端口鏡像與入侵檢測系統(tǒng)的布置演示文稿

端口鏡像與入侵檢測系統(tǒng)的布置演示文稿本文檔共41頁；當前第1頁；編輯于星期三\8點2分端口鏡像與入侵檢測系統(tǒng)的布置本文檔共41頁；當前第2頁；編輯于星期三\8點2分端口鏡像本文檔共41頁；當前第3頁；編輯于星期三\8點2分主要內(nèi)容1.端口鏡像概述2.端口鏡像配置3.VSPAN配置本文檔共41頁；當前第4頁；編輯于星期三\8點2分1.端口鏡像概述1.1SPAN的作用

交換網(wǎng)絡不同于共享網(wǎng)絡，不再使用廣播式方式進行數(shù)據(jù)交換。因此必須要有一種新的機制對網(wǎng)絡流進行量監(jiān)?？梢酝ㄟ^使用SPAN將一個端口上的幀拷貝到交換機上的另一個連接有網(wǎng)絡分析設備或RMON分析儀的端口上來分析該端口上的通訊。SPAN將某個端口上所有接收和發(fā)送的幀MIRROR到某個物理端口上來進行分析。但它并不影響源端口和目的端口交換，除非目的端口流量過度。本文檔共41頁；當前第5頁；編輯于星期三\8點2分1.2SPAN中的基本概念1.SPAN會話一個SPAN會話是一個目的端口和源端口的組合?？梢员O(jiān)控單個或多個接口的輸入，輸出和雙向幀。Switchedport、routedport和AP都可以配置為源端口和目的端口。SPAN會話并不影響交換機的正常操作。2.幀類型接收幀：所有源端口上接收到的幀都將被拷貝一份到目的口。發(fā)送幀：所有從源端口發(fā)送的幀都將拷貝一份到目的端口。由于某些原因發(fā)送到源端口的幀的格式可能改變，例如源端口輸出經(jīng)過路由之后的幀，幀的源MAC、目的MAC、VLANID以及TTL發(fā)生變化。同樣，拷貝到目的端口的幀的格式也會變化。雙向幀：包括上面所說的兩種幀。1.端口鏡像概述本文檔共41頁；當前第6頁；編輯于星期三\8點2分1.3SPAN中的基本概念3.源端口源端口(也叫被被監(jiān)控口)是一個switchedport、routedport或AP，該端口被監(jiān)控用做網(wǎng)絡分析。4.目的端口

SPAN會話有一個目的口(也叫監(jiān)控口)，用于接收源端口的幀拷貝。它可以是switchedport、routedport和AP。5.可監(jiān)控的流量多播和橋接協(xié)議數(shù)據(jù)單元（BPDU）、鏈路層發(fā)現(xiàn)協(xié)議、中繼協(xié)議、生成樹協(xié)議和端口聚合協(xié)議等。1.端口鏡像概述本文檔共41頁；當前第7頁；編輯于星期三\8點2分1.指定源端口

Switch(config)#monitorsessionsession_numbersourceinterfaceinterface-id[，|-]{both|rx|tx}2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id[switch]3.顯示SPAN狀態(tài)

Switch#showmonitorsessionsession_number

2.端口鏡像配置本文檔共41頁；當前第8頁；編輯于星期三\8點2分3.VSPAN配置VSPAN的作用SPAN還可以基于VLAN使用。一個源VLAN是一個為了網(wǎng)絡流量分析被監(jiān)控VLAN。VSPAN使用一個或多個VLAN作為SPAN的源。源VLAN中的所有端口成為源端口。對于VSPAN只能監(jiān)控進入的流量。本文檔共41頁；當前第9頁；編輯于星期三\8點2分VSPAN配置1.指定源VLANSwitch(config)#monitorsessionsession_numbersourcevlanvlan-id[，|-]rx2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id{dot1q|isl}3.顯示SPAN狀態(tài)

Switch#showmonitorsessionsession_number3.VSPAN配置本文檔共41頁；當前第10頁；編輯于星期三\8點2分入侵檢測系統(tǒng)的配置本文檔共41頁；當前第11頁；編輯于星期三\8點2分IDS/IPS概述入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）對入侵行為發(fā)現(xiàn)（告警）但不進行相應的處理入侵防護系統(tǒng)（IntrusionPreventionSystem，IPS）對入侵行為發(fā)現(xiàn)并進行相應的防御處理本文檔共41頁；當前第12頁；編輯于星期三\8點2分IDS工作原理使用一個或多個監(jiān)聽端口“嗅探”

