端口镜像与入侵检测系统的布置

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,端口镜像与入侵检测系统的部署,端口镜像,主要内容,1.,端口镜像概述,2.,端口镜像配置,3.VSPAN,配置,1.,端口镜像概述,1.1 SPAN,的作用,交换网络不同于共享网络，不再使用广播式方式进行数据交换。因此必须要有一种新的机制对网络流进行量监。可以通过使用,SPAN,将一个端口上的帧拷贝到交换机上的另一个连接有网络分析设备或,RMON,分析仪的端口上来分析该端口上的通讯。,SPAN,将某个端口上所有接收和发送的帧,MIRROR,到某个物理端口上来进行分析。但它并不影响源端口和目的端口交换，除非目的端口流量过度。,1.2 SPAN,中的基本概念,1. SPAN,会话,一个,SPAN,会话是一个目的端口和源端口的组合。可以监控单个或多个接口的输入，输出和双向帧。,Switched port,、,routed port,和,AP,都可以配置为源端口和目的端口。,SPAN,会话并不影响交换机的正常操作。,2.,帧类型,接收帧：,所有源端口上接收到的帧都将被拷贝一份到目的口。,发送帧：,所有从源端口发送的帧都将拷贝一份到目的端口。由于某些原因发送到源端口的帧的格式可能改变，例如源端口输出经过路由之后的帧，帧的源,MAC,、目的,MAC,、,VLAN ID,以及,TTL,发生变化。同样，拷贝到目的端口的帧的格式也会变化。,双向帧：,包括上面所说的两种帧。,1.,端口镜像概述,1.3 SPAN,中的基本概念,3.,源端口,源端口,(,也叫被被监控口,),是一个,switched port,、,routed port,或,AP,，该端口被监控用做网络分析。,4.,目的端口,SPAN,会话有一个目的口,(,也叫监控口,),，用于接收源端口的帧拷贝。,它可以是,switched port,、,routed port,和,AP,。,5.,可监控的流量,多播和桥接协议数据单元（,BPDU,）、链路层发现协议、中继协议、生成树协议和端口聚合协议等。,1.,端口镜像概述,1.,指定源端口,Switch(config)# monitor session,session_number,source interface,interface-id,，,| - both | rx | tx,2.,指定目的端口,Switch(config)# monitor session,session_number,destination interface,interface-id,switch,3.,显示,SPAN,状态,Switch#show monitor session,session_number,2.,端口镜像配置,3.VSPAN,配置,VSPAN,的作用,SPAN,还可以基于,VLAN,使用。一个源,VLAN,是一个为了网络流量分析被监控,VLAN,。,VSPAN,使用一个或多个,VLAN,作为,SPAN,的源。源,VLAN,中的所有端口成为源端口。对于,VSPAN,只能监控进入的流量。,VSPAN,配置,1.,指定源,VLAN,Switch(config)# monitor session,session_number,source vlan,vlan-id,，,| - rx,2.,指定目的端口,Switch(config)# monitor session,session_number,destination interface,interface-id,dot1q|isl,3.,显示,SPAN,状态,Switch# show monitor session,session_number,3.VSPAN,配置,入侵检测系统的配置,IDS/IPS,概述,入侵检测系统（,Intrusion Detection System,，,IDS,）,对入侵行为发现（告警）,但,不进行相应的处理,入侵防护系统（,Intrusion Prevention System,，,IPS,）,对入侵行为发现并进行相应的防御处理,IDS,工作原理,使用一个或多个监听端口,“嗅探”,不,转发任何流量,IDS,受保护的网络,对收集的报文，提取相应的流量统计特征值，并利用内置的特征库，与这些流量特征进行分析、比较、匹配,根据系统预设的阀值，匹配度较高的报文流量将被认为是攻击，,IDS,将根据相应的配置进行报警或进行有限度的反击,IDS,工作流程,信息收集,信号分析,实时记录、报警,或有限度反击,包括网络流量的内容、用户连接活动的状态和行为,3,种技术手段：,模式匹配,统计分析,完整性分析,模式匹配是将收集到的信息与已知的网络入侵和,系统误用模式数据库进行比较，从而发现违背安,全策略的行为。,优点,：,只需收集相关的数据集合，显著减少系统,负担。,缺点：,需要不断的升级,，,不能检测到从未出现过,的攻击手段,统计,分析首先给信息对象（如用户、连接等）创,建一个统计描述，统计正常使用时的一些测量属,性（如访问次数等）。测量属性的平均值将被用,来与网络行为进行比较，任何观察值在正常偏差,之外时，就认为有入侵发生。,优点,：,可检测到未知的入侵和更为复杂的入侵,缺点：,误报、漏报率高，且不适应用户正常行为,的突然改变,完整性分析主要关注某个文件或对象是否被更改,，包括文件和目录的内容及属性，它在发现被更,改的、被特洛伊木马感染的应用程序方面特别有,效。,优点,：,只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现,缺点：,不用于实时响应,对入侵行为做出适当的反应，包括详细日志记录、实时报警和有限度的反击攻击源,IPS,工作原理,提供主动性的防护，预先对入侵活动和攻击性网络流量进行拦截,IPS,受保护的网络,继承和发展了IDS的深层分析技术,采用了类似防火墙的在线部署方式来实现对攻击行为的阻断,IPS,工作流程,嵌入模式的IPS直接获取数据包，而旁路模式的IPS通过端口镜像获取,获取数据包,匹配过滤器,对数据包进行分类,判断数据包是否命中,数据包的放行或阻断,分类的目的是为了下一步提供合适的过滤器,，,分类的依据是数据包的报头信息,每个过滤器都包含一系列规则，负责分析对应的数据包,所有过滤器都是并行工作,，,如果任何数据包符合匹配要求，该数据包将被标为命中,如果判断无攻击迹象则放行数据包，如果发现攻击，立即采取抵御措施,：,告警,、,丢弃数据包,、,切断此次应用会话,、,切断此次TCP连接,IPS,的分类,基于主机的入侵防护,（,HIPS,）,通过在主机,/,服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序,可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,基于网络的入侵防护,（,NIPS,）,通过检测流经的网络流量，提供对网络系统的安全保护,必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能,Cisco