IDP配置手冊及實(shí)例山寨版

1、JUNIPER IDP配置手冊作者版本日期科科V1.12008-12-301、IDP的初始化設(shè)置3IDP sensor的初始化設(shè)置3IDP模塊的安裝方法132、IDP的策略配置14在NSM中尋找IDP設(shè)備和模塊14配置IDP的策略17IDP配置實(shí)例21IDP特征庫的升級24查看IDP sensor的狀態(tài)241、IDP的初始化設(shè)置IDP sensor的初始化設(shè)置加電以后，sensro開始啟動(dòng)，過了幾分鐘，設(shè)備就會(huì)啟動(dòng)完畢。用網(wǎng)線連接電腦和sensor的MGT接口，默認(rèn)的IP地址是，通過登錄sensor的ACM管理界面。默認(rèn)的用戶名和密碼分別是root和abc123。采用ACM方式配置，并修改ID

2、P sensor的工作模式等IDP sensor設(shè)置，登錄進(jìn)去以后會(huì)顯示以下的界面，點(diǎn)擊ACM可以開始配置IDP sensor；1.1.1、 修改root和admin的密碼，在使用NSM尋找sensor的時(shí)候需要使用。（NSM服務(wù)器查找IDP sensor的時(shí)候會(huì)查詢admin用戶名，admin密碼和root密碼）1.1.2、 修改設(shè)備的名字和域名，1.1.3、 修改IDP的部署模式，可以根據(jù)實(shí)際情況選擇相應(yīng)的工作模式，如sniffor，bridge，transparent等，若選擇transparent模式，可以選擇bypass功能（限電口，IDP 800和IDP 8200有光纖BYPASS

3、模塊）。PS：BYPASS功能是指在IDP掉電或出現(xiàn)問題后，IDP的兩個(gè)接口是直通的狀態(tài)，BYPASS切換一半需要5秒左右，設(shè)備不同時(shí)間會(huì)不一樣1.1.4、 配置IDP的HA模式，若IDP都有自帶的HA專用接口。1.1.5、 配置網(wǎng)絡(luò)接口，若修改工作模式，則需要重啟IDP才可以生效。1.1.6、 選擇多個(gè)虛擬路由器（可選），若配置IDP的工作模式的時(shí)候選擇了transparent模式，可能需要選擇是否啟動(dòng)多個(gè)虛擬路由器，每兩個(gè)接口屬于一個(gè)虛擬路由器1.1.7、 修改管理口的IP地址和管理口的網(wǎng)關(guān)，供NSM服務(wù)器和客戶端遠(yuǎn)程連接使用，1.1.8、 配置那些接口處于工作模式的狀態(tài)下，以transp

4、arent為例，其他界面不同，但比較類似1.1.9、 配置IDP MGT接口的 靜態(tài)路由和缺省網(wǎng)關(guān)（透明模式）輸入缺省網(wǎng)關(guān)并選擇對應(yīng)的接口，若IDP為透明模式，則只需要做一個(gè)管理接口的網(wǎng)關(guān)即可；若為路由模式則需要在相應(yīng)的接口做相應(yīng)的網(wǎng)關(guān)1.1.10、 DNS設(shè)置，設(shè)置IDP是否自動(dòng)查詢相關(guān)的域名，IDP特征庫的升級是通過NSM服務(wù)器完成因此在配置NSM服務(wù)器時(shí)必須設(shè)置對應(yīng)的DNS服務(wù)器，而IDPsensor則可以不設(shè)置；1.1.11、 設(shè)置IDP的時(shí)間區(qū)域建議在中國選擇上海的時(shí)間，（PS:這里沒有北京時(shí)間）1.1.12、 設(shè)置時(shí)間服務(wù)器NTP1.1.13、 設(shè)置外置的Radius服務(wù)器，用戶認(rèn)

5、證的時(shí)候使用1.1.14、 SNMP設(shè)置，設(shè)置對應(yīng)的SNMP服務(wù)器IP地址和端口號1.1.15、 設(shè)置IDP的SSH訪問，此功能必須開放，NSM服務(wù)器在查找IDP sensor的時(shí)候，首先是通過SSH獲取IDP的SSH key；1.1.16、 配置NSM服務(wù)器的IP地址和一次性密碼，Device ID可以不填寫，Primary netscreen-Security Manager IP必須設(shè)置，通訊端口默認(rèn)是7803，一次性密碼（OTP）可以不設(shè)置。NSM服務(wù)器查找IDP時(shí)使用了SSH KEY代替了OTP，因此可以不設(shè)置。1.1.17、 ACM配置，此處提示是否每次啟動(dòng)IDP管理的時(shí)候是否使用