不轉(zhuǎn)發(fā)任何流量IDS受保護的網(wǎng)絡對收集的報文，提取相應的流量統(tǒng)計特征值，并利用內(nèi)置的特征庫，與這些流量特征進行分析、比較、匹配根據(jù)系統(tǒng)預設的閥值，匹配度較高的報文流量將被認為是攻擊，IDS將根據(jù)相應的配置進行報警或進行有限度的反擊本文檔共41頁；當前第13頁；編輯于星期三\8點2分IDS工作流程信息收集信號分析實時記錄、報警或有限度反擊包括網(wǎng)絡流量的內(nèi)容、用戶連接活動的狀態(tài)和行為3

種技術(shù)手段：模式匹配統(tǒng)計分析完整性分析模式匹配是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)

負擔。缺點：需要不斷的升級，不能檢測到從未出現(xiàn)過

的攻擊手段統(tǒng)計分析首先給信息對象（如用戶、連接等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)等）。測量屬性的平均值將被用來與網(wǎng)絡行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發(fā)生。優(yōu)點：可檢測到未知的入侵和更為復雜的入侵缺點：誤報、漏報率高，且不適應用戶正常行為

的突然改變完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊木馬感染的應用程序方面特別有效。優(yōu)點：只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)缺點：不用于實時響應對入侵行為做出適當?shù)姆磻?，包括詳細日志記錄、實時報警和有限度的反擊攻擊源本文檔共41頁；當前第14頁；編輯于星期三\8點2分IPS工作原理提供主動性的防護，預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截IPS受保護的網(wǎng)絡繼承和發(fā)展了IDS的深層分析技術(shù)采用了類似防火墻的在線部署方式來實現(xiàn)對攻擊行為的阻斷本文檔共41頁；當前第15頁；編輯于星期三\8點2分IPS工作流程嵌入模式的IPS直接獲取數(shù)據(jù)包，而旁路模式的IPS通過端口鏡像獲取獲取數(shù)據(jù)包匹配過濾器對數(shù)據(jù)包進行分類判斷數(shù)據(jù)包是否命中數(shù)據(jù)包的放行或阻斷分類的目的是為了下一步提供合適的過濾器，分類的依據(jù)是數(shù)據(jù)包的報頭信息每個過濾器都包含一系列規(guī)則，負責分析對應的數(shù)據(jù)包所有過濾器都是并行工作，如果任何數(shù)據(jù)包符合匹配要求，該數(shù)據(jù)包將被標為命中如果判斷無攻擊跡象則放行數(shù)據(jù)包，如果發(fā)現(xiàn)攻擊，立即采取抵御措施：告警、丟棄數(shù)據(jù)包、切斷此次應用會話、切斷此次TCP連接本文檔共41頁；當前第16頁；編輯于星期三\8點2分IPS的分類基于主機的入侵防護（HIPS）通過在主機/服務器上安裝軟件代理程序，防止網(wǎng)絡攻擊入侵操作系統(tǒng)以及應用程序可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為基于網(wǎng)絡的入侵防護（NIPS）通過檢測流經(jīng)的網(wǎng)絡流量，提供對網(wǎng)絡系統(tǒng)的安全保護必須基于特定的硬件平臺，才能實現(xiàn)千兆級網(wǎng)絡流量的深度數(shù)據(jù)包檢測和阻斷功能本文檔共41頁；當前第17頁；編輯于星期三\8點2分CiscoIDS/IPS系統(tǒng)CiscoIDS/IPS產(chǎn)品線主要包含的設備類型設備傳感器產(chǎn)品：IPS4200系列模塊化產(chǎn)品：ASA上的高級檢測和保護安全服務模塊（AIP-SSM）Catalyst6500系列交換機和7600系列路由器上的安全模塊IDSM綜合業(yè)務路由器（ISR）上的IPS增強型集成模塊（IPS-AIM）集成式產(chǎn)品：路由器IOS集成IPS功能ASA/PIX集成IPS功能主機IDS/IPS產(chǎn)品:CSA（CiscoSecurityAgent，Cisco安全代理）本文檔共41頁；當前第18頁；編輯于星期三\8點2分IPS4200系列傳感器2-1產(chǎn)品型號有4215、4240、4255、4260和4270產(chǎn)品功能細致檢查第2層到第7層的流量阻止惡意流量，包括網(wǎng)絡病毒、蠕蟲、間諜軟件、廣告軟件等可同時以混雜模式和內(nèi)部模式運行支持多接口以監(jiān)控多個子網(wǎng)基于特征和基于異常的檢測功能豐富的傳輸級性能選擇，從65Mb/s到2Gb/s傳感器軟件內(nèi)部集成基于Web的管理解決方案本文檔共41頁；當前第19頁；編輯于星期三\8點2分IPS4200系列傳感器2-2IPS4200典型工作模式IPS模式可以在線檢測攻擊并攔截攻擊IDS模式可以與網(wǎng)絡設備（路由器、交換機和防火墻）聯(lián)動IPS4200的部署IPSInternetIDS受保護的網(wǎng)絡受保護的網(wǎng)絡其他網(wǎng)絡IDS可以部署在防火墻外可以部署在防火墻內(nèi)本文檔共41頁；當前第20頁；編輯于星期三\8點2分IPS4200初始化配置進入CLI默認的用戶名是cisco，密碼是cisco第一次登錄時會被提示要求更改默認密碼運行setup命令主機名稱IP地址及掩碼默認網(wǎng)關(guān)Telnet服務器狀態(tài)（默認為禁用）Web服務器端口（默認為443）用戶角色是管理員新密碼至少8個字符sensor#setup---SystemConfigurationDialog---Atanypointyoumayenteraquestionmark'?'forhelp.Userctrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'.

