版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領
文檔簡介
IPSECVPN解決方案(二)IPSEC協(xié)議簇安全框架IPSEC工作模式IPSEC通信協(xié)議IPSEC建立階段IPSECVPN應用場景目錄IPSEC協(xié)議簇安全框架IPSEC工作模式IPSEC通信協(xié)議IPSEC建立階段IPSECVPN應用場景目錄IPSEC建立階段安全聯(lián)盟SA定義:SA(SecurityAssociation)是通信對等體間對某些要素的約定,通信的雙方符合SA約定的內(nèi)容,就可以建立SA。SA由三元組來唯一標識,包括:目的IP地址安全參數(shù)索引安全協(xié)議號IPSEC建立階段IKE的產(chǎn)生背景用IPSec保護一個IP包之前,必須先建立安全聯(lián)盟(SA)IPSec的安全聯(lián)盟可以通過手工配置的方式建立。但是當網(wǎng)絡中節(jié)點較多時,手工配置將非常困難,而且難以保證安全性。這時就可以使用IKE(InternetKeyExchange)自動進行安全聯(lián)盟建立與密鑰交換的過程。Internet密鑰交換(IKE)就用于動態(tài)建立SA,代表IPSec對SA進行協(xié)商。IPSEC建立階段IKE的用途IKE為IPSec協(xié)商生成密鑰,供AH/ESP加解密和驗證使用。在IPSec通信雙方之間,動態(tài)地建立安全關聯(lián)(SA:SecurityAssociation),對SA進行管理和維護。IPSec處理(IP層)IPSec處理(IP層)IKE協(xié)商IKE協(xié)商協(xié)商IPSec通信IPSEC建立階段IKE與AH/ESP之間關系IKETCPUDPAH/ESPIKETCPUDPAH/ESP加密的IP報文IPIKE的密鑰協(xié)商KEYKEYIPSEC建立階段IKE工作過程IKE經(jīng)過兩個階段為IPSec進行密鑰協(xié)商并建立安全聯(lián)盟:第一階段交換:通信各方彼此間建立了一個已通過身份驗證和安全保護的通道,此階段的交換建立了一個ISAKMP安全聯(lián)盟,即ISAKMPSA(也可稱為IKESA)。第一階段交換有兩種協(xié)商模式:主模式協(xié)商野蠻模式協(xié)商第二階段交換:用已經(jīng)建立的安全聯(lián)盟(IKESA)為IPSec協(xié)商安全服務,即為IPSec協(xié)商具體的安全聯(lián)盟,建立IPSecSA,產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰,IPSecSA用于最終的IP數(shù)據(jù)安全傳送。IPSEC建立階段IKE階段1主模式IKE階段1野蠻模式IKESA默認使用IP地址作為身份標識,默認是傳遞自己的出口地址做身份標識,校驗對端的公網(wǎng)IP做對端身份標識。(自動生成雙方身份ID)可以使用用戶名或IP等作為雙方身份標識,即可以手動配置身份IDIPSEC建立階段IKE階段1協(xié)商過程協(xié)商建立IKE安全通道所使用的參數(shù)交換DH密鑰數(shù)據(jù)雙方身份認證建立IKE安全通道協(xié)商建立IKE安全通道所使用的參數(shù)交換DH密鑰數(shù)據(jù)雙方身份認證建立IKE安全通道HostAHostBRouterARouterBIKE階段一IPSEC建立階段IKE階段1--主模式協(xié)商IPSEC建立階段IKE階段1--主模式交互過程主模式下IKEv1采用3個步驟6條ISAKMP消息建立IKESA。下面是以23主動發(fā)起IKE協(xié)商為例的整個數(shù)據(jù)構(gòu)成:IPSEC建立階段主模式交互-消息1第一個消息由隧道的發(fā)起者發(fā)起,攜帶了如這樣一些參數(shù),如加密機制-DES,散列機制-MD5-HMAC,Diffie-Hellman組-2,認證機制-預共享DLAN6.25開始支持IKEv2IPSEC建立階段主模式IKE交互-消息2消息2是應答方對發(fā)送方信息的應答,當應答方查找SPD查找到發(fā)送方相關的策略后,將自己的信息同樣發(fā)送給對端,當然,應答方在發(fā)送傳輸集時將會生成自己Cookie并添加到數(shù)據(jù)包中,數(shù)據(jù)包信息如下:可以看到,雙方交流的都是自己含有的配置信息,如果雙方信息一致,則開始進行下一步傳輸。IPSEC建立階段主模式IKE交互-消息3當完成了第一步驟雙方的策略協(xié)商后,則開始進行第二步驟DH公共值交換,隨數(shù)據(jù)發(fā)送的還包含輔助隨機數(shù),用戶生成雙方的加密密鑰。消息3的數(shù)據(jù)包信息如下:可以看到在數(shù)據(jù)包中,當前載荷類型屬于密鑰交換,載荷為DH公共值和Nonce隨機數(shù)。都屬于明文,未加密IPSEC建立階段主模式IKE交互-消息4應答方同樣將本端的DH公共值和Nonce隨機數(shù)發(fā)送給對端,通過消息4傳輸:IPSEC建立階段主模式IKE交互-消息5第五條消息由發(fā)起者向響應者發(fā)送,主要是為了驗證對端就是自己想要與之通信的對端。這可以通過預共享、數(shù)字簽名、加密臨時值來實現(xiàn)雙方交換DH公共值后,結(jié)合隨機數(shù)生成一系列的加密密鑰,用于雙方加密、校驗,同時生成密鑰后,將公共密鑰和本端身份信息等進行hash,hash值傳輸給對端進行驗證設備身份。發(fā)送方通過消息5發(fā)送給接收方,可以看到載荷類型為身份驗證載荷,所攜帶的信息經(jīng)過加密,無法查看相關信息IPSEC建立階段主模式IKE交互-消息6第六條消息由響應者向發(fā)起者發(fā)送,主要目的和第五條一樣。在這六條消息過后,也就是驗證一旦通過,就進入了IKE第二階段:快速模式IPSEC建立階段野蠻模式IKE交互過程野蠻模式同樣包含三個步驟,但僅通過三個包進行傳輸,其數(shù)據(jù)傳輸如下,從抓包中可以看到野蠻模式標識為Aggressive。野蠻模式下有三個交互包:1、第一個交互包發(fā)起方建議SA,發(fā)起DH交換2、第二個交互包接收方接受SA 3、第三個交互包發(fā)起方認證接受方 野蠻模式交互過程少,所以在傳輸過程中,其傳輸?shù)臄?shù)據(jù)比較多,并且前兩個數(shù)據(jù)為明文傳輸,僅消息3為加密傳輸。IPSEC建立階段野蠻模式IKE交互過程IPSEC建立階段野蠻模式IKE交互-消息1在消息1中,我們可以明確看到,數(shù)據(jù)包中包含了SA載荷,即策略協(xié)商信息;密鑰交換載荷和隨機數(shù)載荷;身份驗證載荷。野蠻模式將主模式中需要進行交換的數(shù)據(jù)全部進行了發(fā)送。IPSEC建立階段野蠻模式IKE交互-消息2當應答方接收到發(fā)起方發(fā)送來的消息1后,通過自身查看SPD是否存在與發(fā)起方身份匹配的相關策略,若存在,則利用消息1中信息與自身配置進行計算,生成身份驗證hash值后,將自身配置策略信息和hash值傳送給發(fā)起方。對比消息1和消息2,可以看到消息2中增加了hash載荷。IPSEC建立階段野蠻模式IKE交互-消息3發(fā)起方接收到應答方的策略信息和hash值后,同樣進行驗證,若匹配,則將自身的hash值用計算出的密鑰加密后,傳輸給應答方。從flag中可以看出此時數(shù)據(jù)經(jīng)過了加密。IPSEC建立階段IKE階段1兩種模式對比主模式野蠻模式消息交互交互6個消息交互3個消息身份ID以IP地址作為身份ID,自動生成本端身份ID和對端身份ID可以以多種形式(IP,字符串等)手動或自動的生成本端和對端的身份ID域共享密鑰只能基于IP地址來確定預共享密鑰?;贗D信息(主機名和IP地址)來確定預共享密鑰。安全性較高前4個消息以明文傳輸,最后兩個消息加密,對對端身份進行了保護較低前兩個消息以明文傳輸,最后一個消息進行加密,不保護對端身份速度較慢較快IPSEC建立階段IKE階段2協(xié)商過程協(xié)商IPSec安全參數(shù)協(xié)商IPSec安全參數(shù)建立IPSecSA建立IPSecSAHostAHostBRouterARouterBIKE階段二IPSEC建立階段標準IPSECVPN建立過程IKE階段2雙方協(xié)商IPSec安全參數(shù),稱為變換集transformset,包括:加密算法Hash算法安全協(xié)議封裝模式存活時間Transform10DESMD5ESPTunnellifetimeTransform203DESSHAESPTunnellifetimeIPSEC建立階段標準IPSec第二階段ISAKMP/IKE階段2只有一種信息交換模式——快速模式,它定義了受保護數(shù)據(jù)連接是如何在兩個IPSEC對等體之間構(gòu)成的。