端口鏡像與入侵檢測系統(tǒng)布置

端口鏡像與入侵檢測系統(tǒng)布置第一頁，共43頁。端口鏡像第二頁，共43頁。主要內(nèi)容1.端口鏡像概述2.端口鏡像配置3.VSPAN配置第三頁，共43頁。1.端口鏡像概述1.1SPAN的作用

交換網(wǎng)絡(luò)不同于共享網(wǎng)絡(luò)，不再使用廣播式方式進(jìn)行數(shù)據(jù)交換。因此必須要有一種新的機(jī)制對網(wǎng)絡(luò)流進(jìn)行量監(jiān)?？梢酝ㄟ^使用SPAN將一個端口上的幀拷貝到交換機(jī)上的另一個連接有網(wǎng)絡(luò)分析設(shè)備或RMON分析儀的端口上來分析該端口上的通訊。SPAN將某個端口上所有接收和發(fā)送的幀MIRROR到某個物理端口上來進(jìn)行分析。但它并不影響源端口和目的端口交換，除非目的端口流量過度。第四頁，共43頁。1.2SPAN中的基本概念1.SPAN會話一個SPAN會話是一個目的端口和源端口的組合?？梢员O(jiān)控單個或多個接口的輸入，輸出和雙向幀。Switchedport、routedport和AP都可以配置為源端口和目的端口。SPAN會話并不影響交換機(jī)的正常操作。2.幀類型接收幀：所有源端口上接收到的幀都將被拷貝一份到目的口。發(fā)送幀：所有從源端口發(fā)送的幀都將拷貝一份到目的端口。由于某些原因發(fā)送到源端口的幀的格式可能改變，例如源端口輸出經(jīng)過路由之后的幀，幀的源MAC、目的MAC、VLANID以及TTL發(fā)生變化。同樣，拷貝到目的端口的幀的格式也會變化。雙向幀：包括上面所說的兩種幀。1.端口鏡像概述第五頁，共43頁。1.3SPAN中的基本概念3.源端口源端口(也叫被被監(jiān)控口)是一個switchedport、routedport或AP，該端口被監(jiān)控用做網(wǎng)絡(luò)分析。4.目的端口

SPAN會話有一個目的口(也叫監(jiān)控口)，用于接收源端口的幀拷貝。它可以是switchedport、routedport和AP。5.可監(jiān)控的流量多播和橋接協(xié)議數(shù)據(jù)單元（BPDU）、鏈路層發(fā)現(xiàn)協(xié)議、中繼協(xié)議、生成樹協(xié)議和端口聚合協(xié)議等。1.端口鏡像概述第六頁，共43頁。1.指定源端口

Switch(config)#monitorsessionsession_numbersourceinterfaceinterface-id[，|-]{both|rx|tx}2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id[switch]3.顯示SPAN狀態(tài)

Switch#showmonitorsessionsession_number

2.端口鏡像配置第七頁，共43頁。3.VSPAN配置VSPAN的作用SPAN還可以基于VLAN使用。一個源VLAN是一個為了網(wǎng)絡(luò)流量分析被監(jiān)控VLAN。VSPAN使用一個或多個VLAN作為SPAN的源。源VLAN中的所有端口成為源端口。對于VSPAN只能監(jiān)控進(jìn)入的流量。第八頁，共43頁。VSPAN配置1.指定源VLANSwitch(config)#monitorsessionsession_numbersourcevlanvlan-id[，|-]rx2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id{dot1q|isl}3.顯示SPAN狀態(tài)

Switch#showmonitorsessionsession_number3.VSPAN配置第九頁，共43頁。入侵檢測系統(tǒng)的配置第十頁，共43頁。IDS/IPS概述入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）對入侵行為發(fā)現(xiàn)（告警）但不進(jìn)行相應(yīng)的處理入侵防護(hù)系統(tǒng)（IntrusionPreventionSystem，IPS）對入侵行為發(fā)現(xiàn)并進(jìn)行相應(yīng)的防御處理第十一頁，共43頁。IDS工作原理使用一個或多個監(jiān)聽端口“嗅探”

