Cisco FTD [LAB-6] Cấu hình IPS/IDS trên Cisco FTD

phile

Internship/Fresher
Jan 4, 2021
87
16
8
Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình IPS/IDS trên Cisco FTD thông qua FDM


[LAB-6] Cấu hình IPS/IDS trên Cisco FTD
Lưu ý: tất cả các thiết bị Cisco FTD trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng phần mềm FDM để quản lý các thiết bị Cisco FTD. (phiên bản cisco FTD là 7.0.5-72)

I. Giới thiệu về mô hình bài Lab


Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, Cisco FTD và các PC người dùng được phân chia làm các subnet:
  • Outside network: 10.120.190.0/24
  • User network: 172.31.198.0/24 và 172.31.199.0/24
  • Server network: 10.120.100.0/24 và 172.31.10.0/24
Gateway lần lượt được cấu hình trên cisco FTD: 10.120.190.31/24, 172.31.198.250, 172.31.198.250, 172.31.10.250,...
Yêu cầu của bài Lab:
  • Cấu hình enable tính năng IPS và update dữ liệu cho IPS.
  • Cấu hình các chính sách IPS trên Cisco FTD sao cho cân bằng giữa bảo mật và trải nghiệm người dùng đảm bảo các subnet 172.31.198.0/24 và 172.31.199.0/24 khi truy cập ra bên ngoài outside zone sẽ áp dụng các IPS policy đồng thời kiểm tra hoạt động của các PC.
  • Cấu hình đều chỉnh action của chính sách IPS trên Cisco FTD sao cho các subnet 172.31.198.0/24 và 172.31.199.0/24 không thể ping thấy subnet 172.31.10.0/24 thuộc DMZ zone ngoài ra các traffic khác sẽ truy cập bình thường đồng thời kiểm tra hoạt động của các PC.
  • Cấu hình tự định nghĩa các chính sách IPS trên cisco FTD
1693998825606.png


II. Cấu hình IPS/IDS trên Cisco FTD thông qua FDM

Cisco IPS trên FTD là một hệ thống phát hiện và ngăn chặn xâm nhập được tích hợp vào các thiết bị Cisco FTD. Nó sử dụng một cơ sở dữ liệu các dấu hiệu xâm nhập để phát hiện các hoạt động bất thường trên mạng và có thể thực hiện các hành động để ngăn chặn chúng, chẳng hạn như chặn các gói tin, cảnh báo người dùng hoặc ghi lại sự kiện.

Cisco IPS trên FTD cung cấp nhiều tính năng bảo vệ mạnh mẽ, bao gồm:
  • Phát hiện và ngăn chặn các cuộc tấn công mạng phổ biến, chẳng hạn như tấn công DDoS, tấn công SQL Injection và tấn công XSS.
  • Bảo vệ chống lại các mối đe dọa mạng mới và chưa biết.
  • Khả năng tùy chỉnh cao để đáp ứng các yêu cầu bảo mật cụ thể của doanh nghiệp.
Hệ thống IPS trên Cisco FTD sử dụng một tập hợp các quy tắc SNORT được khớp mẫu regex, nó sẽ tìm kiếm các mẫu trong lưu lượng truy cập (mỗi quy tắc SNORT là một chuỗi regex khớp với một cuộc tấn công đã biết) ngoài ra nó còn hỗ trợ các quy tắc cho phép phát hiện các cuộc tấn công zero-day attack.

