Sophos NGFW IPS (Intrusion Prevention System)

Cấu hình tính năng IPS ngăn chặn các cuộc tấn công

I. Lý thuyết
IPS trên Sophos XG là cơ chế kiểm tra gói tin theo thời gian thực (deep packet inspection) để phát hiện và chặn các hành vi tấn công mạng -> So sánh nội dung gói tin với một thư viện "chữ ký" (Signatures) của các loại tấn công đã biết.

II. Mô hình
1768879109435.png


III. Thực hành
PHẦN 1: BẢO VỆ CHIỀU LAN -> WAN (NGƯỜI DÙNG RA INTERNET)
Mục tiêu:
Ngăn người dùng tải mã độc về máy.
Ngăn máy tính bị nhiễm virus kết nối với máy chủ điều khiển (C&C Server) bên ngoài.

Bước 1: Tạo IPS Policy cho LAN
  1. Truy cập Intrusion Prevention -> IPS Policies -> Enable IPS
1768879109444.png

Hình 1. Enable IPS

1768879109450.png

Hình 2. Các Template IPS được tích hợp sẵn

  1. Truy cập Intrusion Prevention -> IPS Policies -> Add.
Đặt tên: IPS_LAN_Protect
Nhấn Save.
1768879109457.png

1768879109464.png

Hình 3. Khai báo Profile, nếu sử dụng Template có sẵn thì các Filter

  1. Bấm vào biểu tượng Edit ở policy vừa tạo.
Trong bảng rule, nhấn Add (thêm rule) và cấu hình Smart Filter như sau:
3.1. Category: Chọn Browsers (Trình duyệt), Operating System (Hệ điều hành), Malware (Mã độc), Application Services.
3.2. Severity: Chọn Critical và Major (để chặn các mối đe dọa nghiêm trọng mà không làm chậm mạng).
3.3. Target: Chọn Client (Vì ta đang bảo vệ người dùng).
3.4. Action, chuyển từ Allow Packet sang Drop Packet.
3.5. Nhấn Save.
1768879109470.png

Hình 4. Add IPS Policy Rule quét Malware

1768879109477.png

1768879109483.png

Hình 5. Add IPS Policy Rule quét Brower

Bước 2: Áp dụng vào Firewall Rule
  1. Vào Rules and Policies > Firewall Rules -> cấu hình Rule cho phép LAN truy cập Internet
  2. Security Features > mục IPS.
  3. Chọn policy: IPS_LAN_Protect
  4. Tích chọn Log firewall traffic.
  5. Nhấn Save.
1768879109490.png

1768879109496.png

1768879109502.png

Hình 6. Cấu hình Firewall Rule

Kiểm tra: Tải về 1 file chưa malware

1768879109512.png

1768879109518.png


PHẦN 2: BẢO VỆ CHIỀU WAN -> LAN (BÊN NGOÀI TẤN CÔNG SERVER)
Mục tiêu:
Bảo vệ Web Server (hoặc các server khác bạn public ra ngoài) khỏi các cuộc tấn công dò quét, khai thác lỗ hổng (như SQL Injection, XSS, DoS...).

Bước 1: Tạo IPS Policy cho Server
Sử dụng lại IPS Policy đã dùng trước đó

Nhấn Add và cấu hình Smart Filter như sau:
Category:
Nếu chạy Web: Chọn Web Services, Application Services.
Luôn chọn thêm: Operating System, Network Services (để chống scan port), ERP System (nếu có), Database (nếu có SQL).
Severity: Chọn Critical, Major, Moderate (Server cần bảo vệ kỹ hơn Client).
Target: Chọn Server (Đây là điểm khác biệt mấu chốt).
Chuyển Action sang Drop Packet.
Nhấn Save.

1768879109525.png

1768879109530.png

Hình 7. Cấu hình IPS Policy bảo vệ Web server nội bộ

Bước 2: Áp dụng vào Firewall Rule
Lưu ý: Để bên ngoài vào được Server, Phải có một rule DNAT (Port forwarding) => Public Web Server
Kéo xuống phần Security Features > mục IPS.
Chọn policy: IPS_POLICY đã tạo ở phía trên
Tích chọn Log firewall traffic.
Nhấn Save.
1768879109536.png

1768879109542.png

1768879109547.png

Hình 8. Public Web Server nội bộ, kết hợp Detect IPS

Kiểm tra:

Truy cập web nội bộ
1768879109552.png

Test thử dò quét SQL Injection

1768879109558.png


Log Views
1768879109563.png
 
Nhấn để mở rộng...
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top