端口鏡像與入侵檢測(cè)系統(tǒng)的布置演示文稿

端口鏡像與入侵檢測(cè)系統(tǒng)的布置演示文稿本文檔共41頁；當(dāng)前第1頁；編輯于星期三\8點(diǎn)2分端口鏡像與入侵檢測(cè)系統(tǒng)的布置本文檔共41頁；當(dāng)前第2頁；編輯于星期三\8點(diǎn)2分端口鏡像本文檔共41頁；當(dāng)前第3頁；編輯于星期三\8點(diǎn)2分主要內(nèi)容1.端口鏡像概述2.端口鏡像配置3.VSPAN配置本文檔共41頁；當(dāng)前第4頁；編輯于星期三\8點(diǎn)2分1.端口鏡像概述1.1SPAN的作用

交換網(wǎng)絡(luò)不同于共享網(wǎng)絡(luò)，不再使用廣播式方式進(jìn)行數(shù)據(jù)交換。因此必須要有一種新的機(jī)制對(duì)網(wǎng)絡(luò)流進(jìn)行量監(jiān)。可以通過使用SPAN將一個(gè)端口上的幀拷貝到交換機(jī)上的另一個(gè)連接有網(wǎng)絡(luò)分析設(shè)備或RMON分析儀的端口上來分析該端口上的通訊。SPAN將某個(gè)端口上所有接收和發(fā)送的幀MIRROR到某個(gè)物理端口上來進(jìn)行分析。但它并不影響源端口和目的端口交換，除非目的端口流量過度。本文檔共41頁；當(dāng)前第5頁；編輯于星期三\8點(diǎn)2分1.2SPAN中的基本概念1.SPAN會(huì)話一個(gè)SPAN會(huì)話是一個(gè)目的端口和源端口的組合?？梢员O(jiān)控單個(gè)或多個(gè)接口的輸入，輸出和雙向幀。Switchedport、routedport和AP都可以配置為源端口和目的端口。SPAN會(huì)話并不影響交換機(jī)的正常操作。2.幀類型接收幀：所有源端口上接收到的幀都將被拷貝一份到目的口。發(fā)送幀：所有從源端口發(fā)送的幀都將拷貝一份到目的端口。由于某些原因發(fā)送到源端口的幀的格式可能改變，例如源端口輸出經(jīng)過路由之后的幀，幀的源MAC、目的MAC、VLANID以及TTL發(fā)生變化。同樣，拷貝到目的端口的幀的格式也會(huì)變化。雙向幀：包括上面所說的兩種幀。1.端口鏡像概述本文檔共41頁；當(dāng)前第6頁；編輯于星期三\8點(diǎn)2分1.3SPAN中的基本概念3.源端口源端口(也叫被被監(jiān)控口)是一個(gè)switchedport、routedport或AP，該端口被監(jiān)控用做網(wǎng)絡(luò)分析。4.目的端口

SPAN會(huì)話有一個(gè)目的口(也叫監(jiān)控口)，用于接收源端口的幀拷貝。它可以是switchedport、routedport和AP。5.可監(jiān)控的流量多播和橋接協(xié)議數(shù)據(jù)單元（BPDU）、鏈路層發(fā)現(xiàn)協(xié)議、中繼協(xié)議、生成樹協(xié)議和端口聚合協(xié)議等。1.端口鏡像概述本文檔共41頁；當(dāng)前第7頁；編輯于星期三\8點(diǎn)2分1.指定源端口

Switch(config)#monitorsessionsession_numbersourceinterfaceinterface-id[，|-]{both|rx|tx}2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id[switch]3.顯示SPAN狀態(tài)

Switch#showmonitorsessionsession_number

2.端口鏡像配置本文檔共41頁；當(dāng)前第8頁；編輯于星期三\8點(diǎn)2分3.VSPAN配置VSPAN的作用SPAN還可以基于VLAN使用。一個(gè)源VLAN是一個(gè)為了網(wǎng)絡(luò)流量分析被監(jiān)控VLAN。VSPAN使用一個(gè)或多個(gè)VLAN作為SPAN的源。源VLAN中的所有端口成為源端口。對(duì)于VSPAN只能監(jiān)控進(jìn)入的流量。本文檔共41頁；當(dāng)前第9頁；編輯于星期三\8點(diǎn)2分VSPAN配置1.指定源VLANSwitch(config)#monitorsessionsession_numbersourcevlanvlan-id[，|-]rx2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id{dot1q|isl}3.顯示SPAN狀態(tài)