深信服的標準IPSEC有幾對的出站入站,在DLAN運行狀態(tài)里面就會顯示幾條連接,每一對快速模式交互的包都是三個,第一個包由主連接發(fā)起方發(fā)起響應快速模式有兩個主要的功能:1.協(xié)商安全參數(shù)來保護數(shù)據(jù)連接。2.周期性的對數(shù)據(jù)連接更新密鑰信息。第二階段的效果為協(xié)商出IPSec單向SA,為保護IPsec數(shù)據(jù)流而創(chuàng)建。第二階段整個協(xié)商過程受第一階段ISAKMP/IKESA保護。第二階段所有數(shù)據(jù)都經(jīng)過了加密,在公網(wǎng)抓取的數(shù)據(jù)如下:IPSEC建立階段數(shù)據(jù)傳輸階段數(shù)據(jù)傳輸階段是通過AH或者ESP通信協(xié)議進行數(shù)據(jù)的傳輸。數(shù)據(jù)傳輸建立在網(wǎng)絡層。IPSEC建立階段數(shù)據(jù)傳輸階段建立隧道后,如果其中一端的設備異常重啟,導致SA不一致,會出現(xiàn)什么問題?IPSEC建立階段VPN隧道黑洞可能情況:對端的VPN連接已經(jīng)斷開而我方還處在SA的有效生存期時間內(nèi),從而形成了VPN隧道的黑洞。我方不停的發(fā)送加密后的VPN數(shù)據(jù)過去,但對方拒絕接受。IPSEC建立階段DPD解決VPN隧道黑洞DPD:死亡對等體檢測(DeadPeerDetection),檢查對端的ISAKMPSA是否存在。當VPN隧道異常的時候,能檢測到并重新發(fā)起協(xié)商,來維持VPN隧道。DPD主要是為了防止標準IPSEC出現(xiàn)“隧道黑洞”。DPD只對第一階段生效,如果第一階段本身已經(jīng)超時斷開,則不會再發(fā)DPD包。IKE
IIKE
IIIPSEC建立階段DPD概述DPD包并不是連續(xù)發(fā)送,而是采用空閑計時器機制。每接收到一個IPSec加密的包后就重置這個包對應IKESA的空閑定時器;如果空閑定時器計時開始到計時結(jié)束過程都沒有接收到該SA對應的加密包,那么下一次有IP包要被這個SA加密發(fā)送或接收到加密包之前就需要使用DPD來檢測對方是否存活。DPD檢測主要靠超時計時器,超時計時器用于判斷是否再次發(fā)起請求,默認是發(fā)出5次請求(請求->超時->請求->超時->請求->超時)都沒有收到任何DPD應答就會刪除SA。IPSEC協(xié)議簇安全框架IPSEC工作模式IPSEC通信協(xié)議IPSEC建立階段IPSECVPN應用場景總結(jié)SANGFORVPN解決方案(一)SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN功能優(yōu)勢SANGFORVPN功能優(yōu)勢深信服設備自身能互聯(lián)兩種VPN類型,一是標準IPSecVPN,另一個就是自主開發(fā)的SANGFORVPN。與標準IPSecVPN相比,SANGFORVPN的專利技術(shù)的優(yōu)勢:1、支持兩端都為非固定IP的公網(wǎng)環(huán)境---通過webagent實現(xiàn)2、更細致的權(quán)限粒度與標準IPSecVPN相比,SANGFORVPN的特殊場景:1、更細致的權(quán)限粒度2、隧道間路由技術(shù),分支用戶通過總部上網(wǎng),實現(xiàn)總部的統(tǒng)一管控3、隧道內(nèi)NAT技術(shù),解決多個分支網(wǎng)段IP沖突的問題SANGFORVPN功能優(yōu)勢WebAgent工作原理WebAgent尋址過程:用于SANGFORVPN互聯(lián)時,分支與移動用戶尋找總部的地址,從而建立VPN連接。(尋址過程中,所有信息均使用DES加密。)SANGFORVPN功能優(yōu)勢更細致的權(quán)限粒度高級權(quán)限普通權(quán)限病毒財務服務器OA服務器SANGFORVPN功能優(yōu)勢線路探測技術(shù)移動用戶移動用戶CableModemADSL寬帶獨有的“線路探測”技術(shù)總部DLANSANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN術(shù)語解釋術(shù)語解釋總部提供VPN接入服務,為其他VPN用戶提供接入賬戶校驗的設備。SANGFORVPN總部設備需要配置WEBAGENT、VPN接入賬號等。一般將服務器端所在的網(wǎng)絡做為總部。分支即接入總部端的設備。一般將客戶端所在的網(wǎng)絡做為分支。移動即SANGFORVPN的軟件客戶端,又稱為PDLAN。一般將通過軟件接入總部的單個客戶端稱為移動用戶。一個VPN設備既可以當總部,也可以當分支,也可以同時充當總部和分支的角色。SANGFORVPN術(shù)語解釋術(shù)語解釋SANGFORVPN術(shù)語解釋WebAgent格式WebAgent:用于SANGFORDLAN互聯(lián)時,分支與移動用戶尋找總部的地址,從而建立VPN連接。WEBAGENT有如下幾種的填寫方式:1.IP:端口,如23:4009適用于總部VPN設備有固定公網(wǎng)IP地址的環(huán)境2.IP1#IP2:端口,如23#21:4009適用于總部VPN設備有多條固定IP的線路,且需要做VPN的線路備份的環(huán)境3.網(wǎng)址的形式,如/webagent/123.php適用于總部VPN設備沒有固定公網(wǎng)IP的環(huán)境,如ADSL線路4.域名:端口形式,如:4009適用于總部已存在動態(tài)域名指向他們出口的公網(wǎng)IP的環(huán)境SANGFORVPN術(shù)語解釋本地子網(wǎng)IPSecVPN一般通過ACL抓取感興趣流,而SANGFORVPN是通過本地子網(wǎng)宣告自身內(nèi)網(wǎng)網(wǎng)段給對端的形式,來讓對端具備訪問本端網(wǎng)段的路由,從而實現(xiàn)數(shù)據(jù)的互訪。(設備默認只宣告設備直連網(wǎng)段)SANGFORVPN術(shù)語解釋VPNTUN接口Vpntun接口:VPN數(shù)據(jù)的虛擬路由口,用來引導數(shù)據(jù)發(fā)往VPN隧道,從而封裝報文。SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN建立過程建立條件1、至少有一端是總部,且有足夠的授權(quán)。SANGFOR硬件與SANGFOR硬件之間互連不需要授權(quán),與第三方對接需要分支授權(quán),移動客戶端需要移動用戶授權(quán)。2、至少有一端在公網(wǎng)上可訪問,即“可尋址”或固定公網(wǎng)IP。3、建立VPN兩端的內(nèi)網(wǎng)地址不能沖突。4、建立VPN兩端的軟件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互聯(lián)也能跟VPN5.x版本互聯(lián),但VPN2.x版本只能跟VPN2.x版本互聯(lián))SANGFORVPN建立過程建立過程最基本的三步曲1、尋址:與誰建立連接(找到目標)——尋址(WebAgent原理、WebAgent設置)2、認證:身份驗證(提交正確、充分的信息)—賬號密碼、Dkey、硬件鑒權(quán)、第三方認證。