Cisco FTD cung cấp một số bộ quy tắc IPS mặc định dựa vào mức độ bảo mật và trải nghiệm người dùng để cấu hình IPS policy cụ thể bao gồm:
  • Connectivity Over Security: Chính sách này được xây dựng cho các tổ chức nơi khả năng kết nối (có thể truy cập vào tất cả các tài nguyên) được ưu tiên hơn so với bảo mật cơ sở hạ tầng mạng. Chính sách xâm nhập cho phép ít quy tắc hơn nhiều so với những quy tắc được kích hoạt trong chính sách Security over Connectivity. Chỉ những quy tắc quan trọng nhất chặn lưu lượng truy cập mới được bật. Chính sách này ưu tiên tốc độ kết nối trong khi vẫn duy trì khả năng phát hiện một số lỗ hổng nghiêm trọng.
  • Balanced Security and Connectivity: Chính sách này được thiết kế để cân bằng hiệu suất mạng tổng thể với bảo mật cơ sở hạ tầng mạng. Chính sách này phù hợp với hầu hết mạng. Chọn chính sách này cho hầu hết các tình huống muốn áp dụng tính năng ngăn chặn xâm nhập. Cisco Talos khuyến nghị chính sách này để hệ thống có hiệu suất tốt nhất mà không ảnh hưởng đến khả năng phát hiện các lỗ hổng nghiêm trọng mới nhất.
  • Security Over Connectivity: Chính sách này được xây dựng cho các tổ chức nơi bảo mật cơ sở hạ tầng mạng được ưu tiên hơn sự trải nghiệm của người dùng. Chính sách xâm nhập cho phép nhiều quy tắc xâm nhập bất thường (zero-day attack) trên mạng có thể cảnh báo hoặc loại bỏ lưu lượng truy cập hợp pháp. Chọn chính sách này khi bảo mật được đặt lên hàng đầu hoặc đối với lưu lượng truy cập có rủi ro cao. Bảo mật có mức độ ưu tiên cao hơn tốc độ kết nối và khả năng tiếp cận.
  • Maximum Detection: Chính sách này được xây dựng cho các tổ chức trong đó vấn đề bảo mật cơ sở hạ tầng mạng thậm chí còn được chú trọng hơn so với chính sách Security Over Connectivity, với tiềm năng tác động lớn hơn nữa đến hoạt động. Ví dụ: chính sách xâm nhập cho phép các quy tắc trong một số lượng lớn các danh mục mối đe dọa bao gồm phần mềm độc hại, bộ công cụ khai thác, các lỗ hổng cũ và phổ biến cũng như các hoạt động khai thác phổ biến đã biết. Nếu bạn chọn chính sách này, hãy đánh giá cẩn thận xem có quá nhiều lưu lượng truy cập hợp pháp bị loại bỏ hay không. Phát hiện tối đa không phải là điển hình cho các mạng sản xuất. Bảo mật có ưu tiên cao nhất so với tính liên tục trong kinh doanh.
Lưu ý: Để các chính sách IPS có thể hoạt động cần phải mapping vào các Access Control Policy thích hợp.


Trước khi cấu hình các chính sách IPS cần đảm bảo tính năng IPS được bật trong phần Device > Smart License > View Configuration > Threat.
1693998833284.png

Các chính IPS trên cisco FTD được xây dựng dựa vào bộ rule Snort nên cần phải được update thường xuyên. Để thực hiện vào phần Device > Updates > View Configuration.
1693998842912.png

Tại phần Intrusion Rule chọn UPDATE FROM CLOUD để tiến hành update trực tiếp thông qua cisco cloud. Tại đây cũng có thể thấy version của Snort DB (version 3.x.x.x có nghĩa đang sử dụng Snort 3 nếu là 2.x.x.x thì đang sử dụng Snort 2) đồng thời cũng có thể downgrade xuống phiên bản thấp hơn của Snort (ngược lại upgrade)
1693998848228.png

Sau khi đã hoàn thành việc update có thể cài đặt cho phép việc update được thực hiện tự động và định kỳ như hình bên dưới (update trực tiếp từ cisco cloud). Ngoài ra, cisco FTD còn hỗ trợ update offline từ file trên máy tính nếu thiết bị cisco FTD không có kết nối internet tới cisco cloud.
1693998859326.png



Sau khi hoàn thành việc update, để cấu hình các IPS policy vào phần Polices > Intrusion > chọn +. Ngoài ra, cisco FTD cũng hỗ trợ trước các template để việc tạo rule dễ dàng hơn.
1693998864395.png