6、ACM模式以上配置完以后會(huì)出現(xiàn)匯總界面，并可以點(diǎn)擊save & apply。IDP會(huì)進(jìn)行進(jìn)程重啟和修改自身的配置，需要幾分鐘的時(shí)間，如果修改了管理口的IP地址，還需要更改自身電腦的IP就可以重新連接IDP模塊的安裝方法Netscreen-ISG系列的防火墻的IDP模塊安裝，不需要進(jìn)行上述的設(shè)置。但該模塊的設(shè)置都是通過NSM進(jìn)行。IP地址和路由都是依賴防火墻的路由和IP地址設(shè)置（注，IDP模塊不支持sniffor模式）安裝步驟：（以NS-ISG-2000為例）1. 拆開防火墻NS-ISG-2000的機(jī)箱，在插槽的最后一個(gè)模塊可以找到管理模塊。Slot 3Mgt cardSlot 2-0S

7、ecurity Cards（擴(kuò)展）ASIC CardI/O ModulesFan Card2. 管理模塊上有兩條內(nèi)存，每條512M。將此內(nèi)存拆下，然后將NS-ISG-1000-IKT所帶的內(nèi)存，每條1GB。將內(nèi)存裝上，NS-ISG-2000的內(nèi)存即為2G，（增加了內(nèi)存的ISG系列防火墻并發(fā)會(huì)話數(shù)會(huì)增加一倍）3. 將NS-ISG-SEC模塊插入到機(jī)箱的其中一個(gè)插槽（不需要占用接口模塊的槽位）4. 將NS-ISG-2000的版本升級到帶IDP功能的版本（如nsISG2IDP）5. 將NS-ISG-SEC的序列號和NS-ISG-2000-IKT的認(rèn)證碼進(jìn)行綁定生成license，將此license導(dǎo)

8、入防火墻中，重啟防火墻。此時(shí)防火墻會(huì)提示SCIO和SCTOP進(jìn)行已經(jīng)啟動(dòng)，設(shè)備的硬件安裝已經(jīng)完成。2、IDP的策略配置在NSM中尋找IDP設(shè)備和模塊NSM做為控制端，負(fù)責(zé)對IDP進(jìn)行配置和收集IDP的日志等，有以下的幾個(gè)功能（NSM安裝步驟另外寫）：1、 IDP的策略是通過NSM服務(wù)器上傳到IDP sensor中；2、 IDP日志也是通過NSM服務(wù)器進(jìn)行保存安裝了NSM的postgresql數(shù)據(jù)庫中3、 IDP的當(dāng)前運(yùn)行狀態(tài)也會(huì)自動(dòng)送到NSM服務(wù)器上配置IDP sensor的第一步是去NSM的Device ManagerSecurity Deivce中。點(diǎn)擊“”添加設(shè)備模板。并選擇“Devic

9、e”。（NSM服務(wù)器安裝過程見NSM安裝手冊（DC版）在Device Name中輸入設(shè)備模板的名字，在Color選擇模板圖標(biāo)的顏色（名字和圖標(biāo)顏色只用于表示設(shè)備，沒有實(shí)際意義）。如果IDP已經(jīng)配置好，則選擇“device is reachable(i.e. static IP address)”。并點(diǎn)擊下一步輸入IDP sensor的IP地址，admin用戶名，密碼和root的密碼。若設(shè)備是ISG+IDP。則輸入的admin用戶名和密碼均使用防火墻的用戶名和密碼。在Connect To Device With中選擇使用什么協(xié)議和設(shè)備進(jìn)行通訊，默認(rèn)為SSHv2。IDP和NSM通信的第二階段則是通

10、過DevSvr進(jìn)程的7803端口通信點(diǎn)擊下一步以后NSM服務(wù)器的DevSvr進(jìn)程會(huì)按照實(shí)際情況去尋找設(shè)備。找到設(shè)備以后，模板還沒有設(shè)備的配置，只有設(shè)備的序列號等信息，因此需要在“DeviceConfigurationImport Device Config”中導(dǎo)入現(xiàn)有設(shè)備的配置，則可以看到當(dāng)前被導(dǎo)入設(shè)備的狀態(tài)，序列號，軟件版本等信息；或在新增的設(shè)備上雙擊鼠標(biāo)左鍵，NSM服務(wù)器會(huì)自動(dòng)運(yùn)行Import Device Config；配置IDP的策略IDP的策略配置是最為關(guān)鍵和要消耗較多的時(shí)間，IDP的策略包括以下幾種1、 IDP：入侵檢測和保護(hù)的策略，主要針對來自應(yīng)用層的攻擊行為。包括兩種檢查機(jī)制s

