1. I. Bố cục
Ngoài những phần mở đầu và kết luận, bài báo cáo được chia thành 2 chương
Chương I: Giới thiệu vê CSMars
Chương II: Thực hành Lab
MỤC LỤC
LỜI CẢM ƠN
NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
DẪN NHẬP.........................................................................................................................v
I. Lí do chọn đề tài……………………………………………………………….……v
II. Nội dung nghiên cứu……………………………………………………………....vi
III.Mục tiêu nghiên cứu…………………………………………………………….... vi
IV. Phạm vi nghiên cứu…………………………………………………………….... vi
V. Phương pháp nghiên cứu…………………………………………………………. vi
VI. Bố cục………….………………………………………………………………...vii
CHƯƠNG I: GIỚI THIỆU VỀ CSMARS
I. Giới thiệu……………………………………………………………………….....1
1. Phần mở đầu…………………………………………………………………….......1
2. Quy trình lưu lượng của CSMARS……………………………………………........2
3. Lựa chọn các thiết bị để giám sát……………………………………………….......3
4. Thông tin liên lạc CSMARS……………………………………………………......5
5. Các tính măng và lợi ích của CSMARS…………………………………………....5
6. CSMARS triển khai các tùy chọn………………………………………………......6
II. Rules……………………………………………………………………………....7
1.Khái niệm……………………………………………………………………….....7
2.Các loại Rules…………………………………………………………………......7
2.1. Inspection Rules……………………………………………………………....7
2.1.1 System Rules………………………………………………………......8
2.1.2 User Define Rules…………………………………………….…….....8
2.2. Drop Rules…………………………………………………………………....8
2.2.1. Liên kết False Positive………………………………………………..8
2.2.2. Thủ công……………………………………………………………...9
3. Active và Inactive Rules………………………………………………………....11
4. Complex và Behavioral Rule Creation…………………………………………. .12
III. Incident…………………………………………………………………………. .13
1.Khái quát Incident………………………………………………………..……....13
2.Sử dụng Incident để quan sát dữ liệu………………………………………….....16
2. IV. Queries…………………………………………………………………………...16
1. Khái niệm………………………………………………………………………..16
2. Các loại Query…………………………………………………………………. .17
2.1 Query Type………………………………………………………………......17
2.2 Instant Query………………………………………………………………....18
2.3 On-Demand Queries và Manual Queries………………………………….....20
V.Report……………………………………………………………………………...21
1. Khái niệm………………………………………………………………………..22
2. Các lọai Report…………………………………………………………………. 22
2.1 Report có sẵn……………………………………………………………..…..22
2.1.1 Sử dụng tab report……………………………………………………......23
2.1.2 Lấy report theo yêu cầu…………………………………………………..24
2.2 Tạo riêng một Report…………………………………………………….…...24
2.3 Cách nhận Report………………………………………………………..…...26
VI. Netflow……………………………………………………………………….…. .28
1. Khái niệm.............................................................................................................28
2. Netfow trong CSMars..........................................................................................28
3. Cấu hình Netflow................................................................................................29
Cấu hình Netflow trên CSMars..........................................................................................32
Router.................................................................................................................................33
3.2.1 Cấu hình SNMP...................................................................................33
3.2.2 Cấu hình Netflow trên Router Cisco....................................................34
3.2.3 Cấu hình file Log trên Router Cisco....................................................34
3.3. Switch.............................................................................................................35
3.3.1 Cấu hình switch để kích hoạt L2 Discovery........................................35
3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP…...............35
3.3.3 IOS Switches kích hoạt Syslog............................................................36
3.3.4 IOS Switches kích hoạt NetFlow………………………………….....36
3.4 Cấu hình tường lửa……………………………………………………….......36
3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco………………….... ....36
3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco…………………….…....37
3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco………………….........37
3.4.4 Nhận một thiết bị Firewall của Cisco vào CSMARS ……….……....37
3.5 Nhận thiết bị Cisco IPS vào CSMARS……………………………………....39
CHƯƠNG II: THỰC HÀNH LAB
I. MÔ HÌNH VÀ CẤU HÌNH THIẾT BỊ……………………………………..…......42
1.Mô hình………………………………………………………………………......42
2.Cấu hình thiết bị……………………………………………………………….....43
.Router…………………………………………………………………..…......................43
.ASA…………………………………………………………………..….........................44
.Switch……………………………………………………………….……......................45
.IDS………………………………………………………………………........................46
2
3. Cấu hình IDS VLAN Pair……………………………………………..…........................46
3. Xem File Log trên IDS……………………………………………………….....47
II. NHẬN BIẾT THIẾT BỊ TRÊN CSMARS VÀ TÌNH TRẠNG HOẠT ĐỘNG CỦA
HỆ THỐNG MẠNG TRÊN CSMARS………………………………..………...............50
1. Nhận biết thiết bị………………………………………………………..…….....50
1.1 .Nhận kết nối giữa RouterGW với CSMars bằng SNMP……………………50
1.2 .Nhận kết nối firewallASA với CSMars bằng TELNET………………….… 51
1.3 .Kết nối IDSsensor………………………………………………………….51
1.4 .Cấu hình Netflow trên CSMars……………………………………………..52
2. Tình trạng hoạt động của hệ thống mạng trên CSMars…………………………. 53
2.1 .Summary………………………………………………………....………….53
2.2 .Incident…………………………………………………………………….. .61
2.3 .Event……………………………………………………………………….. .62
2.4. Queries………………………………………………………………..……..63
2.5 .Rule và Report…………………………………………………….………...64
.
KẾT LUẬN……………………………………………………………………………....65
TÀI LIỆU THAM KHẢO.................................................................................................67
CHƯƠNG I:
GIỚI THIỆU VỀ CSMARS
3
4. I. Giới thiệu về CSMars
1. Phần mở đầu
Trong mạng lưới môi trường an ninh mạng ngày nay, có một loại bệnh đang tồn
tại. Nhiều công ty hiểu rằng họ cần các thiết bị an ninh để bảo vệ chúng từ mạng lưới dựa
trên các cuộc tấn công. Vấn đề là vì các thiết bị an ninh đã được triển khai, tập đoàn đặt
niềm tin mù quáng vào những gì mà họ đang làm và cho rằng mối đe dọa đang được
ngừng lại. Đây là sai lầm lớn nhất trong mạng lưới an ninh thế giới ngày hôm nay. Tin
tặc, tất nhiên, biết được điều này và thiết kế để tấn công phá hoại những dụng cụ bảo mật
hiện có bằng cách sử dụng các giao thức và các gói tin hợp lệ.