CurrentConfiguration:servicehostnetwork-settingshost-namesensortelnet-optiondisabledftp-timeout300nologin-banner-textexittime-zone-settingsoffset0standard-time-zone-nameUTCexitsummertime-optiondisabledntp-optiondisabledexitserviceweb-serverport443exitCurrenttime:WedMay510:25:352011Continuewithconfigurationdialog?[yes]：輸入yes或直接回車，進入配置對話框本文檔共41頁；當前第21頁；編輯于星期三\8點2分設置主機名和管理IP地址配置完成后需要重啟IPS后主機名才生效sensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#host-nameipssensor(config-hos-net)#host-ip0/24,54sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#進入主機配置模式網(wǎng)絡配置應用配置本文檔共41頁；當前第22頁；編輯于星期三\8點2分配置信任主機配置信任主機，即允許哪些網(wǎng)段或主機訪問IPS，訪問方式包括Telnet、FTP、SSH和HTTPsensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#sensor(config-hos-net)#telnet-optionenabledsensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#允許網(wǎng)段中的主機通過Telnet訪問IPS本文檔共41頁；當前第23頁；編輯于星期三\8點2分配置IPS設備管理器（IDM）首先在管理主機上安裝Java虛擬機，然后啟用Java控制面板，配置JavaRuntime參數(shù)設置內(nèi)存為256M本文檔共41頁；當前第24頁；編輯于星期三\8點2分配置IPS設備管理器（IDM），按提示輸入用戶名和密碼本文檔共41頁；當前第25頁；編輯于星期三\8點2分配置IDM用戶IPS支持四種用戶角色，用戶角色決定用戶的權(quán)限級別管理員（Administrator）：該用戶角色擁有最高的權(quán)限等級，能執(zhí)行傳感器上的所有功能操作員（Operator）：該用戶角色擁有第2高的權(quán)限等級，能執(zhí)行如修改密碼、更改特征庫、配置虛擬傳感器等有限功能觀察員（Viewer）：該用戶角色的權(quán)限等級最低，可以查看配置和事件，但是不能修改配置服務（Service）：該用戶角色屬于特殊賬號，主要用于技術(shù)支持和故障診斷本文檔共41頁；當前第26頁；編輯于星期三\8點2分配置傳感接口傳感接口也稱嗅探接口，是用于監(jiān)控和分析網(wǎng)絡流量的特定接口，該接口沒有IP地址傳感接口可以運行在混雜模式，也可以配置為在線模式混雜模式通常稱為IDS解決方案，傳感器只會分析鏡像備份過來的流量在線（Inline）模式接口可以配置為接口對模式或VLAN對模式本文檔共41頁；當前第27頁；編輯于星期三\8點2分接口對（InterfacePairs）模式流量通過傳感器的第1個接口對進入并從第2個接口對流出兩個接口必須分別屬于不同的VLAN，但屬于同一個IP子網(wǎng)VLAN10VLAN20G0/1G0/2同一個IP子網(wǎng)/24配置接口對本文檔共41頁；當前第28頁；編輯于