سلام و تشكر
لطفا در مورد CISCO MARS توضيح دهيد.
ا. ناظم
پاسخ:
سوال شما در زمان خوبی مطرح شد وقتی که روی یک دستگاه CSMARS در اتاقم مشغول کار بودم.
مارس یک راه حل برای دریافت Log های روتر، سوییچ، فایروال، IPS، آنتی ویروس ها همچنین Log های سرورها و آنالیز و به هم ربط دادن آن هاست. به آن Event Correlation میگوییم.
این تکنولوژی توسط شرکت Portego که بعدا توسط سیسکو خریداری شد ارائه گردید.
MARS یک راه حل پیشرفته STM يا Security Threat Mitigation است و بصورت سخت افزاری ارائه میشود. سیستم عامل لینوکس با Oracle روی سخت افزار نصب شده و در مدل های زیر تولید میشود:
20,25,50,55,100,110,200,210,GC,GC2,GCR,GC2R
که تفاوت آنها در قدرت پروسینگ تعداد Log در ثانیه و گنجایش Hard Disk می باشد.
نسخه فعلی نرم افزار سیستم عامل CS-MARS نسخه 6.0.3 است.
برای تنظیم اولیه مارس باید با کابل کنسول با سرعت باند 19200 به آن وصل شویم – برخلاف اکثر محصولات سیسکو که 9600 هستند.
مارس یکی از ابزارهای Cisco self defending Network است. این عنوان به راه کارها و ادوات سیسکو اشاره میکند که شبکه را توسط خود ابزار شبکه امن نگه میدارند اجزایی مثال IPS, Firewall و غیره. مارس میتواند گراف شبکه را بکشد و براساس اتفاقاتی که دریافت میکند به شما راه کار جلوگیری از حملات را ارائه کند.
اولین گام بعد از تنظیم IP روی دستگاه وارد شدن به محیط گرافیکی GUI آن است که روی SSL کار میکند.
کلمه عبور و نام کاربری قراردادی pnadmin است که از PNMARS یا مارس زمان Portego ارث برده شده…
پس از ورود به سیستم حتما باید License آنرا وارد کرد که در این جا من به مشکل جدی برخوردم. یادم نبود License دستگاه را کجا گذاشتم پس از چند دقیقه ای جستجو و باز کردن پنل جلوی دستگاه License آن نمایان میشود:
بعد از وارد کردن کد License صفحه Dashboard ظاهر میشود:
دستگاه های شبکه را تنظیم میکنیم تا توسط Syslog، SNMP، NetFlow، SDEE اتفاقات رخ داده در شبکه را به مارس ارسال کنند.
یکی از نکات قابل توجه مارس Data Reduction یا کم کردن دیتایی است که Admin باید با آن روبرو شود فرض کنیم یک حمله طول مسیری را طی میکند تا به مقصد برسد در این بین 4 دستگاه Event به مارس ارسال میکند و مارس این Event ها متوجه میشود که مربوط به یک Session هستند و تنها به شما وقوع یک Incident را نشان میدهد و در صورت تمایل جزییات را در اختیار شما قرار میدهد.
در تصویر زیر صفحه Dashboard مارس را میبینیم برای اینکه همه چیز مثل دنیای نا امن واقعی اینترنت بنظر برسد تعداد زیادی Packet های مختلف حمله و ویروس را در شبکه ایجاد کردم.
پس از 48 ساعت کار 2661364 اتفاق ثبت گردیده که در این بین 63 درصد صرفه جویی در جمع آوری Data صورت گرفته است.
در تصویر زیر نمودار حملات در سی دقیقه اخیر نشان داده شده است.
یکی از قابلیت های مارس ترسیم توپولوژی شبکه بصورت اتوماتیک است.
در نمودار زیر بردار حملات از هکر به مقصد نشان داده شده. همانطور که میبنید در یکی از حملات 128 اتفاق ثبت شده که با کلیک روی آن از جزییات آن مطلع میشویم. حمله فوق به پورت 25 یا سرویس SMTP است.
به بخش Incident میرویم تا این حمله را بررسی کنیم. در تصویر زیر Incident از پیش تعریف شده ای را می بینیم که وقتی دستگاهی در بازه زمانی مشخص 20 بار به یک سرور SMTP کند در لیست حمله کنندگان قرار میگیرد.
