رد کردن تا محتوای اصلی
یافتن

مهندسي شبكه و راهبري تحقيقات همكاران سيستم > article
بررسی اجمالی دستگاه (MARS (Monitoring, Analysis and Response System
نويسنده:  مهرداد حدادی - فواد جاسمی
ناشر:  مشورت،واحد شبکه و امنیت
تاريخ انتشار:  27/11/1389
كلمات كليدي:
MARS ,  Monitoring , Sys Log Attack , Cisco
Cisco MARS Review.pdf    
image_2_40967DBA.png    
image_thumb_40967DBA.png    

1- MARS چیست و توانایی انجام چه کارهایی را دارد ؟

MARS دستگاهی است که برای مانیتور کردن شبکه و پاسخگویی به اتفاقات دستگاه ها و نودهای میزبان شبکه طراحی شده است.

دستگاه های شبکه با فرستادن Syslog و SNMP Trap و همچنین نودهای میزبان شبکه به واسطه Agent NAC اتفاقات مربوط به خود را به MARS می فرستند.

MARS به کمک مجموعه اطلاعاتی که از دستگاههای شبکه دریافت می کند و به کمکTopology Discovery که با استفاده از SSH به دستگاههای شبکه مانند سوییچ ها و Access Point ها و خواندن SNMP و فایل تنظیمات آنها انجام می دهد، آنالیزی از اتفاقات شبکه را در اختیار ما قرار می دهد. این آنالیز شامل حملات درون شبکه و موفقیت آمیز بودن یا نبودن آنها , تغییر فایل تنظیمات, وضعیت دستگاهها ,آلوده بودن نود های میزبان شبکه به ویروس و ... می باشد.

MARS با استفاده از ابزارهایی مانند Vulnerability Assessment و SNMP RW و به کمک دستگاهای /IDS IPS و NAC Appliance یا NAC Framework حملات به دستگاه ها ونودهای میزبان شبکه را شناسایی کرده و از موفقیت آمیز بودن آنها جلوگیری می کند و مسیر حمله و مبدا و مقصد حمله را با رسم گراف به ما نشان می دهد.

لازم به ذکر است که MARS در صورتی می تواند به درستی عمل کند که دستگاه های درون شبکه که با آن ارتباط برقرار می کنند و دستگاه هایی که MARS می تواند از حمله شدن به آنها جلوگیری کند، همگی از برند سیسکو سیستم و یا دستگاه هایی باشند که به صورت پیش فرض توسط سیسکو سیستم از برندهای دیگر در MARS تعریف شده اند. البته این مستثنی ازنودهای میزبانی می باشد که با سیستم عامل های مختلف امکان برقراری ارتباط با MARS را دارند.

image

از ضعف های مهم MARS می توان از عدم کاربر پسند بودن آن که امکان اضافه کردن دستگاه های جدید با تنظیمات پیچیده را در آن سخت می کند و همچنین مشکل بودن جستجو برای اتفاقات مربوط به یک دستگاه خاص درآن را نام برد.

2- چه کارهایی برای استفاده از MARS در شبکه نیاز است که صورت گیرد؟

برای ارتباط بین دستگاه های داخل شبکه با MARS و بالعکس، تنظیمات زیر در دستگاه های ذکر شده باید انجام شود.

1) سوییچ :

a. نوشتن ACL برای دسترسی MARS به SNMP RO آنها و فرستادن SNMP Trap به MARS در صورت بوجود آمدن رویداد

b. تنظیم کردن فرستادن Syslog به MARS

c. پیاده سازی Dhcp Snopping و IP source Guard و Dynamic Arp Inspection برای فرستادن Syslog حملاتی در شبکه به MARS که این قابلیت ها در سوییچ از آنها جلوگیری کرده اند و یا MARS باید از آنها جلوگیری کند.

d. معرفی کردن این دستگاه ها به عنوان NAD با فعال کردن NAC-Specific-Data تا بتوانند با نود های میزبان ارتباط برقرار کنند

e. اضافه کردن سوییچ ها درMARS به عنوان دستگاه گزارشگیر و تنضیمات مربوط به SSH و SNMP RO برای دسترسی MARS به آن برای خواندن فایل تنظیمات و رویدادها

