Hướng dẫn cấu hình qua giao diện web. Http://ip của sensor
Đặt mật khẩu
Chọn mục System → Access, ta có thể thay đổi mật khẩu cho các giao diện truy cập vào proventia.
- root password for the command line
- administrative password for the proventia appliance
- web administrative password for proventia manager.
Cấu hình Security Events
Security events chứa hàng ngàn dấu hiệu tấn công, kiểm tra an ninh. Một security event là một lưu lượng mạng liên quan đến một kiểu tấn công. Những event này sẽ được kích hoạt mỗi khi lưu lượng mạng phát hiện được khớp với một trong số hàng ngàn security events (ta có thể edit được)
Lưu ý là các security events này được liệt kê dưới domain toàn cục (global protection domain). Ứng dụng của ta phải luôn sử dụng chính sách an ninh toàn cục, nghĩa là các security events được áp dụng cho tất cả các vùng trong mạng.
Các security events là có thể thay đổi được. Ta có thể add, edit, remove,... cho phù hợp với yêu cầu về mạng. Ta chọn mục Security Events:
Lưu ý là có đến hàng ngàn dấu hiệu ở đây, do đó ta phải sử dụng công cụ lọc để có thể tìm dấu hiệu cho nhanh. Ta click vào check box Filter. Trong mục filter ta đưa vào các mục để lọc. Mặc định ko lọc gì thì các tham số đều để là any. Ta lọc cụ thể theo tiêu chí nào thì ta sửa lại ở box tương ứng. Ví dụ ta lọc theo tiêu chí: “Các tấn công theo giao thức TCP”. Muốn vậy ta chọn box protocol và sửa any thành TCP là được.
Khi đã tìm được dấu hiệu, ta sẽ edit lại nó nếu cần bằng cách click vào check box edit:
| Cài đặt | Mô tả |
| Enable | Áp dụng các cài đặt lên dấu hiệu này |
| Protection Domain | Mặc định sử dụng domain Global nên không cần sửa. |
| Tag name | Tên mô tả dấu hiệu |
| Severity | Mức độ nguy hiểm của dấu hiệu đến hệ thống mạng. Có 3 mức: low, medium, high. |
| Protocol | Giao thức sử dụng của dấu hiệu |
| block | Chọn check box này để chặn kiểu tấn công này bằng cách hủy các gói tin và gửi reset tới kết nối TCP. |
| Log evident | Lựa chọn check box này để ghi các gói tin bị bắt lại vào thư mục /var/iss/ |
Ví dụ đối với hệ thống mạng của Trần Anh, sau khi tiến hành test một số tool tấn công, thăm dò thì bắt được các dấu hiệu sau:
- WinTrin00_daemon_request
- SYN flood
- TCP connection flood
Sau khi filtering được các dấu hiệu này, ta edit lại cho phù hợp:
- Enable các dấu hiệu lên
- Đặt severity lên mức high.
- Block dấu hiệu.
Cấu hình firewall
IPS IBM proventia GX4002 có tích hợp tường lửa. Ta có thể setting một số luật cho tường lửa nếu cần. Hiện trạng IPS của Trần Anh không thiết lập luật nào. Để configure ta chọn mục Firewall Setting:
Add luật: Ta click vào button add
| Cài đặt | Mô tả |
| Rule ID | ID của luật |
| Enabled | Chọn check box này để enable luật |
| Log | Chọn check box này để ghi lại chi tiết các gói tin bị bắt vào thư mục /var/iss/ |
| Action | Lựa chọn hành động cho firewall: -ignore/permit: cấm hoặc cho phép gói tin đi qua. -protect: gói tin sẽ được xử lý bởi PAM (ghi lại, chặn, cách ly) -monitor: chức năng như danh sách trắng IP. -drop(deny): hủy gói tin đi qua firewall. -drop and reset: hủy gói tin và reset lại kết nối TCP. |
| Port | Chọn cổng để áp dụng luật. Mặc định chọn cả 8 cổng. |
| Vlan | Chọn dải vlan được áp dụng luật. |
| protocol | Chọn giao thức |
| IP address and port | Chọn IP,cổng nguồn và đích. |