Tweet
Lab: Cấu hình Chính sách Phát hiện & IPS trên Cisco Secure Firewall Threat Defense (Snort 3)
1) Mục tiêu học tập
PHẦN A — Cấu hình Chính sách Phát hiện (Network Discovery)
Bước A1. Truy cập Jump Host, đăng nhập nếu cần:
student / 1234QWer
Bước A2. Mở trình duyệt → truy cập FMC:
https://fmc.lab.local (hoặc https://192.168.111.20) → Log In bằng admin / Cisco#1234.
Bước A3. Điều hướng: Policies > Network Discovery.
Quan sát rule có sẵn dùng cho Application Discovery (Snort dùng để phát hiện ứng dụng).
Bước A4. Nhấn Add Rule (góc phải).
Bước A5. Tạo rule “Discover trong RFC1918”:
👉 Ghi nhớ:
Bước A6. Deploy thay đổi đến FTD-1: nhấn Deploy → chọn FTD-1 → Deploy.
Bước A7. Theo dõi tab Deployments đến khi trạng thái Success.
Network Discovery là thụ động → cần tạo traffic.
Bước A8. Từ Jump Host, mở PuTTY tới Kali, chấp nhận key khi được hỏi.
Đăng nhập: root / Pass123.
Bước A9. Tạo traffic để khám phá host/dịch vụ (chạy từng lệnh và chờ xong):
nmap -O -v -sV -Pn 192.168.10.90 nmap -O -v -sV -Pn 192.168.10.99 nmap -O -v -sV -Pn 10.10.10.99
Bước A10. Trên FMC: Analysis > Hosts > Network Map
Bước A11. Trong hồ sơ DMZ_Server, cuộn để xem Listening Ports:
PHẦN B — Tạo Chính sách IPS Tùy chỉnh (Snort 3)
Bước B12. FMC: Policies > Access Control > Intrusion → Create Policy.
Bước B13. Trong Create Intrusion Policy:
Bước B14. Nhấn liên kết Snort 3 Version để chỉnh sửa.
Bước B15. Trang Edit Policy: DMZ_IPS:
Bước B16. Lọc nhóm Browser > Internet Explorer:
Bước B17. Quay lại Policies / Intrusion /.
Lưu ý DMZ_IPS chưa được gán vào ACP.
PHẦN C — Gán IPS Policy vào ACP theo Rule
Bước C18. Vào Policies > Access Control > Access Control → edit ACP FTD-Initial-Policy (biểu tượng bút).
Bước C19. Xác định rule In_to_DMZ (cho phép DMZ_SERVICES từ Outside → DMZ_Server).
Nhấn bút để Edit rule.
Bước C20. Trong Editing Rule - In_to_DMZ:
Bước C21. Xác nhận rule In_to_DMZ hiển thị biểu tượng IPS tô đậm → Save ACP.
Bước C22. Deploy đến FTD-1.
Bước C23. Theo dõi Deployments đến khi Success.
PHẦN D — Kiểm thử & Xác minh Sự kiện IPS (Inline)
Bước D24. Mở lại Kali (root / Pass123).
Bước D25. Khởi động Metasploit/Armitage:
/etc/init.d/postgresql start armitage
Bước D26–D27. Trong Armitage: Connect → Yes để start Metasploit server.
Armitage đã phát hiện DMZ_Server (192.168.10.90).
Bước D28–D29. Attack mô phỏng:
Bước D30. Trên FMC: Analysis > Intrusions > Events → mở Table View of Events.
Bước D31. Xác nhận các trường:
Ý nghĩa Impact Flags (tóm tắt vận hành):
Bước D32. Kiểm tra liên kết chính sách:
Bước D33–D34. Nhấp biểu tượng PC đỏ cạnh 192.168.10.90 để xem IoC:
Nhiều cờ IoC gắn vào DMZ_Server vì bị khai thác nhắm đến. Đóng cửa sổ profile khi xong.
PHẦN E — Chặn nhanh nguồn tấn công bằng Security Intelligence (Block List)
Bước E35–E36. Từ Analysis > Intrusions > Events:
Bước E37–E38. Trên Kali, thử Hail Mary lần nữa.
Bước E39–E40. Trên FMC:
PHẦN F — Cisco Recommendations (Firewall Rule Recommendations) cho IPS
Bước F41–F44. FMC: Policies > Access Control > Intrusion → mở Snort 3 Version của DMZ_IPS → ở lớp Recommendations nhấn Not in use → Protected Networks: chọn DMZ_SERVER → Generate and Apply.
Cơ chế:
Bước F45. Quan sát các thay đổi rule-state do Recommendations áp dụng (giảm noise, tập trung đúng rủi ro).
Bước F46–F47. Deploy FTD-1 → xác nhận Success.
