端口鏡像與入侵檢測(cè)系統(tǒng)的布置匯編

1、端口鏡像與入侵檢測(cè)(jin c)系統(tǒng)的部署共四十三頁(yè)端口鏡像共四十三頁(yè)主要(zhyo)內(nèi)容1.端口鏡像概述(i sh)2.端口鏡像配置3.VSPAN配置共四十三頁(yè)1.端口鏡像概述(i sh)1.1 SPAN的作用(zuyng) 交換網(wǎng)絡(luò)不同于共享網(wǎng)絡(luò)，不再使用廣播式方式進(jìn)行數(shù)據(jù)交換。因此必須要有一種新的機(jī)制對(duì)網(wǎng)絡(luò)流進(jìn)行量監(jiān)?？梢酝ㄟ^(guò)使用 SPAN 將一個(gè)端口上的幀拷貝到交換機(jī)上的另一個(gè)連接有網(wǎng)絡(luò)分析設(shè)備或 RMON 分析儀的端口上來(lái)分析該端口上的通訊。SPAN 將某個(gè)端口上所有接收和發(fā)送的幀 MIRROR到某個(gè)物理端口上來(lái)進(jìn)行分析。但它并不影響源端口和目的端口交換，除非目的端口流量過(guò)度。共四十

2、三頁(yè)1.2 SPAN中的基本概念 1. SPAN會(huì)話(huà) 一個(gè) SPAN 會(huì)話(huà)是一個(gè)目的端口和源端口的組合?？梢员O(jiān)控單個(gè)或多個(gè)接口(ji ku)的輸入，輸出和雙向幀。Switched port、routed port和AP都可以配置為源端口和目的端口。SPAN會(huì)話(huà)并不影響交換機(jī)的正常操作。2. 幀類(lèi)型接收幀：所有源端口上接收到的幀都將被拷貝一份到目的口。發(fā)送幀：所有從源端口發(fā)送的幀都將拷貝一份到目的端口。由于某些原因發(fā)送到源端口的幀的格式可能改變，例如源端口輸出經(jīng)過(guò)路由之后的幀，幀的源MAC、目的 MAC、VLAN ID 以及 TTL 發(fā)生變化。同樣，拷貝到目的端口的幀的格式也會(huì)變化。 雙向幀：包

3、括上面所說(shuō)的兩種幀。1.端口鏡像概述(i sh)共四十三頁(yè)1.3 SPAN中的基本概念 3. 源端口 源端口(也叫被被監(jiān)控口)是一個(gè)(y ) switched port、routed port 或 AP，該端口被監(jiān)控用做網(wǎng)絡(luò)分析。4. 目的端口 SPAN會(huì)話(huà)有一個(gè)目的口(也叫監(jiān)控口)，用于接收源端口的幀拷貝。 它可以是 switched port、routed port 和 AP。5. 可監(jiān)控的流量 多播和橋接協(xié)議數(shù)據(jù)單元（BPDU）、鏈路層發(fā)現(xiàn)協(xié)議、中繼協(xié)議、生成樹(shù)協(xié)議和端口聚合協(xié)議等。1.端口鏡像概述(i sh)共四十三頁(yè)1. 指定(zhdng)源端口 Switch(config)# mo

4、nitor session session_number source interface interface-id，| - both | rx | tx 2. 指定目的端口 Switch(config)# monitor session session_number destination interface interface-id switch 3. 顯示SPAN狀態(tài) Switch#show monitor session session_number 2. 端口鏡像配置(pizh)共四十三頁(yè)3.VSPAN配置(pizh)VSPAN的作用(zuyng) SPAN還可以基于 VLAN使用。

5、一個(gè)源VLAN是一個(gè)為了網(wǎng)絡(luò)流量分析被監(jiān)控VLAN。VSPAN使用一個(gè)或多個(gè)VLAN作為SPAN的源。源VLAN中的所有端口成為源端口。對(duì)于VSPAN只能監(jiān)控進(jìn)入的流量。共四十三頁(yè)VSPAN配置(pizh)1. 指定源VLAN Switch(config)# monitor session session_number source vlan vlan-id，| - rx2. 指定目的(md)端口 Switch(config)# monitor session session_number destination interface interface-id dot1q|isl 3. 顯示SP