2) Access Point:

a. نوشتن ACL برای دسترسی MARS به SNMP RO آنها و فرستادن SNMP Trap به MARS در صورت بوجود آمدن رویداد

b. تنظیم کردن فرستادن Syslog به MARS

c. معرفی کردن این دستگاه ها به عنوان NAD با فعال کردن NAC-Specific-Data تا بتوانند با نود های میزبان ارتباط برقرار کنند

d. اضافه کردن Access Point ها درMARS به عنوان دستگاه گزارشگیر و تنظیمات مربوط به SSH و SNMP RO برای دسترسی MARS به آن برای خواندن فایل تنظیمات و رویدادها

3) Radius Server و Domain Controller Server:

a. نصب کردن برنامه Snare Agent وتنظیم آن برای فرستادن Syslogهای مربوط به Authentication نودها به MARS

b. اضافه کردنRadius Server و Domain Controller Serverدر MARS به عنوان گزارشگیر میزبان و معرفی کردن سیستم عامل آنها برای ارتباط برقرار کردن MARS با برنامه Snare Agentکه در آنها نصب شده است.

4) پیاده سازی(NAC (Network Admission Control :

NAC تکنولوزی است که از آن برای چک کردن سیاست های امنیتی مربوط به نود های میزبان شبکه استفاده می شود که به MARS در شناسایی حمله به دستگاهها و نود های میزبان شبکه و جلوگیری از موفقیت آمیز بودن آن کمک می کند.

NAC برای ارتباط با هر نود میزبان از NAD که شامل سوییچ و روتر و Access Point و فایروال های سیسکو می باشند کمک می گیرد. NAD ها هم با Cisco Trust Agent که روی هر نود میزبان نصب می شود ارتباط برقرار می کند و امنیت هرنود میزبان را با سیاست های امنیتی مربوط به آن در NAC چک می کنند.

NAC بطور کلی کارهای زیر را برای ما انجام می دهد :

1. جلوگیری از دسترسی نود های میزبان با امنیت پایین به شبکه

2. جلوگیری از آلوده شدن نود های میزبان به ویروس توسط نود های میزبان آلوده

3. فراهم کردن دسترسی به شبکه برای نود های میهمان بدون تهدید شدن بقیه نود های میزبان درون شبکه

می توان از یکی از دو روش زیر برای پیاده سازی NAC استفاده کرد :

 NAC Appliance : از دو قسمت زیر برای پیاده سازی NAC تشکیل می شود :

 Cisco NAC Mannager .i : یک کنسول وب است که از آن برای نوشتن سیاست های امنیتی برای نود های میزبان و مدیریت آنها در شبکه استفاده می شود.

 Cisco NAC Server .ii : سروری است که سیاست های امنیتی را از Cisco NAC Mannager دریافت می کند و قبل از برقراری ارتباط نود های میزبان به شبکه ابتدا ضریب امنیتی هر نود میزبان را با آنها مقایسه می کند و اگر سیاست های امنیتی در آن رعایت شده بود اجازه دسترسی به شبکه را به آن می دهد.

برای استفاده از NAC Appliance باید MARS را در آن به عنوان Syslog Server و Trapsink Server معرفی کنیم و SNMP Alert را برای NAC Appliance فعال کنیم و در انتها NAC Appliance را به عنوان دستگاه گزارشگیر در MARS معرفی شود.

 NAC Framework.b : برای پیاده سازی آن به مجموعه ای از سرور های زیر نیاز است :

(Cisco Secure Access Control Server) : یک سرور AAA می باشد که NAC را پشتیبانی می کند و محلی است که سیاست های امنیتی درآن نوشته می شود و تصمیم گیری درباره اجازه دسترسی نود های میزبان به شبکه را می گیرد.

 Posture Validation Server .ii: در این سرور ضریب امنیتی هر نود میزبان با سیاست های امنیتی که در CS-ACS موجود است چک می شود.

Audit Server .iii : این سرور میزان آسیب پذیری که هر نود میزبان ممکن است به شبکه وارد کند را بررسی می کند.

Remediation Server .iv : بصورت یک Management Aplication می باشد که Patch ها و نرم افزارهای مورد نیاز هر نود میزبان برای دسترسی امن به شبکه را در خود جای داده است.

برای استفاده از NAC Framwork در MARS باید برنامه Pn Log Agent در CS-ACS نصب شود تا لاگ های مورد نیاز MARS را به سمت آن بفرستد وهمچنین باید در CS-ACS به MARS اجازه تنظیم کردن Command برای NAD را بدهیم و در انتها CS-ACS را در MARS به عنوان دستگاه گزارشگیر معرفی شود.