Switch#showmonitorsessionsession_number3.VSPAN配置本文檔共41頁；當(dāng)前第10頁；編輯于星期三\8點(diǎn)2分入侵檢測(cè)系統(tǒng)的配置本文檔共41頁；當(dāng)前第11頁；編輯于星期三\8點(diǎn)2分IDS/IPS概述入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）對(duì)入侵行為發(fā)現(xiàn)（告警）但不進(jìn)行相應(yīng)的處理入侵防護(hù)系統(tǒng)（IntrusionPreventionSystem，IPS）對(duì)入侵行為發(fā)現(xiàn)并進(jìn)行相應(yīng)的防御處理本文檔共41頁；當(dāng)前第12頁；編輯于星期三\8點(diǎn)2分IDS工作原理使用一個(gè)或多個(gè)監(jiān)聽端口“嗅探”

不轉(zhuǎn)發(fā)任何流量IDS受保護(hù)的網(wǎng)絡(luò)對(duì)收集的報(bào)文，提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的特征庫(kù)，與這些流量特征進(jìn)行分析、比較、匹配根據(jù)系統(tǒng)預(yù)設(shè)的閥值，匹配度較高的報(bào)文流量將被認(rèn)為是攻擊，IDS將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊本文檔共41頁；當(dāng)前第13頁；編輯于星期三\8點(diǎn)2分IDS工作流程信息收集信號(hào)分析實(shí)時(shí)記錄、報(bào)警或有限度反擊包括網(wǎng)絡(luò)流量的內(nèi)容、用戶連接活動(dòng)的狀態(tài)和行為3

種技術(shù)手段：模式匹配統(tǒng)計(jì)分析完整性分析模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點(diǎn)：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)

負(fù)擔(dān)。缺點(diǎn)：需要不斷的升級(jí)，不能檢測(cè)到從未出現(xiàn)過

的攻擊手段統(tǒng)計(jì)分析首先給信息對(duì)象（如用戶、連接等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)等）。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)行為進(jìn)行比較，任何觀察值在正常偏差之外時(shí)，就認(rèn)為有入侵發(fā)生。優(yōu)點(diǎn)：可檢測(cè)到未知的入侵和更為復(fù)雜的入侵缺點(diǎn)：誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為