星期三\8點2分VLAN對（VLANPairs）模式創(chuàng)建子接口，流量進入到VLAN10后被檢測，并在相同的物理接口將帶有VLAN20標記的流量發(fā)送出去VLAN10VLAN20G0/1F0/1Trunk配置VLAN對本文檔共41頁；當前第29頁；編輯于星期三\8點2分配置旁路（Bypass）模式IPS的旁路模式只工作在Inline模式，該模式有三個選項：on、off和autoAuto：傳感器宕機時允許流量通過，傳感器正常工作時就要對流量進行審查和分析，這是默認的模式Off：禁止旁路模式，傳感器宕機時就將流量丟棄On：永遠不對流量進行審查和分析本文檔共41頁；當前第30頁；編輯于星期三\8點2分配置分析引擎將接口分配給分析引擎分析引擎從接口處獲取數(shù)據(jù)包并對其進行分析，然后與定義好的簽名進行比對，做出指定的動作將接口對分配給默認虛擬傳感器vs0本文檔共41頁；當前第31頁；編輯于星期三\8點2分特征（Signature）特征庫和特征引擎是IPS解決方案架構(gòu)的基礎(chǔ)特征是對攻擊者進行基于網(wǎng)絡的攻擊時所呈現(xiàn)的網(wǎng)絡流量模式的描述當檢測到惡意行為時，IPS通過將流量與具體特征比對，監(jiān)控網(wǎng)絡流量并生成警報特征引擎是相似特征的集合的一個分組，每個分組檢測特定類型的行為IPS的特征引擎分為很多種類IPS的特征引擎本文檔共41頁；當前第32頁；編輯于星期三\8點2分事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作DenyattackerInline:拒絕攻擊者的ip地址DenyattackerServicePairinline:以攻擊者的地址和被攻擊者的服務端口為拒絕對象DenyattackerVictimPairinline:以攻擊者和受害者地址為拒絕對象Denyconnectioninline:拒絕這個TCP流量的現(xiàn)在和將來的包Denypacketinline:丟棄這個數(shù)據(jù)包本文檔共41頁；當前第33頁；編輯于星期三\8點2分事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作LogAttackerPackets:記錄攻擊者地址LogPairPackets:記錄攻擊和受害者地址LogVictimPackets:記錄受害者地址ProduceAlert:生成報警ProduceVerboseAlert:詳細的報警本文檔共41頁；當前第34頁；編輯于星期三\8點2分事件動作當有特征匹配時，便會觸發(fā)一個事件動作以防止狀況發(fā)生，每個事件動作可由單獨的特征庫配置IPS的事件動作RequestBlockConnection:對攻擊響應控制器（ARC）發(fā)送請求以切斷該連接RequestBlockHost:對攻擊響應控制器（ARC）發(fā)送請求以阻斷該攻擊主機RequestSNMPTrap:發(fā)送SNMPtrap到設置的管理主機，同時會自動產(chǎn)生AlertResetTCPconnection:重置TCP連接IPS的事件動作本文檔共41頁；當前第35頁；編輯于星期三\8點2分配置IPS防御SYNFlood什么是SYNFlood攻擊？PC1PC21.發(fā)送SYN報文

偽造源IP地址2.發(fā)送SYN＋ACK報文3.發(fā)送ACK報文？如果短時間內(nèi)接收到的SYN太多，半連接隊列就會溢出，則正常的客戶發(fā)送的SYN請求連接也會被服務器丟棄！本文檔共41頁；當前第36頁；編輯于星期三\8點2分配置IPS防御SYNFloodIPS配置為接口對模式，防御由PC機發(fā)起的SYNFlood攻擊Router