4) Kỳ vọng kết quả
5) Best Practices & tối ưu vận hành
6) Khắc phục sự cố (Troubleshooting tips)
7) Dọn dẹp (tuỳ chọn)
Kết luận
Bài lab này giúp bạn vận hành đầy đủ chu trình phát hiện → bảo vệ → phản ứng nhanh trên Cisco Secure Firewall (Snort 3): giới hạn phạm vi theo RFC1918, tạo IPS policy tùy chỉnh, gán rule-based inspection, xác nhận Inline Drop & Impact, khai thác Security Intelligence để chặn sớm, và tự động tuning rule-state với Cisco Recommendations. Đây là khung vận hành chuẩn cho DMZ và dịch vụ hướng Internet trong môi trường doanh nghiệp.
1) Mục tiêu học tập
- Bật và tinh chỉnh Network Discovery để chỉ lập hồ sơ (profile) các tài sản nội bộ (RFC1918).
- Tạo chính sách IPS tùy chỉnh dựa trên base policy “Balanced Security and Connectivity”.
- Gán IPS policy vào Access Control Policy (ACP) theo từng rule (rule-based IPS).
- Thực hiện tấn công mô phỏng (Metasploit/Armitage) từ Kali vào DMZ_Server, xác nhận Inline Drop và Impact Flags.
- Kích hoạt Security Intelligence – Global Block List để chặn nhanh nguồn tấn công.
- Sử dụng Firewall Rule Recommendations (Cisco Recommendations) để tự động tinh chỉnh rule-state theo tài sản được bảo vệ.
- Jump Host (đã có PuTTY & trình duyệt).
- FMC: https://fmc.lab.local (hoặc https://192.168.111.20)
- Username: admin / Password: Cisco#1234
- FTD-1 đã đăng ký về FMC, có ACP FTD-Initial-Policy.
- Kali:
- SSH/console: root / Pass123
- Có sẵn nmap, Metasploit, Armitage.
- DMZ_Server: 192.168.10.90, lộ dịch vụ TCP/22, TCP/80 (và có thể FTP 21 theo ACP).
- Phạm vi RFC1918 object: IPv4-Private-All-RFC1918.
- Thao tác chỉ trong lab; không chạy scans hay exploits trên hệ thống sản xuất.
- “Deploy” là bắt buộc để đẩy thay đổi chính sách xuống FTD (trừ Security Intelligence Block List là near-instant).
- Network Discovery mặc định là thụ động, cần tạo traffic để sinh events/hồ sơ.
PHẦN A — Cấu hình Chính sách Phát hiện (Network Discovery)
Bước A1. Truy cập Jump Host, đăng nhập nếu cần:
student / 1234QWer
Bước A2. Mở trình duyệt → truy cập FMC:
https://fmc.lab.local (hoặc https://192.168.111.20) → Log In bằng admin / Cisco#1234.
Bước A3. Điều hướng: Policies > Network Discovery.
Quan sát rule có sẵn dùng cho Application Discovery (Snort dùng để phát hiện ứng dụng).
Bước A4. Nhấn Add Rule (góc phải).
Bước A5. Tạo rule “Discover trong RFC1918”:
- Action: để Discover.
- Discover scope: tick User (để nguyên Applications và Host đang được tick).
- Available Networks: chọn IPv4-Private-All-RFC1918 → Add → Save.
👉 Ghi nhớ:
- Exclude: loại trừ khỏi giám sát (events kết nối vẫn log, nhưng không tạo discovery events cho hosts bị exclude).
- Discover Hosts/Applications/Users: thêm host/app/user vào các bảng tương ứng. Không thể phát hiện host/user nếu không bật application discovery trong cùng rule.
Bước A6. Deploy thay đổi đến FTD-1: nhấn Deploy → chọn FTD-1 → Deploy.
Bước A7. Theo dõi tab Deployments đến khi trạng thái Success.
Network Discovery là thụ động → cần tạo traffic.
Bước A8. Từ Jump Host, mở PuTTY tới Kali, chấp nhận key khi được hỏi.
Đăng nhập: root / Pass123.
Bước A9. Tạo traffic để khám phá host/dịch vụ (chạy từng lệnh và chờ xong):
nmap -O -v -sV -Pn 192.168.10.90 nmap -O -v -sV -Pn 192.168.10.99 nmap -O -v -sV -Pn 10.10.10.99
Bước A10. Trên FMC: Analysis > Hosts > Network Map
- Mở 192 → 192.168.10 (1) → chọn 192.168.10.90 (DMZ_Server).
- Quan sát Server Profile bên phải.
Bước A11. Trong hồ sơ DMZ_Server, cuộn để xem Listening Ports:
- TCP/22 (SSH)
- TCP/80 (HTTP)
(OS có thể chưa xác định do traffic chưa đủ.)
