩy mạnh sự hình thành của sự kiện. Inspection Rules có 2 dạng: System Rules và User DefinedRules. Để xem các Inspection Rules: Tab Rules > Inspection Rules

2.1.1 System Rule:
Những Rules đã được xác định trước trong CS-Mars. System rules dễ dàng được nhận ra bởi một quy ước đặt tên duy nhất. Tên của System Rules bắt đầu bằng chữ "System Rule:" và sau đó sẽ được nối với tên Rule. Hơn 120 System Rules được xây dựng sẵn vào CS-Mars. Những Rules này có thể được sửa đổi chút ít bằng cách thay đổi các thuộc tính sau:
v Action
v IP Source
v IP Destination
v Thiết bị
Không có thuộc tính System Rules khác có thể được sửa đổi. Nếu muốn thay đổi các thuộc tính khác, có thể vào Tab Duplicate, System Rules và sửa đổi tất cả các thuộc tính trong những Rules mới được sao chép.

2.1.2 User Defined Rules:
Rules do người dùng tạo ra trên CSMARS. Những Rules này được gán với tên chính xác và xuất hiện theo thứ tự chữ cái trên trang Inspection Rules

2.2 Drop Rules
Drop Rules là điều kiện phải được đáp ứng cho một hành động sẽ được thực hiện. Những hành động có thể làm như bỏ dữ liệu hoàn toàn từ DataBase hoặc chặn dữ liệu đến DataBase nhưng không cho phép sử dụng dữ liệu trong một Incident. False-Possitive( cảnh báo sai) điều chỉnh cho phép chỉnh các Rules cho việc xác định False-Possitive. Hành động mặc định cho Rule này là tạo ra một hệ thống xác định False Possitive. Để xem các Drop Rules, để xem các Drop Rules có thể vào Tab Rules > Drop Rules.
Có thể điều chỉnh tùy theo những lý do khác nhau. Một số phương pháp chỉnh:

v Thông qua các liên kết False Possitive
v Thủ công

2.2.1. Liên kết False Positive
Khi xem các sự kiện thông qua các công cụ Queries hay Incident thông qua Incident/Session ID, bình thường hóa các dữ liệu đưa ra những kết thúc trong một liên kết False Positive . Khi bấm vào, liên kết này sẽ mở ra một cửa sổ mới với False Positive Tuning Wizard.
http://img295.imageshack.us/img295/1923/56795578.jpg (http://img295.imageshack.us/i/56795578.jpg/)
2.2.2. Thủ công


Tạo ra một drop rule từ trang Drop Rules, tại Rules > Drop Rules. Khi điều hướng đến trang này cho lần đầu tiên, nó là trống.
http://img33.imageshack.us/img33/184/90363370.jpg (http://img33.imageshack.us/i/90363370.jpg/)
Như một ví dụ thực tế về cách rule này có thể được sử dụng, hãy xem xét các sự kiện Built/Teardown/Permitted IP Connection, tạo ra bởi tường lửa Pix thiết bị ASA mỗi lần một session được mở thông qua các tường lửa

Bước 1: Nhấp vào nút Add trên trang Drop Rules.
Bước 2: Nhập một tên Drop Rule và mô tả.
Bước 3: Chọn Any như địa chỉ IP Source.
Bước 4: Chọn Any như địa chỉ IP Destiantion.
Bước 5: Chọn Any như là Port dịch vụ và giao thức.
Bước 6: Chọn All Event Types từ menu drop-down ở hộp bên phải
Bước 7: Gõ Built/teardown trong hộp Search và nhấp vào Search.
Bước 8: Đánh dấu vào Built/Teardown/Permitted IP Connection và nhấp <<== nút Add. Built/Teardown/Permitted IP Connection bây giờ xuất hiện ở hộp bên trái. Bấm Next.

http://img145.imageshack.us/img145/7231/67896247.jpg (http://img145.imageshack.us/i/67896247.jpg/)

Bước 9: Chọn loại thiết bị: Cisco Pix.
Bước 10: Kiểm tra Pix <<== nút (Add) . Lựa chọn bây giờ xuất hiện trong hộp bên trái. Bấm Next.
Bước 11: Để lại Any nào vào trong các trình đơn Severity drop-down. Bấm Next.
Bước 12: Chọn nút Drop radio. Bấm Next.
Bước 13: Chọn Time Range nút Any. Bấm Next.
Bước 14: Nhấp vào Submit.
Bước 15: Nhấp vào nút Activate để kích hoạt.
http://img145.imageshack.us/img145/6272/84219812.jpg


Phần tiếp theo "Active và Inactive Rules"

Anh tuấn cho em hỏi đã có công ty nào đã triển khai HT CS-MARS chưa vậy, em thấy HT này khá hay mà chưa thấy triển khai ???

Chào bạn,
Việc triển khai CSMARS trong doanh nghiệp hiện tại là chưa nhiều, những doanh nghiệp đã sử dụng giải pháp này phần lớn là ngân hàng, những công ty chứng khoán, dầu khí.

Hi logmeinvietnam,
Hiên tại mình đang gặp vấn đề triển khai Csmars khi add thiết bị không nằm trong list support của Csmars như Fortigate.
Mình đã làm theo link sau http://firewallguru.blogspot.com/2008/09/fortinet-and-cisco-mars-integration.html , nhưng khi add thiết bị vào rồi thì nó đứng 1 mình, không liên kết gì đến các mạng hiện tại. Vậy có cách nào cho nó join vào mạng hiện tại không bạn?

Tks,
Vo Khoa.

3. Active và Inactive Rules


Tất cả các Rules trong CS-Mars có hai tình trạng: hoạt động và không hoạt động. Active Rule là những rule đang được sử dụng. Inactive rule là những Rule không hoạt động có nghĩa là không được sử dụng.
Tạo Custom System Inspection Rules


Tạo ra một Custom System Inspection Rulethì tương tự như trong quá trình tạo Drop Rule bằng thủ công, nhưng với nhiều chi tiết hơn, bao gồm cả khả năng để thêm vào các Rule tính phức tạp với các biểu thức Boolean.

Ví dụ: Để tạo các Rules này là của người dùng, các quản trị viên, muốn có một Incident được tạo ra, và muốn được thông báo qua e-mail khi một máy chủ nội bộ hay bên ngoài làm cho 20 kết nối vào bất kỳ máy chủ của bạn thông qua các tường lửa Net trong 10 giây theo các bước sau:
- Bước 1: Từ Rules > Inspection Rules, bấm vào nút Add.
- Bước 2: Nhập các tên Rule và mô tả. Bấm Next.
- Bước 3: Xác định cụ thể kết nối cho các kết nối máy chủ, xác định nó như là một mục tiêu để cho CS-Mars biết các kết nối này phải được từ cùng một máy chủ duy nhất. Trong hộp bên phải, đánh dấu vào $ Target01 và nhấn vào nút <<== để thêm nó vào hộp bên trái. Bấm Next.
- Bước 4: Xác định đó là mục tiêu đánh dấu vào $ Target02 và nhấn vào nút <<== để thêm nó vào hộp bên trái. Bấm Next.
- Bước 5: Trong hộp bên phải, đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái.
- Bước 6: Trong hộp bên phải, hãy đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái.
- Bước 7: Bạn xác định tường lửa đang giám sát các kết nối.
- Bước 8: Đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái
- Bước 9: Không định nghĩa bất kỳ từ khoá nào trong văn bản, do đó, nó vẫn còn đặt vào Any
- Bước 10: tùy chọn, nhưng truy cập bắt buộc phải được xác định. Các Rules được viết cho 20 kết nối, do vậy cần phải nhập vào vùng Counts là 20

http://img512.imageshack.us/img512/7589/42053958.jpg (http://img512.imageshack.us/i/42053958.jpg/)
- Bước 11: Nhấp vào Yes.
- Bước 12: Một hành động của quản trị e-mail đã được xác định trước.
- Bước 13: Các tiêu chí cho Rules này là tất cả các điều kiện phải được đáp ứng trong một khoảng thời gian 10 giây.
- Bước 14: Submit và active.