不轉(zhuǎn)發(fā)任何流量IDS受保護(hù)的網(wǎng)絡(luò)對收集的報文，提取相應(yīng)的流量統(tǒng)計特征值，并利用內(nèi)置的特征庫，與這些流量特征進(jìn)行分析、比較、匹配根據(jù)系統(tǒng)預(yù)設(shè)的閥值，匹配度較高的報文流量將被認(rèn)為是攻擊，IDS將根據(jù)相應(yīng)的配置進(jìn)行報警或進(jìn)行有限度的反擊第十二頁，共43頁。IDS工作流程信息收集信號分析實(shí)時記錄、報警或有限度反擊包括網(wǎng)絡(luò)流量的內(nèi)容、用戶連接活動的狀態(tài)和行為3

種技術(shù)手段：模式匹配統(tǒng)計分析完整性分析模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點(diǎn)：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)

負(fù)擔(dān)。缺點(diǎn)：需要不斷的升級，不能檢測到從未出現(xiàn)過

的攻擊手段統(tǒng)計分析首先給信息對象（如用戶、連接等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)行為進(jìn)行比較，任何觀察值在正常偏差之外時，就認(rèn)為有入侵發(fā)生。優(yōu)點(diǎn)：可檢測到未知的入侵和更為復(fù)雜的入侵缺點(diǎn)：誤報、漏報率高，且不適應(yīng)用戶正常行為

的突然改變完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊木馬感染的應(yīng)用程序方面特別有效。優(yōu)點(diǎn)：只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)缺點(diǎn)：不用于實(shí)時響應(yīng)對入侵行為做出適當(dāng)?shù)姆磻?yīng)，包括詳細(xì)日志記錄、實(shí)時報警和有限度的反擊攻擊源第十三頁，共43頁。IPS工作原理提供主動性的防護(hù)，預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截IPS受保護(hù)的網(wǎng)絡(luò)繼承和發(fā)展了IDS的深層分析技術(shù)采用了類似防火墻的在線部署方式來實(shí)現(xiàn)對攻擊行為的阻斷第十四頁，共43頁。IPS工作流程嵌入模式的IPS直接獲取數(shù)據(jù)包，而旁路模式的IPS通過端口鏡像獲取獲取數(shù)據(jù)包匹配過濾器對數(shù)據(jù)包進(jìn)行分類判斷數(shù)據(jù)包是否命中數(shù)據(jù)包的放行或阻斷分類的目的是為了下一步提供合適的過濾器，分類的依據(jù)是數(shù)據(jù)包的報頭信息每個過濾器都包含一系列規(guī)則，負(fù)責(zé)分析對應(yīng)的數(shù)據(jù)包所有過濾器都是并行工作，如果任何數(shù)據(jù)包符合匹配要求，該數(shù)據(jù)包將被標(biāo)為命中如果判斷無攻擊跡象則放行數(shù)據(jù)包，如果發(fā)現(xiàn)攻擊，立即采取抵御措施：告警、丟棄數(shù)據(jù)包、切斷此次應(yīng)用會話、切斷此次TCP連接第十五頁，共43頁。IPS的分類基于主機(jī)的入侵防護(hù)（HIPS）通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為基于網(wǎng)絡(luò)的入侵防護(hù)（NIPS）通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)必須基于特定的硬件平臺，才能實(shí)現(xiàn)千兆級網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能第十六頁，共43頁。CiscoIDS/IPS系統(tǒng)CiscoIDS/IPS產(chǎn)品線主要包含的設(shè)備類型設(shè)備傳感器產(chǎn)品：IPS4200系列模塊化產(chǎn)品：ASA上的高級檢測和保護(hù)安全服務(wù)模塊（AIP-SSM）Catalyst6500系列交換機(jī)和7600系列路由器上的安全模塊IDSM綜合業(yè)務(wù)路由器（ISR）上的IPS增強(qiáng)型集成模塊（IPS-AIM）集成式產(chǎn)品：路由器IOS集成IPS功能ASA/PIX集成IPS功能主機(jī)IDS/IPS產(chǎn)品:CSA（CiscoSecurityAgent，Cisco安全代理）第十七頁，共43頁。IPS4200系列傳感器2-1產(chǎn)品型號有4215、4240、4255、4260和4270產(chǎn)品功能細(xì)致檢查第2層到第7層的流量阻止惡意流量，包括網(wǎng)絡(luò)病毒、蠕蟲、間諜軟件、廣告軟件等可同時以混雜模式和內(nèi)部模式運(yùn)行支持多接口以監(jiān)控多個子網(wǎng)基于特征和基于異常的檢測功能豐富的傳輸級性能選擇，從65Mb/s到2Gb/s傳感器軟件內(nèi)部集成基于Web的管理解決方案第十八頁，共43頁。IPS4200系列傳感器2-2IPS4200典型工作模式IPS模式可以在線檢測攻擊并攔截攻擊IDS模式可以與網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)和防火墻）聯(lián)動IPS4200的部署IPSInternetIDS受保護(hù)的網(wǎng)絡(luò)受保護(hù)的網(wǎng)絡(luò)其他網(wǎng)絡(luò)IDS可以部署在防火墻外可以部署在防火墻內(nèi)第十九頁，共43頁。IPS4200初始化配置進(jìn)入CLI默認(rèn)的用戶名是cisco，密碼是cisco第一次登錄時會被提示要求更改默認(rèn)密碼運(yùn)行setup命令主機(jī)名稱IP地址及掩碼默認(rèn)網(wǎng)關(guān)Telnet服務(wù)器狀態(tài)（默認(rèn)為禁用）Web服務(wù)器端口（默認(rèn)為443）用戶角色是管理員新密碼至少8個字符sensor#setup---SystemConfigurationDialog---Atanypointyoumayenteraquestionmark'?'forhelp.Userctrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'.