3、策略:(下發(fā))選路策略、權(quán)限策略、VPN路由策略、安全策略(移動用戶)、VPN專線(移動用戶)、分配虛擬IP尋址認證策略SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景總結(jié)SANGFORVPN解決方案(二)SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN建立隧道SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題1SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)①SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題1AC沒有去往網(wǎng)段的路由!SANGFORVPN數(shù)據(jù)傳輸過程分析問題1解決方法在長沙AC上配置靜態(tài)路由!SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題2SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)①②③SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)傳輸問題2因為WOC沒有去往網(wǎng)段的路由!SANGFORVPN數(shù)據(jù)傳輸過程分析問題2解決方法在總部的SSL設備上配置本地子網(wǎng),將總部的資源網(wǎng)段宣告給長沙WOC設備SANGFORVPN數(shù)據(jù)傳輸過程分析問題2解決方法在分支WOC設備上可以查看到去往總部本地子網(wǎng)的路由條目SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功①②③④⑤⑥⑦⑧⑨SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功1SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)①②SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功2③SIPDIPSportDportProtocolDATA8400004009TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功3④SIPDIPSportDportProtocolDATA98400004009TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功4⑤⑥SIPDIPSportDportProtocolDATA900400004009TCP加密的原始數(shù)據(jù)包⑦SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)發(fā)送成功5⑧⑨SIPDIPSportDportProtocolDATA0005000080TCPHTTP數(shù)據(jù)SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包問題①SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)②SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包問題正常情況下AF不會把回包發(fā)送給SSL!SANGFORVPN數(shù)據(jù)傳輸過程分析解決方法SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功⑤④⑥③⑦②①⑧SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功1②①SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功2⑤④③SIPDIPSportDportProtocolDATA009400940000TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功3⑥SIPDIPSportDportProtocolDATA89400940000TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功4⑦SIPDIPSportDportProtocolDATA8400940000TCP加密的原始數(shù)據(jù)包SANGFORVPN數(shù)據(jù)傳輸過程分析數(shù)據(jù)回包成功5SIPDIPSportDportProtocolDATA0008050000TCPHTTP數(shù)據(jù)⑧SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景目錄SANGFORVPN特殊場景權(quán)限控制場景需求:總部和分支部署了兩臺VPN設備,現(xiàn)總部的VPN設備做為VPN總部與分支建立了VPN連接,用戶要求對分支訪問總部的服務器進行權(quán)限控制,只允許分支網(wǎng)絡的PC訪問總部的WEB服務器(80端口),禁止訪問其他的任何服務器(包括PC客戶端)。如下圖:基本思路:該客戶需求一共有兩種方法可以實現(xiàn),通過VPN內(nèi)網(wǎng)權(quán)限(兩端都會受到限制)或者通過防火墻過濾規(guī)則(更細化的控制)。SANGFORVPN特殊場景分支通過總部互聯(lián)場景需求:總部分別與兩個分支建立VPN連接,分支1與分支2均能訪問總部內(nèi)網(wǎng),現(xiàn)用戶要求分支1與分支2之間能相互訪問。問題分析:兩個分支分別與總部建立VPN隧道,但分支1與分支2之間并沒有任何線路相連,也沒有VPN隧道。解決辦法:通過分別在分支1和分支2的設備中配置隧道間路由實現(xiàn)。SANGFORVPN特殊場景分支通過總部上網(wǎng)場景需求:總部與分支建立VPN連接,總部希望審計分支的上網(wǎng)行為,因此總部要求分支通過總部實現(xiàn)上網(wǎng)。解決辦法:通過在分支1中配置隧道間路由實現(xiàn)通過總部上網(wǎng)。SANGFORVPN特殊場景分支地址沖突場景需求:總部分別與兩個分支建立VPN連接,分支1與分支2內(nèi)網(wǎng)均為/24網(wǎng)段,用戶要求不能改變?nèi)魏我欢说腎P地址,實現(xiàn)分支與總部互訪。問題分析:兩個分支內(nèi)網(wǎng)網(wǎng)段相同,當總部收到來自/24網(wǎng)段的數(shù)據(jù)時,不知道該回給哪個分支。解決辦法:通過配置隧道內(nèi)NAT實現(xiàn)SANGFORVPN功能優(yōu)勢SANGFORVPN術(shù)語解釋SANGFORVPN建立過程SANGFORVPN數(shù)據(jù)傳輸過程分析SANGFORVPN特殊場景總結(jié)EDR安裝部署了解EDR產(chǎn)品的架構(gòu)熟悉EDR管理平臺的部署方法熟悉EDR客戶端的安裝與卸載方法教學目標產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄總體架構(gòu)EDR從系統(tǒng)架構(gòu)上分為三層,基礎平臺層、核心引擎層以及功能展現(xiàn)層。基礎平臺層:負責提供集中管控,云查以及主機代理功能的基礎能力。核心引擎層:負責提供病毒檢測,威脅分析以及行為檢測等能力。功能展現(xiàn)層:從預防、防御、檢測、響應等四個方面,提供全面的安全防護體系。EDR從部署結(jié)構(gòu)上分為云端、管理端(MGR)和客戶端(Agent)三部分。云端:包括病毒庫升級、云端查殺服務中心、安全情報中心。管理端:負責維護管理所有的Agent客戶端??蛻舳耍喊惭b在終端的軟件,對終端進行安全防護。部署結(jié)構(gòu)云查服務中心病毒庫升級中心安全情報中心EDR管理平臺WindowsLinux云端管理端客戶端產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄場景:公司領導給了你一個軟件,告訴你這個軟件可以實現(xiàn)某些功能,需要你盡快安裝上,投入使用思考:想要安裝,你都需要了解什么?