Doanh nghiệp và các tập đoàn nhận thấy là ngay bây giờ để thực sự cung cấp một
cách hiệu quả việc bảo vệ mạng lưới của họ, họ cần phải thực hiện bước tiếp theo và
kiểm tra chặt chẽ mạng lưới cơ sở hạ tầng, máy chủ, ứng dụng, và các sự kiện an ninh để
xác định xem liệu có một cuộc tấn công khai thác các thiết bị của họ trên mạng.
Giám sát an ninh của Cisco, phân tích, và đáp ứng hệ thống (Cisco Security
Monitoring, Analysis, and Response System-CSMARS) là một thiết bị mạng mà an
ninh được triển khai chặt chẽ hơn và cung cấp các hệ thống tự động nhận biết và giảm
thiểu mối đe dọa đến an ninh hiện có và triển khai mạng lưới. Trong gần như tất cả các
trường hợp, các doanh nghiệp sẽ nhận thức được việc tiết kiệm chi phí đáng kể và sự thay
đổi mạnh mẽ hiệu quả của an ninh bằng việc triển khai CS-Mars.
Thuật ngữ: CSMARS phân biệt các event, session and incident.
o Event: những thông điệp còn sơ sài (ví dụ: IDS, firewalls logs) gửi đến
thiết bị bởi các thiết bị báo cáo
o Session: hàng loạt các event mà chia sẻ những thông tin thông thường
end-to-end (IPđích, cổng đích, IP nguồn, cổng nguồn và giao thức)
o Incident: hàng loạt các session mà phù hợp với một rule được xác định
Công nghệ: có ba công nghệ chính:
o Correlation: hiệu suất cao trong việc thống nhất giữa hai giai đoạn tương
quan và những rule linh hoạt cho các phân tích incident và giảm thiểu:
-Hồ sơ của mạng lưới giao thông (lưu lượng net) và phát hiện những gì bất
thường
-Tương quan các event với session
-Áp dụng các tương quan của rule vào session để xác định incident
o Phân tích Vector: thực hiện các loại hình phân tích:
1
5. -Phân tích các incident để xác định các mối đe dọa hợp lệ
-Phân tích đường dẫn
-Phân tích tính nguy hiểm cho các máy bị nghi ngờ
-Quét những tương quan có tính chất nguy hiểm
o Giảm thiểu: thực hiện và xây dựng chuyên môn để nhận ra và đề nghị
giảm thiểu cho các cuộc tấn công trước khi chúng có thể phá hủy toàn bộ
mạng lưới:
- Khám phá tối ưu "choke point" (ví dụ: gần nhất lớp 2 switchport).Đề
nghị các lệnh giảm thiểu và đẩy mạnh việc xác nhận bởi người sử dụng
-Thông báo cho người sử dụng về việc thay đổi cấu hình
2. Quy trình lưu lượng của CSMARS
Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập các sự kiện còn sơ sài,từ đó
giảm thiểu được sự tấn công.Quy trình có thể được mô tả như sau:
2
6. - Bước 1: Thiết bị này này phải bắt đầu với nhận thức đầy đủ về mô hình
của mạng lưới. Nó dùng thông tin cấu hình đã hoàn tất từ router và switch,
máy chủ và các máy vi tính khác, cùng với các thông tin từ các thiết bị an
ninh để xây dựng một hình ảnh đầy đủ của mạng lưới.
- Bước 2: Không chỉ các thiết bị an ninh (tường lửa và IDS) mà các thiết bị
mạng (router và switch) và hệ thống cuối (server) gửi logging và mạng
lưới thông tin. Thiết bị MARS cũng có thể thu thập dữ liệu của Cisco IOS
NetFlow từ router và switch, làm cho hiệu suất mạng và tính toán các dữ
liệu sẵn có để hội nhập với các sự kiện dữ liệu. Dữ liệu NetFlow có thể
xác định các mạng lưới giao thông bất thường - đột ngột thay đổi trong
mức độ lưu lượng.
- Bước 3: Sessionization dùng các nhận thức về mô hình của mạng lưới để
kết hợp nhiều sự kiện vào end to end session.
- Bước 4: Session-Based Active Correlation, sử dụng bằng cách gắn liền
các rule do người sử dụng xác định, tương quan thông tin những session
với dữ liệu NetFlow để xác định các ứng viên có tiềm năng cho việc hoàn
thành mạng lưới tấn công, gọi tắt là incident
- Bước 5: CSMARS appliance performs automatic vulnerability
assessment, which uses information about end system to identify false
positive, building rules to reduce future analysis and processing of
candidate incidents. Thiết bị CSMARS tự động thực hiện các hành động
được đánh giá mang tính chất nguy hiểm, nó sử dụng các thông tin về kết
thúc hệ thống để xác định false-positive, xây dựng các rule để giảm bớt
quá trình phân tích trong tương lai các ứng viên của incident.
- Bước 6: Thông báo cho các nhà điều hành về những incident thực tế và
các hướng dẫn để giảm thiểu.
- Bước 7: Xác định xem chúng có thực sự là incident hay là false-positive.
Với một quyết định, người dùng có thể phân loại false-positive và nhanh
chóng giảm số lượng các báo cáo incident.
3. Lựa chọn các thiết bị để giám sát
Tất cả các chiến lược giám sát bao hàm việc lựa chọn các loại thiết bị theo dõi giám
sát và có bao nhiêu dữ liệu để cung cấp thiết bị MARS. Tất cả các thiết bị trên mạng
lưới của bạn là máy, gateway, thiết bị an ninh, hoặc máy chủ, cung cấp một số cấp độ
dữ liệu mà Mars có thể sử dụng để nâng cao tính chính xác của nhận dạng an ninh về
incident. Tuy nhiên, cân nhắc cẩn thận về những dữ liệu để cung cấp có thể cải thiện
việc xác định thời gian phản hồi của sự tấn công bằng cách đảm bảo rằng Mars không
thực hiện việc phân tích tương quan sự kiện là cần thiết hay dư thừa. Đăng nhập không
cần thiết và báo cáo bởi thiết bị báo cáo cũng có thể làm giảm hiệu quả của mạng lưới.