http://img83.imageshack.us/img83/9596/36422055.jpg (http://img83.imageshack.us/i/36422055.jpg/)
4. Complex và Behavioral Rule Creation

Complex Rules là những Rulse sử dụng nhiều offsets gắn liền với nhau bởi các bểu thức Boolean. Ba biểu thức Boolean có sẵn để sử dụng trong CS-Mars:
vAnd: điều kiện của các offset phải được đáp ứng, nhưng không cần phải theo thứ tự
vOr: chỉ có một trong các điều kiện của những offsets phải được đáp ứng
v Followed-By:một điều kiện của offset phải thực hiện theo các điều kiện trước


Các offset có thể được nhóm lại bằng cách đặt chúng giữa ngoặc để duy trì trật tự của hoạt động.

http://img188.imageshack.us/img188/9187/27962487.jpg (http://img188.imageshack.us/i/27962487.jpg/)

Hình: Inspection Rule Panel: Complex Rule System Rule

Phần tiếp theo "Incident"

III. Incident:


Một Incident là một chuỗi các sự kiện tương quan ứng với mỗi Rule khi có tín hiệu một cuộc tấn công vào hệ thống mạng. CSMARS sẽ phát hiện, giảm thiểu, báo cáo, và phân tích các sự cố đó. Dựa trên bảng điều khiển mạng và các trang Incident sẽ giúp chúng ta phát hiện và hiển thị các sự cố trên hệ thống mạng và giúp đưa ra các quy tắc và các sự kiện để phòng chống lại. Phòng chống lại các tấn công là đề cập đến khả năng của CSMars để cô lập các hành vi tấn công không gây hại đến các thiết bị và hệ thống mạng

Queries và Report thu thập dữ liệu và phân tích các dạng tấn công. Tất cả các thông tin này có thể được thu thập lại ở dạng báo cáo.

1. Khái quát Incident

http://img190.imageshack.us/img190/7941/94915529.jpg (http://img190.imageshack.us/i/94915529.jpg/)

Hình: Trang Incident

vĐịnh nghĩa: Một Incident là một chuỗi các sự kiện mô tả một cách chi tiết các thông tin liên quan để các tấn công và hệ thống mạng. Ví dụ: quét Port, tràn dữ liệu…

vChức năng: thu thập các sự kiện quan trọng, mô tả chi tiết cuộc tấn công có sẵn trong dữ liệu và có thể tạo ra các Rule riêng để phân loại các dạng tấn công


vBản chất: Incident được chia thành tưng phần (mỗi phần riêng biệt là một cuộc tấn công đã có sẵn) để dễ dàng hơn trong quá trình phân tích và phát hiện ra các dạng tấn công có sẵn.

Có thể truy cập vào các trang Incident bằng cách nhấp vào nút Tab Incident, Tab thứ hai ở góc bên phải từ trái sang

Trang Incident có 3 tab các chức năng:
oIncidents
oFalse Positives
oCases
vTab Incident:

Tab Incident thể hiện trực tiếp một loạt các sự cố gần đây nhất nó sẽ thể hiện qua sơ đồ ở trang Summary. Sự khác biệt chính giữa các trang này là sẽ hiển thị tất cả các sự cố báo cáo trong vòng 24 giờ và thể hiện cùng một lúc 25 sự cố (Increment). Increment này có thể được điều chỉnh để để quan sát các sự cố trên mỗi trang (có thể lên tới 10.000)


http://img190.imageshack.us/img190/7717/25423488.jpg (http://img190.imageshack.us/i/25423488.jpg/)

Hình: Tab Incident

vTab False Positive:

Tab này cho phép người dùng xem các báo cáo sai của CS-Mars hoặc drop rule mà người dụng cấu hình

http://img48.imageshack.us/img48/6812/94497934.jpg (http://img48.imageshack.us/i/94497934.jpg/)
Hình: Tab False Positive

vTab Case

Tab này được truy cập vào trong các trường hợp sử dụng CS-Mars như một công cụ quản lý. Mặc dù bạn có thể truy cập cụ thể vào từng vùng trong CS-Mars bằng cách chọn từng loại trong Select Case nhưng có sự đặc biệt ở đây là Tab này có thể quản lý tất cả các vùng trong tất cả các trường hợp nếu bạn chọn No Case Select


http://img48.imageshack.us/img48/3341/28903449.jpg (http://img48.imageshack.us/i/28903449.jpg/)


Hình: Tab Incident Case

2. Sử dụng Incident ID để quan sát dữ liệu

Trong ví dụ này, một báo cáo sử dụng dưới mỗi dạng ID duy nhất gọi là Incident ID
http://img215.imageshack.us/img215/457/89473546.jpg


Hình: Chi tiết các dữ liệu của Incident

Phần tiếp theo “Queries”

Anh cho em hỏi bên VNpro có thiết bị thực hành CS-MARS ko anh, Cái này mình có thể làm Lab ảo nhưng có hỗ trợ hết ko anh
thanks a

Chào bạn,
Bên Vnpro có đầy đủ thiết bị phục vụ cho môn CCSP và CCIE security, tất nhiên có thiết bị CSMARS cho bạn thực hành.

tiếp phần Queries đi anh tuấn ơi O:-)

IV. QUERIES
1. Khái niệm:
Truy vấn dữ liệu trên CS-Mars có thể đơn giản như là chọn một Query đã xác định trước và gửi nó, hoặc là phức tạp như định nghĩa các biến hoặc các hành động để kéo dữ liệu từ nhiều nguồn.
Ba loại truy vấn tồn tại cho CS-Mars, và hai trong ba có thể yêu cầu thay đổi cách thức mà bạn muốn xem các dữ liệu đang được truy vấn.
v Query type
v Instant queries
v On-demand queries và manual queries
2. Các loại Query
2.1 Query type
Để truy cập vào các công cụ cấu hình Query type, bấm vào nút Edit ở phần cuối của vùng Query Type trên trang Query.

http://img142.imageshack.us/img142/4158/73884010.jpg (http://img142.imageshack.us/i/73884010.jpg/)

Hình: CS-MARS Query Type công cụ cấu hình và vùng Query Type

Công cụ cấu hình Query type có năm thuộc tính phải được cấu hình để có được kết quả
v Result Format
v Order/Rank By
v Filter by Time
v Use Only Firing Events
v Maximum Rank Returned
Khi đã hoàn thành việc chuyển dữ liệu trong công cụ cấu hình Query type, bấm vào nút Apply ở trên hoặc dưới bên phải của các công cụ Query.

http://img230.imageshack.us/img230/9996/71452914.jpg (http://img230.imageshack.us/i/71452914.jpg/)