6、AN狀態(tài) Switch# show monitor session session_number3.VSPAN配置共四十三頁(yè)入侵檢測(cè)(jin c)系統(tǒng)的配置共四十三頁(yè)IDS/IPS概述(i sh)入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS） 對(duì)入侵行為發(fā)現(xiàn)(fxin)（告警）但不進(jìn)行相應(yīng)的處理入侵防護(hù)系統(tǒng)（Intrusion Prevention System，IPS）對(duì)入侵行為發(fā)現(xiàn)并進(jìn)行相應(yīng)的防御處理共四十三頁(yè)IDS工作(gngzu)原理使用(shyng)一個(gè)或多個(gè)監(jiān)聽(tīng)端口“嗅探” 不轉(zhuǎn)發(fā)任何流量IDS受保護(hù)的網(wǎng)絡(luò)對(duì)收集的報(bào)文，提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用

7、內(nèi)置的特征庫(kù)，與這些流量特征進(jìn)行分析、比較、匹配根據(jù)系統(tǒng)預(yù)設(shè)的閥值，匹配度較高的報(bào)文流量將被認(rèn)為是攻擊，IDS將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊共四十三頁(yè)IDS工作(gngzu)流程信息收集信號(hào)分析實(shí)時(shí)記錄、報(bào)警或有限度反擊包括網(wǎng)絡(luò)流量的內(nèi)容、用戶(hù)連接活動(dòng)的狀態(tài)(zhungti)和行為3種技術(shù)手段：模式匹配統(tǒng)計(jì)分析完整性分析模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點(diǎn)：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng) 負(fù)擔(dān)。缺點(diǎn)：需要不斷的升級(jí)，不能檢測(cè)到從未出現(xiàn)過(guò) 的攻擊手段統(tǒng)計(jì)分析首先給信息對(duì)象（如用戶(hù)、連接等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正

8、常使用時(shí)的一些測(cè)量屬性（如訪(fǎng)問(wèn)次數(shù)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)行為進(jìn)行比較，任何觀(guān)察值在正常偏差之外時(shí)，就認(rèn)為有入侵發(fā)生。優(yōu)點(diǎn)：可檢測(cè)到未知的入侵和更為復(fù)雜的入侵缺點(diǎn)：誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶(hù)正常行為 的突然改變完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊木馬感染的應(yīng)用程序方面特別有效。優(yōu)點(diǎn)：只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)缺點(diǎn)：不用于實(shí)時(shí)響應(yīng)對(duì)入侵行為做出適當(dāng)?shù)姆磻?yīng)，包括詳細(xì)日志記錄、實(shí)時(shí)報(bào)警和有限度的反擊攻擊源共四十三頁(yè)IPS工作(gngzu)原理提供主動(dòng)性的防護(hù)，預(yù)先(yxin)對(duì)入侵活動(dòng)和攻擊

9、性網(wǎng)絡(luò)流量進(jìn)行攔截IPS受保護(hù)的網(wǎng)絡(luò)繼承和發(fā)展了IDS的深層分析技術(shù)采用了類(lèi)似防火墻的在線(xiàn)部署方式來(lái)實(shí)現(xiàn)對(duì)攻擊行為的阻斷共四十三頁(yè)IPS工作(gngzu)流程嵌入(qin r)模式的IPS直接獲取數(shù)據(jù)包，而旁路模式的IPS通過(guò)端口鏡像獲取獲取數(shù)據(jù)包匹配過(guò)濾器對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)判斷數(shù)據(jù)包是否命中數(shù)據(jù)包的放行或阻斷分類(lèi)的目的是為了下一步提供合適的過(guò)濾器，分類(lèi)的依據(jù)是數(shù)據(jù)包的報(bào)頭信息每個(gè)過(guò)濾器都包含一系列規(guī)則，負(fù)責(zé)分析對(duì)應(yīng)的數(shù)據(jù)包所有過(guò)濾器都是并行工作，如果任何數(shù)據(jù)包符合匹配要求，該數(shù)據(jù)包將被標(biāo)為命中如果判斷無(wú)攻擊跡象則放行數(shù)據(jù)包，如果發(fā)現(xiàn)攻擊，立即采取抵御措施：告警、丟棄數(shù)據(jù)包、切斷此次應(yīng)用會(huì)話(huà)、切

