端口鏡像與入侵檢測系統(tǒng)的布置匯編

1、端口鏡像與入侵檢測(jin c)系統(tǒng)的部署共四十三頁端口鏡像共四十三頁主要(zhyo)內(nèi)容1.端口鏡像概述(i sh)2.端口鏡像配置3.VSPAN配置共四十三頁1.端口鏡像概述(i sh)1.1 SPAN的作用(zuyng) 交換網(wǎng)絡(luò)不同于共享網(wǎng)絡(luò)，不再使用廣播式方式進(jìn)行數(shù)據(jù)交換。因此必須要有一種新的機(jī)制對網(wǎng)絡(luò)流進(jìn)行量監(jiān)。可以通過使用 SPAN 將一個端口上的幀拷貝到交換機(jī)上的另一個連接有網(wǎng)絡(luò)分析設(shè)備或 RMON 分析儀的端口上來分析該端口上的通訊。SPAN 將某個端口上所有接收和發(fā)送的幀 MIRROR到某個物理端口上來進(jìn)行分析。但它并不影響源端口和目的端口交換，除非目的端口流量過度。共四十

2、三頁1.2 SPAN中的基本概念 1. SPAN會話 一個 SPAN 會話是一個目的端口和源端口的組合?？梢员O(jiān)控單個或多個接口(ji ku)的輸入，輸出和雙向幀。Switched port、routed port和AP都可以配置為源端口和目的端口。SPAN會話并不影響交換機(jī)的正常操作。2. 幀類型接收幀：所有源端口上接收到的幀都將被拷貝一份到目的口。發(fā)送幀：所有從源端口發(fā)送的幀都將拷貝一份到目的端口。由于某些原因發(fā)送到源端口的幀的格式可能改變，例如源端口輸出經(jīng)過路由之后的幀，幀的源MAC、目的 MAC、VLAN ID 以及 TTL 發(fā)生變化。同樣，拷貝到目的端口的幀的格式也會變化。 雙向幀：包

3、括上面所說的兩種幀。1.端口鏡像概述(i sh)共四十三頁1.3 SPAN中的基本概念 3. 源端口 源端口(也叫被被監(jiān)控口)是一個(y ) switched port、routed port 或 AP，該端口被監(jiān)控用做網(wǎng)絡(luò)分析。4. 目的端口 SPAN會話有一個目的口(也叫監(jiān)控口)，用于接收源端口的幀拷貝。 它可以是 switched port、routed port 和 AP。5. 可監(jiān)控的流量 多播和橋接協(xié)議數(shù)據(jù)單元（BPDU）、鏈路層發(fā)現(xiàn)協(xié)議、中繼協(xié)議、生成樹協(xié)議和端口聚合協(xié)議等。1.端口鏡像概述(i sh)共四十三頁1. 指定(zhdng)源端口 Switch(config)# mo

4、nitor session session_number source interface interface-id，| - both | rx | tx 2. 指定目的端口 Switch(config)# monitor session session_number destination interface interface-id switch 3. 顯示SPAN狀態(tài) Switch#show monitor session session_number 2. 端口鏡像配置(pizh)共四十三頁3.VSPAN配置(pizh)VSPAN的作用(zuyng) SPAN還可以基于 VLAN使用。

5、一個源VLAN是一個為了網(wǎng)絡(luò)流量分析被監(jiān)控VLAN。VSPAN使用一個或多個VLAN作為SPAN的源。源VLAN中的所有端口成為源端口。對于VSPAN只能監(jiān)控進(jìn)入的流量。共四十三頁VSPAN配置(pizh)1. 指定源VLAN Switch(config)# monitor session session_number source vlan vlan-id，| - rx2. 指定目的(md)端口 Switch(config)# monitor session session_number destination interface interface-id dot1q|isl 3. 顯示SP

6、AN狀態(tài) Switch# show monitor session session_number3.VSPAN配置共四十三頁入侵檢測(jin c)系統(tǒng)的配置共四十三頁IDS/IPS概述(i sh)入侵檢測系統(tǒng)（Intrusion Detection System，IDS） 對入侵行為發(fā)現(xiàn)(fxin)（告警）但不進(jìn)行相應(yīng)的處理入侵防護(hù)系統(tǒng)（Intrusion Prevention System，IPS）對入侵行為發(fā)現(xiàn)并進(jìn)行相應(yīng)的防御處理共四十三頁IDS工作(gngzu)原理使用(shyng)一個或多個監(jiān)聽端口“嗅探” 不轉(zhuǎn)發(fā)任何流量IDS受保護(hù)的網(wǎng)絡(luò)對收集的報文，提取相應(yīng)的流量統(tǒng)計特征值，并利用