Hình: CS-MARS Query Type có thể thay đổi
2.2 Instant Queries


Tất cả những biểu tượng q này sau khi cụ thể các giá trị được hiển thị trong CS-Mars. Biểu tượng này được gọi là các Instant Query. Tại bất cứ thời điểm nào khi đang xem dữ liệu, có thể nhấp vào biểu tượng này và yêu cầu tìm kiếm dữ liệu có liên quan đến giá trị là biểu tượng bên cạnh.

http://img524.imageshack.us/img524/4607/19960027.jpg (http://img524.imageshack.us/i/19960027.jpg/)

Hình : Biểu tượng CS-MARS Instant Query

Nhấp vào biểu tượng q để chuyển hướng vào trang Query,với giá trị của q trong các bộ lọc thích hợp
http://img524.imageshack.us/img524/6978/25175010.jpg (http://img524.imageshack.us/i/25175010.jpg/)


Hình: Trang CS-MARS Query Populated Filter


2.3 On-Demand Queries và Manual Queries

Hai chủ đề sẽ được thảo luận để điều chỉnh kỹ năng truy vấn của CS-Mars:


v On-demand queries: là những query dựa trên tất cả các báo cáo đã được lưu bởi nhà phân tích an ninh và các quản trị viên hoặc đã được cung cấp "canned" với các dụng cụ điện.

v Manual queries: là những Query ngay từ đầu đã được hoàn thành. Manual Queries có thể được lưu lại như là các báo cáo để chúng có thể được tái sử dụng trong tương lai để tránh lặp lại kết quả.

http://img411.imageshack.us/img411/3189/79547301.jpg (http://img411.imageshack.us/i/79547301.jpg/)


Hình: CS-MARS Manual Query

Phần tiếp theo REPORTS

I. REPORTS

1. Khái niệm

Bằng cách sử dụng CS-Mars cung cấp có giá trị minh sát, tích hợp, và kiểm soát mạng thông qua việc tương quan giữa các dữ liệu, giảm sai tích cực, giảm thiểu, và miêu tả hình ảnh lớp 2 và lớp 3 của hạ tầng mạng. Sử dụng thông tin này cho việc điều tra và giảm thiểu lý do là rất có ích, tuy nhiên thiếu cái cốt lõi không có nghĩa rằng báo cáo dữ liệu từ nhiều nguồn khác nhau.

Những nhà quản lý mạng muốn nhìn thấy những báo cáo cơ bản mà có thể dễ dàng đọc, dòng đầu tiên mà các nhà quản lý mạng muốn xem là dữ liệu và hành động một cách chi tiết, nhưng không phải dữ liệu ban đầu. Việc phân tích các dạng bảo mật một cách chi tiết và bình thường hóa dữ liệu, thêm vào đó mô hình đồ thị sẽ giúp dễ hiểu những gì đang xảy ra và cái hướng giải quyết vấn đề đó. CS-Mars được tổ chức rất cao trong việc báo cáo các thông tin có thể được sử dụng phổ biến và hữu ích cho nhiều nguồn
2. Các loại Report
2.1 Sử dụng Reports định sẵn
Reports xác định sẵn thường được gọi là Reports đóng hộp đã được có sẵn trong dữ liệu. CS-MARS chứa khoản 175 Reports loại này. Con số này sẽ tăng lên ứng vói mỗi mã CS-MARS. Cisco cung cấp các Reports bằng cách tạo ra dựa trên ‎ kiến phản hồi của khác hàng, của mỗi người sử dụng.
Bởi vì có đến 175 Reports có sẵn, trong danh sách CS-MARS sẽ sắp xếp thành các nhóm để dễ dàng tìm kiếm và quản l‎ý. Có một vài nhóm đã được mặc định sẵn và có thể tạo nhóm riêng cho người sử dụng. Nhớ‎ rằng khi mà tạo một nhóm riêng có một vài Reports sẽ nằm trong tất cả các nhóm. Một vài nhóm được tạo nên bằng cách xác định Reports có sẵn nào ứng với các yêu cầu.
Một Report có sẵn thì dễ dàng để điều chỉnh để phù hợp với yêu cầu sử dụng
Để xem các Reports có sẵn, Chọn Query/Reports > Report.


http://img183.imageshack.us/img183/6890/88570592.jpg (http://img183.imageshack.us/i/88570592.jpg/)


Hình: Trang CS-MARS Report

Có thể xem các Report được xác định sẵn theo 2 cách:
v Sử dụng tab Report
v Lấy reports theo yêu cầu truy vấn
2.1.1 Sử dụng Tab Report

Ở trang Report, sẽ có một list các reports mặc định là 25. Có thể điều chỉnh để xem tất cả các dạng Report bằng cách sử dụng thanh cuộn tại góc trái của trang Report, bằng cách nhấn nút Next, sẽ thấy các dòng Report


http://img19.imageshack.us/img19/6388/25162400.jpg (http://img19.imageshack.us/i/25162400.jpg/)


Hình: Điều chỉnh Report ở trang CS-MARS Report
2.2.1 Lấy Report theo yêu cầu
Theo các bước trình tự sau:
Bước 1: Chọn dạng report muốn xem

Bước 2: Sủ dụng thanh cuốn ở giữa hoặc cuối trang, chọn 1 trong những nút sau:
- View HTML
- View CSV
Bước 3: Nhấn nút View Report
2.2 Tạo riêng một Reports

CS-MARS cho phép tạo Report bằng các sử dụng công cụ Report Creation . Hầu hết CS-MARS cung cấp cho khách hàng những thông tin nếu họ muốn sử dụng công cụ Query để tạo và lưu Report; tuy nhiên, việc thuận lợi nhất khi làm là xem những kết quả của Report/query trước khi cấu hình Report. Mục đính của mục này là thảo luận phương pháp sử dụng nút Add trên Tab Reports. Việc lưu Report trên trang Query được xem như giống thanh công cụ Report Creation .
Để tạo được Report, theo những bước sau:
Bước 1: Tại trang Query/Reports, nhấn nút Report.

Bước 2: Nhấn nút Add.

Bước 3: Đưa tên và mô tả dạng Report, nhấn Next.

Bước 4: Đưa thời gian sử dụng Report và hoàn thành như hình.

http://img223.imageshack.us/img223/3397/57431510.jpg (http://img223.imageshack.us/i/57431510.jpg/)

Hình: Tạo Report

Bước 5: Thêm người nhận cho Report.

http://img182.imageshack.us/img182/9171/15812950.jpg (http://img182.imageshack.us/i/15812950.jpg/)


Bước 6: Sử dụng công cụ Query nếu muốn nhập nội dung

Bước7: Nhấp Submit để lưu lại.

2.3 Cách nhận Report

Khi mà Report được cấu hình và xem trên CS-MARS, có thể xem Report dưới dạng HTML thông qua trình duyệt hoặc có thể chọn xem dạng CSV.

http://img142.imageshack.us/img142/3389/38726225.jpg (http://img142.imageshack.us/i/38726225.jpg/)


Hình: CS-MARS Report dạng HTML( View Activity: All Top Destinations)

Nếu chọn xem dạng CSV, một màn hình mới sẽ xuất hiện cung cấp một đường dẫn để lưu về trên máy. Sau khi lưu file về trên máy tính có thể mở bằng ứng dụng Microsoft Excel.


http://img142.imageshack.us/img142/3866/79107341.jpg (http://img142.imageshack.us/i/79107341.jpg/)

Hình: CS-MARS Report dạng file CSV

Hi anh Tuấn, anh có thể đưa ra một kiểu tấn công cụ thể từ một hacker. Và quy trình CS-MARS thực hiện như thế nào từ việc collect thông tin, gửi syslog, queries, incident, report... được không ạ ???
thanks anh

Chào bạn,
Khoảng vài ngày nữa hết phần lí thuyết thì phần đó sẽ có thôi, bạn cứ từ từ xem cho kĩ trước đã.