思考在安裝部署EDR之前,需要進行系統(tǒng)兼容性確認硬件資源環(huán)境確認網(wǎng)絡連通性確認部署準備EDR管理平臺Agent客戶端系統(tǒng)兼容性確認瀏覽器Mgr控制臺IE10YIE11YEdgeYChromeYFirefoxYSafariY360Y搜狗Y操作系統(tǒng)(64位)Mgr控制臺Centos7+YUbntul16+Y操作系統(tǒng)類型操作系統(tǒng)用戶PC終端winvistax86winvistax64winxpSP3win7x86win7x86win8x86win8x64win8.1x86win8.1x64win10x86win10x64windows服務器終端winserver2003sp2x86winserver2003sp2x64winserver2008sp2x86winserver2008sp2x64winserver2008R2x64winserver2012x64winserver2012R2X64winserver2016x64winserver2019X64操作系統(tǒng)類型操作系統(tǒng)linux服務器終端Debian6x86Debian6x64Debian7x86Debian7x64Debian8x86Debian8x64Debian9x86Debian9x64RHEL5x86RHEL5x64RHEL6x86RHEL6x64RHEL7x64suse11suse12suse15oracleLinux5x86oracleLinux5x64oracleLinux6x86oracleLinux6x64oracleLinux7x64操作系統(tǒng)類型操作系統(tǒng)國產(chǎn)Neokylin5.0x86(客戶端版)Neokylin6.0x86(客戶端版)Neokylin7.0x86(客戶端版)銀河麒麟4.0x64(客戶端版)優(yōu)麒麟18.0Agent客戶端操作系統(tǒng)類型操作系統(tǒng)linux服務器終端Centos5x86Centos5x64Centos6x86Centos6x64Centos7x64Ubuntu10x86Ubuntu10x64Ubuntu11x86Ubuntu11x64Ubuntu12x86Ubuntu12x64Ubuntu13x86Ubuntu13x64Ubuntu14x86Ubuntu14x64Ubuntu16x86Ubuntu16x64Ubuntu17x64Ubuntu18x64系統(tǒng)兼容性確認物理環(huán)境和虛擬化環(huán)境都需要符合以下硬件資源要求硬件資源環(huán)境確認終端數(shù)CPU(奔騰雙核)內(nèi)存磁盤1到3004核4G200G300到20006核8G300G2000到45008核12G500G4500-1000012核16G1T注意:如果MGR服務器作為漏洞補丁服務器,磁盤大小推薦配置為1T客戶端(Agent)與管理平臺(MGR)通信使用到TCP:4430、TCP:8083、TCP:54120端口、ICMP。確保端口連通性。4430端口:Agent組件更新和病毒庫更新。8083端口:Agent和管理端業(yè)務通信端口。54120端口:逃生端口,應急情況與Agent通信端口。完成Agent重啟、卸載和腳本執(zhí)行命令下發(fā)。ICMP:連通性探測客戶端與管理平臺網(wǎng)絡連通性網(wǎng)絡連通性確認管理平臺與云端網(wǎng)絡連通性(云腦)漏洞補丁相關:https://(云腦)接入云腦授權(quán):https://(云腦)云查服務器:(云腦)云安全計劃:(CDN)漏洞補丁、規(guī)則、病毒庫地址:http://網(wǎng)絡連通性確認MGR管理平臺部署軟件部署ISO鏡像部署OVA模板部署硬件一體機部署管理平臺部署ISO鏡像部署基于CentOS系統(tǒng)鏡像,其內(nèi)嵌MGR安裝包,即安裝該ISO后,便自動部署MGR。優(yōu)勢:安裝步驟簡化。該ISO基于CentOS最新包定制,內(nèi)嵌mgr安裝包,只需一次安裝即可,不再需要原有的mgr單獨部署流程。安全性更高。該ISO在發(fā)布前已經(jīng)過多種滲透掃描,安裝了最新系統(tǒng)補丁,可以消除客戶因使用存在漏洞的第三方系統(tǒng)(較為老舊,沒有維護的Linux系統(tǒng))引入的安全問題。物理環(huán)境和虛擬化環(huán)境都支持安裝。ISO鏡像部署OVA模板部署是基于CentOS安裝鏡像,其內(nèi)嵌MGR安裝包,在虛擬化環(huán)境中,導入OVA模板,便自動部署MGR。優(yōu)勢:安裝步驟簡化。該OVA模板基于CentOS最新包定制,內(nèi)嵌MGR安裝包,只需一次安裝即可,不再需要原有的MGR單獨部署流程。安全性更高。該模板中的系統(tǒng)在發(fā)布前已經(jīng)過多種滲透掃描,安裝了最新系統(tǒng)補丁,可以消除客戶因使用存在漏洞的第三方系統(tǒng)(較為老舊,沒有維護的Linux系統(tǒng))引入的安全問題。OVA模板部署目前硬件EDR有兩個型號EDR-1000-B600(最大支持管控1000點EDR客戶端)和EDR-1000-C600(最大支持管控2500點EDR客戶端)硬件一體機部署硬件一體機部署如圖,EDR硬件設備eth0口旁路接到客戶網(wǎng)絡,確保EDR設備可以和內(nèi)網(wǎng)終端連通即可。EDR硬件設備eth0口默認地址為51,默認登錄控制臺方式為51admin/admin產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄部署方式(5種):安裝包部署、網(wǎng)頁推廣部署、AC聯(lián)動部署、虛擬機模板部署、域控場景部署客戶端Agent部署特別注意:EDR客戶端與以下安全軟件完全兼容使用。安裝有非以下安全軟件的電腦同時安裝EDR客戶端,支持在兼容模式下安裝,但文件實時監(jiān)控功能無法正常使用。EDR客戶端Agent支持與金山毒霸、火絨(個人版)、QQ管家、瑞星個人版、奇安信天擎、360殺毒、360安全衛(wèi)士、趨勢深度安全、趨勢officescan、賽門鐵克等數(shù)10款安全軟件兼容安裝和使用適用場景管理員下載agent安裝包,通過U盤等移動介質(zhì)將其導入終端進行安裝部署,最直接的部署方法安裝包部署適用場景管理員發(fā)布部署通知的web頁面,將發(fā)布頁鏈接通過郵件、OA等方式發(fā)送至終端,終端用戶自行下載agent安裝包進行安裝部署網(wǎng)頁推廣部署適用場景適用于同時購買了AC的客戶,EDR和AC聯(lián)動,當用戶打開網(wǎng)頁時,被AC重定向至下圖安裝Agent頁面,直至終端成功安裝AgentAC聯(lián)動部署虛擬機模板部署適用場景適用于桌面辦公環(huán)境或虛擬化環(huán)境,管理員在虛擬化平臺提前做好含EDR客戶端的虛擬機模板,根據(jù)需要進行派生成其它虛擬機域控部署適用場景終端受WindowsAD域控統(tǒng)一管理,可以通過域控組策略批量部署軟件安裝包進行靜默安裝。虛擬機模板部署與域控場景部署產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載目錄Agent卸載包括Windows客戶端卸載和Linux客戶端卸載客戶端Agent卸載Windows客戶端卸載有兩種方式:終端卸載、MGR管理平臺卸載Windows客戶端卸載為了防止客戶端被惡意卸載導致終端得不到安全防護,所以從終端卸載Agent時,需要先獲取防卸載密碼(防卸載密碼由管理員在管理平臺設置)。Windows客戶端卸載Linux客戶端卸載有兩種方式:終端卸載、MGR管理平臺卸載Linux終端是無圖形化界面的,所以從Linux終端卸載或從MGR管理平臺卸載均無需卸載密碼。Linux客戶端卸載產(chǎn)品架構(gòu)MGR部署Agent部署Agent卸載總結(jié)EDR終端管理(一)掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息,以及在實際場景中能夠指導客戶如何使用教學目標終端分組管理終端清點目錄內(nèi)網(wǎng)電腦數(shù)量多,不同部門電腦系統(tǒng)版本不一樣、不同終端類型需要配置的安全策略也不一樣,管理員缺少一種對全網(wǎng)電腦進行管理的方式、給運維帶來不便。EDR終端分組是樹形組織結(jié)構(gòu),能根據(jù)客戶不同需求對終端進行靈活分組,如按業(yè)務部門、按終端類型(客戶端和服務器)等進行分組,并且可以對各個分組配置個性化的安全策略,從而做到內(nèi)網(wǎng)眾多電腦進行分類管理、方便運維。需求背景需求背景分組不多的情況可以使用新增分組,如下圖:新增分組分組數(shù)量多的情況,可以使用excel表格先制作好分組,再導入EDR,如下圖:導入分組當需要根據(jù)IP地址自動上線到匹配的組,可以使用自動分組管理,如下圖:自動分組導出分組/終端,對分組/終端進行備份或批量編輯,如下圖:導出分組或終端終端分組管理終端清點目錄對資產(chǎn)“看得清、理得清”已成為IT日常安全建設的重要內(nèi)容,客戶無需額外采購其他資產(chǎn)管理的軟件,即可實現(xiàn)看清、理清終端信息。