PHẦN B — Tạo Chính sách IPS Tùy chỉnh (Snort 3)
Bước B12. FMC: Policies > Access Control > Intrusion → Create Policy.
Bước B13. Trong Create Intrusion Policy:
- Name: DMZ_IPS
- Mode: chọn Prevention (cho phép Drop and Generate Events thực thi chặn).
- Base Policy: Balanced Security and Connectivity (do Cisco Talos duy trì).
- Save.
Bước B14. Nhấn liên kết Snort 3 Version để chỉnh sửa.
Bước B15. Trang Edit Policy: DMZ_IPS:
- Quan sát tổng quan số rule Alert / Block (kế thừa từ base policy).
- Nhấn Rules trong sidebar.
Bước B16. Lọc nhóm Browser > Internet Explorer:
- Tìm rule SID 45388 (đang Block, biểu tượng “cấm” đỏ).
- Rule Action: chọn Disable để vô hiệu (môi trường không dùng IE, giảm noise).
(Minh họa khả năng override trạng thái từ base; áp dụng tối thiểu để giữ tính bảo vệ tổng thể.)
Bước B17. Quay lại Policies / Intrusion /.
Lưu ý DMZ_IPS chưa được gán vào ACP.
PHẦN C — Gán IPS Policy vào ACP theo Rule
Bước C18. Vào Policies > Access Control > Access Control → edit ACP FTD-Initial-Policy (biểu tượng bút).
Bước C19. Xác định rule In_to_DMZ (cho phép DMZ_SERVICES từ Outside → DMZ_Server).
Nhấn bút để Edit rule.
Bước C20. Trong Editing Rule - In_to_DMZ:
- Tab Inspection → Intrusion Policy: chọn DMZ_IPS → Save.
Bước C21. Xác nhận rule In_to_DMZ hiển thị biểu tượng IPS tô đậm → Save ACP.
Bước C22. Deploy đến FTD-1.
Bước C23. Theo dõi Deployments đến khi Success.
PHẦN D — Kiểm thử & Xác minh Sự kiện IPS (Inline)
Bước D24. Mở lại Kali (root / Pass123).
Bước D25. Khởi động Metasploit/Armitage:
/etc/init.d/postgresql start armitage
Bước D26–D27. Trong Armitage: Connect → Yes để start Metasploit server.
Armitage đã phát hiện DMZ_Server (192.168.10.90).
Bước D28–D29. Attack mô phỏng:
- Click host 192.168.10.90 → Attacks > Hail Mary → Yes.
Bước D30. Trên FMC: Analysis > Intrusions > Events → mở Table View of Events.
Bước D31. Xác nhận các trường:
- Impact (cờ 0–4, xem ý nghĩa bên dưới).
- Inline Result: phải thấy Drop (gói exploit bị chặn inline).
- Src IP: Kali 192.168.133.40
- Dst IP: 192.168.10.90 (DMZ_Server)
- Dst Ports: tcp/22, tcp/80, (tcp/21 nếu có) — khớp tập dịch vụ ACP.
Ý nghĩa Impact Flags (tóm tắt vận hành):
- 1: Hành động ngay; máy chủ có lỗ hổng tương ứng trong hồ sơ.
- 2: Nên điều tra; máy chủ exposed, dịch vụ khớp nhưng lỗ hổng chưa được ánh xạ trong host profile.
- 3: Thông tin; dịch vụ/port tấn công không dùng trên host (thường là attempt thất bại).
- 4: Máy chủ mới, chưa có hồ sơ (newly seen).
- 0: Ngoài phạm vi Discovery (chưa profile đủ mạng).
Bước D32. Kiểm tra liên kết chính sách:
- Intrusion Policy: DMZ_IPS
- Access Control Policy: FTD-Initial-Policy
- Access Control Rule: In_to_DMZ
Bước D33–D34. Nhấp biểu tượng PC đỏ cạnh 192.168.10.90 để xem IoC:
Nhiều cờ IoC gắn vào DMZ_Server vì bị khai thác nhắm đến. Đóng cửa sổ profile khi xong.
PHẦN E — Chặn nhanh nguồn tấn công bằng Security Intelligence (Block List)
Bước E35–E36. Từ Analysis > Intrusions > Events:
- Xác định khung thời gian events.
- Chuột phải IP nguồn 192.168.133.40 (Kali) → Add IP to Block List → Add to Block List.
(Không cần Deploy; hiệu lực gần như tức thời ở pipeline Security Intelligence.)
Bước E37–E38. Trên Kali, thử Hail Mary lần nữa.
Bước E39–E40. Trên FMC:
- Analysis > Intrusions > Events → Table View: không có thêm IPS events mới (traffic đã bị chặn trước lớp IPS).