VI. NETFLOW

1. Khái niệm

Netflow là một công nghệ về mạng lưới giám sát lượng truy cập của Cisco. Dựa trên giao thức UDP, các báo cáo sẽ được tìm thấy trên Router hoặc Switch.. Mỗi luồng (flow) là một gói nhỏ các gói tin chứa đựng các thiết lập, chuyển dữ liệu và thông tin Teardown

Các ứng dụng Netflow cung cấp một cách hiệu quả nhiều dịch vụ cho các ứng dụng IP bao gồm hệ thống mạng lưới kế toán, mạng lưới thanh toán, an ninh, hệ thống, khả năng giám sát và thiết lập tấn công DoS. Netflow cung cấp những thông tin giá trị về mạng lưới người sử dụng, các ứng dụng, lưu lượng người truy cập và các gói tin định tuyến. Netflow được Cisco phát minh và đi đầu trong công nghệ lưu lượng dòng chảy IP

Sau khi cấu hình thiết bị IOS hoặc CATOS cho Netflow, các thông tin về dòng chảy và các thông số liên quan sẽ được đóng gói trong một gói UDP và sẽ được gửi tới các điểm thu được xác định. Bởi vì nhiều dòng chảy được đóng gói thành một gói UDP, do đó Netflow trở thành một hệ thống giám sát hiệu quả và tiện ích bởi Syslog và SNMP

2. Netflow trong Csmars

CSMars sử dụng Netflow phiên bản 5 và 7 để xác định mạng lưới sử dụng, phát hiên hành vi người sử dụng, lưu lượng băng thông và các liên quan đến các hành động tấn công, các sự kiện và các báo cáo của thiết bị NIDS và tường lửa. Mặc dù Netflow có vài sự khác biệt thông tin giữa hai phiên bản 5 và 7, nhưng CSMars sử dụng cả hai thông tin trên cả hai phiên bản 5 và 7, vì thế không có sự phân biệt nào trên cả hai phiên bản này

Do sự phát triển cao cùng với cơ sở dữ liệu nhiều nên CSMars không lưu trữ thông tin Netflow trong cơ sở dữ liệu, tuy nhiên chúng ta có thể cấu hình dung lượng nếu cần thiết

Sau khi phát hiện hành vi tấn công, Csmars bắt đầu lưu tự động đầy đủ hồ sơ Netflow cho các hoạt động tấn công, quá trình thông minh của hệ thống này sẽ cung cấp tất cả thông tin mà hệ thống phân tích cần

Bởi vì CSMars theo dõi, giám sát, và lưu trữ mạng lưới liên quan đến hoạt động, nó có khả năng báo cáo sai các hành vi hoạt động từ máy chủ. Ví dụ như chúng ta tưởng tượng rằng CSMars biết hầu hết các kết nối đến máy chủ qua các cổng 137, 138,139 nhưng sau đó đột nhiên nhiều máy trạm sẽ làm 25 cổng kết nối khác qua các cổng mặc định, Csmars sẽ kích hoạt cảnh báo sâu mail, cố để thông báo việc thay đổi của các thiết bị,. Ngoài ra, CSMars sử dụng thông tin Netflow để đua ra các cấp độ hoạt động của hệ thống mạng bằng cách đưa ra một đồ thị kết nối theo thời gian.


http://img132.imageshack.us/img132/5305/41144232.jpg (http://img132.imageshack.us/i/41144232.jpg/)


Hình: Biểu đồ thể hiện các sự kiện và Netflow


Chúng ta có thể thấy qua biểu đồ, CSMars báo cáo sai hoạt động ở cổng 80 và 445, đây là ví dụ về trạng thái hoạt động của cổng. Đây là một khả năng phát hiển ra sâu và virus trên hệ thống mạng. Thông thường các chương trình độc hại thì không có, chưa tên hoặc không có những thông tin gì về chữ ký của tổ chức, bạn chỉ phát hiện và phòng chống bằng cách sử dụng CSMars. Dữ liệu tường lửa và thông tin Netflow sẽ giúp chúng ta làm được

3. Cấu hình Netflow



v Xác minh thông báo thực và quét những nơi mang tính nguy hiểm
Tiếp nhận và phiên dịch log dữ liệu khi bạn nhận được hàng ngàn sự kiện trên một giây là một sự chịu đựng khó chống cự. Quá trình lấy các log sự kiện một cách hợp pháp và sự tương quan bằng thủ công giữa chúng có thể được so sánh để tìm kiếm một haystack cho một needle.
CS-Mars giống như một hệ thống. Sự thông minh được xây dựng vào hệ thống một cách hiệu quả làm giảm dữ liệu incident thông qua xây dựng trong các công cụ xác nhận. Điều này cho phép người phân tích tập trung nỗ lực của họ trên thực tế,những incident chính đáng.

v Sự am hiểu về False Positive

Việc giảm thiểu false positives là một chủ đề mà IDS và các nhà sản xuất SIM( security information management) phải nỗ lực liên tục. Hệ thống log của IDS phải được xem xét và phân tích để xác định giá trị của chúng và các giải pháp của SIM để báo cáo dữ liệu event hay incident khi chúng nhận được những dữ liệu báo động, ngay cả khi một tường lửa hoặc ACLs từ chối lưu lượng. Dù bằng cách nào, sự điều chỉnh có thể là một khó khăn, tổn hại, và thường xảy ra quá trình không thực hiện được gì nhiều.
CS-Mars có thể phân loại một false positive thành hai loại:
o Hệ thống xác định
o Không được xác nhận
v Hệ thống xác định

CS-Mars đã xác định rằng incident là không thành công. Điều này là có thể vì một thiết bị ngăn ngừa incident từ sự kiện hoặc dữ liệu được cung cấp nói với CS-Mars rằng những hệ thống đích không phải là dễ bị nguy hiểm đến các loại hình tấn công.
v Không được xác nhận

CS-Mars đã xác định rằng incident đã không thành công, nhưng là những dữ liệu thực, tuy nhiên, có một hiểu nhầm về việc đánh giá các dữ liệu mang tính nguy hiểm. Trên trang Summary, điều này sẽ được hiển thị như là " To be confirmed," đó chỉ đơn giản có nghĩa là nhà phân tích có thể xác nhận hoặc từ chối đánh giá của CS-Mars.
Trong CS-MARS,việc điều chỉnh một false positive bao gồm việc tạo một drop rule.Drop rule có 2 loại:
o Chặn những sự kiện hoàn tất, xóa bỏ những sự kiện từ cơ sở dữ liệu và ngừng việc log các sự kiện
o Đăng nhập vào cơ sở dữ liệu không chỉ tạo ra incident mà còn lưu giữ những sự kiện vào cơ sở dữ liệu của CSMARS
Có thể tạo một drop rule (hoặc điều chỉnh false positive) dưới Rules > Drop Rules > Add hoặc nhấp vào đường dẫn False Positive ở cột Tune của session bất kỳ. Cả hai phương pháp đều cho kết quả o tab Drop Rule.

http://img71.imageshack.us/img71/3613/30716901.jpg (http://img71.imageshack.us/i/30716901.jpg/)

Hình: Đường dẫn CS-MARS False Positive
v Sự hiểu biết về những phân tích mang tính nguy hiểm