3
7. Bảng xác nhận thiết bị loại, mô tả những thông tin nào chúng có thể cung cấp, và đề
xuất cấu hình như thế nào cho các thiết bị trong mạng của bạn.
Loại thiết bị Dữ liệu sẵn có Cấu hình khuyên dùng
Router Các thiết bị khám phá giao thức được
dùng cho việc truy cập của quản trị
viên/giảm.
Những dữ liệu sau được lấy từ router:
• hostname
• static routes
• ACL rules
• static NAT rules
• traffic flows
• SNMP RO Community strings
• NetFlow data
• Tình trạng thiết bị và nguồn sử dụng,
như bộ nhớ, CPU, và giao diện/cổng số
liệu thống kê.
• Bảng ARP cache. Được dùng để sắp
xếp địa chỉ IP với địa chỉ MAC.
Khởi động:
• SNMP RO community
strings
• Syslog traffic
• Nhận thiết bị qua SSH
hay Telnet access
Switch SNMP RO Community strings
Bảng forwarding, được dùng để sắp xếp
địa chỉ IP với địa chỉ MAC.
Tình trạng thiết bị và nguồn sử dụng,
như bộ nhớ, CPU, và giao diện/cổng số
liệu thống kê.
NetFlow data
Khởi động:
• SNMP RO community
strings
• Syslog traffic
• Nhận thiết bị qua SSH
hay Telnet access
• Khởi động NetFlow data
• Quyền truy cập cho quản
trị viên cho việc đẩy mạnh
giảm thiểu
4
8. Firewall Cấu hình giao diện. Được sử dụng để
xem mô hình và xác định tuyến đường
dự kiến, giúp lọc lưu lượng truy cập qua
các tường lửa
NAT và PAT mappings. Được sử dụng
để xác định nguồn gốc của bên tấn công
và các mục tiêu và theo dõi chúng
Điều khoản Firewall. Khi nhận ASA,
PIX, và FWSM, MARS phân tích ACLs
và các cáp điện (chỉ dùng với PIX).
Firewall logs. Nhận và từ chối sessions
logs được sử dụng để xác định các false
positive và xác định xem tiềm năng tấn
công đã được chặn trước khi đến các
mục tiêu.
Tình trạng thiết bị và việc sử dụng
nguồn thông tin. Được sử dụng để xác
định hoạt động mạng bất thường dựa
trên bộ nhớ, CPU, cổng giao diện và các
số liệu thống kê.
Khởi động:
• SNMP RO community
strings
• Syslog messages
• Nhận thiết bị
Network
IDS/IPS
Thông báo Fired signature. Identifies
attacks and threats, which helps
determine mitigation response, identify
potential false positive information, and
target vulnerability assessment probes
conducted by MARS. Fired chữ ký của
các thông báo. Xác định các tấn công và
đe dọa, trong đó giúp xác định việc
giảm thiểu phản ứng, xác định các tiềm
năng của thông tin false positive, và
mục tiêu mang tính nguy hiểm được
khảo sát đánh giá bởi Mars
Kích hoạt gói thông tin. Cung cấp các
Payload của gói tin mà gây ra các fired
signature.
Xác định xem liệu một cuộc tấn công đã
bị chặn tại một thiết bị cụ thể.
Tình trạng thiết bị thông tin
4. Thông tin liên lạc CSMARS
Thiết bị Mars là một thiết bị thụ động trừ việc nhận biết, giảm thiểu hoặc các hoạt động
điều tra được kiểm soát hoặc một thiết bị yêu cầu phải đăng nhập để nhận được các thông
số tương ứng. Nó dùng một loạt các phương tiện để nhận được các log, khám phá mô
hình mạng, và giảm thiểu mối đe dọa và cảnh báo các quản trị viên.
5
9. CSMARS nhận log bằng cách sử dụng các giao thức: syslog, SNMP traps
HTTP hay HTTPS và SDEE (cho IPS).
CSMARS khám phá mô hình mạng thực hiện các công việc bằng cách sử
dụng những giao thức này: SNMPv1 (read only access được yêu cầu),
telnet, SSH hoặc FTP và SDEE, vv.
CSMARS thực hiện giảm thiểu bằng cách sử dụng những giao thức này:
telnet, SSH, SNMPv1 (write access được yêu cầu).
CSMARS cảnh báo các quản trị viên bằng cách sử dụng những giao thức:
E-mail, SNMP trap, syslog, pager, SMS
5. Các tính năng và lợi ích của CSMARS
- Mạng thông minh tập hợp sự kiện: có được mạng lưới trí tuệ bởi sự hiểu
biết các mô hình và cấu hình thiết bị router,switch và tường lửa trong hồ
sơ mạng lưới giao thông
- Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình huống
bằng cách đó đã làm giảm đáng kể dữ kiệu sự kiện sơ sài, tạo điều kiện ưu
tiên việc đáp ứng, và tối đa các kết quả từ triển khai biện pháp đối phó
- Tập hợp hiệu suất cao và củng cố: Mars, giải pháp lấy được hàng ngàn
nguyên sự kiện, sắp xếp các incident một cách hiệu quả với việc giảm
thiểu những dữ liệu chưa từng có, và cô đọng lại thông tin này. Quản lý
khối lượng sự kiện an ninh cao, đòi hỏi một sự an toàn và ổn định về nền
tảng logging.
- Xác định Incident: CsMars giúp đẩy nhanh và đơn giản hóa quá trình xác
định mối đe dọa, điều tra, xác nhận và giảm thiểu
- Tác dụng của đòn bẩy giảm thiểu với tự động giảm thiểu: có khả năng xác
định điểm cốt lõi thiết bị tấn công theo đường dẫn và tự động cung cấp các
thiết bị thích hợp lệnh mà người sử dụng có thể sử dụng để giảm thiểu các
mối đe dọa
- Điều tra thời gian thực và theo đúng báo cáo
- Triển khai nhanh chóng: Mars được đặt trên một TCP / IP nework, nơi nó
có thể gửi và nhận các syslog, SNMP traps, và thiết lập bảo mật các
session và triển khai với mạng lưới và an ninh thông qua các thiết bị đạt
tiêu chuẩn an toàn hoặc các nhà cung cấp giao thức cụ thể:
- Mở rộng quản lý: cung cấp một cái nhìn toàn bộ doanh nghiệp, phổ biến
các quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, và các mẫu báo
6
10. cáo, điều tra và phối hợp phức tạp với việc làm tăng nhanh các query and
report.