7、內(nèi)置的特征庫，與這些流量特征進(jìn)行分析、比較、匹配根據(jù)系統(tǒng)預(yù)設(shè)的閥值，匹配度較高的報文流量將被認(rèn)為是攻擊，IDS將根據(jù)相應(yīng)的配置進(jìn)行報警或進(jìn)行有限度的反擊共四十三頁IDS工作(gngzu)流程信息收集信號分析實時記錄、報警或有限度反擊包括網(wǎng)絡(luò)流量的內(nèi)容、用戶連接活動的狀態(tài)(zhungti)和行為3種技術(shù)手段：模式匹配統(tǒng)計分析完整性分析模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng) 負(fù)擔(dān)。缺點：需要不斷的升級，不能檢測到從未出現(xiàn)過 的攻擊手段統(tǒng)計分析首先給信息對象（如用戶、連接等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正

8、常使用時的一些測量屬性（如訪問次數(shù)等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)行為進(jìn)行比較，任何觀察值在正常偏差之外時，就認(rèn)為有入侵發(fā)生。優(yōu)點：可檢測到未知的入侵和更為復(fù)雜的入侵缺點：誤報、漏報率高，且不適應(yīng)用戶正常行為 的突然改變完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊木馬感染的應(yīng)用程序方面特別有效。優(yōu)點：只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)缺點：不用于實時響應(yīng)對入侵行為做出適當(dāng)?shù)姆磻?yīng)，包括詳細(xì)日志記錄、實時報警和有限度的反擊攻擊源共四十三頁IPS工作(gngzu)原理提供主動性的防護(hù)，預(yù)先(yxin)對入侵活動和攻擊

9、性網(wǎng)絡(luò)流量進(jìn)行攔截IPS受保護(hù)的網(wǎng)絡(luò)繼承和發(fā)展了IDS的深層分析技術(shù)采用了類似防火墻的在線部署方式來實現(xiàn)對攻擊行為的阻斷共四十三頁IPS工作(gngzu)流程嵌入(qin r)模式的IPS直接獲取數(shù)據(jù)包，而旁路模式的IPS通過端口鏡像獲取獲取數(shù)據(jù)包匹配過濾器對數(shù)據(jù)包進(jìn)行分類判斷數(shù)據(jù)包是否命中數(shù)據(jù)包的放行或阻斷分類的目的是為了下一步提供合適的過濾器，分類的依據(jù)是數(shù)據(jù)包的報頭信息每個過濾器都包含一系列規(guī)則，負(fù)責(zé)分析對應(yīng)的數(shù)據(jù)包所有過濾器都是并行工作，如果任何數(shù)據(jù)包符合匹配要求，該數(shù)據(jù)包將被標(biāo)為命中如果判斷無攻擊跡象則放行數(shù)據(jù)包，如果發(fā)現(xiàn)攻擊，立即采取抵御措施：告警、丟棄數(shù)據(jù)包、切斷此次應(yīng)用會話、切

10、斷此次TCP連接共四十三頁IPS的分類(fn li)基于主機(jī)的入侵防護(hù)（HIPS）通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖(sht)從操作系統(tǒng)奪取控制權(quán)的入侵行為基于網(wǎng)絡(luò)的入侵防護(hù)（NIPS）通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)必須基于特定的硬件平臺，才能實現(xiàn)千兆級網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能共四十三頁Cisco IDS/IPS系統(tǒng)(xtng)Cisco IDS/IPS產(chǎn)品線主要包含的設(shè)備類型設(shè)備傳感器產(chǎn)品：IPS 4200系列模塊化產(chǎn)品：ASA上的高級檢測和保護(hù)安全服務(wù)模塊（AIP

11、-SSM）Catalyst 6500系列交換機(jī)和7600系列路由器上的安全模塊IDSM綜合業(yè)務(wù)(yw)路由器（ISR）上的IPS增強型集成模塊（IPS-AIM）集成式產(chǎn)品：路由器IOS集成IPS功能ASA/PIX集成IPS功能主機(jī)IDS/IPS產(chǎn)品: CSA（Cisco Security Agent，Cisco安全代理）共四十三頁IPS 4200系列(xli)傳感器2-1產(chǎn)品型號有4215、4240、4255、4260和4270產(chǎn)品功能細(xì)致檢查第2層到第7層的流量阻止惡意流量，包括網(wǎng)絡(luò)病毒、蠕蟲、間諜軟件、廣告軟件等可同時以混雜模式和內(nèi)部模式運行支持多接口以監(jiān)控多個子網(wǎng)基于(jy)特征和基于(