Các thông tin đánh giá mang tính chất nguy hiểm là một bằng chứng quan trọng mà nhà phân tích an ninh sử dụng để xác định xem liệu một cuộc tấn công có thành công hay không. CS-Mars sử dụng những dữ liệu phân tích mang tính nguy hiểm để giúp nó hiểu những rủi ro tồn tại cho các thiết bị trên mạng và để cân nhắc họ chống lại mục tiêu dữ liệu event và session cho các hệ thống cụ thể. Quá trình này cho phép CS-Mars giảm thiểu sự kiện như là một false positive hoặc mở rộng nó như là một incident. Điều quan trọng cần đề cập là những dữ liệu phân tích mang tính nguy hiểm có thể không được xem trong CS-Mars.
CS-MARS có thể thu được thông tin phân tích những tính chất mang tính nguy hiểm từ hai nguồn:
v Built-in Nessus utility
v Third-party VA tool
v Hiểu biết về Access IP, Reporting IP

Khi xác định một thiết bị báo cáo hoặc sự giảm thiểu thiết bị trong giao diện web, Mars cho phép (và đôi khi yêu cầu) bạn để xác định một số địa chỉ IP. Sự hiểu biết mục đích các địa chỉ khác nhau thì rất quan trọng để xác định một cách hiệu quả các thiết bị mà bạn muốn theo dõi và quản lý. Đó cũng là điều quan trọng để hiểu mối quan hệ của chúng với các thiết lập khác mà bạn có thể nhận ra. Nếu một thiết bị có một giao diện duy nhất và một địa chỉ IP liên kết với các giao diện, access và reporting IP có địa chỉ giống nhau được gán cho giao diện. Mars thu thập thông tin này một cách riêng biệt để hỗ trợ cho những thiết bị có nhiều giao diện, nhiều địa chỉ IP liên kết với một giao diện, hoặc cả hai.

o Access IP

Mars sử dụng access IP để vừa kết nối với thiết bị dành cho mạng dựa trên session của quản trị viên vừa kết nối với một máy chủ từ xa mà trên đó một có chứa tập tin lưu giữ các cấu hình của thiết bị này. Những giá trị được xác định bằng cách truy cập các loại mà bạn chọn. Hầu hết các thiết bị cũng yêu cầu bạn phải xác định rõ ràng các địa chỉ IP của máy cho phép quản lý chúng.

o Reporting IP

Reporting IP là địa chỉ IP nguồn của các văn bản sự kiện, log, thông báo, hoặc traps mà bắt nguồn từ thiết bị. Mars sử dụng các địa chỉ này để nhận được các văn bản kết hợp với đúng thiết bị. Đối với thiết bị dùng ở nhà riêng lẻ, các địa chỉ reporting IP tương tự như access IP;đối với thiết bị dùng ở nhà đôi hoặc nhiều, địa chỉ này phải được liên kết rõ ràng với các syslog, NetFlow, các dịch vụ SNMP đang chạy trên các thiết bị báo cáo. Hầu hết các thiết bị cũng đòi hỏi, cho mỗi loại văn bản, rõ ràng là bạn xác định được địa chỉ IP của máy mà văn bản sẽ được hiển thị. Các máy thường được gọi là mục tiêu đăng nhập vào các máy chủ. Các thiết bị Mars phải được liệt kê trong số các máy như là một phần của các thiết bị đã chuẩn bị.

Vai trò của reporting IP trong MARS khác với accessIP là các reporting IP được xem là những địa chỉ thụ động từ MARS. Mars hiện không yêu cầu tìm kiếm trên thiết bị dùng địa chỉ này. Những hoạt động được thực hiện dùng access IP truy cập và loại access.

Mars chỉ chấp nhận một địa chỉ reporting IP cho mỗi thiết bị. Đối với các thiết bị hỗ trợ hai định dạng văn bản, chẳng hạn như NetFlow và syslog, bạn phải đảm bảo rằng cả hai định dạng văn bản bị buộc vào cùng một địa chỉ IP nguồn (reporting IP). Trong các thiết bị IOS của Cisco, điều phổ biến này không phải là mặc định, do đó bạn phải thay đổi reporting IP syslog hay NetFlow để phù hợp với địa chỉ IP khác. Nếu các loại văn bản không bắt nguồn từ một địa chỉ IP chung, một trong số chúng được xem là bắt nguồn từ một thiêt bị không báo cáo và Mars hiện không phân tích những sự kiện này một cách chính xác.

3.1 Cấu hình Netflow trên CSMars

Việc kích hoạt netflow trên CSmars thực sự đơn giản:

Bước 1: Admin > System Setup > Device Configuration and Discover Information > NetFlow Config Info

Bước 2: Nhập cổng của Port dữ liệu NetFlow. Mặc định UDP 2055.

Bước 3: Tiếp theo là bật lên hoặc tắt chế đọ đó bằng enable/disable

Bước 4: Tùy chọn để lưu dữ liệu Netflow.

Bước 5: Lựa chọn để xác định các mạng mà bạn muốn đánh giá.

Bước 6: Nhấn Submit.

Bước 7: Nhấn Active ở góc trái trên CSMars.


http://img297.imageshack.us/img297/4748/97906339.jpg (http://img297.imageshack.us/i/97906339.jpg/)



Hình: Cấu hình Netflow trên Csmars

3.2 Router

3.2.1 Cấu hình SNMP

Khi bạn đã thêm Router vào cơ sở dữ liệu của database, nếu bạn chọn loại SNMP, Csmars sử dụng SNMP cho 4 mục đích:

v Đọc cấu hình
v Đưa ra được sơ đồ mạng
v Báo cáo
v Báo cáo từ các thiết bị kết nối

Để xác định đầy đủ SNMP, cần cung cấp community dạng rw hoặc ro, kích hoạt các traps, xác định SNMP server, trong trường hợp này là thiết bị Csmars

Ví dụ trong trường hợp này community là marstring và Ip kết nối thiệt bị CSMars là 192.168.0.100


IOS Router (config)# snmp-server community marstring RO <ACL name if required>
IOS Router (config)# snmp-server community marstring RW
IOS Router (config)# snmp-server enable traps
IOS Router (config)# snmp-server host 192.168.0.100 marstring


Chúng ta có thể giới hạn địa chỉ IP được sử dụng bởi SNMP bằng cách kết hợp tên trong danh sách với lệnh snmp-sever community

3.2.2 Cấu hình Netflow trên Router Cisco

Ví dụ như địa chỉ IP cuả thiết bị CSMars 192.168.0.100 và cổng kết nối giữa router và Csmars là fastethernet0/1, lệnh ip flow-export để chắc chắn rằng địa chỉ IP của source của dữ liệu Netflow giống với reporting IP khi cấu hình trên CSMars

IOS Router (config)# ip flow-export version 5IOS Router (config)# ip flow-export destination 192.168.0.100 2055IOS Router (config)# ip flow-export source interface FastEthernet 0/1IOS Router (config)# interface FastEthernet 0/1 IOS Router (config-int)# ip route-cache flow


CSMars chỉ chấp nhận 1 IP reporting trên 1 thiết bị, điều quan trọng là reporting IP Netflow phải giống reporting IP của file log trên router. Syslog và Netflow sử dụng khác reporting IP trên cùng 1 thiết bị

3.2.3 Cấu hình file Log trên Router Cisco:

IOS Router(config)#logging on
IOS Router(config)#logging source-interface FastEthernet 0/1
IOS Router(config)#logging trap
IOS Router(config)#logging 192.168.0.100


Bước 1: Nhập tên thiết bị.