- Analysis > Connections > Security Intelligence Events: thấy traffic từ 192.168.133.40 bị SI chặn.
PHẦN F — Cisco Recommendations (Firewall Rule Recommendations) cho IPS
Bước F41–F44. FMC: Policies > Access Control > Intrusion → mở Snort 3 Version của DMZ_IPS → ở lớp Recommendations nhấn Not in use → Protected Networks: chọn DMZ_SERVER → Generate and Apply.
Cơ chế:
- Ràng buộc OS/ứng dụng/dịch vụ thực sự quan sát trong mạng với rule-set tương ứng → bật/tắt/tinh chỉnh rule-state có chủ đích.
- Không ghi đè rule-state bạn đã chỉnh thủ công (trước/sau khi khuyến nghị).
Bước F45. Quan sát các thay đổi rule-state do Recommendations áp dụng (giảm noise, tập trung đúng rủi ro).
Bước F46–F47. Deploy FTD-1 → xác nhận Success.
4) Kỳ vọng kết quả
- Host nội bộ RFC1918 (đặc biệt 192.168.10.90) được profile: dịch vụ/ứng dụng hiển thị trong Network Map.
- IPS Inline chặn (Inline Result = Drop) các thử khai thác từ Kali khi rule match Drop and Generate Events.
- Impact Flags hiển thị tương quan giữa discovery/host profile/lỗ hổng → hỗ trợ ưu tiên xử lý.
- Security Intelligence chặn toàn bộ lưu lượng từ IP nguồn tấn công trước khi đến pipeline IPS (giảm tài nguyên kiểm tra).
- Recommendations tối ưu hoá rule-state theo tài sản được bảo vệ (giảm false positives, tăng hiệu quả).
5) Best Practices & tối ưu vận hành
- Giới hạn phạm vi Discovery (chỉ RFC1918/hệ thống của bạn). Tránh “ANY” trên môi trường thật để:
- Không vượt host limit và tránh tạo hồ sơ rác.
- Gìn giữ hiệu năng FMC/FTD và chất lượng Impact/Recommendations/IoC.
- Tách chính sách IPS theo vùng/ứng dụng (rule-based IPS): DMZ, App, User, OT/ICS… để tinh chỉnh theo rủi ro.
- Prevention Mode cho lưu lượng untrusted; Detect-only khi đánh giá/rà soát, rồi chuyển sang chặn.
- Security Intelligence (URL/IP/Feed) là lớp tiền chặn quan trọng, giảm tải cho ACP/IPS.
- Tuning vòng đời:
- Bật Recommendations định kỳ theo inventory động.
- Review các rule “noise” để Disable/Alert tuỳ ngữ cảnh, kèm change-control.
- Kiểm soát updates Snort/Talos, kiểm thử trước khi roll-out.
6) Khắc phục sự cố (Troubleshooting tips)
- Không thấy events Discovery/IPS:
- Kiểm tra Deploy đã thành công.
- Đảm bảo traffic đi qua FTD đúng zone/interface/policy path.
- Kiểm tra ACP rule action phải là Allow mới có Inspection (IPS chỉ áp dụng trên Allow/Interactive Block).
- Với Discovery: bảo đảm rule “Discover” match đúng RFC1918 object và có Applications bật.
- Inline Result trống (không Drop):
- IPS policy có ở Prevention chưa?
- Rule khớp có state Drop and Generate Events không, hay chỉ Alert?
- Lưu lượng có match đúng ACP rule có gán DMZ_IPS?
- Impact flag không chính xác:
- Hồ sơ host chưa đủ dữ liệu; tạo traffic thực tế đến dịch vụ thật.
- Mở rộng Discovery đúng subnet/zone.
- Security Intelligence không chặn:
- Kiểm tra Block List đã có IP nguồn.
- Đảm bảo SI bật trong ACP và đúng hướng (Inbound/Outbound) theo pipeline.
7) Dọn dẹp (tuỳ chọn)
- Gỡ IP của Kali khỏi Global Block List (nếu cần test lại).
- Revert rule IE 45388 (Enable) nếu muốn quay về baseline.
- Tắt Recommendations layer (Not in use) nếu cần so sánh trước/sau.
Kết luận
Bài lab này giúp bạn vận hành đầy đủ chu trình phát hiện → bảo vệ → phản ứng nhanh trên Cisco Secure Firewall (Snort 3): giới hạn phạm vi theo RFC1918, tạo IPS policy tùy chỉnh, gán rule-based inspection, xác nhận Inline Drop & Impact, khai thác Security Intelligence để chặn sớm, và tự động tuning rule-state với Cisco Recommendations. Đây là khung vận hành chuẩn cho DMZ và dịch vụ hướng Internet trong môi trường doanh nghiệp.