終端清點功能能夠幫助管理員看清全網(wǎng)主機資產(chǎn)全貌,理清全網(wǎng)主機風險暴露面,從而削減全網(wǎng)主機攻擊面。需求背景終端清點是由EDR客戶端讀取終端操作系統(tǒng)信息、已安裝的應用軟件信息、開放的監(jiān)聽端口信息、終端的系統(tǒng)賬戶信息和終端硬件信息,上報給EDR管理平臺進行集中展示和分析。原理介紹操作系統(tǒng)信息安裝軟件信息開放端口信息系統(tǒng)賬戶信息終端硬件信息EDR客戶端EDR管理平臺采集上報集中分析展示功能介紹:清點終端操作系統(tǒng)功能介紹:清點終端應用軟件功能介紹:清點終端監(jiān)聽端口功能介紹:清點終端帳戶功能介紹:清點終端基本信息終端詳情可以展示終端操作系統(tǒng)、CPU、內(nèi)存占用情況,終端基本信息、運行信息、應用軟件和監(jiān)聽端口信息等,如下圖:應用場景1:全網(wǎng)非授權(quán)軟件使用統(tǒng)計IT管理員可以通過應用軟件清點了解全網(wǎng)主機所安裝軟件是否都符合單位授權(quán)要求。如下圖所示,通過“終端清點”->“應用軟件”頁面,管理員可以根據(jù)軟件類型、軟件廠商搜索單位全網(wǎng)哪些主機安裝了單位禁止使用的軟件,如某個廠商(如中天xxxx公司)的某款非正版軟件(如software3)。應用場景1:全網(wǎng)非授權(quán)軟件使用統(tǒng)計點擊上圖“終端數(shù)量”列的數(shù)字,管理員可以查看所有安裝了這款軟件的主機詳情,可以通知主機進行整改,如下圖所示。應用場景2:全網(wǎng)主機風險賬戶梳理IT管理員可以通過“終端清點”->“終端賬戶”頁面,全局了解企業(yè)內(nèi)網(wǎng)主機的賬號風險情況(如是否存在隱藏賬號、弱密碼賬號、可疑root權(quán)限賬號、長期未使用賬號等),如下圖所示:應用場景2:全網(wǎng)主機風險賬戶梳理可以將存在風險賬號的主機導出excel表格,并通過郵件或其他方式通知相關責任人進行自查和整改(或配合EDR的主機隔離功能,對未能在規(guī)定時間內(nèi)整改完成的主機進行斷網(wǎng)隔離)。應用場景3:統(tǒng)一封堵風險端口通過監(jiān)聽端口功能,可以將管理終端所監(jiān)聽的端口進行統(tǒng)計并展示,同時針對風險端口有特殊的展示效果應用場景3:統(tǒng)一封堵風險端口針對風險端口,可對其進行統(tǒng)一封堵或接觸封堵終端分組管理終端清點總結(jié)EDR終端管理(二)掌握EDR終端發(fā)現(xiàn)功能使用掌握EDR基線檢查功能使用掌握EDR遠程協(xié)助功能使用教學目標終端發(fā)現(xiàn)終端基線檢查遠程協(xié)助目錄終端電腦數(shù)量很多的情況下,管理員很難知道哪些終端未安裝EDR客戶端進行防護,從而帶來潛在的安全風險。終端發(fā)現(xiàn)功能可以幫助管理員發(fā)現(xiàn)內(nèi)網(wǎng)沒有安裝EDR客戶端的電腦,及時做好安全防護,降低風險暴露面。需求背景EDR集成了Nmap掃描工具實現(xiàn)終端發(fā)現(xiàn)功能。管理員觸發(fā)內(nèi)網(wǎng)掃描(Nmap掃描)對內(nèi)網(wǎng)終端進行活躍探測,掃描返回結(jié)果中的IP說明主機是活躍的,EDR將活躍的主機IP和EDR管理平臺中在線的終端IP比較,得出EDR管理平臺中不存在的活躍主機即為未安裝EDR客戶端的終端。原理介紹EDR管理平臺安裝EDR客戶端的Linux服務器發(fā)起Nmap全網(wǎng)掃描活躍主機PC1PC2PC3PC4........................PCn活躍主機與EDR管理平臺中的終端比較EDR管理平臺存在以下終端PC1PC2EDR管理平臺不存在以下終端PC3PC4已安裝EDR客戶端PC1PC2未安裝EDR客戶端PC3PC4已安裝EDR客戶端未安裝EDR客戶端注:內(nèi)網(wǎng)使用終端發(fā)現(xiàn)功能可能會導致內(nèi)網(wǎng)安全設備識別為異常掃描行為,需要提前和客戶溝通功能介紹發(fā)起掃描設備”可以設置由EDR管理平臺發(fā)起掃描,或由已經(jīng)安裝了EDR客戶端的Linux終端發(fā)起掃描(不能是windows客戶端)。如果掃描范圍大,為了增加掃描速度,建議設置由多個已經(jīng)安裝了EDR客戶端的Linux終端發(fā)起掃描。功能介紹終端發(fā)現(xiàn)終端基線檢查遠程協(xié)助目錄需求背景信息安全等級保護標準已經(jīng)成為國內(nèi)企業(yè)信息安全建設的標準。國家規(guī)定,有些行業(yè)(如金融、教育、能源、電商等)是有要求自己的信息安全建設過等保測評的。等保從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理等方面對信息安全建設都做了相應的規(guī)范要求。如果客戶業(yè)務系統(tǒng)需要準備等保測評,那么業(yè)務系統(tǒng)當前安全狀態(tài)與等保安全要求之間的差距在哪里,需要幫助客戶梳理出來,進行整改。EDR的基線檢查功能是根據(jù)三級等保合規(guī)性要求對windows和linux系統(tǒng)進行合規(guī)性檢查,幫助客戶發(fā)現(xiàn)內(nèi)網(wǎng)不合規(guī)終端及不合規(guī)項,并提供加固整改建議。功能介紹基線檢查能夠?qū)indows和Linux系統(tǒng)的以下5項安全策略進行合規(guī)性檢查:功能介紹每項安全策略檢查的具體內(nèi)容如下,檢查到具體內(nèi)容不符合安全性要求時,則以紅色顯示,始下圖,紅色顯示內(nèi)容為不合規(guī)項。功能介紹基線檢查設置如下,可以對指定的終端(windows或linux)進行檢查。功能介紹基線檢查的效果如下,列出具體不合規(guī)項,并提供加固文檔。終端發(fā)現(xiàn)終端基線檢查遠程協(xié)助目錄需求背景
當被管控的終端出現(xiàn)故障時,管理員需要遠程協(xié)助功能對終端進行遠程控制,快速、安全的響應解決終端問題。原理介紹基于遠程控制開源軟件UltraVNC(分為客戶端和服務端),EDR客戶端默認附帶UltraVNC服務端程序。通過在EDR管理平臺發(fā)起遠程,下載運行UltraVNC客戶端程序,輸入被遠程端的IP、端口以及授權(quán)碼即可實現(xiàn)遠程控制。功能介紹遠程協(xié)助功能當前支持WinXPsp3,Win7和Win10系統(tǒng),下面介紹使用方法策略中心-桌面管控,支持是否需要終端用戶同意功能介紹遠程協(xié)助功能當前支持WinXPsp3,Win7和Win10系統(tǒng),下面介紹使用方法選中被控制電腦,發(fā)起遠程協(xié)助功能介紹發(fā)起控制電腦上下載vnc-viewer,如果已下載,跳過此步。被控制電腦接受管理員控制請求,允許控制功能介紹功能介紹生成授權(quán)碼和隨機端口功能介紹發(fā)起遠程的電腦通過vnc-viewer輸入被控制電腦IP、端口、授權(quán)碼進行遠程協(xié)助注意事項1、遠程協(xié)助只支持遠程端和被遠程終端網(wǎng)絡互通的情況下使用,NAT這種場景不支持;2、當前只支持WinXPsp3,Win7和Win10系統(tǒng);3、每次發(fā)起遠程請求后超過10min沒有遠程連接,需要重新申請遠程;4、遠程連接成功后,持續(xù)斷開超過30s,需要重新申請遠程才能遠程成功;5、每次發(fā)起連接的端口和授權(quán)碼是隨機的,防火墻需放行遠程協(xié)助接入。終端發(fā)現(xiàn)終端基線檢查遠程協(xié)助總結(jié)EDR策略中心(一)整體了解EDR有哪些安全策略,以及WindowsPC、WindowsServer、Linux不同終端有哪些安全策略掌握病毒查殺、文件實時監(jiān)控策略的配置和使用教學目標客戶選擇EDR是為了給終端提供一套完整的安全解決方案,保護內(nèi)網(wǎng)服務器和PC的安全。EDR提供基本策略、病毒查殺、實時防護、安全加固、信任名單和漏洞修復等安全策略幫助用戶保護內(nèi)網(wǎng)主機安全。打開【終端管理】->【策略中心】,選中具體分組即進入該組安全策略設置。需求背景病毒查殺文件實時監(jiān)控目錄需求背景以勒索軟件為首的惡意軟件讓政企用戶深受其害2019年“網(wǎng)絡攻擊千千萬勒索病毒占一半”