11、ignature和anomaly2、 Syn protector：syn泛濫保護(hù)策略，主要是針對通過IDP設(shè)備的SYN泛濫攻擊3、 Traffic anomaly：流量異常策略，主要是針對通過IDP的端口掃描4、 Exempt：5、 Backdoor：6、 Honeypot：新建策略的時(shí)候是新建一整套的策略，具體的防護(hù)策略則在新建的策略里面添加在“Policy ManagerSecurity Policies”中點(diǎn)擊右鍵，并選擇New Policy輸入名字和描述，并點(diǎn)擊下一步選擇Create new Policy for。新建一套策略模板如果設(shè)備是防火墻ISG+IDP，則選擇firewall/

12、vpn Device。如果設(shè)備是單獨(dú)的IDP設(shè)備則選擇Stand Alone IDP Devcies。再次點(diǎn)擊next以后選擇安裝到那臺(tái)設(shè)備，可以暫時(shí)不選擇，再點(diǎn)擊next。完成策略的模板設(shè)置。若新建的是防火墻策略，則只出現(xiàn)防火墻部分，要增加IDP策略的時(shí)候則需要在那里選擇add IDP Rulebase。點(diǎn)擊增加以后會(huì)出現(xiàn)一套IDP RULEBASE。（其余honey pot，backdoor也是一樣的設(shè)置）在source框中點(diǎn)擊右鍵可以選擇對應(yīng)的地址，在attacks框中可以攻擊特征庫。此時(shí)策略處于模板的形式，還沒有安裝到指定的設(shè)備上。在“Install On”下面的“any”上點(diǎn)擊右鍵，

13、選擇“Select Target”。選擇需要將此策略安裝到指定的設(shè)備上。策略新建完成以后需要進(jìn)行保存。保存好以后，選擇“DeviceConfigurationupdate Device Config”對該設(shè)備的配置進(jìn)行升級。IDP配置實(shí)例1、 IDP的入侵保護(hù)策略配置實(shí)例本次配置的采用狀態(tài)簽名和協(xié)議異常的全部特征庫，針對Metasploit發(fā)起的攻擊進(jìn)行檢測，主要是針對IIS和SMB協(xié)議的攻擊，配置圖如下所示：本次因?yàn)閮蛇叺奶卣鲙觳恢丿B，也就是策略1和策略2所引用的特征庫都不一樣，所以不需要選擇Terminate Match。如果是新手配置IDP，action可以配置recommand，可以對

14、威脅等級較高的攻擊進(jìn)行drop connect或drop packet。通過MetaSploit進(jìn)行攻擊發(fā)現(xiàn)有以下的條目經(jīng)過檢查發(fā)現(xiàn)被攻擊的機(jī)器沒有啟動(dòng)IIS，所以發(fā)送過去的80端口的請求，均被客戶端發(fā)送RST數(shù)據(jù)包終結(jié)請求。在客戶端安裝了IIS以后，再次進(jìn)行攻擊就由于有IIS的響應(yīng)而產(chǎn)生了對應(yīng)的LOG，如下所示：攻擊已經(jīng)被發(fā)現(xiàn)，但本次由于是測試IDP對攻擊的檢查力度，所以action都是accept2、 IDP防網(wǎng)絡(luò)掃描配置實(shí)例本次測試IDP的防掃描功能用的是NMAP工具，命令如下所示：nmap IDP的配置如下：Traffic anomalies選擇detect，severity選擇default，缺省是critical的等級在進(jìn)行端口掃描以后出現(xiàn)以下的LOG日志信息3、 IDP防SYN配置實(shí)例本次測試IDP的防SYN攻擊功能采用的是HPING產(chǎn)生的SYN FLOOD攻擊，命令如下所示hping -p port -i u1000 -S 而IDP的配置如下所示：MODE的模式采用了passive模式。在syn泛濫的時(shí)候在達(dá)到一定程度的時(shí)候自動(dòng)block其他的syn flood流量。采用hping以后產(chǎn)生了如下的告警信息：IDP特征庫的升