6. CSMARS triển khai các tùy chọn
CSMARS phân phối kiến trúc phụ thuộc vào kích thước và yêu cầu của một mạng lưới.
Các thiết bị có thể được triển khai như sau
o Chế độ Standalone: Đây là trung tâm quản lý thông qua một trang web an
toàn dựa trên giao diện hỗ trợ rule theo quản trị viên. Quản lý của các thiết
bị báo cáo, query, rule và report được thực hiện trên thiết bị này. Khi
CSMARS trong chế độ standalone liên lạc với các CSMARS Global
Controller, các chế độ thiết bị thay đổi thành CSMARS Local Controller
o CSMARS Local Controller: CSMARS Local Controller triển khai tương
tự như với standalone được mở rộng khả năng giao tiếp với các CSMARS
Global Controller.
o CSMARS Global Controller: Đây là một thiết bị giao tiếp với một hoặc
nhiều LC,cho phép hoạt động ở trung tâm và quản lý của LC trong CS-
Mars được phân phối triển khai. Điều quan trọng cần lưu ý rằng các GC
hiện không tiến hành trên toàn cầu của tất cả các dữ liệu LC tương quan.
Giao tiếp giữa LC và GC xảy ra thông qua HTTPS.CS- Mars LC gửi tổng kết
snapshots của các dữ liệu vào GC. Vì vậy, tất cả các dữ liệu vẫn còn nguyên trên LC. Khi
bạn bấm vào các dữ liệu trong GC, một session HTTPS mới được mở cho LC, sau đó bạn
sẽ xem các dữ liệu trên LC. Tất cả quản lý hoặc lệnh của quản trị viên gửi từ GC cho LC
được thực hiện thông qua các thông tin liên lạc HTTPS.
II. Rules
1. Khái niệm
Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hành
động. Các hành động khác nhau từ việc tạo Incident và False-positive để tạo ra e-mail
thông báo Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một Incident
được tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động.
Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặc
phức tạp hơn là đặc điểm các hành động chẳng hạn như một máy Server kết nối với máy
Client thông qua các Port và sau đó gửi đến những hành động đó trên mạng lưới.
2. Các lại Rules
Trong CS-Mars, Rules và Reports về cơ bản là cùng một cấu trúc, sự khác biệt là
chúng có mục đích và kết quả khác nhau. Queries là nền tảng cho Rules và Reports.
Queries được sử dụng để lọc các tiêu chuẩn cho việc xác định những dữ liệu của một
7
11. Report hoặc cho phù hợp với một Rule để có những hành động thiết thực. Một hành động
mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng. Để kích hoạt
các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của
Rules.
Có 2 loại Rules:
Inspection rules
Drop rules
2.1 Inspection Rules:
Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho
một Incident được tạo ra và xử lý chúng. Hành động mặc định cho một Inspection Rule là
tạo ra một Incident ID, mỗi ID là một số duy nhất để định dạng các dữ liệu mà cụ thể ở
đây là kích hoạt các Rules. Việc tạo ra các Incident ID này dẫn đến việc đẩy mạnh sự
hình thành của sự kiện. Inspection Rules có 2 dạng: System Rules và User Defined Rules.
Để xem các Inspection Rules: Tab Rules > Inspection Rules
2.1.1 System Rule:
Những Rules đã được xác định trước trong CS-Mars. System rules dễ dàng được nhận
ra bởi một quy ước đặt tên duy nhất. Tên của System Rules bắt đầu bằng chữ "System
Rule:" và sau đó sẽ được nối với tên Rule. Hơn 120 System Rules được xây dựng sẵn vào
CS-Mars. Những Rules này có thể được sửa đổi chút ít bằng cách thay đổi các thuộc tính
sau:
Action
IP Source
IP Destination
Thiết bị
Không có thuộc tính System Rules khác có thể được sửa đổi. Nếu muốn thay đổi các
thuộc tính khác, có thể vào Tab Duplicate, System Rules và sửa đổi tất cả các thuộc tính
trong những Rules mới được sao chép.
2.1.2 User Defined Rules:
Rules do người dùng tạo ra trên CSMARS. Những Rules này được gán với tên chính
xác và xuất hiện theo thứ tự chữ cái trên trang Inspection Rules
2.2 Drop Rules
Drop Rules là điều kiện phải được đáp ứng cho một hành động sẽ được thực hiện.
Những hành động có thể làm như bỏ dữ liệu hoàn toàn từ DataBase hoặc chặn dữ liệu
8
12. đến DataBase nhưng không cho phép sử dụng dữ liệu trong một Incident. False-
Possitive( cảnh báo sai) điều chỉnh cho phép chỉnh các Rules cho việc xác định False-
Possitive. Hành động mặc định cho Rule này là tạo ra một hệ thống xác định False
Possitive. Để xem các Drop Rules, để xem các Drop Rules có thể vào Tab Rules > Drop
Rules.
Có thể điều chỉnh tùy theo những lý do khác nhau. Một số phương pháp chỉnh:
Thông qua các liên kết False Possitive
Thủ công
2.2.1. Liên kết False Positive
Khi xem các sự kiện thông qua các công cụ Queries hay Incident thông qua
Incident/Session ID, bình thường hóa các dữ liệu đưa ra những kết thúc trong một liên
kết False Positive . Khi bấm vào, liên kết này sẽ mở ra một cửa sổ mới với False Positive
Tuning Wizard.
2.2.2. Thủ công
Tạo ra một drop rule từ trang Drop Rules, tại Rules > Drop Rules. Khi điều hướng
đến trang này cho lần đầu tiên, nó là trống.
9
13. Như một ví dụ thực tế về cách rule này có thể được sử dụng, hãy xem xét các sự kiện
Built/Teardown/Permitted IP Connection, tạo ra bởi tường lửa Pix thiết bị ASA mỗi lần
một session được mở thông qua các tường lửa
Bước 1: Nhấp vào nút Add trên trang Drop Rules.
Bước 2: Nhập một tên Drop Rule và mô tả.
Bước 3: Chọn Any như địa chỉ IP Source.
Bước 4: Chọn Any như địa chỉ IP Destiantion.
Bước 5: Chọn Any như là Port dịch vụ và giao thức.