10、斷此次TCP連接共四十三頁(yè)IPS的分類(lèi)(fn li)基于主機(jī)的入侵防護(hù)（HIPS）通過(guò)在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫(xiě)動(dòng)態(tài)鏈接庫(kù)以及其他試圖(sht)從操作系統(tǒng)奪取控制權(quán)的入侵行為基于網(wǎng)絡(luò)的入侵防護(hù)（NIPS）通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)必須基于特定的硬件平臺(tái)，才能實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測(cè)和阻斷功能共四十三頁(yè)Cisco IDS/IPS系統(tǒng)(xtng)Cisco IDS/IPS產(chǎn)品線(xiàn)主要包含的設(shè)備類(lèi)型設(shè)備傳感器產(chǎn)品：IPS 4200系列模塊化產(chǎn)品：ASA上的高級(jí)檢測(cè)和保護(hù)安全服務(wù)模塊（AIP

11、-SSM）Catalyst 6500系列交換機(jī)和7600系列路由器上的安全模塊IDSM綜合業(yè)務(wù)(yw)路由器（ISR）上的IPS增強(qiáng)型集成模塊（IPS-AIM）集成式產(chǎn)品：路由器IOS集成IPS功能ASA/PIX集成IPS功能主機(jī)IDS/IPS產(chǎn)品: CSA（Cisco Security Agent，Cisco安全代理）共四十三頁(yè)IPS 4200系列(xli)傳感器2-1產(chǎn)品型號(hào)有4215、4240、4255、4260和4270產(chǎn)品功能細(xì)致檢查第2層到第7層的流量阻止惡意流量，包括網(wǎng)絡(luò)病毒、蠕蟲(chóng)、間諜軟件、廣告軟件等可同時(shí)以混雜模式和內(nèi)部模式運(yùn)行支持多接口以監(jiān)控多個(gè)子網(wǎng)基于(jy)特征和基于(

12、jy)異常的檢測(cè)功能豐富的傳輸級(jí)性能選擇，從65Mb/s到2Gb/s傳感器軟件內(nèi)部集成基于Web的管理解決方案共四十三頁(yè)IPS 4200系列(xli)傳感器2-2IPS 4200典型工作模式IPS模式可以在線(xiàn)(zi xin)檢測(cè)攻擊并攔截攻擊IDS模式可以與網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)和防火墻）聯(lián)動(dòng)IPS 4200的部署IPSInternetIDS受保護(hù)的網(wǎng)絡(luò)受保護(hù)的網(wǎng)絡(luò)其他網(wǎng)絡(luò)IDS可以部署在防火墻外可以部署在防火墻內(nèi)共四十三頁(yè)IPS 4200初始化配置(pizh)進(jìn)入CLI默認(rèn)的用戶(hù)名是cisco，密碼是cisco第一次登錄時(shí)會(huì)被提示要求更改(gnggi)默認(rèn)密碼運(yùn)行setup命令主機(jī)名稱(chēng)IP

13、地址及掩碼默認(rèn)網(wǎng)關(guān)Telnet服務(wù)器狀態(tài)（默認(rèn)為禁用）Web服務(wù)器端口（默認(rèn)為443）用戶(hù)角色是管理員新密碼至少8個(gè)字符sensor# setup- System Configuration Dialog -At any point you may enter a question mark ? for help.User ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets .Current Configuration:service hostnetwork-set

14、tingshost-ip 01/24,host-name sensortelnet-option disabledftp-timeout 300no login-banner-textexittime-zone-settingsoffset 0standard-time-zone-name UTCexitsummertime-option disabledntp-option disabledexitservice web-serverport 443exitCurrent time: Wed May 5 10:25:35 2011Continue with configuration dia

15、log?yes：輸入yes或直接回車(chē)，進(jìn)入配置對(duì)話(huà)框共四十三頁(yè)設(shè)置主機(jī)名和管理(gunl)IP地址配置(pizh)完成后需要重啟IPS后主機(jī)名才生效sensor# conf terminalsensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# host-name ips sensor(config-hos-net)# host-ip 0/24,54 sensor(config-hos-net)# exitsensor(config-hos)# exitApply Cha

16、nges:?yes: sensor(config)#進(jìn)入主機(jī)配置模式網(wǎng)絡(luò)配置應(yīng)用配置共四十三頁(yè)配置信任(xnrn)主機(jī)配置信任主機(jī)，即允許哪些網(wǎng)段或主機(jī)訪(fǎng)問(wèn)IPS，訪(fǎng)問(wèn)方式(fngsh)包括Telnet、FTP、SSH和HTTPsensor# conf terminalsensor(config)# service hostsensor(config-hos)# network-settingssensor(config-hos-net)# access-list /24 sensor(config-hos-net)# telnet-option enabled sensor(config-h

