Professional Documents
Culture Documents
Nhóm: 9
Tìm hiểu về hệ thống chống xâm nhập IDS Sensor của Cisco
Các yếu tố ảnh hưởng đến quyết định khi chọn Sensor cho giải pháp Cisco IDS:
o Network – media: việc lựa chọn sensor bị ảnh hưởng bởi môi trường mạng
o Hiệu suất phân tích phát hiện xâm nhập: hiệu năng của Cisco IDS Sensor nằm từ
45Mbps đến 1000 Mbps.
o Môi trường mạng: Cisco IDS sensor thích hợp cho các mạng mà có tốc độ mạng
nằm từ 10/100BASE-T Ethernet đến Gigabit Ethernet.
5. IDS Sensor của Cisco:
Yêu cầu thiết kế khi triển khai giải pháp Cisco IDS:
o Số lượng Sensor
o Kích thước và sự phức tạp của mạng
o Các kết nối giữa mạng của bạn và các mạng khác, bao gồm cả Internet
o khối lượng và các loại traffic ở trên mạng
o Nơi đặt Sensor: sensor nên được đặt ở điểm đi vào mạng và điểm đi ra
o Các tuỳ chọn quản lý và giám sát
o Giao tiếp với các Sensor bên ngoài
5. IDS Sensor của Cisco:
Những vị trí mà cần được bảo vệ khi các thiết bị IDS chuyên dụng yêu cầu kết nối:
5. IDS Sensor của Cisco:
o Internet protection: Một Sensor giữa gateway mạng và internet kết hợp với firewall
và VPN bằng các giám sát traffic cho những hoạt động xâm phạm.
o Extranet protection: Một Sensor giữa mạng và các kết nối extranet như các kết nối
với các đối tác kinh doanh, giám sát traffic nơi mà sự tin tưởng không được dám
chắc.
o Intranet and internal protection: Bảo vệ dữ liệu tập trung và các hệ thống quan trọng
từ những nguồn tấn công bên trong.
o Remote access protection: Một Sensor đc sử dug để giám sát những traffic gửi đến
NAS (Network acess server) để bảo vệ các truy cập từ xa.
o Server farm protection: Các công ty đang triển khai các Server public ở trên vùng
DMZ.
5. IDS Sensor của Cisco:
Vị trí đặt sensor
o Sensor nằm ở trước firewall:
• Nhìn thấy tất cả các traffic đc gửi đến mạng của bạn
• Có khả năg cao hơn về những false possitive
• Không detect được các tấn công bên trong
o sensorApp: sensing engine thực sự. sensor App sẽ xử lý các signature và phát ra các
alert events dựa trên cấu hình của nó và IP của traffic.
o EventStore: 4Gb, được chia sẻ, các file được ánh xạ nơi mà các sự kiện được lưu trữ.
Sensor App là ứng dụng duy nhất mà ghi các alert events lên EventStore
o cidCLI: ứng dụng CLI(command line interface) shell mà bắt đầu khi một user
o login vào Sensor.
6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Các phương pháp quản lý Sensor
Cổng điều khiển: Yêu cầu sử dụng cáp RS-232 (đã được cung cấp cùng với Sensor)
và một chương trình giả lập thiết bị đầu cuối như HyperTerminal
Monitor và keyboard: Yêu cầu kết nối một màn hình và một bàn phím trực tiếp
đến Sensor
Telnet: Yêu cầu địa chỉ IP mà được gán cho command and control interface qua
CLI setup command
Secure shell (SSH): Yêu cầu một địa chỉ IP mà đc gán đến command and control
interface qua CLI setup commandvà sử dụng một client có hỗ trợ SSH
HTTPS: yêu cầu một IP mà đc gán đến command and control interface qua CLI
setup command và sử dụng một trình duyệt web.
6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Khởi tạo cho Sensor:
o Gán cho Sensor một hostname:
o Gán IP address và subnet mask cho command and control interface
o Gán một default route
o Enable hay disable chức năng telnet server
o Xác định cụ thể web server port.
o Add hoặc remove ACL (access control list) entry mà xác định host nào đc cho phép kết
nối đến Sensor.
o Set ngày và giờ
o Thường đc thực hiện qua setup command:
6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Command line mode:
IDS 4.1 software bao gồm một CLI đầy đủ. CLI cho IDS version 4.1 là giao diện
người dùng mà làm cho bạn có thể truy cập đến Sensor qua Telnet, SSH và kết nối
serial. Sử dụng SSH version 1.5 clien để truy cập đến CLI qua mạng.
Các đặc điểm của CLI:
Trợ giúp: enter ? sau câu lệnh để thể hiện những câu lệnh sẵn có ở mode hiện tại.
Tab completion: Enter Tab để hoàn thành câu lệnh
Command abbreviation: CLI nhận ra dạng ngắn của nhiêu câu lệnh phổ biến ví
dụ chỉ cần gõ sh ver thay vì show version
Command recall: gõ up arrow hay down arrow (phím mũi tên lên xuống) để gọi
lại các câu lệnh vừa đc enter
User interface prompts: CLI thể hiện dấu nhắc tương tác người dùng khi hệ
thống thể hiện một câu hỏi và đợi đầu vào (input) của user
6. Cisco IDS 4.x chạy trên hệ điều hành Linux
Nhiệm vụ của CLI