Bước 6: Chọn All Event Types từ menu drop-down ở hộp bên phải
Bước 7: Gõ Built/teardown trong hộp Search và nhấp vào Search.
Bước 8: Đánh dấu vào Built/Teardown/Permitted IP Connection và nhấp
<<== nút Add. Built/Teardown/Permitted IP Connection bây giờ xuất hiện ở
hộp bên trái. Bấm Next.
10
14. Bước 9: Chọn loại thiết bị: Cisco Pix.
Bước 10: Kiểm tra Pix <<== nút (Add) . Lựa chọn bây giờ xuất hiện trong hộp
bên trái. Bấm Next.
Bước 11: Để lại Any nào vào trong các trình đơn Severity drop-down. Bấm Next.
Bước 12: Chọn nút Drop radio. Bấm Next.
Bước 13: Chọn Time Range nút Any. Bấm Next.
11
15. Bước 14: Nhấp vào Submit.
Bước 15: Nhấp vào nút Activate để kích hoạt.
3. Active và Inactive Rules
Tất cả các Rules trong CS-Mars có hai tình trạng: hoạt động và không hoạt động.
Active Rule là những rule đang được sử dụng. Inactive rule là những Rule không hoạt
động có nghĩa là không được sử dụng.
Tạo Custom System Inspection Rules
Tạo ra một Custom System Inspection Rule thì tương tự như trong quá trình tạo Drop
Rule bằng thủ công, nhưng với nhiều chi tiết hơn, bao gồm cả khả năng để thêm vào các
Rule tính phức tạp với các biểu thức Boolean.
Ví dụ: Để tạo các Rules này là của người dùng, các quản trị viên, muốn có một
Incident được tạo ra, và muốn được thông báo qua e-mail khi một máy chủ nội bộ hay
bên ngoài làm cho 20 kết nối vào bất kỳ máy chủ của bạn thông qua các tường lửa Net
trong 10 giây theo các bước sau:
- Bước 1: Từ Rules > Inspection Rules, bấm vào nút Add.
- Bước 2: Nhập các tên Rule và mô tả. Bấm Next.
- Bước 3: Xác định cụ thể kết nối cho các kết nối máy chủ, xác định nó như là
một mục tiêu để cho CS-Mars biết các kết nối này phải được từ cùng một máy
chủ duy nhất. Trong hộp bên phải, đánh dấu vào $ Target01 và nhấn vào nút
<<== để thêm nó vào hộp bên trái. Bấm Next.
- Bước 4: Xác định đó là mục tiêu đánh dấu vào $ Target02 và nhấn vào nút
<<== để thêm nó vào hộp bên trái. Bấm Next.
12
16. - Bước 5: Trong hộp bên phải, đánh dấu vào Any và nhấn vào nút <<== để thêm
nó vào hộp bên trái.
- Bước 6: Trong hộp bên phải, hãy đánh dấu vào Any và nhấn vào nút <<== để
thêm nó vào hộp bên trái.
- Bước 7: Bạn xác định tường lửa đang giám sát các kết nối.
- Bước 8: Đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái
- Bước 9: Không định nghĩa bất kỳ từ khoá nào trong văn bản, do đó, nó vẫn còn
đặt vào Any
- Bước 10: tùy chọn, nhưng truy cập bắt buộc phải được xác định. Các Rules
được viết cho 20 kết nối, do vậy cần phải nhập vào vùng Counts là 20
- Bước 11: Nhấp vào Yes.
- Bước 12: Một hành động của quản trị e-mail đã được xác định trước.
- Bước 13: Các tiêu chí cho Rules này là tất cả các điều kiện phải được đáp ứng
trong một khoảng thời gian 10 giây.
- Bước 14: Submit và active.
4. Complex và Behavioral Rule Creation
Complex Rules là những Rulse sử dụng nhiều offsets gắn liền với nhau bởi các
bểu thức Boolean. Ba biểu thức Boolean có sẵn để sử dụng trong CS-Mars:
And: điều kiện của các offset phải được đáp ứng, nhưng không cần phải
theo thứ tự
13
17. Or: chỉ có một trong các điều kiện của những offsets phải được đáp ứng
Followed-By:một điều kiện của offset phải thực hiện theo các điều kiện
trước
Các offset có thể được nhóm lại bằng cách đặt chúng giữa ngoặc để duy trì trật tự của
hoạt động.
Hình: Inspection Rule Panel: Complex Rule System Rule
III. Incident:
Một Incident là một chuỗi các sự kiện tương quan ứng với mỗi Rule khi có tín
hiệu một cuộc tấn công vào hệ thống mạng. CSMARS sẽ phát hiện, giảm thiểu, báo cáo,
và phân tích các sự cố đó. Dựa trên bảng điều khiển mạng và các trang Incident sẽ giúp
chúng ta phát hiện và hiển thị các sự cố trên hệ thống mạng và giúp đưa ra các quy tắc và
các sự kiện để phòng chống lại. Phòng chống lại các tấn công là đề cập đến khả năng của
CSMars để cô lập các hành vi tấn công không gây hại đến các thiết bị và hệ thống mạng
Queries và Report thu thập dữ liệu và phân tích các dạng tấn công. Tất cả các thông tin
này có thể được thu thập lại ở dạng báo cáo.
1. Khái quát Incident
14
18. Hình: Trang Incident
Định nghĩa: Một Incident là một chuỗi các sự kiện mô tả một cách chi tiết các
thông tin liên quan đến các tấn công và hệ thống mạng. Ví dụ: quét Port, tràn
dữ liệu…
Chức năng: thu thập các sự kiện quan trọng, mô tả chi tiết cuộc tấn công có
sẵn trong dữ liệu và có thể tạo ra các Rule riêng để phân loại các dạng tấn
công
Bản chất: Incident được chia thành tưng phần (mỗi phần riêng biệt là một
cuộc tấn công đã có sẵn) để dễ dàng hơn trong quá trình phân tích và phát
hiện ra các dạng tấn công có sẵn.