12、jy)異常的檢測功能豐富的傳輸級性能選擇，從65Mb/s到2Gb/s傳感器軟件內(nèi)部集成基于Web的管理解決方案共四十三頁IPS 4200系列(xli)傳感器2-2IPS 4200典型工作模式IPS模式可以在線(zi xin)檢測攻擊并攔截攻擊IDS模式可以與網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)和防火墻）聯(lián)動IPS 4200的部署IPSInternetIDS受保護(hù)的網(wǎng)絡(luò)受保護(hù)的網(wǎng)絡(luò)其他網(wǎng)絡(luò)IDS可以部署在防火墻外可以部署在防火墻內(nèi)共四十三頁IPS 4200初始化配置(pizh)進(jìn)入CLI默認(rèn)的用戶名是cisco，密碼是cisco第一次登錄時會被提示要求更改(gnggi)默認(rèn)密碼運行setup命令主機(jī)名稱IP

13、地址及掩碼默認(rèn)網(wǎng)關(guān)Telnet服務(wù)器狀態(tài)（默認(rèn)為禁用）Web服務(wù)器端口（默認(rèn)為443）用戶角色是管理員新密碼至少8個字符sensor# setup- System Configuration Dialog -At any point you may enter a question mark ? for help.User ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets .Current Configuration:service hostnetwork-set

14、tingshost-ip 01/24,host-name sensortelnet-option disabledftp-timeout 300no login-banner-textexittime-zone-settingsoffset 0standard-time-zone-name UTCexitsummertime-option disabledntp-option disabledexitservice web-serverport 443exitCurrent time: Wed May 5 10:25:35 2011Continue with configuration dia

15、log?yes：輸入yes或直接回車，進(jìn)入配置對話框共四十三頁設(shè)置主機(jī)名和管理(gunl)IP地址配置(pizh)完成后需要重啟IPS后主機(jī)名才生效sensor# conf terminalsensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# host-name ips sensor(config-hos-net)# host-ip 0/24,54 sensor(config-hos-net)# exitsensor(config-hos)# exitApply Cha

16、nges:?yes: sensor(config)#進(jìn)入主機(jī)配置模式網(wǎng)絡(luò)配置應(yīng)用配置共四十三頁配置信任(xnrn)主機(jī)配置信任主機(jī)，即允許哪些網(wǎng)段或主機(jī)訪問IPS，訪問方式(fngsh)包括Telnet、FTP、SSH和HTTPsensor# conf terminalsensor(config)# service hostsensor(config-hos)# network-settingssensor(config-hos-net)# access-list /24 sensor(config-hos-net)# telnet-option enabled sensor(config-h

17、os-net)# exitsensor(config-hos)# exitApply Changes:?yes: sensor(config)#允許/24網(wǎng)段中的主機(jī)通過Telnet訪問IPS共四十三頁配置(pizh)IPS設(shè)備管理器（IDM）首先在管理(gunl)主機(jī)上安裝Java虛擬機(jī)，然后啟用Java控制面板，配置Java Runtime參數(shù)設(shè)置內(nèi)存為256M共四十三頁配置(pizh)IPS設(shè)備管理器（IDM）然后在IE瀏覽器中輸入(shr)0，按提示輸入用戶名和密碼共四十三頁配置(pizh)IDM用戶IPS支持四種用戶角色，用戶角色決定用戶的權(quán)限級別管理員（Administrator）

18、：該用戶角色擁有最高的權(quán)限等級，能執(zhí)行(zhxng)傳感器上的所有功能操作員（Operator）：該用戶角色擁有第2高的權(quán)限等級，能執(zhí)行如修改密碼、更改特征庫、配置虛擬傳感器等有限功能觀察員（Viewer）：該用戶角色的權(quán)限等級最低，可以查看配置和事件，但是不能修改配置服務(wù)（Service）：該用戶角色屬于特殊賬號，主要用于技術(shù)支持和故障診斷共四十三頁配置(pizh)傳感接口傳感接口也稱嗅探接口，是用于監(jiān)控和分析網(wǎng)絡(luò)流量的特定接口，該接口沒有IP地址傳感接口可以運行在混雜模式(msh)，也可以配置為在線模式(msh)混雜模式通常稱為IDS解決方案，傳感器只會分析鏡像備份過來的流量在線（Inli

19、ne）模式接口可以配置為接口對模式或VLAN對模式共四十三頁接口(ji ku)對（Interface Pairs）模式流量(liling)通過傳感器的第1個接口對進(jìn)入并從第2個接口對流出兩個接口必須分別屬于不同的VLAN，但屬于同一個IP子網(wǎng)VLAN 10VLAN 20G0/1G0/2同一個IP子網(wǎng)/24配置接口對共四十三頁VLAN對（VLAN Pairs）模式(msh)創(chuàng)建子接口，流量進(jìn)入到VLAN 10后被檢測，并在相同的物理接口將帶有VLAN 20標(biāo)記的流量發(fā)送(f sn)出去VLAN 10VLAN 20G0/1F0/1Trunk配置VLAN對共四十三頁配置旁路(pn l)（Bypass