وقتی روی این اتفاق کلیک میکنیم وقوع آن را بصورت یک Session به ما نشان میدهد. این حمله یک بار اتفاق افتاده اما در سه جا شناسایی شده ابتدا موقع عبور از فایروال سپس توسط سوییچ 6500 و پس از آن روی روتر شبکه دیده شده است. دقت کنید که پس از عبور از فایروال IP دستگاه مقصد که سرور ماست تغییر میکند زیرا NAT شده اما MARS این اتفاق را بصورت هوشمندانه متوجه شده و آنرا حمله ای جداگانه نشان نمیدهد.
باکلیک روی Incident Vector بردار حملات به webserver را بصورت جداگانه بهمراه توضیحات پکت های دریافت شده در سمت چپ تصویر را برای ما نمایان میکند.
اگر روی Path Information کلیک کنیم نمودار عبور بسته ها درطول شبکه از Hacker به Target را نشان میدهد:
یکی از قابلیت های جالب MARS این است که به شما پیشنهاد میدهد چگونه و با چه Access-list ی روی کدام دستگاه جلوی حمله را بگیرید یا اینکه خودش دست به کار شده و در لایه دو MAC آدرس حمله کننده را روی پورت سوییچ فیلتر میکند…
در تصویر زیر راه حل مارس بستن پورت SMTP سرور برای دستگاه هکر است.
مارس به محصولات سیسکو محدود نشده و از هر دستگاهی حتی سرورهای مایکروسافت و برنامه های آنتی ویروس میتواند Log دریافت کرده و بصورت همزمان رخداد ها را نمایش دهد. بدین صورت با کمک این تکنولوژی مدیریت امنیت شبکه بسیار ساده تر و در عین حال پویا تر از قبل میشود. به همین دلیل است که امروزه وقتی مشتریان برای مشاوره و طراحی امنیت شبکه به سراغ ما می آیند ما راه حلی برای Premeter Security یا امنیت در دروازه ورودی شبکه ارائه نمیکنیم چراکه این مدل قدیمی قابلیت جلوگیری حملات از داخل شبکه را ندارد امنیت باید در نقطه نقطه شبکه پیاده شود با خریدن یک BOX بدست نمی آید.
سلام،…
آقا یه سوال کاملا بی ربط! در مورد ISMS اطلاعات خوب و توضیحات درست حسابی می خواهم برای پروژه یکی از دوستام می خواهم… چون draft هست چیز جالبی گیر نیاوردم…
این هم فقط برای شما:
http://csrc.nist.gov/publications/PubsSPs.html
سلام آقا من فقط ميخواستم از سايت بسيار مفيدتون تشكر كنم
خواهشا ادامه بديد
موفق باشيد
از سایت مهم و مفیدتان متشکرم , من این سایت را به دیگر دوستان و همکارانم هم معرفی کرده ام و همه راضی اند.
متشکریم
با سلام و تشکر
اگر امکان دارد یکسری منابع خوب برای یادگیری کار با مارس به من معرفی کنید.
با تشکر
لطفا به پست اخیر مراجعه کنید
کتاب-سیسکو-mars
salam khaili khob bood
mer30
سلا م
اقا بدنیست یه صحبتم از s-mars-v-6-0-in-vmware-franken-mars بکنید .
همانطور که دیروز در انجمن در این مورد صحبت کردیم MARS را میتوان روی VMware اجرا کرد که با جستجو در اینترنت شماری از آنها را همانطور که نامبردید میتوان پیدا کرد… از آنجاییکه چند دستگاه مارس در Lab داریم هیچ وقت نیاز نشده تا روی VMware آنرا امتحان کنم…
امتحان نکردم
سلام استاد
ممنونم از محبت شما
شاد و سلامت باشید
سلام سایتتون واقعا عالیه ممنون از زحماتتتون
سلام سوالی که داشتم اینه که ایا مارس میتونه log های isg و clavister رو هم بگیره؟؟
لیست محصولات Compatible:
http://www.cisco.com/en/US/docs/security/security_management/cs-mars/4.3/compatibility/local_controller/dtlc43x.html