GandCrab勒索病毒攻擊我國政企內(nèi)網(wǎng)2019-03易到用車核心服務器被勒索病毒攻擊2019-05著名飛機零件供應商ASCO遭遇勒索病毒攻擊2019-062019-09國內(nèi)某大型建筑設計有限公司遭到勒索病毒攻擊分布式團隊作戰(zhàn)按勞分配多勞多得高度專業(yè)化2020年勒索病毒攻擊預測
企業(yè)
政府單位
醫(yī)療行業(yè)
公共機構(gòu)目標集中化數(shù)據(jù)加密與數(shù)據(jù)竊取雙重攻擊不止于加密對整個文件進行哈希,基于MD5、SHA1進行檢測階段一:哈希運算提取病毒特征碼,基于特征庫進行檢測階段二:病毒特征碼分析師對病毒的排查經(jīng)驗總結(jié)為自動化的檢測程序階段三:啟發(fā)式檢測基于哈希運算和病毒特征碼的特點,靜態(tài)特征與病毒需一一對應網(wǎng)絡空間安全已成國家安全戰(zhàn)略高地人才缺口巨大需要大量專業(yè)安全人才持續(xù)整理從2007年病毒數(shù)量開始爆發(fā)式增長新病毒變種持續(xù)增多,變種成本持續(xù)減小基于病毒特征庫方式進行殺毒高級威脅持續(xù)產(chǎn)生,呈被動,后知后覺特點后知后覺本地病毒特征庫有限特征庫數(shù)量與已知病毒樣本不匹配天生受限特征數(shù)量不斷增多加重終端資源以及運算成本資源加重依賴云端查殺反饋結(jié)果殺軟依賴云查殺,隔離網(wǎng)環(huán)境檢測能力驟降依賴性大基于AI的檢測技術(shù)可以解決以上問題檢測技術(shù)進入第四階段未知威脅層出不窮,傳統(tǒng)特征殺毒趨近失效需求背景功能介紹文件信譽檢測引擎基因特征檢測引擎行為分析檢測引擎人工智能檢測引擎安全云腦檢測引擎文件信譽檢測引擎基于本地、全網(wǎng)、安全云腦構(gòu)建文件信譽庫基因特征檢測引擎基于”小紅傘“引擎構(gòu)建基因特征識別庫速度快,準確率高,誤殺操作少行為分析檢測引擎虛擬沙盒、引擎和操作系統(tǒng)環(huán)境仿真解析惡意代碼本質(zhì)人工智能檢測引擎利用深度學習訓練數(shù)千維度的算法模型持續(xù)學習,自我成長無特征檢測技術(shù)安全云腦檢測引擎使用大數(shù)據(jù)分析平臺,基于多維威脅情報秒級響應檢測結(jié)果基于AI多維度智能檢測引擎功能介紹文件信譽檢測引擎基于傳統(tǒng)的文件hash值建立的輕量級信譽檢測引擎,主要用于加快檢測速度并有更好的檢出效果,主要有兩種機制:本地緩存信譽檢測:對終端主機本地已經(jīng)檢測出來的已知文件檢測結(jié)果緩存處理,加快二次掃描,優(yōu)先檢測未知文件。全網(wǎng)信譽檢測:在管理平臺上構(gòu)建企業(yè)全網(wǎng)的文件信譽庫,對單臺終端上的文件檢測結(jié)果匯總到平臺,做到一臺發(fā)現(xiàn)威脅,全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡中的檢測重點落到對未知文件的分析上,減少對已知文件重復檢測的資源開消。功能介紹基因特征檢測引擎
深信服EDR的安全運營團隊,根據(jù)安全云腦和EDR產(chǎn)品的數(shù)據(jù)運營,對熱點事件的病毒家族進行基因特征的提取,洞見威脅本質(zhì),使之能應對檢測出病毒家族的新變種。相比一般的靜態(tài)特征,基因特征提取更豐富的特征,家族識別更精準。功能介紹人工智能檢測引擎SAVE勒索病毒PE文件結(jié)構(gòu)原始特征(字節(jié)級特征)IP、端口、注冊表鍵值、匯編指令等基于語義的特征構(gòu)建高層次特征(提取本質(zhì)行為)網(wǎng)絡連接測試、文件加密、寫入注冊表、自啟動特征篩選(降維)高質(zhì)量特征(提取對判斷是否是病毒最有效的特征)分類模型(訓練/預測)黑/白………文件加密、自啟動SAVE引擎能夠分析高層次特征的影響,從而調(diào)整和優(yōu)化分類模型泛化檢測能力通過對某一類病毒高維特征提取泛化檢測具有相同高維特征的數(shù)百類病毒功能介紹人工智能檢測引擎SAVE相比基于病毒特征庫的傳統(tǒng)檢測引擎,SAVE的主要優(yōu)勢有:強大的泛化能力,甚至能夠做到在不更新模型的情況下識別新出現(xiàn)的未知病毒;對勒索病毒檢測達到業(yè)界領先的檢出率,包括影響廣泛的WannaCry、BadRabbit等病毒;云+端聯(lián)動,依托于深信服安全云腦基于海量大數(shù)據(jù)的運營分析,SAVE能夠持續(xù)進化,不斷更新模型并提升檢測能力,從而形成本地傳統(tǒng)引擎、人工智能檢測引擎和云端查殺引擎的完美結(jié)合。功能介紹行為分析檢測引擎
傳統(tǒng)靜態(tài)引擎,是基于靜態(tài)文件的檢測方式,對于加密和混淆等代碼級惡意對抗,輕易就被繞過。而基于行為的檢測技術(shù),實際上是讓可執(zhí)行程序運行起來,“虛擬沙盒”捕獲行為鏈數(shù)據(jù),通過對行為鏈的分析而檢測出威脅。因此,不管使用哪種加密或混淆方法,都無法繞過檢測。最后,執(zhí)行的行為被限制在“虛擬沙盒”中,檢測完畢即被無痕清除,不會真正影響到系統(tǒng)環(huán)境。功能介紹安全云腦檢測引擎
針對最新未知的文件,使用IOC特征(文件hash、dns、url、ip等)的技術(shù),進行云端查詢。云端的安全云腦中心,使用大數(shù)據(jù)分析平臺,基于多維威脅情報、云端沙箱技術(shù)、多引擎擴展的檢測技術(shù)等,秒級響應未知文件的檢測結(jié)果。配置步驟配置病毒查殺策略下發(fā)病毒查殺掃描對病毒查殺結(jié)果進行處置配置思路病毒查殺策略打開【終端管理】->【策略中心】,選中具體分組即進入該組安全策略設置。配置介紹配置介紹病毒查殺策略配置介紹病毒查殺策略病毒查殺發(fā)現(xiàn)威脅文件后的三種處理動作標準處置:默認配置為標準處置。根據(jù)病毒的類型和威脅程度,按系統(tǒng)預定義的處置方式對威脅文件進行處置(確認是病毒的自動隔離,可疑病毒的僅上報不隔離,由人工進一步分析處理)嚴格處理:適用于嚴格保護場景,可能會存在一定誤判。EDR檢測的所有威脅文件均隔離處理。僅上報不處置:適用于有人值守且用戶了解如何處置病毒的場景,需要人工分析上報的威脅日志進行處理。EDR檢測的所有威脅文件僅上報安全日志,不隔離。掃描引擎默認沒有啟用行為引擎,如果電腦配置在CPU4核、內(nèi)存4G以上可以啟用所有引擎,低于此配置,建議保留默認配置?!伴_啟高啟發(fā)式掃描”后會提高病毒檢出率,但也會增加誤判,此配置項在多家廠商PK測試病毒檢測率時使用,非此場景慎用。配置介紹病毒檢測通過管理端下發(fā)查殺任務,選中需要查殺的終端,可以下發(fā)快速查殺或全盤查殺,如下圖。配置介紹病毒檢測通過EDR客戶端也可以對這臺終端進行查殺毒掃描,如下圖。配置介紹病毒處置如果病毒查殺策略設置發(fā)現(xiàn)惡意文件的處置動作為“標準處置”或“僅上報,不處置”,則病毒查殺發(fā)現(xiàn)的威脅文件(未自動隔離的)可以由人工進行“處置”、“信任”和“忽略”處理,如下圖。處置:對感染性病毒、宏病毒文件先進行修復,無法修復再進行隔離處理;其它類型病毒直接隔離。信任:如果檢測出的威脅為正常文件,則可以添加為可信任。忽略:如果威脅在終端已自行處理,管理端不需要顯示威脅日志,則可以設置為忽略。威脅分析:接入深信服安全中心,對威脅事件詳細分析,進一步判斷威脅文件影響。案例背景某項目同時有安全廠商A、安全廠商B、深信服EDR三家廠商參與,客戶關注安全軟件對病毒的檢出能力,這種場景下,我們?nèi)绾螠y試才能體現(xiàn)我們產(chǎn)品的檢測能力。使用案例準備工作版本確認確認當前EDR的版本為3.2.16及以后版本樣本提供
測試前需要確認測試樣本如何提供,需提前準備好測試樣本,一般有以下幾種方式:我司提供樣本友商提供樣本客戶提供樣本我司、友商、客戶各提供1/3樣本使用案例測試方法1、設置病毒查殺策略打開EDR【終端管理】->【策略管理】,按如下圖設置病毒查殺策略使用案例測試方法2、確認配置生效完成上述配置后,右鍵點擊終端Agent托盤圖標,如下圖,說明當前查殺處于高啟發(fā)式掃描”模式。3、對比查殺使用EDR客戶端自定義查殺對病毒樣本查行掃描查殺,對比不同廠商的檢出率。使用案例注意事項通過管理端下發(fā)快速查殺任務,只對以下目錄生效,所以在測試快速查殺時,樣本需要放在以下目錄:Linux快速查殺目錄:Linux快掃目錄/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev、/procWindows