17、os-net)# exitsensor(config-hos)# exitApply Changes:?yes: sensor(config)#允許/24網(wǎng)段中的主機(jī)通過(guò)Telnet訪(fǎng)問(wèn)IPS共四十三頁(yè)配置(pizh)IPS設(shè)備管理器（IDM）首先在管理(gunl)主機(jī)上安裝Java虛擬機(jī)，然后啟用Java控制面板，配置Java Runtime參數(shù)設(shè)置內(nèi)存為256M共四十三頁(yè)配置(pizh)IPS設(shè)備管理器（IDM）然后在IE瀏覽器中輸入(shr)0，按提示輸入用戶(hù)名和密碼共四十三頁(yè)配置(pizh)IDM用戶(hù)IPS支持四種用戶(hù)角色，用戶(hù)角色決定用戶(hù)的權(quán)限級(jí)別管理員（Administrator）

18、：該用戶(hù)角色擁有最高的權(quán)限等級(jí)，能執(zhí)行(zhxng)傳感器上的所有功能操作員（Operator）：該用戶(hù)角色擁有第2高的權(quán)限等級(jí)，能執(zhí)行如修改密碼、更改特征庫(kù)、配置虛擬傳感器等有限功能觀(guān)察員（Viewer）：該用戶(hù)角色的權(quán)限等級(jí)最低，可以查看配置和事件，但是不能修改配置服務(wù)（Service）：該用戶(hù)角色屬于特殊賬號(hào)，主要用于技術(shù)支持和故障診斷共四十三頁(yè)配置(pizh)傳感接口傳感接口也稱(chēng)嗅探接口，是用于監(jiān)控和分析網(wǎng)絡(luò)流量的特定接口，該接口沒(méi)有IP地址傳感接口可以運(yùn)行在混雜模式(msh)，也可以配置為在線(xiàn)模式(msh)混雜模式通常稱(chēng)為IDS解決方案，傳感器只會(huì)分析鏡像備份過(guò)來(lái)的流量在線(xiàn)（Inli

19、ne）模式接口可以配置為接口對(duì)模式或VLAN對(duì)模式共四十三頁(yè)接口(ji ku)對(duì)（Interface Pairs）模式流量(liling)通過(guò)傳感器的第1個(gè)接口對(duì)進(jìn)入并從第2個(gè)接口對(duì)流出兩個(gè)接口必須分別屬于不同的VLAN，但屬于同一個(gè)IP子網(wǎng)VLAN 10VLAN 20G0/1G0/2同一個(gè)IP子網(wǎng)/24配置接口對(duì)共四十三頁(yè)VLAN對(duì)（VLAN Pairs）模式(msh)創(chuàng)建子接口，流量進(jìn)入到VLAN 10后被檢測(cè)，并在相同的物理接口將帶有VLAN 20標(biāo)記的流量發(fā)送(f sn)出去VLAN 10VLAN 20G0/1F0/1Trunk配置VLAN對(duì)共四十三頁(yè)配置旁路(pn l)（Bypass

20、）模式IPS 的旁路模式只工作在Inline模式，該模式有三個(gè)選項(xiàng)：on、off和autoAuto：傳感器宕機(jī)時(shí)允許流量通過(guò)，傳感器正常工作時(shí)就要對(duì)流量進(jìn)行審查和分析，這是默認(rèn)的模式Off：禁止旁路模式，傳感器宕機(jī)時(shí)就將流量丟棄(diq)On：永遠(yuǎn)不對(duì)流量進(jìn)行審查和分析共四十三頁(yè)配置(pizh)分析引擎將接口分配給分析引擎分析引擎從接口處獲取數(shù)據(jù)包并對(duì)其進(jìn)行分析，然后(rnhu)與定義好的簽名進(jìn)行比對(duì)，做出指定的動(dòng)作將接口對(duì)分配給默認(rèn)虛擬傳感器vs0共四十三頁(yè)特征(tzhng)（Signature）特征庫(kù)和特征引擎是IPS解決方案架構(gòu)的基礎(chǔ)特征是對(duì)攻擊者進(jìn)行基于網(wǎng)絡(luò)的攻擊時(shí)所呈現(xiàn)的網(wǎng)絡(luò)流量模式