CurrentConfiguration:servicehostnetwork-settingshost-ip01/24,host-namesensortelnet-optiondisabled300nologin-banner-textexittime-zone-settingsoffset0standard-time-zone-nameUTCexitsummertime-optiondisabledntp-optiondisabledexitserviceweb-serverport443exitCurrenttime:WedMay510:25:352011Continuewithconfigurationdialog?[yes]：輸入yes或直接回車，進(jìn)入配置對話框第二十頁，共43頁。設(shè)置主機(jī)名和管理IP地址配置完成后需要重啟IPS后主機(jī)名才生效sensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#host-nameipssensor(config-hos-net)#host-ip0/24,54sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#進(jìn)入主機(jī)配置模式網(wǎng)絡(luò)配置應(yīng)用配置第二十一頁，共43頁。配置信任主機(jī)配置信任主機(jī)，即允許哪些網(wǎng)段或主機(jī)訪問IPS，訪問方式包括Telnet、FTP、SSH和HTTPsensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#access-list/24sensor(config-hos-net)#telnet-optionenabledsensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#允許/24網(wǎng)段中的主機(jī)通過Telnet訪問IPS第二十二頁，共43頁。配置IPS設(shè)備管理器（IDM）首先在管理主機(jī)上安裝Java虛擬機(jī)，然后啟用Java控制面板，配置JavaRuntime參數(shù)設(shè)置內(nèi)存為256M第二十三頁，共43頁。配置IPS設(shè)備管理器（IDM）然后在IE瀏覽器中輸入，按提示輸入用戶名和密碼第二十四頁，共43頁。配置IDM用戶IPS支持四種用戶角色，用戶角色決定用戶的權(quán)限級別管理員（Administrator）：該用戶角色擁有最高的權(quán)限等級，能執(zhí)行傳感器上的所有功能操作員（Operator）：該用戶角色擁有第2高的權(quán)限等級，能執(zhí)行如修改密碼、更改特征庫、配置虛擬傳感器等有限功能觀察員（Viewer）：該用戶角色的權(quán)限等級最低，可以查看配置和事件，但是不能修改配置服務(wù)（Service）：該用戶角色屬于特殊賬號，主要用于技術(shù)支持和故障診斷第二十五頁，共43頁。配置傳感接口傳感接口也稱嗅探接口，是用于監(jiān)控和分析網(wǎng)絡(luò)流量的特定接口，該接口沒有IP地址傳感接口可以運(yùn)行在混雜模式，也可以配置為在線模式混雜模式通常稱為IDS解決方案，傳感器只會分析鏡像備份過來的流量在線（Inline）模式接口可以配置為接口對模式或VLAN對模式第二十六頁，共43頁。接口對（InterfacePairs）模式流量通過傳感器的第1個接口對進(jìn)入并從第2個接口對流出兩個接口必須分別屬于不同的VLAN，但屬于同一個IP子網(wǎng)VLAN10VLAN20G0/1G0/2同一個IP子網(wǎng)/24配置接口對第二十七頁，共43頁。VLAN對（VLANPairs）模式創(chuàng)建子接口，流量進(jìn)入到VLAN10后被檢測，并在相同的物理接口將帶有VLAN20標(biāo)記的流量發(fā)送出去VLAN10VLAN20G0/1F0/1Trunk配置VLAN對第二十八頁，共43頁。