در قسمت اول از سری مقالات سیسکو به معرفی Cisco IOS IPS پرداخته شد و به بررسی برخی ویژگی های آن پرداختیم. در این مقاله که قسمت دوم (پایانی) می باشد به بررسی دسته بندی Attack Signature ها و همچنین سایر سرویس های سیسکو در این زمینه می پردازیم.
دستهبندی Signatureهای اولیه و پیشرفته برای Cisco IOS IPS
فرآیند آمادهسازی Signature برای IOS IPS در Cisco IOS Software Release 12.4(11)T و نسخههای بعدی T-Train به واسطهی انتخاب یکی از دستهبندی Signatureها که بصورت Basic یا Advance میباشد، صورت میگیرد. ضمن اینکه کاربران میتوانند Signatureهای مجزا را حذف یا اضافه نموده و یا پارامترهای Signature را با استفاده از Cisco Configuration Professional ،Cisco Security Manager و یا (CLI (Command-Line Interface تنظیم نمایند که موجب تسهیل فرآیند Scripting برای مدیریت پیکربندی Signature در تعداد زیادی از روترها میشود.
این دو نوع دستهبندی در واقع مجموعه Signatureهای از پیش تعیین شدهای میباشند که به عنوان یک نقطه شروع مطلوب برای اکثر کاربران IOS IPS ارائه میشوند. این دستهبندیها شامل آخرین Signatureهای مسدودکنندهی ویروسها، Wormها، Peer-to-Peer و IM (برای اشتراکگذاری فایل) میباشند که از کیفیت بالایی برخوردار بوده و برای شناسایی تهدیدات امنیتی، تسهیل روند پیادهسازی و مدیریت Signatureها بهکار میرود. ضمن اینکه Cisco IOS IPS، امکان انتخاب و تنظیم Signatureهایی خارج از دو دسته فوق را نیز میسر مینماید.
این بستههای بهروزرسانی Signature، تمام نسخههای بهروزرسانی قبلی را از Signatureهای Cisco IPS به صورت یکجا ادغام نموده است که پروسه دانلود آن از یک PC یا سرور Local و با استفاده از Router CLI ،Cisco Configuration Professional و یا Cisco Security Manager در روتر انجام میپذیرد.
استفاده از Cisco IOS IPS در IOS Mainline و T-Train در نسخههای پیش از 12.4(11)T توصیه نمیشود. هیچ یک از بهروزرسانیهای Signature در قالب Signature مورد استفاده در IOS IPS در این نسخهها ارائه نمیشود؛ علاوه بر اینکه پشتیبانی از ویژگی IOS IPS در نسخههای قدیمی نیز بسیار محدود میشود.
سرویسهای سیسکو برای IPS
برخورداری از امتیاز دانلود و استفاده از Packageهای بهروزرسانی Signature برای ویژگی Cisco IOS IPS مستلزم خرید سرویسهای مناسبی از سیسکو برای IPS است که شامل پشتیبانی Cisco Smart Net Total Care در یک گزینه واحد میگردد. سرویسهای سیسکو برای IPS با برخورداری از پشتیبانی Cisco Global Security Intelligent برای سازمانها به ارائه یک تکنولوژی سریع، دقیق، جامع و همراه با بهروزرسانیهای مداوم برای شناسایی میپردازد که تهدیدات پیشآمده و سریع را پیش از آسیب رساندن به داراییهای شبکه، شناسایی و مسدود نماید.
یک نسخه معتبر از License برای اشتراک Signatureهای IOS IPS باید بر روی روترهای 88x ،89x ،19xx ،29xx و 39xx نصب شود تا بستههای Signature را بارگذاری نماید. کاربران برای تهیه و نصب این License باید از نوعی از سرویسهای سیسکو برای IPS خریداری نماید که با مدل روتر، نوع و سطح دلخواه از اقلام قابل تحویل Cisco Smart Net Total Care مرتبط باشد.