Bước 2: Nhập địa chỉ IP quản lý, hay gọi là access IP.

Bước 3: Nhập IP thiết bị gởi file log và SNMP hay còn gọi reporting IP

Bước 4: Nhấn nút Discover.

Bước 5: Nhấnnút Submit.

Bước 6: Nhấn nút Active.


http://img75.imageshack.us/img75/4766/77670256.jpg (http://img75.imageshack.us/i/77670256.jpg/)

Hình: Cấu hình thiết bị Router

Hi bạn,

trong CS-MARS có nói về IP accouting. vậy bạn nói về phần này cho mình hiểu rỏ hơn nha. thank you

Chào bạn,

Bạn xem bài viết về AAA để biết accounting là gì.
http://vnpro.org/forum/showthread.php?t=7996

Còn muốn cấu hình nó thì bạn tham khảo link này.
http://www.cisco.com/en/US/docs/security/security_management/cs-mars/5.3/user/guide/local_controller/cfgaaasv.html

3.3. Switch

Các switch của Cisco báo cáo các sự kiện cho CSMARS bằng cách sử dụng giao thức khác nhau, nhưng chủ yếu syslog hoặc SNMP.

3.3.1. Cấu hình switch để kích hoạt L2 Discovery

Một thiết bị Layer 2 Discovery là một trong những tính năng quan trọng nhất của CSMARS. Tính năng này cho phép CSMARS xác định nguồn và đích đến con đường của việc tấn công một cách chính xác. Tính năng này sẽ trở thành đặc biệt quan trọng khi việc tấn công sử dụng IP giả được đưa ra trong mạng của bạn.

Switch sử dụng sự kết hợp của các bản forwarding tables và ARP để kết nối với source switching port của bên tấn công. CSMARS có thể sử dụng thông tin này, cùng với các thiết bị định tuyến (Router) và các mạng lưới thông tin mô hình được phát hiện từ lớp 3 như: các thiết bị định tuyến và tường lửa, để xác định chính xác mã nguồn hoặc đích của bên tấn công. CSMARS truy xuất switch bằng cách sử dụng SNMP để quét các bảng forwarding và gửi kết quả thông tin lại cho CS-Mars cho việc báo cáo về mô hình. Kết quả của quá trình này là CSMARS có thể xác định nguồn của sự tấn công trong mạng lưới của bạn ngay cả khi phương pháp IP giả đã được sử dụng.


3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP

Để kích hoạt tính năng Layer 2 Discovery của switch Cisco, bạn phải kích hoạt tính năng SNMP. Trên switch, SNMP được kích hoạt bằng cách sử dụng cùng một bước IOS như là một router.

Cấu hình Switch để kích hoạt Syslog

3.3.3 IOS Switches kích hoạt Syslog
Quá trình cấu hình syslog bằng cách sử dụng IOS của Cisco trên một router thì chính xác giống như các cấu hình syslog trên một switch.

3.3.4. IOS Switches kích hoạt NetFlow

NetFlow trên IOS switches được cấu hình chính xác giống như Netflow trên IOS routers.

3.4. Cấu hình tường lửa
CSMARS cho phép thông tin liên lạc giữa rất nhiều loại khác nhau và thương hiệu sản phẩm của tường lửa. Ngoài các nhãn hiệu của tường lửa Cisco, CSMARS làm việc với tường lửa NetScreen Juniper, Check Point tường lửa, và thiết bị Check Point Nokia tường lửa cũng bằng nhau. CSMARS cũng hoạt động bên trong với các trang web lưu trữ từ thiết bị mạng và NetCache.
Công việc sau đây phải được thực hiện trên các thiết bị của tường lửa Cisco để cho phép truy cập từ thiết bị CSMARS:
vCấu hình Administrative Access SSH. (Telnet access không được khuyến cáo.)
v Cấu hình syslog để được gửi cho CSMARS.

3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco
Việc đầu tiên cần phải làm để cho phép CSMARS truy cập vào thiết bị tường lửa ASA là để cho phép một giao thức mà có thể truy cập vào command-line interface (CLI)của tường lửa.

Telnet là một giao thức truy cập của tường lửa Cisco, nhưng không được khuyến khích bởi vì tên người dùng, mật khẩu và cấu hình tường lửa được hiển thị rõ ràng trong văn bản như thông tin trong mạng. Những tác động này là nếu một hacker có quyền truy cập vào mạng và đang chạy mạng sniffer, hacker có thể nhìn thấy tất cả các thông tin bảo mật quan trọng, bao gồm cả tài liệu đăng nhập vào tường lửa.
telnet 192.168.0.100 255.255.255.255 management
password cisco

bắt đầu thực hành chưa anh ?

3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco

Chỉ đơn giản cần phải nói cho SSH địa chỉ IP được phép truy cập và những gì giao diện được phép truy cập thông qua. Nó không nên sử dụng giao diện bên ngoài, vì ngay cả khi SSH được mã hóa, nó sẽ mở bức tường lửa để có thể tấn công mật khẩu.


domain-name internetworkexpert.com
crypto key generate rsa general-keys modulus 512
ssh 192.168.0.100 255.255.255.255 management
password cisco

Tiếp theo bạn cần phải cấu hình tường lửa gởi các văn bản syslog để CS-Mars có thể hiểu những thông báo này và tương quan chúng với các mạng lưới khác và sự kiện an ninh.

Để cấu hình tường lửa Cisco cho đúng để gởi các văn bản syslog, cần phải kích hoạt tính năng đăng nhập và chọn đăng nhập thiết bị mà bạn muốn sử dụng.

logging enable
logging host management 192.168.0.100
logging trap debugging
logging rate-limit <event per second rate desired> 1


3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco

CSMARS sử dụng SNMP trên tường lửa để có được thông tin từ các tường lửa, giúp CSMARS nhận ra một thiết bị có thể bị tấn công.Việc giảm thiểu các lệnh trên tường lửa Cisco là không thể vì SNMP không có sẵn trên các thiết bị Firewall của Cisco.

snmp-server host inside 192.168.0.100 community cisco123
snmp-server community cisco123


3.4.4 Nhận một thiết bị Firewall của Cisco vào CSMARS

http://c.uploadanh.com/upload/1/243/0.986717001254973291.jpg



Bước 1: Trước tiên điều hướng tới Admin > Security and Monitoring Device > Add panel
Bước 2: Chọn loại thiết bị mà bạn muốn thêm vào cơ sở dữ liệu CSMARS.

Bước 3: Nhập tên thiết bị cho Cisco firewall.

Bước 4: Nhập địa chỉ IP truy cập của quản lý tường lửa(firewall-management).

Bước 5: Nhập địa chỉ IP đó sẽ là nguồn gốc của báo cáo SNMP và syslog.

Bước 6: Chọn SSH như là loại truy cập.

Bước 7: Nhập chuỗi SNMP community. Trong trường hợp này, chúng tôi được sử dụng cisco123.

Bước 8: Chọn Yes để kích hoạt các kiểm tra thiết bị này.

Bước 9: Click vào Khám phá để đảm bảo rằng CSMARS có thể liên hệ với tường lửa Cisco.