Có thể truy cập vào các trang Incident bằng cách nhấp vào nút Tab Incident, Tab
thứ hai ở góc bên phải từ trái sang
Trang Incident có 3 tab các chức năng:
o Incidents
o False Positives
o Cases
Tab Incident:
15
19. Tab Incident thể hiện trực tiếp một loạt các sự cố gần đây nhất nó sẽ thể hiện qua
sơ đồ ở trang Summary. Sự khác biệt chính giữa các trang này là sẽ hiển thị tất cả các sự
cố báo cáo trong vòng 24 giờ và thể hiện cùng một lúc 25 sự cố (Increment). Increment
này có thể được điều chỉnh để để quan sát các sự cố trên mỗi trang (có thể lên tới 10.000)
Hình: Tab Incident
Tab False Positive:
Tab này cho phép người dùng xem các báo cáo sai của CS-Mars hoặc drop rule
mà người dụng cấu hình
Hình: Tab False Positive
16
20. Tab Case
Tab này được truy cập vào trong các trường hợp sử dụng CS-Mars như một công
cụ quản lý. Mặc dù bạn có thể truy cập cụ thể vào từng vùng trong CS-Mars bằng cách
chọn từng loại trong Select Case nhưng có sự đặc biệt ở đây là Tab này có thể quản lý tất
cả các vùng trong tất cả các trường hợp nếu bạn chọn No Case Select
Hình: Tab Incident Case
2. Sử dụng Incident ID để quan sát dữ liệu
Trong ví dụ này, một báo cáo sử dụng dưới mỗi dạng ID duy nhất gọi là Incident ID
Hình: Chi tiết các dữ liệu của Incident
17
21. IV. QUERIES
1. Khái niệm:
Truy vấn dữ liệu trên CS-Mars có thể đơn giản như là chọn một Query đã xác
định trước và gửi nó, hoặc là phức tạp như định nghĩa các biến hoặc các hành động để
kéo dữ liệu từ nhiều nguồn.
Ba loại truy vấn tồn tại cho CS-Mars, và hai trong ba có thể yêu cầu thay đổi cách
thức mà bạn muốn xem các dữ liệu đang được truy vấn.
Query type
Instant queries
On-demand queries và manual queries
2. Các loại Query
2.1 Query type
Để truy cập vào các công cụ cấu hình Query type, bấm vào nút Edit ở phần cuối
của vùng Query Type trên trang Query.
18
22. Hình: CS-MARS Query Type công cụ cấu hình và vùng Query Type
Công cụ cấu hình Query type có năm thuộc tính phải được cấu hình để có được
kết quả
Result Format
Order/Rank By
Filter by Time
Use Only Firing Events
Maximum Rank Returned
Khi đã hoàn thành việc chuyển dữ liệu trong công cụ cấu hình Query type, bấm
vào nút Apply ở trên hoặc dưới bên phải của các công cụ Query.
Hình: CS-MARS Query Type có thể thay đổi
2.2 Instant Queries
Tất cả những biểu tượng q này sau khi cụ thể các giá trị được hiển thị trong CS-
Mars. Biểu tượng này được gọi là các Instant Query. Tại bất cứ thời điểm nào khi đang
xem dữ liệu, có thể nhấp vào biểu tượng này và yêu cầu tìm kiếm dữ liệu có liên quan
đến giá trị là biểu tượng bên cạnh.
19
23. Hình : Biểu tượng CS-MARS Instant Query
Nhấp vào biểu tượng q để chuyển hướng vào trang Query,với giá trị của q trong các bộ
lọc thích hợp
20
25. 2.3 On-Demand Queries và Manual Queries
Hai chủ đề sẽ được thảo luận để điều chỉnh kỹ năng truy vấn của CS-Mars:
On-demand queries: là những query dựa trên tất cả các báo cáo đã được lưu
bởi nhà phân tích an ninh và các quản trị viên hoặc đã được cung cấp
"canned" với các dụng cụ điện.
Manual queries: là những Query ngay từ đầu đã được hoàn thành. Manual
Queries có thể được lưu lại như là các báo cáo để chúng có thể được tái sử dụng trong
tương lai để tránh lặp lại kết quả.
Hình: CS-MARS Manual Query
IV. REPORTS
1. Khái niệm
Bằng cách sử dụng CS-Mars cung cấp có giá trị minh sát, tích hợp, và kiểm soát
mạng thông qua việc tương quan giữa các dữ liệu, giảm sai tích cực, giảm thiểu, và miêu
tả hình ảnh lớp 2 và lớp 3 của hạ tầng mạng. Sử dụng thông tin này cho việc điều tra và
22
26. giảm thiểu lý do là rất có ích, tuy nhiên thiếu cái cốt lõi không có nghĩa rằng báo cáo dữ
liệu từ nhiều nguồn khác nhau.
Những nhà quản lý mạng muốn nhìn thấy những báo cáo cơ bản mà có thể dễ
dàng đọc, dòng đầu tiên mà các nhà quản lý mạng muốn xem là dữ liệu và hành động một
các chi tiết, nhưng không phải dữ liệu ban đầu. Việc phân tích các dạng bảo mật một cách
chi tiết và bình thường hóa dữ liệu, thêm vào đó mô hình đồ thị sẽ giúp dễ hiểu những gì
đang xảy ra và cái hướng giải quyết vấn đề đó. CS-Mars được tổ chức rất cao trong việc
báo cáo các thông tin có thể được sử dụng phổ biến và hữu ích cho nhiều nguồn
2. Các loại Report
2.1 Sử dụng Reports định sẵn
Reports xác định sẵn thường được gọi là Reports đóng hộp đã được có sẵn trong
dữ liệu. CS-MARS chứa khoản 175 Reports loại này. Con số này sẽ tăng lên ứng vói mỗi
mã CS-MARS. Cisco cung cấp các Reports bằng cách tạo ra dựa trên kiến phản hồi của
khác hàng, của mỗi người sử dụng.
Bởi vì có đến 175 Reports có sẵn, trong danh sách CS-MARS sẽ sắp xếp thành
các nhóm để dễ dàng tìm kiếm và quản lý. Có một vài nhóm đã được mặc định sẵn và có
thể tạo nhóm riêng cho người sử dụng. Nhớ rằng khi mà tạo một nhóm riêng có một vài
Reports sẽ nằm trong tất cả các nhóm. Một vài nhóm được tạo nên bằng cách xác
định Reports có sẵn nào ứng với các yêu cầu.
Một Report có sẵn thì dễ dàng để điều chỉnh để phù hợp với yêu cầu sử dụng
Để xem các Reports có sẵn, Chọn Query/Reports > Report.