20、）模式IPS 的旁路模式只工作在Inline模式，該模式有三個選項：on、off和autoAuto：傳感器宕機(jī)時允許流量通過，傳感器正常工作時就要對流量進(jìn)行審查和分析，這是默認(rèn)的模式Off：禁止旁路模式，傳感器宕機(jī)時就將流量丟棄(diq)On：永遠(yuǎn)不對流量進(jìn)行審查和分析共四十三頁配置(pizh)分析引擎將接口分配給分析引擎分析引擎從接口處獲取數(shù)據(jù)包并對其進(jìn)行分析，然后(rnhu)與定義好的簽名進(jìn)行比對，做出指定的動作將接口對分配給默認(rèn)虛擬傳感器vs0共四十三頁特征(tzhng)（Signature）特征庫和特征引擎是IPS解決方案架構(gòu)的基礎(chǔ)特征是對攻擊者進(jìn)行基于網(wǎng)絡(luò)的攻擊時所呈現(xiàn)的網(wǎng)絡(luò)流量模式

21、的描述當(dāng)檢測(jin c)到惡意行為時，IPS通過將流量與具體特征比對，監(jiān)控網(wǎng)絡(luò)流量并生成警報特征引擎是相似特征的集合的一個分組，每個分組檢測特定類型的行為IPS的特征引擎分為很多種類IPS的特征引擎共四十三頁事件(shjin)動作當(dāng)有特征匹配時，便會觸發(fā)一個事件動作以防止?fàn)顩r發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作Deny attacker Inline:拒絕攻擊者的ip地址(dzh)Deny attacker Service Pair inline:以攻擊者的地址和被攻擊者的服務(wù)端口為拒絕對象Deny attacker Victim Pair inline: 以攻擊者和受害者

22、地址為拒絕對象Deny connection inline: 拒絕這個TCP流量的現(xiàn)在和將來的包Deny packet inline:丟棄這個數(shù)據(jù)包共四十三頁事件(shjin)動作當(dāng)有特征匹配時，便會觸發(fā)一個事件動作以防止?fàn)顩r(zhungkung)發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作Log Attacker Packets: 記錄攻擊者地址Log Pair Packets: 記錄攻擊和受害者地址Log Victim Packets: 記錄受害者地址Produce Alert: 生成報警Produce Verbose Alert: 詳細(xì)的報警共四十三頁事件(shjin)動作當(dāng)有

23、特征匹配時，便會觸發(fā)一個事件動作以防止?fàn)顩r發(fā)生，每個事件動作可由單獨的特征庫配置(pizh)IPS的事件動作Request Block Connection: 對攻擊響應(yīng)控制器（ARC）發(fā)送請求以切斷該連接Request Block Host: 對攻擊響應(yīng)控制器（ARC）發(fā)送請求以阻斷該攻擊主機(jī)Request SNMP Trap: 發(fā)送SNMP trap到設(shè)置的管理主機(jī)，同時會自動產(chǎn)生AlertReset TCP connection: 重置 TCP 連接IPS的事件動作共四十三頁配置(pizh)IPS防御SYN Flood什么(shn me)是SYN Flood攻擊？PC1PC21.發(fā)送SY

24、N報文 偽造源IP地址2.發(fā)送SYNACK報文3. 發(fā)送ACK報文？如果短時間內(nèi)接收到的SYN太多，半連接隊列就會溢出，則正常的客戶發(fā)送的SYN請求連接也會被服務(wù)器丟棄！共四十三頁配置(pizh)IPS防御SYN FloodIPS配置為接口對模式，防御(fngy)由PC機(jī)發(fā)起的SYN Flood攻擊RouterF0/1F0/11F0/2IPSVlan10:F0/1,F0/11Vlan20:F0/2,F0/12F0/0:/24F0/12G0/1G0/2/24/24配置SYN Flood特征ID 3050的事件動作為Deny Attacker Inline和Log Attacker Packets

25、在PC機(jī)上發(fā)動SYN Flood攻擊并偽造源IP地址為，在IDM的監(jiān)控界面上查看到的事件查看到拒絕攻擊者的IP地址共四十三頁配置(pizh)IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動防御SYN FloodIPS接口配置為混雜模式（使用IDS功能），配置IDS與路由器聯(lián)動防御PC機(jī)發(fā)起(fq)的SYN Flood攻擊RouterF0/1F0/11F0/2IDS:0/24F0/0:/24F0/12G0/1M0/0/24/24F1/0IDS與路由器配置聯(lián)動是通過給路由器下發(fā)ACL來拒絕流量配置SYN Flood特征ID 3050的事件動作為Request Block Host和Log Attacker Packets需要在交換機(jī)上配置端口鏡像以使IDS監(jiān)控流量共四十三頁配置IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動(lin dn)防御SYN Flood配置(pizh)攔阻（Block