Bước 10: Nhấp vào Submit để thêm thiết bị tường lửa vào cơ sở dữ liệu của thiết bị CSMARS

Bước 11: Click vào Activate để kích hoạt thông tin liên lạc giữa tường lửa và thiết bị CSMARS

3.5 Nhận thiết bị Cisco IPS vào CSMARS
http://c.uploadanh.com/upload/1/243/0.619587001254973292.jpg

Cấu hình thiết bị IPS và thêm chúng vào CS-Mars là rất quan trọng ,giúp bạn thành công trong việc bảo vệ mạng. CSMARS tán thành việc sử dụng các SDEE cho thiết bị IPS, nó sẽ chạy qua giao thức SSL. Khi đăng ký, các thiết bị IPS gửi CSMARS các sự kiện về an ninh trong thời gian thực.
Bước 1: Trước tiên điều hướng tới Admin > Security and Monitoring Device > Add panel
Bước 2: Chọn loại thiết bị bạn muốn thêm vào cơ sở dữ liệu của CS-Mars .
Bước 3: Nhập tên cho thiết bị Cisco IPS.

Bước 4: Nhập địa chỉ IP của quản lý truy cập vào thiết bị Cisco IPS.

Bước 5: Nhập địa chỉ IP và đó sẽ là nguồn của những sự kiện trên SDEE IPS. IP này sẽ có cùng IP với giao diện quản lý cuả thiết bị Cisco IPS.
Bước 6: Các loại hình truy cập mặc định là SSL và có thể không thay đổi.

Bước 7: Nhập tên người dùng và mật khẩu vào thiết bị Cisco IPS.

Bước 8: Chọn Yes để kích hoạt sử dụng nguồn lực giám sát.

Bước 9: Chọn Yes để lấy IP log từ thiết bị.
Bước 10: Để cung cấp cho CS-Mars những thông tin quan trọng về việc tính toán đường dẫn sự tấn công sẽ được sử dụng để giảm thiểu, xác định các mạng đang được theo dõi bởi các cảm biến(sensor).

Bước 11:Nhấp vào Test Connectivity để bảo đảm CSMARS của bạn có thể liên lạc với các thiết bị Cisco IPS.

Bước 12: Nhấp vào Submit để thêm IPS Cisco vào cơ sở dữ liệu của thiết bị CSMARS.
Bước 13: Click vào Activate để kích hoạt thông tin liên lạc.

I. Mô hình và cấu hình thiết bị

1. Mô hình

http://c.uploadanh.com/upload/1/260/0.264901001255112740.jpg


2. Cấu hình thiết bị

Bao gồm: RouterGW, IDSsensor, FirewallASA ,SWVLAN.

2.1. Router




hostname RouterGW
!

enable password router
!

interface FastEthernet0/0

ip address 172.16.1.2 255.255.255.0

no shut
!

interface FastEthernet0/1

ip address 10.0.0.2 255.255.255.0

no shut
!

ip route 0.0.0.0 0.0.0.0 172.16.1.1
!

username admin password 123
!

logging on
logging trap notifications
logging source-interface FastEthernet0/0
logging 192.168.2.43
!

snmp-server community marstring RW
snmp-server enable traps snmp
snmp-server host 192.168.2.43 marstring
!

ip flow-export destination 192.168.2.43 2055
ip flow-export source fastEthernet 0/0
ip flow-export version 5
ip flow-cache timeout active 5
ip flow-cache timeout inactive 15
!

interface fastEthernet 0/0
ip route-cache flow
!

line vty 0 4
password cisco
login
!




2.2. ASA



hostname firewallasa
!

interface Ethernet0/0
nameif management
security-level 100
ip address 192.168.2.1 255.255.255.0
no shut
!

interface Ethernet0/2
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
no shut
!

interface Ethernet0/1
nameif userlocal
security-level 100
ip address 192.168.3.1 255.255.255.0
no shut
!

access-list PINGOUT-IN extended permit icmp 10.0.0.0 255.255.255.0 host 192.168.3.15
access-list SNMPOUT extended permit udp any any eq snmp
access-list SNMPIN extended permit udp 172.16.1.0 255.255.255.0 any eq snmptrap
access-group SNMPOUT in interface management
access-group PINGOUT-IN in interface outside
!

logging enable
logging trap 5
logging host management 192.168.2.43
!

static (management,outside) 172.16.1.0 192.168.2.0 netmask 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
!

snmp-server community cisco123
snmp-server enable traps snmp
snmp-server host management 192.168.2.43 community cisco123
!

ssh 192.168.2.43 255.255.255.255 management
domain-name vnpro.org
crypto key generate rsa general-keys modulus 1024
!

telnet 192.168.2.43 255.255.255.255 management
password ciscoasa
!




2.3. Switch



hostname SWVLAN
!

vlan 101
name vlan101
!

vlan 102
name vlan102
!

interface FastEthernet0/1
switchport host
switchport access vlan 101
!

interface FastEthernet0/2
switchport host
switchport access vlan 102
!

interface fastEthernet 0/24
switchport mode trunk
switchport trunk allowed vlan 101,102
switchport trunk encapsulation dot1q



2.4. IDSsensor



service host
network-settings
host-ip 192.168.2.10/24,192.168.2.2
host-name IDSSensor
access-list 192.168.2.0/24
!

service interface
physical-interfaces fastEthernet0/0
subinterface-type inline-vlan-pair
subinterface 1
vlan1 101
vlan2 102
exit
exit
admin-state enabled
exit
exit
Apply Changes:?[yes]: yes

Assign the subinterface to the Analysis Engine:

service analysis-engine
virtual-sensor vs0
physical-interface fastEthernet0/0 subinterface-number 1
exit
exit
Apply Changes:?[yes]: yes

bạn có thể giải thích cũng như ý nghĩa của mô hình trên qua việc sử dụng CS-Mars dc không???

2.5 Cấu hình IDS VLAN pair:

Cấu hình Vlan Pair trên IDSSensor theo các bước sau:



Bước1: Mở trình duyệt Internet Explorer và gõ theo địa chỉ sau: https://192.168.2.10 (https://192.168.2.10/)0


Bước 2: Tại phần xác nhận người sử dụng , đăng nhập bằng account sau
Username: cisco
Password: vnpro@vnpro

Bước 3: Nhấp chuột tại tab Configuration

Bước 4: Chọn thư mục Virtual Sensor, Edit để chỉnh sửa và bật Vlan Pair ở dạng enable như hình vẽ

Bước 5: Chọn OK và Apply để xác nhận thông tin vừa chọn



http://c.uploadanh.com/upload/1/270/0.495198001255203895.jpg


3. Xem file Log trên IDSSensor


Chúng ta có 3 PC thực hiên Ping vào địa chỉ 192.168.3.15 cùng 1 lúc:

- IP: 10.0.0.10
- IP: 10.0.0.11
- IP: 10.0.0.12

1 PC dùng chương trình Nmap để quét địa chỉ 192.168.3.15

- IP: 10.0.0.13



http://c.uploadanh.com/upload/1/270/0.733292001255203896.jpg


Hình: File Log trên IDSSensor


Ở Tab Events ta nhận được file Log sẽ báo cáo về các dạng tấn công vào đích ở đây la ICMP và TCP SYN port. Chọn file bất kỳ và nhấn tab Details sẽ cho ta chi tiết về gói tin được gởi tới và trả về:



http://c.uploadanh.com/upload/1/270/0.597033001255203897.jpg

Hình: Chi tiết về gói tin ICMP

http://c.uploadanh.com/upload/1/270/0.510963001255203898.jpg

Hình: Chi tiết về TCP SYN Port



II. Nhận biết thiết bị trên CSMars và tình trạng hoạt động của hệ thống mạng

1. Nhận biết thiết bị

Sau khi hoàn thành các bước trên, ta sẽ cấu hình nhận thiết bị bên CSMars

Bước 1: Mở trình duyệt Internet Explorer and gõ vào địa chỉ: https://192.168.1.10 (https://192.168.1.10/)