的突然改變完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊木馬感染的應(yīng)用程序方面特別有效。優(yōu)點(diǎn)：只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)缺點(diǎn)：不用于實(shí)時(shí)響應(yīng)對(duì)入侵行為做出適當(dāng)?shù)姆磻?yīng)，包括詳細(xì)日志記錄、實(shí)時(shí)報(bào)警和有限度的反擊攻擊源本文檔共41頁；當(dāng)前第14頁；編輯于星期三\8點(diǎn)2分IPS工作原理提供主動(dòng)性的防護(hù)，預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截IPS受保護(hù)的網(wǎng)絡(luò)繼承和發(fā)展了IDS的深層分析技術(shù)采用了類似防火墻的在線部署方式來實(shí)現(xiàn)對(duì)攻擊行為的阻斷本文檔共41頁；當(dāng)前第15頁；編輯于星期三\8點(diǎn)2分IPS工作流程嵌入模式的IPS直接獲取數(shù)據(jù)包，而旁路模式的IPS通過端口鏡像獲取獲取數(shù)據(jù)包匹配過濾器對(duì)數(shù)據(jù)包進(jìn)行分類判斷數(shù)據(jù)包是否命中數(shù)據(jù)包的放行或阻斷分類的目的是為了下一步提供合適的過濾器，分類的依據(jù)是數(shù)據(jù)包的報(bào)頭信息每個(gè)過濾器都包含一系列規(guī)則，負(fù)責(zé)分析對(duì)應(yīng)的數(shù)據(jù)包所有過濾器都是并行工作，如果任何數(shù)據(jù)包符合匹配要求，該數(shù)據(jù)包將被標(biāo)為命中如果判斷無攻擊跡象則放行數(shù)據(jù)包，如果發(fā)現(xiàn)攻擊，立即采取抵御措施：告警、丟棄數(shù)據(jù)包、切斷此次應(yīng)用會(huì)話、切斷此次TCP連接本文檔共41頁；當(dāng)前第16頁；編輯于星期三\8點(diǎn)2分IPS的分類基于主機(jī)的入侵防護(hù)（HIPS）通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為基于網(wǎng)絡(luò)的入侵防護(hù)（NIPS）通過檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)必須基于特定的硬件平臺(tái)，才能實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測(cè)和阻斷功能本文檔共41頁；當(dāng)前第17頁；編輯于星期三\8點(diǎn)2分CiscoIDS/IPS系統(tǒng)CiscoIDS/IPS產(chǎn)品線主要包含的設(shè)備類型設(shè)備傳感器產(chǎn)品：IPS4200系列模塊化產(chǎn)品：ASA上的高級(jí)檢測(cè)和保護(hù)安全服務(wù)模塊（AIP-SSM）Catalyst6500系列交換機(jī)和7600系列路由器上的安全模塊IDSM綜合業(yè)務(wù)路由器（ISR）上的IPS增強(qiáng)型集成模塊（IPS-AIM）集成式產(chǎn)品：路由器IOS集成IPS功能ASA/PIX集成IPS功能主機(jī)IDS/IPS產(chǎn)品:CSA（CiscoSecurityAgent，Cisco安全代理）本文檔共41頁；當(dāng)前第18頁；編輯于星期三\8點(diǎn)2分IPS4200系列傳感器2-1產(chǎn)品型號(hào)有4215、4240、4255、4260和4270產(chǎn)品功能細(xì)致檢查第2層到第7層的流量阻止惡意流量，包括網(wǎng)絡(luò)病毒、蠕蟲、間諜軟件、廣告軟件等可同時(shí)以混雜模式和內(nèi)部模式運(yùn)行支持多接口以監(jiān)控多個(gè)子網(wǎng)基于特征和基于異常的檢測(cè)功能豐富的傳輸級(jí)性能選擇，從65Mb/s到2Gb/s傳感器軟件內(nèi)部集成基于Web的管理解決方案本文檔共41頁；當(dāng)前第19頁；編輯于星期三\8點(diǎn)2分IPS4200系列傳感器2-2IPS4200典型工作模式IPS模式可以在線檢測(cè)攻擊并攔截攻擊IDS模式可以與網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)和防火墻）聯(lián)動(dòng)IPS4200的部署IPSInternetIDS受保護(hù)的網(wǎng)絡(luò)受保護(hù)的網(wǎng)絡(luò)其他網(wǎng)絡(luò)IDS可以部署在防火墻外可以部署在防火墻內(nèi)本文檔共41頁；當(dāng)前第20頁；編輯于星期三\8點(diǎn)2分IPS4200初始化配置進(jìn)入CLI默認(rèn)的用戶名是cisco，密碼是cisco第一次登錄時(shí)會(huì)被提示要求更改默認(rèn)密碼運(yùn)行setup命令主機(jī)名稱IP地址及掩碼默認(rèn)網(wǎng)關(guān)Telnet服務(wù)器狀態(tài)（默認(rèn)為禁用）Web服務(wù)器端口（默認(rèn)為443）用戶角色是管理員新密碼至少8個(gè)字符sensor#setup---SystemConfigurationDialog---Atanypointyoumayenteraquestionmark'?'forhelp.Userctrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'.