Tại đây tiến hành đặt tên policy và chọn chế độ áp dụng khi match các rule:
  • Prevention: tiến hành chặn các traffic match với các quy tắc trong IPS policy
  • Detection: tiến hành cảnh bảo các traffic match với các quy tắc trong IPS policy
Sau đó chọn template phù hợp với yêu cầu bảo mật và trải nghiệm của doanh nghiệp.
1693998867508.png

Thực hiện tương tự cho các policy, sẽ được kết quả như hình bên dưới.
1693998871738.png

Để các chính sách IPS hoạt động nó cần phải được mapping với các Access Control policy thích hợp. Trong trường hợp này vào phần Polices > Access Control chọn edit policy cho phép các PC trong subnet 172.31.198.0/24 và 172.31.199.0/24 truy cập ra ouside zone.

Lưu ý: các IPS policy nên được mapping với các Access Control policy với action allow nếu chọn action khác thì việc cấu hình IPS policy sẽ không có ý nghĩa.
1693998876088.png

Tiếp theo vào tab Intrusion Policy tiến hành bật và chọn policy thích hợp đã cấu hình ở mục trên.
1693998883513.png

Sau khi IPS được apply từ PC thuộc subnet 172.31.198.0/24 và 172.31.199.0/24 truy cập vào website eicar để thực hiện download virus test file lúc này việc download sẽ không thành công.
1693998886702.png

Trên thiết bị cisco FTD vào phần Monitoring > Attackers sẽ thấy được nguồn tấn công vào thiết bị match với các rule được định nghĩa trong IPS policy.
1693998890951.png

Tiếp theo vào phần Monitoring > Target sẽ thấy được mục tiêu của cuộc tấn công match với các rule được định nghĩa trong IPS policy.
1693998894137.png

Tương tự vào phần Monitoring > Threats chọn vào threat sẽ thấy chi tiết được kiểu tấn công vào nguồn cũng như mục tiêu đã match với rule được định nghĩa trong IPS policy.
1693998901592.png

Để xem thông tin có thể vào Monitoring > Events > Intrusion sẽ thấy được tất cả các sự kiện đã match với các IPS policy.
1693998905672.png

Chọn View Details để xem chi tiết về thông tin tấn công.
1693998908906.png


Để có thể edit các rule trong 1 IPS policy tiến hành chọn như hình bên dưới.
1693998913128.png

Tiến hành chọn các rule muốn edit rồi điều chỉnh lại phần action, trong trường hợp này sẽ điều chình lại rule để chặn các gói tin icmp echo reply như hình bên dưới.
1693998917038.png

Sau khi đã cấu hình được kết quả như hình bên dưới.
1693998922270.png

Tiếp theo vào phần Access Control policy để mapping với IPS policy. Trong trường hợp này sẽ chọn edit policy từ subnet 172.31.198.0/24 và 172.31.199.0/24 đến subnet 172.31.10.0/24 như hình bên dưới.
1694161271522.png
1694161274468.png
Sau khi cấu hình các traffic ICMP từ PC thuộc subnet 172.31.198.0/24 và 172.31.199.0/24 sẽ không ping được subnet 172.31.10.0/24 như hình bên dưới còn lại các traffic khác sẽ hoạt động bình thường.
1693998926072.png

Trên cisco FTD vào phần Monitoring > Events > Intrusion > View Details sẽ thấy chi tiết được traffic về ICMP echo reply sẽ bị chặn.
1693998929601.png



Trên Cisco FTD được quản lý thông qua FDM cho phép có thể cấu hình custom các rule trong IPS policy để thực hiện chọn biểu tượng như hình bên dưới.
1693998932727.png

Tiếp theo sẽ tiến hành định nghĩa các regex để tạo nên một Snort rule và Assign vào các Group thích hợp.
1693998944702.png

Ngoài ra có thể upload các rule có sẵn với format được quy định theo link sau.
1693998948413.png
 

Attachments

  • 1693998851858.png
    1693998851858.png
    120 KB · Views: 0
  • 1693998897448.png
    1693998897448.png
    84.8 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu