การตรวจจับ Port Scan เป็นวิธีการที่เราจะให้ Cisco Firepower ทำการตรวจจับและกรองกิจกรรมการสแกนพอร์ตทั้งหมดจากต้นทางต่าง ๆ โดยการสแกนพอร์ตของผู้บุกรุกนั้นเป็นอันตราย และส่งผลในแง่ร้ายต่อระบบเครือข่ายของเราได้ ดังนั้นเององค์กรจำเป็นต้องมีการป้องกัน รวมถึง Policy หรือนโยบายในการตรวจจับนั่นเองครับ
ก่อนไปดูวิธีการคอนฟิกอุปกรณ์สำหรับการตรวจจับการสแกนพอร์ตนั้น หากใครต้องการดูวิธีการคอนฟิก IPS ก่อนหน้านี้เพื่อมาประยุกต์ใช้ในการตรวจจับการสแกนพอร์ต ก็สามารถย้อนกลับไปดูได้ที่ตาม Link ด้านล่างนี้นะครับ https://www.ablenet.co.th/2023/08/05/ips_firepower
คอนฟิก Port Scan Detection ใน Network Analysis Policy
เอาหล่ะ… เราจะมาเริ่มดูวิธีการไปด้วยกันที่ละ Step นะครับ เริ่มจากเราต้องเปิดใช้งานการตรวจจับการสแกนพอร์ตในนโยบายการวิเคราะห์เครือข่าย จากนั้นเปิดใช้งาน Signature การสแกนพอร์ตด้วย Group ID 122 ใน IPS Policy ของ Firepower ครับ
โดยผู้ดูแลระบบสามารถเข้าไปตามเมนูด้านล่างนี้ได้ครับ
Policies -> Access Control -> Edit Policy -> Advanced -> Network Analysis and Intrusion Policies
ทำการเปิดใช้งานการตรวจจับการสแกนพอร์ตใน Network Analysis Policy โดยไปตามเมนูด้านล่างนี้ด้วยกันครับ
Policies -> Intrusion -> Network Analysis Policies -> Edit Snort 2 Version of Active Network Analysis Policy -> Policy Layers -> My Changes -> Enable Port Scan Detection
เราแก้ไข Snort version 2 เนื่องจากฟีเจอร์ที่จำเป็นยังไม่มีใน Snort version 3
จากนั้นเราจะแก้ไขพารามิเตอร์การตรวจจับการสแกนพอร์ต ตามค่าเริ่มต้นจะตรวจพบเฉพาะการสแกน TCP และ UDP เท่านั้น เราสามารถเพิ่มการสแกน IP และ ICMP ที่จะตรวจจับได้เช่นกันครับ
อีกทั้งเราสามารถเปลี่ยนระดับความรุนแรงจากต่ำเป็นปานกลางหรือสูงได้ ขึ้นอยู่กับความสำคัญของธุรกิจของเรานั่นเองครับ
นอกจากนี้เรายังสามารถยกเว้นที่อยู่ IP บางส่วนที่จะถูกละเว้นเมื่อสแกนเครือข่าย เนื่องจากอาจเป็นไปได้ว่าทางผู้ดูแลระบบ หรือเราเองตั้งใจสแกนพอร์ตเพื่อค้นหาช่องโหว่ของเครือข่ายเองครับ
คอนฟิก Port Scan Signatures ใน IPS Policy
ในขั้นตอนถัดไปนี้ เราต้องเปิดใช้งาน IPS Signature ที่เกี่ยวข้องกับการสแกนพอร์ตนั่นคือ GID 122 เพื่อกรองหรือแจ้งเตือนเมื่อตรวจพบกิจกรรมการสแกนจากที่อยู่ IP ที่ไม่ได้รับอนุญาต โดยไปยังเมนูด้านล่างนี้
Policies -> Intrusion -> Intrusion Policies -> Edit Snort 2 Version -> search GID:122 -> Action: DROP and Create Events
จากนั้นเราจะสามารถตรวจสอบว่ามีการกรอง และตรวจพบในเหตุการณ์การบุกรุกหรือไม่ โดยไปยังเมนูตามด้านล่างนี้ครับ
Analysis -> Intrusion -> Events
จากภาพด้านบน เราจะเห็นได้ว่ามีการตรวจพบการสแกนพอร์ตขึ้น และมี Log ที่แสดงให้เราเห็นได้ผ่านทาง Events รวมถึง IPS ทำการ Drop packet เหล่านั้นทิ้งไปให้ทันทีครับ
ลองนำไปใช้งานกันได้ครับ ไว้เจอกันในบทความเกี่ยวกับ Security ดี ๆ เพิ่มเติม รวมถึงการคอนฟิกอุปกรณ์ Next Generation IPS ของ Cisco ได้จากทางเอเบิ้ลเน็ตนะครับ ขอบคุณครับ 🙂