Hình: Trang CS-MARS Report
23
27. Có thể xem các Report được xác định sẵn theo 2 cách:
Sử dụng tab Report
Lấy reports theo yêu cầu truy vấn
2.1.1 Sử dụng Tab Report
Ở trang Report, sẽ có một list các reports mặc định là 25. Có thể điều chỉnh để
xem tất cả các dạng Report bằng cách sử dụng thanh cuộn tại góc trái của trang Report,
bằng cách nhấn nút Next, sẽ thấy các dòng Report
Hình: Điều chỉnh Report ở trang CS-MARS Report
2.2.1 Lấy Report theo yêu cầu
Theo các bước trình tự sau:
Bước 1: Chọn dạng report muốn xem
Bước 2: Sủ dụng thanh cuốn ở giữa hoặc cuối trang, chọn 1 trong những
nút sau:
- View HTML
- View CSV
Bước 3: Nhấn nút View Report
2.2 Tạo riêng một Reports
CS-MARS cho phép tạo Report bằng các sử dụng công cụ Report Creation . Hầu
hết CS-MARS cung cấp cho khách hàng những thông tin nếu họ muốn sử dụng công cụ
Query để tạo và lưu Report; tuy nhiên, việc thuận lợi nhất khi làm là xem những kết quả
của Report/query trước khi cấu hình Report. Mục đính của mục này là thảo luận phương
24
28. pháp sử dụng nút Add trên Tab Reports. Việc lưu Report trên trang Query được xem như
giống thanh công cụ Report Creation .
Để tạo được Report, theo những bước sau:
Bước 1: Tại trang Query/Reports, nhấn nút Report.
Bước 2: Nhấn nút Add.
Bước 3: Đưa tên và mô tả dạng Report, nhấn Next.
Bước 4: Đưa thời gian sử dụng Report và hoàn thành như hình.
Hình: Tạo Report
Bước 5: Thêm người nhận cho Report.
25
29. Bước 6: Sử dụng công cụ Query nếu muốn nhập nội dung
Bước7: Nhấp Submit để lưu lại.
2.3 Cách nhận Report
Khi mà Report được cấu hình và xem trên CS-MARS, có thể xem Report dưới
dạng HTML thông qua trình duyệt hoặc có thể chọn xem dạng CSV.
26
30. Hình: CS-MARS Report dạng HTML( View Activity: All Top Destinations)
Nếu chọn xem dạng CSV, một màn hình mới sẽ xuất hiện cung cấp một đường dẫn để
lưu về trên máy. Sau khi lưu file về trên máy tính có thể mở bằng ứng dụng Microsoft
Excel.
Hình: CS-MARS Report dạng file CSV
27
31. VI. NETFLOW
1. Khái niệm
Netflow là một công nghệ về mạng lưới giám sát lượng truy cập của Cisco. Dựa
trên giao thức UDP, các báo cáo sẽ được tìm thấy trên Router hoặc Switch.. Mỗi luồng
(flow) là một gói nhỏ các gói tin chứa đựng các thiết lập, chuyển dữ liệu và thông tin
Teardown
Các ứng dụng Netflow cung cấp một cách hiệu quả nhiều dịch vụ cho các ứng
dụng IP bao gồm hệ thống mạng lưới kế toán, mạng lưới thanh toán, an ninh, hệ thống,
khả năng giám sát và thiết lập tấn công DoS. Netflow cung cấp những thông tin giá trị về
mạng lưới người sử dụng, các ứng dụng, lưu lượng người truy cập và các gói tin định
tuyến. Netflow được Cisco phát minh và đi đầu trong công nghệ lưu lượng dòng chảy IP
Sau khi cấu hình thiết bị IOS hoặc CATOS cho Netflow, các thông tin về dòng
chảy và các thông số liên quan sẽ được đóng gói trong một gói UDP và sẽ được gửi tới
các điểm thu được xác định. Bởi vì nhiều dòng chảy được đóng gói thành một gói UDP,
do đó Netflow trở thành một hệ thống giám sát hiệu quả và tiện ích bởi Syslog và SNMP
2. Netflow trong Csmars
CSMars sử dụng Netflow phiên bản 5 và 7 để xác định mạng lưới sử dụng, phát
hiên hành vi người sử dụng, lưu lượng băng thông và các liên quan đến các hành động
tấn công, các sự kiện và các báo cáo của thiết bị NIDS và tường lửa. Mặc dù Netflow có
vài sự khác biệt thông tin giữa hai phiên bản 5 và 7, nhưng CSMars sử dụng cả hai thông
tin trên cả hai phiên bản 5 và 7, vì thế không có sự phân biệt nào trên cả hai phiên bản
này
Do sự phát triển cao cùng với cơ sở dữ liệu nhiều nên CSMars không lưu trữ thông tin
Netflow trong cơ sở dữ liệu, tuy nhiên chúng ta có thể cấu hình dung lượng nếu cần thiết
Sau khi phát hiện hành vi tấn công, Csmars bắt đầu lưu tự động đầy đủ hồ sơ Netflow
cho các hoạt động tấn công, quá trình thông minh của hệ thống này sẽ cung cấp tất cả
thông tin mà hệ thống phân tích cần
Bởi vì CSMars theo dõi, giám sát, và lưu trữ mạng lưới liên quan đến hoạt động, nó có
khả năng báo cáo sai các hành vi hoạt động từ máy chủ. Ví dụ như chúng ta tưởng tượng
rằng CSMars biết hầu hết các kết nối đến máy chủ qua các cổng 137, 138,139 nhưng sau
đó đột nhiên nhiều máy trạm sẽ làm 25 cổng kết nối khác qua các cổng mặc định, Csmars
sẽ kích hoạt cảnh báo sâu mail, cố để thông báo việc thay đổi của các thiết bị,. Ngoài ra,
CSMars sử dụng thông tin Netflow để đua ra các cấp độ hoạt động của hệ thống mạng
bằng cách đưa ra một đồ thị kết nối theo thời gian.
