2014年11月17日 星期一

CCNP-ISCW Module 06 Cisco IOS Threat Defense Features(1)

DMZ 的概念
*DMZ:非軍事區
基本型DMZ設計
image
image
image
Firewall
image
Packet Filtering的種類
Packet filtering
*傳統的firewall設計為stateless的架構,ACL去的方向和回來的方向都要自己定義。
*在TCP連線中可以用”established”(接受內對外的連線)指令去設定一達到stateful的功能,但較繁雜。
*在UDP連線中無法達到stateful的功能
image
Stateful packet Filtering
*自動判斷連進來的session
*只有特定的Protocol有Proxy(Http、mail、Ftp)
*安全性較佳
*缺點為支援程度較差
*目前的FW都是stateful的作法
image
Cisoc IOS firewell的功能&資安防護流程
1.Firewall
(第1步)
一般的Firewall
Layer 3 (IP)
Layer 4 (port)
*達到政策上的管制
*可預防DoS的攻擊
*自動建立stateful filtering
2.Authentication Proxy
(第2步)
認證Proxy
 
*提供使用者身份/權限認證的功能
*支援http https telnet ftp ssh …
3.IPS/IDS
(第3步)
入侵防禦/偵測系統
Layer 7
*可做封包檢核的功能
*需要考慮bypass模組
*IPD可對攻擊做出警示、丟棄或阻擋的功能
*在RAM會建立資料庫建立攻擊或病毒特徵碼
4.PAM
(Port to Application Mapping)
  *port對應Application的功能
TCP & UDP 封包檢查
TCP Session檢查的方式
*Session table裡面的資料:
1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.Sequence Number
image
UDP Session檢查的方式
*Session table裡面的資料
1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.UDP Responses
6.Within a Timeout
image
IOS Firewell設定的方法
1
Audit Trails configuartion(告警的設定)
image
2
把Audit Trails 套用在介面上
image
image
image
image
image
Firewell for SDM 設定步驟
1.Basic Firewell的方式*預設套用在外部的介面
image
1.選擇Basic的方式
image
2.選擇Outside & Inside的介面
image
3.完成設定並顯示設定指令
image
4.查看Inspection設定
image
5.查看由反方向進來的資料流
image
2.Advanced Firewell的設定方式
1.選擇Advanced的方式
image
2.增加DMZ區及選擇Trust及Untrust區域
image
3.新增ACL的Rule
image
image
4.建立policy或使用cisco內建的policy
image
5.針對application阻擋
image
image
6.設定是否需要做告警及稽核的紀錄
image
7.完成並建立名稱
image
3.查看Firewell Logging的紀錄及設定方式
1.設定logging的logging Level及buffer
image
2.查看logging Message
image

CCNP-ISCW Module 06 Cisco IOS Threat Defense Features(2)

Filed under: CCNP-ISCW Module 06 — nkongkimo @ 07:41:25
IDS/IPS 入侵偵測/防禦系統
image
image
IDS/IPS比較
項目IDSISP
介接方式
Off-line(被動元件)
In-line(主動元件)
故障處理
不影響資料傳輸
斷線,需搭配bypass模組
告警方式
主動告警
主動告警
防禦方式
需搭配Firewall來阻擋
類似防毒軟体,主動防禦
H.A
較簡單
較困難(通常不作)
介面
會有多個介面介接設備
會有多個介面介接設備
IDS/IPS擺放位置
*建議放在FW的前跟後,大部分放在FW後面
image
IDS/IPS 系統及防護的種類
image
IDS/IPS種類
種類
功能
用途
備註

Signature-Based
跟防毒軟體類似會更新病毒碼
病毒攻擊
*會定期更新病毒碼,以達到防護的效果。

Signature-Based
圖形

Signature-Based
類型
1. Exploit
類似病毒碼,誤判率低。

2. Connection
依據特定的協定、服務、port、連線數量。
3. String
依據data的內容、字串
4. DoS
依據DoS attack
Policy-
Based
*政策性管理
*會賦予一個門檻
DDOS 攻擊
Port Scan攻擊PING 攻擊
會對服務種類進行統計,依單位、時間、次數來建立門檻,以達到防護的效果。

Policy-
Based
圖形

Anomaly-Based
*依協定的規範              
*統計分析上網行為
變更frame欄位攻擊
*違反協定的一律丟掉
*透過人工智慧去判斷上網的行為是否異常              
*設備放的越久功能越佳



種類
功能
用途
備註

Honeypot-Based
分析攻擊的行為

建立一個可攻擊的設備,提供入侵進而取得入侵的相關資訊(IP 手法…)

Honeypot-Based
圖形

攻擊方法與網路7層的比對
image
SDF(Signatures Data File)
病毒定義檔,放在RAM裡面,可以到cisco網站下載
image
張貼者:
標籤: ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)