Bước 2: Đăng nhập bằng account
Username: pnadmin
Password: pnadmin

Bước 3: Chọn ADMIN > Security and Monitor Devices > Add

Bước 4: Chọn thiết bị cần để cấu hình

1.1 Nhận kết nối giữa RouterGW với CSMars bằng SNMP

Chú ý:
SNMP RO Community: marstring


http://c.uploadanh.com/upload/1/270/0.153519001255203899.jpg

Hình: Cấu hình nhận Router trên CSMars
1.2. Nhận kết nối firewallASA với CSMars bằng TELNET

Chú ý:

Password: cisco
Enable password: ciscoasa
SNMP ro community: cisco123


http://c.uploadanh.com/upload/1/270/0.734969001255203899.jpg

Hình: Cấu hình nhận ASA trên CSMars

1.3. Kết nối IDSsensor

Chú ý:
Password: vnpro@vnpro


http://c.uploadanh.com/upload/1/270/0.364179001255203900.jpg


Hình: Cấu hình nhận IDS trên CSMars

1.4. Cấu hình Netflow trên CSMars

Mở chế độ Enable Netflow in CSMars: Admin > System Setup > NetFlow Config Info

http://c.uploadanh.com/upload/1/270/0.922321001255203900.jpg


Hình: Cấu hình nhận Netflow trên CSMars

2. Tình trạng hoạt động của hệ thống mạng CSMars

2.1. Summary

Sau khi hoàn thành cấu hình CSMars sẽ cho ta thấy mô hình kết nối, sơ đồ tấn công, các rules, các events, netflow…

Chúng ta sẽ thấy trong tab Summary page và Network Status:


http://c.uploadanh.com/upload/1/270/0.435950001255203901.jpg


Hình: Sơ đồ về hệ thống mạng


http://c.uploadanh.com/upload/1/270/0.932375001255203901.jpg


Hình: Sơ đồ về hệ thống mạng bị tấn công

http://c.uploadanh.com/upload/1/270/0.680019001255203902.jpg


Hình: Số liệu các từng loại Incident

http://c.uploadanh.com/upload/1/270/0.639818001255203903.jpg


Hình: Sơ đồ các Rule sử dụng

http://c.uploadanh.com/upload/1/270/0.566836001255203904.jpg

Hình: Sơ đồ IP của tấn công và mục tiêu

http://c.uploadanh.com/upload/1/270/0.264333001255203905.jpg


http://c.uploadanh.com/upload/1/270/0.940365001255203905.jpg

Hình: Sơ đồ Events, Session, Netflow


http://c.uploadanh.com/upload/1/270/0.630774001255203906.jpg


Hình: Sơ đồ False Positive


2.2. Incident

Chọn tab Incident, Ta thấy được các loại tấn công ở đây: ICMP và Nmap OS, IP Source, IP Destination, và thiết bị nào gửi về


http://c.uploadanh.com/upload/1/270/0.113449001255203907.jpg

Ngoài ra còn thấy được Rules ứng với mỗi Incident

http://c.uploadanh.com/upload/1/270/0.607485001255203907.jpg

http://c.uploadanh.com/upload/1/270/0.169832001255203908.jpg


Hình: Incident và Rule tưong ứng

2.3. Event

Hình trên mô tả một loạt các sự kiện xảy ra trên hệ thống mạng, mà IDSSensor gửi về, loại sự kiện là TCP SYN Port Sweep, ICMP Echo Reqest


http://c.uploadanh.com/upload/1/270/0.715912001255203908.jpg


Path information: Mô hình miêu tả đường tấn công của hacker:

http://c.uploadanh.com/upload/1/270/0.080213001255203909.jpg



2.4. Queries

Queries dạng lọc các Events

http://c.uploadanh.com/upload/1/270/0.708120001255203909.jpg



http://c.uploadanh.com/upload/1/270/0.177685001255203910.jpg



Hình: Queries dạng Rule Rank



2.5. Rules and Reports

Rule được người dùng sử dụng với Rule Name: rule Denied Ping được mô tả để phát hiện gói tin dạng ICMP

http://c.uploadanh.com/upload/1/270/0.774961001255203910.jpg

Rules rank


http://c.uploadanh.com/upload/1/270/0.328051001255203911.jpg

User Rules:


http://c.uploadanh.com/upload/1/270/0.810455001255203911.jpg


Reports đựoc xem dạng HTML

http://c.uploadanh.com/upload/1/270/0.517886001255203912.jpg

Anh nói kiểu tấn công của Hacker trong mô hình trên được không, và tấn công như thế nào, sử dụng protocol nào???.

thanks anh

Chào bạn,

- Ở PC 10.0.0.10 dùng NMAP scan IP 192.168.3.15.
- Có dùng thêm ping (ICMP echo request) từ 10.0.0.11, 10.0.0.10 hoặc 10.0.0.40 tới IP 192.168.3.15

Nói chung bạn chỉ cần dùng NMAP quét port cho việc test là được.

bạn có thể hướng dẫn cách giả lập Mars dc không vì mình ko có thiết bị làm.

thank ban nhiều

Chào bạn,
Bạn xem file này, còn image thì bạn liên hệ bạn Quốc Lễ về cài.
nguyenquocle@wimaxpro.org

sẵn ban cho mình hỏi mình nghe nói giả lập Mars cần máy cấu hình mạnh mới dc.

Máy mình core 2 dual 2.4 Ram 4G không bik chạy nỗi ko???

thank bạn

Chào bạn,
Bạn xem hướng dẫn nó có nói luôn phần đó, ví dụ nó nói RAM chỉ cần 512 là đủ, HDD yêu cầu 120GB.

cho mình hỏi trong phần show cấu hình asa của bạn ko có config pass và SNMP

Nhưng trong mục config giao tiếp với Mars bạn ghi là
Password: cisco
Enable password: ciscoasa
SNMP ro community: cisco123
Là sao vậy bạn???

Và cho mình hỏi là sao không config netflow trên các thiết bị mà chỉ config trên Mars, config vậy dùng để làm gì???

thank bạn nhiều .

Bên trang 3 phần config asa có password của Asa cần để giao tiếp với CSMARS.

Sr bạn, vì mình sơ ý ko kéo thanh xem hết config.

Cho mình hỏi thêm là chổ config Switch, có 2 interface vlan. Nhưng tại sao không đặt IP cho mỗi interface vLAN. Trường hơp này nếu như đặt cùng lớp mạng thì ko dc. Giai thích dùm mình nha,

thanks

Sr bạn, vì mình sơ ý ko kéo thanh xem hết config.

Cho mình hỏi thêm là chổ config Switch, có 2 interface vlan. Nhưng tại sao không đặt IP cho mỗi interface vLAN. Trường hơp này nếu như đặt cùng lớp mạng thì ko dc. Giai thích dùm mình nha,

thanks


Trường hợp này không cấu hình ip cho vlan ban ah`, chỉ cần trunk qua thiết bị IDS là ok thui, lúc đó ping bình thường

Chào, cho mình hỏi cách update firmware của CS-MARS với. Mình chỉ biết là down IOS về để lên FTP server rồi update nhưng không biết down ở đâu và khi down thì cần account gì của Cisco không? Bản hiện tại của mình là 3.4. Thanks