Выбрать язык


Выбрать язык | Show only


Русский | English


пятница, 26 февраля 2016 г.

Интеграция Cisco IDS/IPS и IBM ISS SiteProtector с OpenNMS



Иногда у администратора IT-безопасности может возникнуть необходимость предоставления оперативного доступа к событиям систем обнаружения вторжений для других подразделений.



В ряде случаев для более качественного решения проблем безопасности информационных систем специалистам IT-безопасности необходимо дать доступ другим подразделениям в автоматизированном режиме к определенным событиям, которые генерируются при срабатывании сигнатур системами обнаружения и предотвращения вторжений. Примером может быть объединение усилий при вирусной эпидемии. Правилом «хорошего тона» считается максимальное ограничение возможности доступа к интерфейсам управления устройствами, которые ты администрируешь. Если в инфраструктуре IDS/IPS предприятия присутствует оборудование нескольких производителей, системному администратору еще меньше захочется предоставлять доступ ко всему оборудованию. В данном случае рациональнее всего будет выделить отдельный физический либо виртуальный сервер мониторинга, настроить отсылку SNMP-трапов как реакцию систем обнаружения вторжений на сигнатуры, и предоставить возможность другим подразделениям пользоваться результатами работы. Рассматривается возможность интеграции Cisco IDS/IPS и IBM ISS SiteProtector с OpenNMS.


Настройка Cisco IDS/IPS
Что нужно настроить на Cisco IDS/IPS (применимо к любым IPS 7.0):
1. Включить возможность отсылки SNMP-трапов с сенсора:
sensor1(config)# service notification
sensor1(config-not)# enable-notifications true
sensor1(config-not)# enable-detail-traps true
2. Указать IP-адрес сервера мониторинга. Порт и community – на усмотрение:
sensor1(config-not)# trap-destinations 10.1.2.3
3. На каждой сигнатуре, по которой необходимо получить трап, нужно включить действие отсылки SNMP-trap как реакцию на срабатывание:
sensor1(config)# service signature-definition sig0
sensor1(config-sig)# signatures 16293 1
sensor1(config-sig-sig)# engine string-tcp
sensor1(config-sig-sig-str)# event-action produce-alert|request-snmp-trap

 

Настройка ISS SiteProtector



Все настройки отсылки трапов производятся не на каждом агенте отдельно, а один раз в консоли управления, что, естественно, достаточно удобно.

В ISS 7.0 по умолчанию все события, отработанные сетевыми сенсорами, отображаются на системе мониторинга и записываются в базу данных. Дополнительные возможности срабатывания на события настраиваются в Central Responses системы управления ISS SiteProtector. Для настройки отсылки SNMP-trap как реакций на срабатывание сигнатуры, необходимо указать объект реагирования и правило реагирования.
В Central Responses сначала определяется объект реагирования Response Object на вкладке SNMP:

Заполняются поля Name (любое имя), Manager (IP-адрес системы, которая будет принимать трапы) и Community:


После этого в правилах реагирования Response Rules необходимо добавить новое правило для события Event Rule:

активировать его, заполнить имя (Name) и указать название сигнатуры, при срабатывании которой требуется отсылка трапов:

 

Предположим, необходимо оповещение о заражении сетевым червем Conficker. Сигнатуры уровня приоритетности, начинающиеся на Conficker, говорят о заражении одноименным червем. Соответственно, заполняем и жмем OK:


Косвенно о заражении данным червем могут говорить также и другие сигнатуры. Информация о них доступна в базе знаний на сайте производителя http://iss.custhelp.com
После настройки в новом правиле событий переходим к реакции на них (вкладка Responses), и внутри нее выбираем вкладку SNMP, где активируем запись traps, далее везде жмем OK:

Настройка ISS SiteProtector завершена.


Настройка OpenNMS
Настройки отображения событий, которые поступают на консоль мониторинга в виде SNMP-трапов, в OpenNMS находятся в следующих папках и файлах:
/etc/opennms/eventconf.xml
/etc/opennms/events/


В /etc/opennms/eventconf.xml находятся общие параметры отображения событий, а в папке /etc/opennms/events/ лежат xml-файлы конфигурации обработки специфических трапов по производителям. Параметры обработки и отображения SNMP-трапов, генерируемых Cisco IPS, отображены в файле /etc/opennms/events/Cisco.CIDS.events.xml, конфигурация для IBM ISS содержится в /etc/opennms/events/ISS.events.xml. Тем не менее, во избежание перезаписи конфигураций в случае обновлений OpenNMS, рекомендуется не изменять файлы по умолчанию, а создать собственные и в eventconf.xml сослаться на них.