快速查殺目錄:/windows和/windows/system32本級目錄,/windows/system32/drivers目錄和其子目錄殺毒掃描模式有“極速”、“均衡”和“低耗”三種模式,區(qū)別如下,建議使用“均衡”模式,不會因為資源占用影響客戶業(yè)務。極速:全速掃描、不限制掃描軟件自身的CPU占用率;均衡:掃描速度和CPU占用率達到一定平衡,限制CPU占用率不超過30%;低耗:掃描時盡量少占用CPU資源,限制CPU占用率不超過10%。病毒查殺文件實時監(jiān)控目錄需求背景為了保護業(yè)務安全,不僅要做到威脅發(fā)生后對威脅事件的及時檢測與響應,更需要在威脅發(fā)生前進行相應預防和威脅發(fā)生的過程中做好相應的防護策略。這樣才能在保護業(yè)務安全方面提供事前預防、事中防護、事后檢測和響應的閉環(huán)解決方案。此次培訓主要介紹在事中防護階段文件實時監(jiān)控如何保護業(yè)務安全。功能介紹文件實時監(jiān)控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎,實時監(jiān)控電腦上文件寫入、讀取和執(zhí)行操作,當檢測到威脅文件寫入、讀取、執(zhí)行時,立即阻斷相關操作,并進行告警。防止威脅文件落地、并進一步執(zhí)行,從而保護業(yè)務安全。原理介紹文件實時監(jiān)控通過SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎,實時檢測文件并判定為黑白,流程圖如右圖。對WindowsServer和WindowsPC所在組啟用文件實時監(jiān)控策略。配置介紹配置介紹打開【終端管理】->【策略中心】,選中具體分組即進入該組實時防護設置。配置介紹防護級別高:監(jiān)控文件打開、執(zhí)行、落地動作中:監(jiān)控文件執(zhí)行、落地動作低:監(jiān)控文件執(zhí)行動作掃描引擎電腦性能足夠,掃描引擎可以全開;性能不足,建議關閉基因特征引擎配置介紹發(fā)現(xiàn)惡意文件后的處置動作標準處置:默認配置為標準處置。根據(jù)病毒的類型和威脅程度,按系統(tǒng)預定義的處置方式對威脅文件進行處置(確認是病毒的自動隔離,可疑病毒的僅上報不隔離,由人工進一步分析處理)嚴格處理:適用于嚴格保護場景,可能會存在一定誤判。EDR檢測的所有威脅文件均隔離處理。僅上報不處置:適用于有人值守且用戶了解如何處置病毒的場景,需要人工分析上報的威脅日志進行處理。EDR檢測的所有威脅文件僅上報安全日志,不隔離。配置介紹啟用文件實時監(jiān)控后,當檢測到存在威脅文件時,會彈框告警發(fā)現(xiàn)惡意文件的告警。注意事項1、啟用文件實時監(jiān)控策略時,注意,右側(cè)鎖圖標需要點亮,管理端的策略才能夠下發(fā)到終端,如下圖:2、文件實時監(jiān)控策略只對Windows終端生效,對其它終端不生效。病毒查殺文件實時監(jiān)控總結(jié)EDR微隔離掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息,以及在實際場景中能夠指導客戶如何使用掌握EDR基線檢查功能使用教學目標需求背景原理簡介微隔離使用目錄需求背景客戶端與業(yè)務服務器、服務器與服務器之間訪問關系復雜,無法看清之間的訪問關系、無法基于訪問關系配置訪問控制策略,從而給服務器安全帶來隱患,加大安全管理難度。微隔離是一種集中化的流量識別和管理技術(shù)。
在東西向訪問關系控制上,能夠基于訪問關系進行訪問控制策略配置,集中統(tǒng)一管理服務器的訪問控制策略,減少了對物理、虛擬的服務器被攻擊的機會。
在訪問關系可視化中,采用統(tǒng)一管理的方式對終端的網(wǎng)絡訪問關系進行圖形化展示,可以看到每個業(yè)務域內(nèi)部各個終端的訪問關系展示以及訪問記錄。訪問關系控制
在東西向訪問關系控制上,優(yōu)先對所有的服務器進行業(yè)務安全域的邏輯劃域隔離,并對業(yè)務區(qū)域內(nèi)的服務器提供的服務進行應用角色劃分,對不同應用角色之間服務訪問進行訪問控制配置,減少了對物理、虛擬的服務器被攻擊的機會,集中統(tǒng)一管理服務器的訪問控制策略。并且基于安裝輕量級主機Agent軟件的訪問控制,不受虛擬化平臺的影響,不受物理機器和虛擬機器的影響。
在訪問關系可視化中,采用統(tǒng)一管理的方式對終端的網(wǎng)絡訪問關系進行圖形化展示,可以看到每個業(yè)務域內(nèi)部各個終端的訪問關系展示以及訪問記錄。訪問關系可視化需求背景原理簡介微隔離使用目錄原理簡介微隔離使用Windows防火墻WFP和Linux防火墻iptables進行訪問流量控制和上報的。
如下圖為微隔離整體流程圖,先在MGR下發(fā)微隔離策略,此時終端會根據(jù)配置的微隔離策略設置終端電腦防火墻規(guī)則。當終端發(fā)送請求時,系統(tǒng)會根據(jù)要訪問的IP地址、端口、協(xié)議等來解析請求,然后與防火墻規(guī)則進行匹配,允許則放通,不允許則直接丟棄。設置微隔離策略下發(fā)微隔離策略消除原有規(guī)則消除原有規(guī)則根據(jù)微隔離策略設置防火墻根據(jù)微隔離策略設置防火墻MGR數(shù)據(jù)庫agent1agentNagent1的防火墻agent1的防火墻agent1agent1的防火墻分析此次請求要請求的地址、端口、協(xié)議防火墻規(guī)則是否符合防火墻規(guī)則否是agent2agent2的防火墻原理簡介需求背景原理簡介微隔離使用目錄微隔離使用此章節(jié)我們先介紹微隔離整體配置思路,再以“防止感染病毒蔓延場景”舉例說明微隔離如何使用及使用效果。配置思路完成微隔離的配置需要以下四個步驟:1.業(yè)務系統(tǒng)梳理根據(jù)客戶需求梳理客戶業(yè)務系統(tǒng)/IP/角色/服務及各對象之間的訪問關系,為后面的微隔策略做準備。2.定義對象根據(jù)第1步梳理的內(nèi)容,定義業(yè)務系統(tǒng)/IP組/服務等對象,為微隔離策略調(diào)用。3.配置微隔離策略根據(jù)第1步梳理的訪問關系和第3步定義的業(yè)務系統(tǒng)/IP組/服務,配置微隔離策略。4.效果驗證微隔離使用案例——防止感染病毒蔓延場景場景說明需求描述:在用戶區(qū)出現(xiàn)了勒索病毒時,勒索病毒將會作用135、136、137、139、445以及3389進行傳播,在不能即時查殺時,可使用微隔離,對所有的終端(PC,服務器)進行端口封堵。預期效果:所有的終端之間不能相互訪問共享服務端口以及遠程桌面端口。配置步驟1.業(yè)務系統(tǒng)梳理根據(jù)場景說明梳理業(yè)務系統(tǒng)/IP組/服務,及訪問關系,如下表:對象業(yè)務系統(tǒng)業(yè)務系統(tǒng)名稱終端組包括的終端所有終端-ALL用戶區(qū)1、用戶區(qū)2、用戶區(qū)3、服務區(qū)1、服務區(qū)2pc1、pc2...server1、server2...IP組IP組名稱IP地址范圍IP組類型辦公終端172.16.200-54內(nèi)網(wǎng)服務(只需要梳理自定義策略)服務名稱協(xié)議類型端口流量類型smbTCP135、136、137、139、445業(yè)務流量rtptcp3389運維流量對象間訪問關系訪問關系源目標服務動作IP組:默認互聯(lián)網(wǎng)業(yè)務系統(tǒng):所有終端-ALLsmb、rtp拒絕案例——防止感染病毒蔓延場景配置步驟2.定義對象(1)配置業(yè)務系統(tǒng),所有終端匹配到業(yè)務系統(tǒng)中,如下圖:案例——防止感染病毒蔓延場景配置步驟2.定義對象(2)配置服務,包括需要禁止訪問的共享端口(135、136、137、139、445)端口。遠程桌面端口平臺內(nèi)置調(diào)用即可,如下圖:案例——防止感染病毒蔓延場景配置步驟3.配置微隔離策略拒絕內(nèi)網(wǎng)終端之間所有共享端口訪問,如下圖:案例——防止感染病毒蔓延場景配置步驟3.配置微隔離策略打開微隔離策略開關,下發(fā)策略配置,如下圖:配置完成后,策略如下,從上到下匹配。案例——防止感染病毒蔓延場景配置步驟4.效果驗證微隔離策略生效后,內(nèi)網(wǎng)終端之間相互telnet共享端口及3389端口,均無法連通。如果特殊電腦需要進行遠程桌面維護,需要對這臺電腦單獨配置放行3389的微隔離策略。案例——防止感染病毒蔓延場景微隔離使用——流量可視開啟“流量上報”,可以查看業(yè)務系統(tǒng)流量訪問情況,包括已放通流量和未放通流量。