CurrentConfiguration:servicehostnetwork-settingshost-namesensortelnet-optiondisabledftp-timeout300nologin-banner-textexittime-zone-settingsoffset0standard-time-zone-nameUTCexitsummertime-optiondisabledntp-optiondisabledexitserviceweb-serverport443exitCurrenttime:WedMay510:25:352011Continuewithconfigurationdialog?[yes]：輸入yes或直接回車，進(jìn)入配置對(duì)話框本文檔共41頁；當(dāng)前第21頁；編輯于星期三\8點(diǎn)2分設(shè)置主機(jī)名和管理IP地址配置完成后需要重啟IPS后主機(jī)名才生效sensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#host-nameipssensor(config-hos-net)#host-ip0/24,54sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#進(jìn)入主機(jī)配置模式網(wǎng)絡(luò)配置應(yīng)用配置本文檔共41頁；當(dāng)前第22頁；編輯于星期三\8點(diǎn)2分配置信任主機(jī)配置信任主機(jī)，即允許哪些網(wǎng)段或主機(jī)訪問IPS，訪問方式包括Telnet、FTP、SSH和HTTPsensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#sensor(config-hos-net)#telnet-optionenabledsensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#允許網(wǎng)段中的主機(jī)通過Telnet訪問IPS本文檔共41頁；當(dāng)前第23頁；編輯于星期三\8點(diǎn)2分配置IPS設(shè)備管理器（IDM）首先在管理主機(jī)上安裝Java虛擬機(jī)，然后啟用Java控制面板，配置JavaRuntime參數(shù)設(shè)置內(nèi)存為256M本文檔共41頁；當(dāng)前第24頁；編輯于星期三\8點(diǎn)2分配置IPS設(shè)備管理器（IDM），按提示輸入用戶名和密碼本文檔共41頁；當(dāng)前第25頁；編輯于星期三\8點(diǎn)2分配置IDM用戶IPS支持四種用戶角色，用戶角色決定用戶的權(quán)限級(jí)別管理員（Administrator）：該用戶角色擁有最高的權(quán)限等級(jí)，能執(zhí)行傳感器上的所有功能操作員（Operator）：該用戶角色擁有第2高的權(quán)限等級(jí)，能執(zhí)行如修改密碼、更改特征庫(kù)、配置虛擬傳感器等有限功能觀察員（Viewer）：該用戶角色的權(quán)限等級(jí)最低，可以查看配置和事件，但是不能修改配置服務(wù)（Service）：該用戶角色屬于特殊賬號(hào)，主要用于技術(shù)支持和故障診斷本文檔共41頁；當(dāng)前第26頁；編輯于星期三\8點(diǎn)2分配置傳感接口傳感接口也稱嗅探接口，是用于監(jiān)控和分析網(wǎng)絡(luò)流量的特定接口，該接口沒有IP地址傳感接口可以運(yùn)行在混雜模式，也可以配置為在線模式混雜模式通常稱為IDS解決方案，傳感器只會(huì)分析鏡像備份過來的流量在線（Inline）模式接口可以配置為接口對(duì)模式或VLAN對(duì)模式本文檔共41頁；當(dāng)前第27頁；編輯于星期三\8點(diǎn)2分接口對(duì)（InterfacePairs）模式流量通過傳感器的第1個(gè)接口對(duì)進(jìn)入并從第2個(gè)接口對(duì)流出兩個(gè)接口必須分別屬于不同的VLAN，但屬于同一個(gè)IP子網(wǎng)VLAN10VLAN20G0/1G0/2同一個(gè)IP子網(wǎng)/24配置接口對(duì)本文檔共41頁；當(dāng)前第28頁；編輯于星期三\8點(diǎn)2分VLAN對(duì)（VLANPairs）模式創(chuàng)建子接口，流量進(jìn)入到VLAN10后被檢測(cè)，并在相同的物理接口將帶有VLAN20標(biāo)記的流量發(fā)送出去VLAN10VLAN20G0/1F0/1Trunk配置VLAN對(duì)本文檔共41頁；當(dāng)前第29頁；編輯于星期三\8點(diǎn)2分配置旁路（