28
32. Hình: Biểu đồ thể hiện các sự kiện và Netflow
Chúng ta có thể thấy qua biểu đồ, CSMars báo cáo sai hoạt động ở cổng 80 và 445,
đây là ví dụ về trạng thái hoạt động của cổng. Đây là một khả năng phát hiển ra sâu và
virus trên hệ thống mạng. Thông thường các chương trình độc hại thì không có, chưa tên
hoặc không có những thông tin gì về chữ ký của tổ chức, bạn chỉ phát hiện và phòng
chống bằng cách sử dụng CSMars. Dữ liệu tường lửa và thông tin Netflow sẽ giúp chúng
ta làm được
3. Cấu hình Netflow
Xác minh thông báo thực và quét những nơi mang tính nguy hiểm
Tiếp nhận và phiên dịch log dữ liệu khi bạn nhận được hàng ngàn sự kiện trên
một giây là một sự chịu đựng khó chống cự. Quá trình lấy các log sự kiện một
cách hợp pháp và sự tương quan bằng thủ công giữa chúng có thể được so sánh để
tìm kiếm một haystack cho một needle.
CS-Mars giống như một hệ thống. Sự thông minh được xây dựng vào hệ thống
một cách hiệu quả làm giảm dữ liệu incident thông qua xây dựng trong các công
29
Tải bản FULL (70 trang): https://bit.ly/3j22dtQ
Dự phòng: fb.com/TaiHo123doc.net
33. cụ xác nhận. Điều này cho phép người phân tích tập trung nỗ lực của họ trên thực
tế,những incident chính đáng.
Sự am hiểu về False Positive
Việc giảm thiểu false positives là một chủ đề mà IDS và các nhà sản xuất
SIM( security information management) phải nỗ lực liên tục. Hệ thống log của IDS
phải được xem xét và phân tích để xác định giá trị của chúng và các giải pháp của
SIM để báo cáo dữ liệu event hay incident khi chúng nhận được những dữ liệu báo
động, ngay cả khi một tường lửa hoặc ACLs từ chối lưu lượng. Dù bằng cách nào, sự
điều chỉnh có thể là một khó khăn, tổn hại, và thường xảy ra quá trình không thực
hiện được gì nhiều.
CS-Mars có thể phân loại một false positive thành hai loại:
o Hệ thống xác định
o Không được xác nhận
Hệ thống xác định
CS-Mars đã xác định rằng incident là không thành công. Điều này là có thể vì một
thiết bị ngăn ngừa incident từ sự kiện hoặc dữ liệu được cung cấp nói với CS-Mars
rằng những hệ thống đích không phải là dễ bị nguy hiểm đến các loại hình tấn công.
Không được xác nhận
CS-Mars đã xác định rằng incident đã không thành công, nhưng là những dữ liệu
thực, tuy nhiên, có một hiểu nhầm về việc đánh giá các dữ liệu mang tính nguy hiểm.
Trên trang Summary, điều này sẽ được hiển thị như là " To be confirmed," đó chỉ đơn
giản có nghĩa là nhà phân tích có thể xác nhận hoặc từ chối đánh giá của CS-Mars.
Trong CS-MARS,việc điều chỉnh một false positive bao gồm việc tạo một drop rule.Drop
rule có 2 loại:
o Chặn những sự kiện hoàn tất, xóa bỏ những sự kiện từ cơ sở dữ liệu và ngừng
việc log các sự kiện
o Đăng nhập vào cơ sở dữ liệu không chỉ tạo ra incident mà còn lưu giữ những sự
kiện vào cơ sở dữ liệu của CSMARS
Có thể tạo một drop rule (hoặc điều chỉnh false positive) dưới Rules > Drop Rules >
Add hoặc nhấp vào đường dẫn False Positive ở cột Tune của session bất kỳ. Cả hai
phương pháp đều cho kết quả o tab Drop Rule.
30
Tải bản FULL (70 trang): https://bit.ly/3j22dtQ
Dự phòng: fb.com/TaiHo123doc.net
34. Hình: Đường dẫn CS-MARS False Positive
Sự hiểu biết về những phân tích mang tính nguy hiểm
Các thông tin đánh giá mang tính chất nguy hiểm là một bằng chứng quan trọng mà
nhà phân tích an ninh sử dụng để xác định xem liệu một cuộc tấn công có thành công
hay không. CS-Mars sử dụng những dữ liệu phân tích mang tính nguy hiểm để giúp
nó hiểu những rủi ro tồn tại cho các thiết bị trên mạng và để cân nhắc họ chống lại
mục tiêu dữ liệu event và session cho các hệ thống cụ thể. Quá trình này cho phép
CS-Mars giảm thiểu sự kiện như là một false positive hoặc mở rộng nó như là một
incident. Điều quan trọng cần đề cập là những dữ liệu phân tích mang tính nguy hiểm
có thể không được xem trong CS-Mars.
CS-MARS có thể thu được thông tin phân tích những tính chất mang tính nguy hiểm từ
hai nguồn:
Built-in Nessus utility
Third-party VA tool
Hiểu biết về Access IP, Reporting IP
Khi xác định một thiết bị báo cáo hoặc sự giảm thiểu thiết bị trong giao diện web,
Mars cho phép (và đôi khi yêu cầu) bạn để xác định một số địa chỉ IP. Sự hiểu biết
mục đích các địa chỉ khác nhau thì rất quan trọng để xác định một cách hiệu quả các
thiết bị mà bạn muốn theo dõi và quản lý. Đó cũng là điều quan trọng để hiểu mối
quan hệ của chúng với các thiết lập khác mà bạn có thể nhận ra. Nếu một thiết bị có
một giao diện duy nhất và một địa chỉ IP liên kết với các giao diện, access và
reporting IP có địa chỉ giống nhau được gán cho giao diện. Mars thu thập thông tin
này một cách riêng biệt để hỗ trợ cho những thiết bị có nhiều giao diện, nhiều địa chỉ
IP liên kết với một giao diện, hoặc cả hai.
o Access IP
Mars sử dụng access IP để vừa kết nối với thiết bị dành cho mạng dựa trên session
của quản trị viên vừa kết nối với một máy chủ từ xa mà trên đó một có chứa tập tin
lưu giữ các cấu hình của thiết bị này. Những giá trị được xác định bằng cách truy cập
các loại mà bạn chọn. Hầu hết các thiết bị cũng yêu cầu bạn phải xác định rõ ràng các
địa chỉ IP của máy cho phép quản lý chúng.
o Reporting IP
Reporting IP là địa chỉ IP nguồn của các văn bản sự kiện, log, thông báo, hoặc traps
mà bắt nguồn từ thiết bị. Mars sử dụng các địa chỉ này để nhận được các văn bản kết
31
3133081