Micro-engineهای Signature
Cisco IOS IPS از Micro-engineهایSignature یا به اختصار SMEs برای بارگذاری و اسکن مجموعهای از Signatureهای حمله، در حافظهی روتر استفاده مینماید؛ همچنین هر SME برای بررسی یک پروتکل لایه 4 یا 7 و فیلدهای آن سفارشیسازی شده است. در هر Packet که دادههای مربوط به یک پروتکل را در بردارد، یک مجموعه از پارامترهای قانونی مدنظر قرار دارد که دارای دامنه یا مجموعه قابل قبولی از مقادیر میباشد. به علاوه اینکه فعالیتهای مخرب مختص آن پروتکل را با استفاده از تکنیک اسکن Signature به صورت موازی اسکن مینماید تا الگوهای متعددی را در SME در زمانهای مورد نظر بررسی نماید.
کاهش حملات
Cisco IOS IPS این قابلیت را داراست که از شبکه در برابر بیش از 3700 نوع مختلف از حملات، فرآیندهای Exploit، Worm و ویروس محافظت نماید. حملاتی که با استفاده از Cisco IOS IPS شناسایی و متوقف میشوند، شامل تعداد زیادی از ویروسها و Wormها و همچنین Exploit نمودن آسیبپذیریهای سیستم عامل مایکروسافت ویندوز و برنامههای کاربردی میشود.
اقدامات لازم در خصوص Signatureهای شناسایی شده
هر یک از Signatureهای مجزا و یا دستهبندیهای آن که برای اسکن ترافیک انتخاب میشوند، دارای قابلیت پیکربندی به نحوی میباشند که پس از آغاز بهکار، ترکیبی از اقدامات زیر را در پیش گیرد:
1- ارسال هشدار از طریق پیام Syslog یا Log کردن هشدار در فرمت (Secure Device Event Exchange (SDEE
2- حذف یک Packet مخرب
3- ارسال Packetهای TCP-Reset به هردو سوی ارتباط به منظور پایان بخشیدن به Session
4- مسدود کردن (Deny) موقتی تمام Packetهای ورودی از سوی مهاجمان (Source Address)
5- (Deny) مسدود کردن Packetهای ورودی دیگر از سمت مهاجم (Source Address) که متعلق به همان TCP Session (اتصال) است.
پیکربندی و آمادهسازی Signature
CLI روتر و یا Cisco configuration Professional ورژن 1.1 و یا نسخههای بعدی آن را میتوان جهت پیکربندی IOS IPS و آمادهسازی دقیق و تنظیم Signatureهای IPS بر روی یک روتر واحد استفاده نمود که Cisco IOS Release 12.4(11)T2 یا نسخههای بعدی آن را اجرا مینماید. به علاوه نسخه 3.2 ازCisco Security Manager و نسخههای بعدی را میتوان برای مدیریت Policyهای IPS و مجموعههایی از Signatureها در روترهای مختلف استفاده نمود که Cisco IOS Software Release 12.4(11)T2 و یا نسخههای بعدی، آن را اجرا مینماید. استفاده از IOS IPS درنسخههای قبل از 12.4(11)T یا نسخههای IOS Mainline توصیه نمیشود.
مانیتورینگ رویدادها
Cisco IOS IPS با شناسایی Signatureهای حمله، میتواند یک پیام Syslog را ارسال نموده و یا اقدام به Log کردن هشدار در فرمت (Secure Device Event Exchange (SDEE نماید. در هر صورت میتوان ازCisco Configuration Professional برای مانیتور کردن رویدادهای حاصل از یک روتر واحد استفاده نمود و (Cisco IPS Manager Express (IME را برای مانیتور نمودن رویدادهای IPS تولید شده توسط بیش از 10 روتر بهکار برد.
Cisco Capital چیست
Cisco Capital به کاربران کمک میکند تا تکنولوژی مورد نیاز برای دستیابی به اهداف مورد نظر و حفظ جایگاه رقابتی را به دست آورند؛ همچنین علاوه بر کاهش هزینهی سرمایه و تسریع روند رشد و توسعه موجب بهینهسازی سرمایه گذاری و بازگشت سرمایه میشود. ضمن اینکه انعطافپذیری لازم برای بهکار گیری سختافزار، نرمافزار، سرویسهای مختلف و تجهیزات Third-Party را نیز فراهم مینماید. مبلغ پرداختی نیز به یک میزان مشخص میباشد. در حال حاضر، Cisco Capital در بیش از 100 کشور در دسترس قرار دارد.
ـــــــــــــــــــــــــــــ