Bypass）模式IPS的旁路模式只工作在Inline模式，該模式有三個(gè)選項(xiàng)：on、off和autoAuto：傳感器宕機(jī)時(shí)允許流量通過，傳感器正常工作時(shí)就要對(duì)流量進(jìn)行審查和分析，這是默認(rèn)的模式Off：禁止旁路模式，傳感器宕機(jī)時(shí)就將流量丟棄On：永遠(yuǎn)不對(duì)流量進(jìn)行審查和分析本文檔共41頁；當(dāng)前第30頁；編輯于星期三\8點(diǎn)2分配置分析引擎將接口分配給分析引擎分析引擎從接口處獲取數(shù)據(jù)包并對(duì)其進(jìn)行分析，然后與定義好的簽名進(jìn)行比對(duì)，做出指定的動(dòng)作將接口對(duì)分配給默認(rèn)虛擬傳感器vs0本文檔共41頁；當(dāng)前第31頁；編輯于星期三\8點(diǎn)2分特征（Signature）特征庫(kù)和特征引擎是IPS解決方案架構(gòu)的基礎(chǔ)特征是對(duì)攻擊者進(jìn)行基于網(wǎng)絡(luò)的攻擊時(shí)所呈現(xiàn)的網(wǎng)絡(luò)流量模式的描述當(dāng)檢測(cè)到惡意行為時(shí)，IPS通過將流量與具體特征比對(duì)，監(jiān)控網(wǎng)絡(luò)流量并生成警報(bào)特征引擎是相似特征的集合的一個(gè)分組，每個(gè)分組檢測(cè)特定類型的行為IPS的特征引擎分為很多種類IPS的特征引擎本文檔共41頁；當(dāng)前第32頁；編輯于星期三\8點(diǎn)2分事件動(dòng)作當(dāng)有特征匹配時(shí)，便會(huì)觸發(fā)一個(gè)事件動(dòng)作以防止?fàn)顩r發(fā)生，每個(gè)事件動(dòng)作可由單獨(dú)的特征庫(kù)配置IPS的事件動(dòng)作DenyattackerInline:拒絕攻擊者的ip地址DenyattackerServicePairinline:以攻擊者的地址和被攻擊者的服務(wù)端口為拒絕對(duì)象DenyattackerVictimPairinline:以攻擊者和受害者地址為拒絕對(duì)象Denyconnectioninline:拒絕這個(gè)TCP流量的現(xiàn)在和將來的包Denypacketinline:丟棄這個(gè)數(shù)據(jù)包本文檔共41頁；當(dāng)前第33頁；編輯于星期三\8點(diǎn)2分事件動(dòng)作當(dāng)有特征匹配時(shí)，便會(huì)觸發(fā)一個(gè)事件動(dòng)作以防止?fàn)顩r發(fā)生，每個(gè)事件動(dòng)作可由單獨(dú)的特征庫(kù)配置IPS的事件動(dòng)作LogAttackerPackets:記錄攻擊者地址LogPairPackets:記錄攻擊和受害者地址LogVictimPackets:記錄受害者地址ProduceAlert:生成報(bào)警ProduceVerboseAlert:詳細(xì)的報(bào)警本文檔共41頁；當(dāng)前第34頁；編輯于星期三\8點(diǎn)2分事件動(dòng)作當(dāng)有特征匹配時(shí)，便會(huì)觸發(fā)一個(gè)事件動(dòng)作以防止?fàn)顩r發(fā)生，每個(gè)事件動(dòng)作可由單獨(dú)的特征庫(kù)配置IPS的事件動(dòng)作RequestBlockConnection:對(duì)攻擊響應(yīng)控制器（ARC）發(fā)送請(qǐng)求以切斷該連接RequestBlockHost:對(duì)攻擊響應(yīng)控制器（ARC）發(fā)送請(qǐng)求以阻斷該攻擊主機(jī)RequestSNMPTrap:發(fā)送SNMPtrap到設(shè)置的管理主機(jī)，同時(shí)會(huì)自動(dòng)產(chǎn)生AlertResetTCPconnection:重置TCP連接IPS的事件動(dòng)作本文檔共41頁；當(dāng)前第35頁；編輯于星期三\8點(diǎn)2分配置IPS防御SYNFlood什么是SYNFlood攻擊？PC1PC21.發(fā)送SYN報(bào)文

偽造源IP地址2.發(fā)送SYN＋ACK報(bào)文3.發(fā)送ACK報(bào)文？如果短時(shí)間內(nèi)接收到的SYN太多，半連接隊(duì)列就會(huì)溢出，則正常的客戶發(fā)送的SYN請(qǐng)求連接也會(huì)被服務(wù)器丟棄！本文檔共41頁；當(dāng)前第36頁；編輯于星期三\8點(diǎn)2分配置IPS防御SYNFloodIPS配置為接口對(duì)模式，防御由PC機(jī)發(fā)起的SYNFlood攻擊Router