CCNP 筆記本

2009 年 02 月 09 日

CCNP-ISCW Module 06 Cisco IOS Threat Defense Features(1)

Filed under: CCNP-ISCW Module 06 — nkongkimo @ 08:03:39

DMZ 的概念

*DMZ:非軍事區

基本型DMZ設計
image
image

image

Firewall

image

Packet Filtering的種類

Packet filtering

*傳統的firewall設計為stateless的架構,ACL去的方向和回來的方向都要自己定義。

*在TCP連線中可以用”established”(接受內對外的連線)指令去設定一達到stateful的功能,但較繁雜。

*在UDP連線中無法達到stateful的功能

image

Stateful packet Filtering

*自動判斷連進來的session
*只有特定的Protocol有Proxy(Http、mail、Ftp)
*安全性較佳
*缺點為支援程度較差
*目前的FW都是stateful的作法

image

Cisoc IOS firewell的功能&資安防護流程

1.Firewall

(第1步)

一般的Firewall

Layer 3 (IP)

Layer 4 (port)

*達到政策上的管制

*可預防DoS的攻擊

*自動建立stateful filtering

2.Authentication Proxy

(第2步)

認證Proxy

 

*提供使用者身份/權限認證的功能

*支援http https telnet ftp ssh …

3.IPS/IDS

(第3步)

入侵防禦/偵測系統

Layer 7

*可做封包檢核的功能

*需要考慮bypass模組

*IPD可對攻擊做出警示、丟棄或阻擋的功能

*在RAM會建立資料庫建立攻擊或病毒特徵碼

4.PAM

(Port to Application Mapping)

    *port對應Application的功能

TCP & UDP 封包檢查

TCP Session檢查的方式
*Session table裡面的資料:

1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.Sequence Number

image

UDP Session檢查的方式
*Session table裡面的資料

1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.UDP Responses
6.Within a Timeout

image

IOS Firewell設定的方法

1

Audit Trails configuartion(告警的設定)

image

2

把Audit Trails 套用在介面上

image

image

image

image

image

Firewell for SDM 設定步驟

1.Basic Firewell的方式*預設套用在外部的介面

image

1.選擇Basic的方式
image
2.選擇Outside & Inside的介面
image
3.完成設定並顯示設定指令
image
4.查看Inspection設定
image
5.查看由反方向進來的資料流
image

2.Advanced Firewell的設定方式

1.選擇Advanced的方式
image
2.增加DMZ區及選擇Trust及Untrust區域
image
3.新增ACL的Rule
image
image
4.建立policy或使用cisco內建的policy
image
5.針對application阻擋
image
image
6.設定是否需要做告警及稽核的紀錄
image
7.完成並建立名稱
image

3.查看Firewell Logging的紀錄及設定方式

1.設定logging的logging Level及buffer
image
2.查看logging Message
image
廣告

CCNP-ISCW Module 06 Cisco IOS Threat Defense Features(2)

Filed under: CCNP-ISCW Module 06 — nkongkimo @ 07:41:25

IDS/IPS 入侵偵測/防禦系統

image

image

IDS/IPS比較

項目 IDS ISP

介接方式

Off-line(被動元件)

In-line(主動元件)

故障處理

不影響資料傳輸

斷線,需搭配bypass模組

告警方式

主動告警

主動告警

防禦方式

需搭配Firewall來阻擋

類似防毒軟体,主動防禦

H.A

較簡單

較困難(通常不作)

介面

會有多個介面介接設備

會有多個介面介接設備

IDS/IPS擺放位置

*建議放在FW的前跟後,大部分放在FW後面
image

IDS/IPS 系統及防護的種類

image

IDS/IPS種類

種類

功能

用途

備註

 

Signature-Based

跟防毒軟體類似會更新病毒碼

病毒攻擊

*會定期更新病毒碼,以達到防護的效果。

 

Signature-Based

圖形

 

Signature-Based

類型

1. Exploit

類似病毒碼,誤判率低。

 

2. Connection

依據特定的協定、服務、port、連線數量。

3. String

依據data的內容、字串

4. DoS

依據DoS attack

Policy-

Based

*政策性管理

*會賦予一個門檻

DDOS 攻擊

Port Scan攻擊PING 攻擊

會對服務種類進行統計,依單位、時間、次數來建立門檻,以達到防護的效果。

 

Policy-

Based

圖形

 

Anomaly-Based

*依協定的規範              

*統計分析上網行為

變更frame欄位攻擊

*違反協定的一律丟掉

*透過人工智慧去判斷上網的行為是否異常              

*設備放的越久功能越佳

 

 

 

種類

功能

用途

備註

 

Honeypot-Based

分析攻擊的行為

 

建立一個可攻擊的設備,提供入侵進而取得入侵的相關資訊(IP 手法…)

 

Honeypot-Based

圖形

 

攻擊方法與網路7層的比對

image

SDF(Signatures Data File)

病毒定義檔,放在RAM裡面,可以到cisco網站下載

image

在WordPress.com寫網誌.