21、的描述當(dāng)檢測(cè)(jin c)到惡意行為時(shí)，IPS通過(guò)將流量與具體特征比對(duì)，監(jiān)控網(wǎng)絡(luò)流量并生成警報(bào)特征引擎是相似特征的集合的一個(gè)分組，每個(gè)分組檢測(cè)特定類(lèi)型的行為IPS的特征引擎分為很多種類(lèi)IPS的特征引擎共四十三頁(yè)事件(shjin)動(dòng)作當(dāng)有特征匹配時(shí)，便會(huì)觸發(fā)一個(gè)事件動(dòng)作以防止?fàn)顩r發(fā)生，每個(gè)事件動(dòng)作可由單獨(dú)的特征庫(kù)配置IPS的事件動(dòng)作Deny attacker Inline:拒絕攻擊者的ip地址(dzh)Deny attacker Service Pair inline:以攻擊者的地址和被攻擊者的服務(wù)端口為拒絕對(duì)象Deny attacker Victim Pair inline: 以攻擊者和受害者

22、地址為拒絕對(duì)象Deny connection inline: 拒絕這個(gè)TCP流量的現(xiàn)在和將來(lái)的包Deny packet inline:丟棄這個(gè)數(shù)據(jù)包共四十三頁(yè)事件(shjin)動(dòng)作當(dāng)有特征匹配時(shí)，便會(huì)觸發(fā)一個(gè)事件動(dòng)作以防止?fàn)顩r(zhungkung)發(fā)生，每個(gè)事件動(dòng)作可由單獨(dú)的特征庫(kù)配置IPS的事件動(dòng)作Log Attacker Packets: 記錄攻擊者地址Log Pair Packets: 記錄攻擊和受害者地址Log Victim Packets: 記錄受害者地址Produce Alert: 生成報(bào)警Produce Verbose Alert: 詳細(xì)的報(bào)警共四十三頁(yè)事件(shjin)動(dòng)作當(dāng)有

23、特征匹配時(shí)，便會(huì)觸發(fā)一個(gè)事件動(dòng)作以防止?fàn)顩r發(fā)生，每個(gè)事件動(dòng)作可由單獨(dú)的特征庫(kù)配置(pizh)IPS的事件動(dòng)作Request Block Connection: 對(duì)攻擊響應(yīng)控制器（ARC）發(fā)送請(qǐng)求以切斷該連接Request Block Host: 對(duì)攻擊響應(yīng)控制器（ARC）發(fā)送請(qǐng)求以阻斷該攻擊主機(jī)Request SNMP Trap: 發(fā)送SNMP trap到設(shè)置的管理主機(jī)，同時(shí)會(huì)自動(dòng)產(chǎn)生AlertReset TCP connection: 重置 TCP 連接IPS的事件動(dòng)作共四十三頁(yè)配置(pizh)IPS防御SYN Flood什么(shn me)是SYN Flood攻擊？PC1PC21.發(fā)送SY

24、N報(bào)文 偽造源IP地址2.發(fā)送SYNACK報(bào)文3. 發(fā)送ACK報(bào)文？如果短時(shí)間內(nèi)接收到的SYN太多，半連接隊(duì)列就會(huì)溢出，則正常的客戶(hù)發(fā)送的SYN請(qǐng)求連接也會(huì)被服務(wù)器丟棄！共四十三頁(yè)配置(pizh)IPS防御SYN FloodIPS配置為接口對(duì)模式，防御(fngy)由PC機(jī)發(fā)起的SYN Flood攻擊RouterF0/1F0/11F0/2IPSVlan10:F0/1,F0/11Vlan20:F0/2,F0/12F0/0:/24F0/12G0/1G0/2/24/24配置SYN Flood特征ID 3050的事件動(dòng)作為Deny Attacker Inline和Log Attacker Packets

25、在PC機(jī)上發(fā)動(dòng)SYN Flood攻擊并偽造源IP地址為，在IDM的監(jiān)控界面上查看到的事件查看到拒絕攻擊者的IP地址共四十三頁(yè)配置(pizh)IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)防御SYN FloodIPS接口配置為混雜模式（使用IDS功能），配置IDS與路由器聯(lián)動(dòng)防御PC機(jī)發(fā)起(fq)的SYN Flood攻擊RouterF0/1F0/11F0/2IDS:0/24F0/0:/24F0/12G0/1M0/0/24/24F1/0IDS與路由器配置聯(lián)動(dòng)是通過(guò)給路由器下發(fā)ACL來(lái)拒絕流量配置SYN Flood特征ID 3050的事件動(dòng)作為Request Block Host和Log Attacker Packets需要在交換機(jī)上配置端口鏡像以使IDS監(jiān)控流量共四十三頁(yè)配置IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)(lin dn)防御SYN Flood配置(pizh)攔阻（Block