По умолчанию он сконфигурирован для отображения параметров, которые пришли в трапах, по порядку. Если актуальна работа только с одной сигнатурой – можно использовать и порядковые номера параметров, но если сигнатуры разные, как в нашем случае, то рациональнее отображать значения согласно содержащимся в трапах OID'ам.

В итоге, измененный фрагмент конфигурационного файла, определяющего формат отображения событий Cisco IDS/IPS с High severity events приобрел следующий вид:

<uei>High severity events - Infected PC</uei>
<event-label>CISCO-CIDS-MIB defined trap event: ciscoCidsAlert, High severity</event-label>
<descr>
<p>Event indicating that some suspicious or malicious
activity has been detected on a monitored network.</p><table>
<tr><td><b>

Severity</b></td><td>
 %parm[.1.3.6.1.4.1.9.9.383.1.2.1]%;</td><td><p></p></td></tr>
<tr><td><b>

SigName</b></td><td>
 %parm[.1.3.6.1.4.1.9.9.383.1.2.4]%;</td><td><p></p></td></tr>
<tr><td><b>

SigId</b></td><td>
 %parm[.1.3.6.1.4.1.9.9.383.1.2.5]%;</td><td><p></p></td></tr>
<tr><td><b>

SubSigId</b></td><td>
 %parm[.1.3.6.1.4.1.9.9.383.1.2.6]%;</td><td><p></p></td></tr>
<tr><td><b>

AttackerAddress</b></td><td>
 %parm[.1.3.6.1.4.1.9.9.383.1.2.16]%;</td><td><p></p></td></tr>
<tr><td><b>

VictimAddress</b></td><td>   %parm[.1.3.6.1.4.1.9.9.383.1.2.17]%;</td><td><p></p></td></tr></table>
</descr>
<logmsg dest='logndisplay'><p>
SigName=%parm[.1.3.6.1.4.1.9.9.383.1.2.4]%
SigId=%parm[.1.3.6.1.4.1.9.9.383.1.2.5]%
SubSigId=%parm[.1.3.6.1.4.1.9.9.383.1.2.6]%
AttackerAddress=%parm[.1.3.6.1.4.1.9.9.383.1.2.16]%
VictimAddress=%parm[.1.3.6.1.4.1.9.9.383.1.2.17]%</p>
</logmsg>

Фрагмент конфигурационного файла для обработки SNMP-трапов с ISS SiteProtector после обработки выглядел следующим образом:
<uei>Events received from ISS sensors</uei>
<event-label>ISS-MIB defined trap event: highpriorityevent</event-label>
<descr>
<p>This trap is sent from a RealSecure engine whenever a high priority event
is encountered that the RealSecure engine is configured to send traps
for. The details of the event are contained in the trap.</p><table>
<tr><td><b>

EventTime</b></td><td>  %parm[.1.3.6.1.4.1.2499.1.1.2.1.1.1.1.2]%;</td><td><p;></p></td;></tr>
<tr><td><b>

SourceIpAddress</b></td><td>  %parm[.1.3.6.1.4.1.2499.1.1.2.1.1.1.1.4]%;</td><td><p;></p></td;></tr>
<tr><td><b>

DestinationIpAddress</b></td><td>  %parm[.1.3.6.1.4.1.2499.1.1.2.1.1.1.1.5]%;</td><td><p;></p></td;></tr>
<tr><td><b>

DestinationPort</b></td><td>  %parm[.1.3.6.1.4.1.2499.1.1.2.1.1.1.1.8]%;</td><td><p;></p></td;></tr>
<tr><td><b>

EventSpecificInfo</b></td><td>  %parm[.1.3.6.1.4.1.2499.1.1.2.1.1.1.1.11]%;</td><td><p;></p></td;></tr></table>
</descr>

После завершения настройки представители других подразделений компании имеют возможность мониторинга посредством OpenNMS через веб-браузер по адресу: http://opennms-server:8980/opennms/event/index.jsp

Заключение


Таким образом, используя отсылку сообщений о срабатывании событий безопасности в виде трапов SNMP на сторонние системы, возможно без ослабления уровня безопасности систем обнаружения вторжений и дополнительных финансовых затрат предоставить доступ к информации о срабатывании определенных сигнатур заинтересованным подразделениям.


Статья 2009 года, опубликована в журнале "Системный администратор".

Комментариев нет:

Отправить комментарий