5) پیاده سازی(IPS/IDS (Intrusion Prevention and Detection Systems Network :

لاگ های این دستگاه ها به MARS در شناسایی دستگاه و نود های میزبانی که مورد حمله قرار گرفته و آنهایی که از حمله به آنها جلوگیری شده است کمک می کند و MARS با مقایسه آنها با لاگ هایی که از نود های میزبان وNAC دریافت می کند آنالیزی از حملاتی که در شبکه اتفاق افتاده است را در اختیار ما قرار می دهد.

برای اینکار نیاز است که IPS/IDS Sensors برای درست کردن لاگ های مورد نیاز MARS تنظیم شود و در آن به MARS اجازه دسترسی به Sensor IPS/IDS برای خواندن لاگ ها داده شود و در انتها باید IPS/IDS در MARS به عنوان دستگاه گزارشگیر معرفی شود و تنظیمات مربوط به گرفتن لاگ از IPS/IDS Sensors نیز در آن انجام شود.

6) نود های میزبان :

Cisco Trust Agent(): این برنامه باید در تمام نود های میزبان نصب شود تا توانایی برقراری ارتباط با NAC را داشته باشند و NAC بتواند با واسطه NAD ها اجازه دسترسی یا عدم دسترسی آنها به شبکه را بدهد همچنین CTA به عنوان یک IPS/IDSنود میزبان کار می کند و لاگ هایی که به MARS می فرستد به MARS درشناسایی موفقیت آمیز بودن یا عدم موفقیت حملات به آنها کمک میکند.

برای استفاده از لاگ های CTA در MARS باید Cisco Security Agent Management Consol در CiscoWorks Server تنظیم شود تا لاگ ها را از CTA دریافت کند و آنها را به سمت MARS بفرستد و در انتها باید CSA-MC در MARS به عنوان دستگاه گزارشگیر معرفی شود.

 Snare Agent.b : این برنامه رویدادهای سیستم عامل هر نود میزبان را به MARS می فرستد تا MARS بتواند آنالیزی از وضعیت آنها و حملات به آنها و یا حمله کننده بودن آنها را در اختیار ما بگذارد و همچنین باید هر نود میزبان در MARS به عنوان گزارشگیر میزبان معرفی شود وتنظیمات مربوط بهVulnerability Assessment آن انجام شود تا MARS بتواند از آسیب پذیر ی نودهای میزبان به حملات جلوگیری کند.

7) MARS:

a. تعریف کردنNetwork Valid کهMARS بتواند نود های میزبان و دستگاه های شبکه را ببیند.

b. فعال کردن Network Discovery برای شناسایی دستگاه های اضافه شده به شبکه در آینده

3- نتیجه گیری :

اگرچه MARS دستگاهی می باشد که قابلیت مانیتورینگ رویدادها و شناسایی حملات در شبکه و جلوگیری از آنها را دارا می باشد اما در صورتی می تواند از این توانایی های خود به خوبی استفاده کند که حداقل دستگاههای ذکر شده در متن به شبکه اضافه و بدرستی تنظیم شوند تا MARS بتواند با مجموعه لاگ هایی که از آنها دریافت می کند، آنالیز درستی را از آنچه در شبکه در حال اتفاق است به ما بدهد و با آنها مقابله کند.

منابع :

1. www.cisco.com

2. https://ciscomars.blogspot.com

3. www.sans.org

4. http://searchsecurity.techtarget.com

 

نظرات

نظری برای این یادداشت وجود ندارد.
اگر عدد داخل تصوير بالا قابل نمايش نمي باشد، صفحه را Refresh كنيد.
كد بالا را در اين قسمت وارد كنيد : *

(توجه : اگركد بالا به درستي نمايش داده نمي شود، صفحه را براي دريافت كد جديد مجدداً لود كنيد.)
برای محتوای موارد این لیست تاییدیه لازم است. تا زمانی که آنها توسط کاربرانی که مجوز های لازم را دارند تایید نشوند داده های ارسال شده توسط شما در نمای عمومی نشان داده نخواهند شد. اطلاعات جانبی درباره تایید محتوا.

عنوان


متن اصلی *


پست الكترونيكي


پیوست ها
صفحه اصلي درباره ما تماس باما
کليه حقوق اين سايت براي شرکت مهندسي شبكه و راهبري تحقيقات همكاران سيستم محفوظ است. ©