نظام تسجيل الاحداث ومشاركة الحوداث الأمنية VERIS

نظام تسجيل الاحداث ومشاركة الحوداث الأمنية VERIS

Vocabulary for Event Recording and Incident Sharing

من المواضيع الهامة جدا في مجال Cyber Security

تهدف VERIS الى ايجاد إطار عام لتسجيل الاختراقات الأمنية Security Incidents للشبكات، بحيث يتم تسجيل تفاصيل الحادثة من خلال نموذج منظم ومعرّف يمكّن من اضافة التفاصيل المتعلقة بالحادثة بكل سهولة ويسر، مثل تاريخ ووقت حدوثها، اسم الجهة التي تعرضت لتلك الحادثة، الضرر الناتج، طريقة الاختراق، الأدوات، وغيرها من التفاصيل.

تصنف هذه التفاصيل بشكل هرمي Hierarchy، أعلى مستوى top-level ينقسم لخمسة فئات لتنظيم المعلومات التي تصف أي حادثة اختراق للشبكات. أولى الفئات ما هو متعلق بتوصيف الضرر Impact Assessment، وفئة أخرى متعلقة بألية كشف الحادثة وطريقة العلاج Discovery and Response، وفئة ثالثة تصف تفاصيل الاختراق Incident Description، والرابعة لبيان تفاصيل الجهة المتضررةVictim Demographics ، والفئة الأخيرة تتبع الحادثة Incident Tracking.

تحت كل فئة من الفئات الخمسة تحتوي على فئات جزئية subcategories تشكل second-level. وقد قسمت بعض الفئات الجزئية إلى فئات أخرى. بهذه الشكل يمكن تسهيل تعبئة واضافة المعلومات اللازمة لتوصيف الاختراق من الاشخاص أو الجهات التي تعرضت للاختراق نظرا لغزارة المعلومات التي يمكن اضافتها لبيان ما حدث نتيجة الاختراق.

بهذا التصميم الهرمي يمكن ايضا أتممة قراءة تفاصيل الاختراقات من خلال عمل برمجيات متخصصة تمكن من قراءة تفاصيل الاختراقات ومتابعتها من قبل المعنيين العاملين في مجال أمن الشبكات. كونها مدخلة بنموذج منظم تسهّل مشاركة المعلومات الأمنية بين مختلف الجهات والشركات لتقليل الأخطار الناتجة من تلك الاختراقات.

الجزء المهم جدا في هذا النموذج هو الخاص بتوصيف الحادثة Incident Description، حيث تقسم هذه الفئة لأربعة اقسام تسمى ب 4A's:

-      Actor

الشخص أو الجهة المتسببة بالاختراق (المخترِق)

-      Action

توصف الإجراءات (الأفعال) التي قام بها المخترق

-      Assets

الأصول (الأجهزة، الأنظمة) التي تعرضت للاختراق

-      Attributes

الخصائص المتضررة من عملية الاختراق مثل سرية البيانات (confidentiality) و التوافرية (availability)

تشغيل بروتوكول 802.1X على جهاز سيسكو سويتش

تشغيل بروتوكول 802.1X

لتشغيل بروتوكول 802.1X على جهاز السويتش بحيث يعمل الجهاز ك Network Access Device “NAD” يعمل مع سيرفر AAA - سيرفر ISE على سبيل المثال- يحتوي على قاعدة بيانات أسماء الاستخدام وقاعدة بيانات العناوين الدائمة للأجهزة MAC addresses، وايضاً سياسات الاستخدام المعدة على السيرفر.

سنقوم بداية بتفعيل AAA على السويتش

IPMasters-sw(config)# aaa new-model

وايضا بتفعيل 802.1X على السويتش

IPMasters-sw(config)# dot1x system-auth-control

سنقوم بتعريف جهاز السيرفر ISE كسيرفر AAA للسويتش، السيرفر يحمل العنوان 192.168.12.10. ولضمان حماية الاتصال بين السويتش والسيرفر سنستخدم كلمة سر “abc@123”، وسيستخدم بروتوكول RADIUS للاتصال بين الطرفين (السويتش والسيرفر) لحمل الرسائل الخاصة ب AAA بين الطرفين. وسنبقي على ارقام UDP ports كما هو قيمتها الأولية

radius server ISE-KEY

address ipv4 192.168.12.10 auth-port 1812 acc-port 1813

key radius-key

aaa group server radius ISE-RADIUS

server name ISE-KEY

خلال عملية التواصل بين السويتش والخادم يلزم بأن يقوم السويتش بتزويد الخادم ببعض التفاصيل والخصائص attributes المتعلقة بجهاز المستخدم المراد ايصاله بالسويتش مثل Framed-IP-Address لارسالIP address لجهاز المستخدم، أو Service-Type لمعرفة طريقة authentication المطلوبة سواء باستخدام 802.1X أو باستخدام العنوان الدائم MAB لجهاز المستخدم  أو باستخدام طريقة Local WebAuth.

radius-server attribute 8 include-in-access-req

radius-server attribute 6 on-for-login-auth

radius-server attribute 25 access-request  include

كما أنه يوجد خصائص ةتفاصيل مخصصة للأجهزة المصنعة من قبل شركة سيسكو، للتهيئة السويتش من اجل ارسال تلك التفاصيل نقوم بعمل التالي:

radius-server vsa send authentication

radius-server vsa send accounting

ثم نأتي لتفعيل بروتوكول 802.1X على مداخل السويتش المطلوبة وذلك بعمل dot1x pae authenticator، كذلك عدد من الخصائص المرافقة  مثل multi-auth لإمكانية عمل authentication لأكثر من جهاز مرتبط على نفس المدخل، تفعيل periodic لامكانية اعادة عملية authentication إن لزم الأمر، وتفعيل مراقبة وضعية المدخل port-control.

interface gi0/1

authentication host-mode multi-auth

authentication periodic

dot1x pae authenticator

dot1x timeout tx-period 10

authentication port-control auto

في حال لم يتمكن جهاز المستخدم اجتياز علمية المصادقة authentication فإن مدخل السويتش لن يعمل وسيبقى unauthorized، ولكن قد نحتاج لتغيير ذلك ليصبح المدخل فعال حتى في حال فشل عملية المصادقة. وذلك بعمل التالي على المدخل:

   authentication open