幫助用戶梳理業(yè)務系統(tǒng)訪問關系及業(yè)務系統(tǒng)狀態(tài),如下圖:微隔離使用——流量可視微隔離使用——日志查詢流量圖中單擊具體服務器,可以查看服務器流量狀態(tài)及訪問記錄,如下圖:需求背景原理簡介微隔離使用總結(jié)安全感知功能說明-資產(chǎn)和報告中心了解資產(chǎn)中心的資產(chǎn)感知和脆弱性感知了解報告中心的安全風險報告和安全告警熟悉聯(lián)動響應的方式教學目標資產(chǎn)中心報告中心聯(lián)動響應目錄資產(chǎn)中心資產(chǎn)感知資產(chǎn)識別目是STA探針產(chǎn)品的一個重要功能,目的旨在幫助用戶梳理資產(chǎn),識別風險資產(chǎn)(如影子資產(chǎn)),為攻擊檢測提供輔助等。目前探針主要使用被動識別以及主動識別進行資產(chǎn)識別,被動識別主要根據(jù)網(wǎng)絡流量鏡像到探針,探針根據(jù)鏡像流量進行內(nèi)網(wǎng)識別,內(nèi)網(wǎng)資產(chǎn)梳理;主動識別是探針進行發(fā)包主動探測內(nèi)網(wǎng)資產(chǎn),再進行數(shù)據(jù)匯總與分析。平臺識別到的資產(chǎn)將定義為內(nèi)網(wǎng)資產(chǎn),在為后續(xù)識別橫向、外連、外部威脅或訪問關系定義方向,需要事先定義好內(nèi)部IP組或者分支IP范圍。資產(chǎn)中心資產(chǎn)感知界面資產(chǎn)中心資產(chǎn)感知----受監(jiān)控內(nèi)部IP組定義內(nèi)網(wǎng)的受監(jiān)控IP范圍,用于平臺更精準的識別出內(nèi)網(wǎng)資產(chǎn),當出現(xiàn)需要修改IP歸屬地時,也可以使用互聯(lián)單位IP功能進行配置。資產(chǎn)中心資產(chǎn)感知----業(yè)務/服務器業(yè)務/服務器與終端,是在配置完成受監(jiān)控內(nèi)部IP組后,對應IP范圍的IP按照IP屬性會自動匹配到業(yè)務或者終端中。資產(chǎn)中心資產(chǎn)感知----分支當用戶有分支單位時,可以通過IP范圍以及設備模式配置分支信息。資產(chǎn)中心資產(chǎn)感知----安全域安全域是將內(nèi)網(wǎng)劃分為多個區(qū)域,檢測每個區(qū)域的安全情況,用于分析區(qū)域的安全狀況,加強薄弱區(qū)域的安全建設。資產(chǎn)中心脆弱性感知脆弱性總覽:平臺可以通過STA/AF/云眼/云鏡以及第三方設備識別出來的漏洞,收集上來進行匯總展示。資產(chǎn)中心脆弱性感知----弱密碼弱密碼/web明文傳輸,可以檢測出當前網(wǎng)絡中使用的弱密碼,以及web業(yè)務使用http協(xié)議將用戶名/密碼通過明文進行傳輸。資產(chǎn)中心脆弱性感知----配置風險SIP可通過流量檢測到當前業(yè)務系統(tǒng)開放的風險端口以及授權(quán)配置不當?shù)那闆r。資產(chǎn)中心報告中心聯(lián)動響應目錄報告中心報告中心包括兩部分:安全風險報告:包括自動生成的預設報告以及手動導出的報告,也可以訂閱報告,用于匯報,安全運維等方面。安全告警:當檢測到安全事件時,會通過郵件或者短信的方式發(fā)送告警信息給管理員。報告中心安全告警配置策略后,當平臺檢測到對應的安全事件,可向管理員發(fā)送告警郵箱或短信。資產(chǎn)中心報告中心聯(lián)動響應目錄聯(lián)動響應聯(lián)動響應功能的引入:
大家都知道SIP只做為安全事件的檢測,無法對檢測到的安全問題進行閉環(huán)。當前的兩類安全問題閉環(huán)方式。1、MDR服務,通過購買安全服務,由安服人員對安全問題進行處置閉環(huán)(培訓中不進行說明)。2、通過與深信服其它產(chǎn)品進行聯(lián)動,如AF/EDR等,在SIP上下發(fā)策略對問題進行處置閉環(huán)。聯(lián)動響應分為三部分1、紅線:服務器發(fā)起威脅訪問,被AF或者STA審計到。2、綠線:AF或者STA將審計到的威脅訪問日志上傳到SIP,SIP上進行安全事件分析,識別到服務器存在風險。3、黃線:SIP上下發(fā)聯(lián)動策略到AF,通過AF的聯(lián)動封鎖對存在威脅的服務器進行攔截,減少威脅。EDR與AF數(shù)據(jù)流程類似。聯(lián)動響應聯(lián)動端口使用說明AC版本SIP版本功能實現(xiàn)方式端口AC11_XSIP2.5.8及以上版本同步用戶信息端口固定為1775、協(xié)議為UDP1775AC12.0R5版本+打上定制功能SIP2.5.12及以上版本聯(lián)動:彈窗提醒、凍結(jié)賬號https協(xié)議7433AC12.0R5版本+打上定制功能SIP3.0.9及以上版本聯(lián)動:彈窗提醒優(yōu)化(新增批量上網(wǎng)提醒、新增可配自動上網(wǎng)提醒)https協(xié)議7433AC12.0.7以及以上SIP3.0.30及以上版本聯(lián)動:上網(wǎng)提醒、凍結(jié)賬號https協(xié)議9998AC12.04以及以上SIP3.0.39及以上版本聯(lián)動:AC對接SIP心跳https協(xié)議SIP:7443AF版本SIP版本功能實現(xiàn)方式端口AF7.3.0SIP2.3及以上版本同步日志:同步安全日志https協(xié)議4430AF7.5.0SIP2.5.3及以上版本同步日志:同步安全日志https協(xié)議4430SIP2.5.8及以上版本聯(lián)動:封鎖聯(lián)動https協(xié)議7743AF8.0.2SIP3.0.2及以上版本同步日志:同步流量審計日志、同步cpu,內(nèi)存,磁盤網(wǎng)口流量,日志上報認證https協(xié)議4430AF8.0.2、AF8.0.5、AF8.0.6打上對應的定制包SIP3.0.2及以上版本聯(lián)動:聯(lián)動應用控制策略https協(xié)議7743AF8.0.8正式版本SIP3.0.2及以上版本聯(lián)動:聯(lián)動應用控制策略https協(xié)議7743AF8.0.19正式版本SIP3.0.37及以上版本同步日志:同步blob類型日志https協(xié)議4430聯(lián)動響應聯(lián)動端口使用說明EDR支持版本SIP支持版本功能實現(xiàn)方式端口EDR2.0SIP2.5.8以及以上同步日志包括:wellshell日志爆破日志僵尸網(wǎng)絡日志微隔離日志HTTPS請求7443EDR3.0.2SIP3.0.2以及以上同步日志包括:殺毒日志HTTPS請求7443SIP3.0.2以及以上聯(lián)動:主機隔離禁止出站禁止入站HTTPS請求443EDR3.2.9SIP3.0.18以及以上聯(lián)動:同步主機信息
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 果品綜合檢測持續(xù)改進機制
- 圍城讀后感范文
- 無編站骨干選拔理論考試(戰(zhàn)訓業(yè)務理論)專項試題
- 特異體質(zhì)學生檔案
- 語文統(tǒng)編版(2024)一年級上冊語文園地八 教案
- 高中語法教案
- 高中英語虛擬語氣語法解析
- 第4章 社會消費性支出課件
- 會計數(shù)據(jù)分析 Solutions-Manual Chapter-6-EOC-SM
- 華為:2024年金融數(shù)據(jù)中心存儲頂層架構(gòu)白皮書
- 編制說明《民用無人機身份識別編碼規(guī)則》
- 第三單元主題閱讀(專項訓練)-2024-2025學年統(tǒng)編版語文五年級上冊
- 2024年中小學生航天知識競賽試題題庫及答案
- 銷售團隊管理技巧銷售團隊的管理方案
- 浦發(fā)銀行零售業(yè)務數(shù)字化轉(zhuǎn)型案例分析
- 緊密型縣域醫(yī)療衛(wèi)生共同體雙向轉(zhuǎn)診運行指南(試行)
- 2024年新人教版七年級數(shù)學上冊教學課件 第三章 代數(shù)式 3.2代數(shù)式的值(第1課時)
- 中等職業(yè)學校英語教學大綱附件五:詞匯表
- 6.1 豐富的數(shù)據(jù)世界 2024-2025學年北師大版數(shù)學七年級上冊教學課件
- 2024年高校教師資格考試題庫(共600題含答案)
- 重慶二手房買賣合同2024年
評論
0/150
提交評論