配置旁路（Bypass）模式IPS的旁路模式只工作在Inline模式，該模式有三個選項(xiàng)：on、off和autoAuto：傳感器宕機(jī)時允許流量通過，傳感器正常工作時就要對流量進(jìn)行審查和分析，這是默認(rèn)的模式Off：禁止旁路模式，傳感器宕機(jī)時就將流量丟棄On：永遠(yuǎn)不對流量進(jìn)行審查和分析第二十九頁，共43頁。配置分析引擎將接口分配給分析引擎分析引擎從接口處獲取數(shù)據(jù)包并對其進(jìn)行分析，然后與定義好的簽名進(jìn)行比對，做出指定的動作將接口對分配給默認(rèn)虛擬傳感器vs0第三十頁，共43頁。特征（Signature）特征庫和特征引擎是IPS解決方案架構(gòu)的基礎(chǔ)特征是對攻擊者進(jìn)行基于網(wǎng)絡(luò)的攻擊時所呈現(xiàn)的網(wǎng)絡(luò)流量模式的描述當(dāng)檢測到惡意行為時，IPS通過將流量與具體特征比對，監(jiān)控網(wǎng)絡(luò)流量并生成警報特征引擎是相似特征的集合的一個分組，每個分組檢測特定類型的行為IPS的特征引擎分為很多種類IPS的特征引擎第三十一頁，共43頁。事件動作當(dāng)有特征匹配時，便會觸發(fā)一個事件動作以防止?fàn)顩r發(fā)生，每個事件動作可由單獨(dú)的特征庫配置IPS的事件動作DenyattackerInline:拒絕攻擊者的ip地址DenyattackerServicePairinline:以攻擊者的地址和被攻擊者的服務(wù)端口為拒絕對象DenyattackerVictimPairinline:以攻擊者和受害者地址為拒絕對象Denyconnectioninline:拒絕這個TCP流量的現(xiàn)在和將來的包Denypacketinline:丟棄這個數(shù)據(jù)包第三十二頁，共43頁。事件動作當(dāng)有特征匹配時，便會觸發(fā)一個事件動作以防止?fàn)顩r發(fā)生，每個事件動作可由單獨(dú)的特征庫配置IPS的事件動作LogAttackerPackets:記錄攻擊者地址LogPairPackets:記錄攻擊和受害者地址LogVictimPackets:記錄受害者地址ProduceAlert:生成報警ProduceVerboseAlert:詳細(xì)的報警第三十三頁，共43頁。事件動作當(dāng)有特征匹配時，便會觸發(fā)一個事件動作以防止?fàn)顩r發(fā)生，每個事件動作可由單獨(dú)的特征庫配置IPS的事件動作RequestBlockConnection:對攻擊響應(yīng)控制器（ARC）發(fā)送請求以切斷該連接RequestBlockHost:對攻擊響應(yīng)控制器（ARC）發(fā)送請求以阻斷該攻擊主機(jī)RequestSNMPTrap:發(fā)送SNMPtrap到設(shè)置的管理主機(jī)，同時會自動產(chǎn)生AlertResetTCPconnection:重置TCP連接IPS的事件動作第三十四頁，共43頁。配置IPS防御SYNFlood什么是SYNFlood攻擊？PC1PC21.發(fā)送SYN報文

偽造源IP地址2.發(fā)送SYN＋ACK報文3.發(fā)送ACK報文？如果短時間內(nèi)接收到的SYN太多，半連接隊列就會溢出，則正常的客戶發(fā)送的SYN請求連接也會被服務(wù)器丟棄！第三十五頁，共43頁。配置IPS防御SYNFloodIPS配置為接口對模式，防御由PC機(jī)發(fā)起的SYNFlood攻擊RouterF0/1F0/11F0/2IPSVlan10:F0/1,F0/11Vlan20:F0/2,F0/12F0/0:/24F0/12G0/1G0/2/24/24配置SYNFlood特征ID3050的事件動作為DenyAttackerInline和LogAttackerPackets在PC機(jī)上發(fā)動SYNFlood攻擊并偽造源IP地址為，在IDM的監(jiān)控界面上查看到的事件查看到拒絕攻擊者的IP地址第三十六頁，共43頁。配置IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動防御SYNFloodIPS接口配