IDS/IPS系统,Cisco IDS/IPS,产品线主要包含的设备类型,设备传感器产品：,IPS 4200,系列,模块化产品：,ASA,上的高级检测和保护安全服务模块（,AIP-SSM,）,Catalyst 6500,系列交换机和,7600,系列路由器上的安全模块,IDSM,综合业务路由器（,ISR,）上的,IPS,增强型集成模块（,IPS-AIM,）,集成式产品：,路由器,IOS,集成,IPS,功能,ASA/PIX,集成,IPS,功能,主机,IDS/IPS,产品,: CSA,（,Cisco Security Agent,，,Cisco,安全代理）,IPS 4200系列传感器2-1,产品型号有,4215,、,4240,、,4255,、,4260,和,4270,产品功能,细致检查第,2,层到第,7,层的流量,阻止恶意流量，包括网络病毒、蠕虫、间谍软件、广告软件等,可同时以混杂模式和内部模式运行,支持多接口以监控多个子网,基于特征和基于异常的检测功能,丰富的传输级性能选择，从,65Mb/s,到,2Gb/s,传感器软件内部集成基于,Web,的管理解决方案,IPS 4200系列传感器2-2,IPS 4200,典型工作模式,IPS,模式,可以在线检测攻击并拦截攻击,IDS,模式,可以与网络设备（路由器、交换机和防火墙）联动,IPS 4200,的部署,IPS,Internet,IDS,受保护的网络,受保护的网络,其他网络,IDS,可以部署在防火墙,外,可以部署在防火墙,内,IPS 4200,初始化配置,进入,CLI,默认的用户名是,cisco,，密码是,cisco,第一次登录时会被提示要求更改默认密码,运行,setup,命令,主机名称,IP,地址及掩码,默认网关,Telnet,服务器状态（默认为禁用）,Web,服务器端口（默认为,443,）,用户角色是管理员,新密码至少,8,个字符,sensor# setup,- System Configuration Dialog -,At any point you may enter a question mark ? for help.,User ctrl-c to abort configuration dialog at any prompt.,Default settings are in square brackets .,Current Configuration:,service host,network-settings,host-ip 10.1.9.201/24,10.1.9.1,host-name sensor,telnet-option disabled,ftp-timeout 300,no login-banner-text,exit,time-zone-settings,offset 0,standard-time-zone-name UTC,exit,summertime-option disabled,ntp-option disabled,exit,service web-server,port 443,exit,Current time: Wed May 5 10:25:35 2011,Continue with configuration dialog?yes：,输入,yes,或直接回车，进入配置对话框,设置主机名和管理,IP,地址,配置完成后需要,重启,IPS,后主机名才生效,sensor# conf terminal,sensor(config)# service host,sensor(config-hos)# network-settings,sensor(config-hos-net)#,host-name ips,sensor(config-hos-net)#,host-ip 10.1.1.10/24,10.1.1.254,sensor(config-hos-net)# exit,sensor(config-hos)# exit,Apply Changes:?yes:,sensor(config)#,进入主机配置模式,网络配置,应用配置,配置,信任主机,配置信任主机，即允许哪些网段或主机访问,IPS,，访问方式包括,Telnet,、,FTP,、,SSH,和,HTTP,sensor# conf terminal,sensor(config)# service host,sensor(config-hos)# network-settings,sensor(config-hos-net)#,access-list 10.1.1.0/24,sensor(config-hos-net)#,telnet-option enabled,sensor(config-hos-net)# exit,sensor(config-hos)# exit,Apply Changes:?yes:,sensor(config)#,允许,10.1.1.0/24,网段中的主机,通过,Telnet,访问,IPS,配置,IPS,设备管理器,（,IDM,）,首先在管理主机上安装,Java,虚拟机，然后启用,Java,控制面板，配置,Java Runtime,参数,设置内存为,256M,配置,IPS,设备管理器,（,IDM,）,然后在IE浏览器中输入https:/10.1.1.10,，按提示输入用户名和密码,配置,IDM,用户,IPS,支持四种用户角色，用户角色决定用户的权限级别,管理员（,Administrator,）：该用户角色拥有最高的权限等级,，,能执行传感器上的所有功能,操作员（,Operator,）：该用户角色拥有第,2,高的权限等级，能执行如修改密码、更改特征库、配置虚拟传感器等有限功能,观察员（,Viewer,）：该用户角色的权限等级最低，可以查看配置和事件，但是不能修改配置,服务（,Service,）：该用户角色属于特殊账号，主要用于技术支持和故障诊断,配置,传感接口,传感接口也称嗅探接口，是用于监控和分析网络流量的特定接口,，,该接口没有,IP,地址,传感接口可以运行在混杂模式，也可以配置为在线模式,混杂模式,通常称为,IDS,解决方案,，,传感器只会分析镜像备份过来的流量,在线（,Inline,）模式,接口可以配置为接口对模式或,VLAN,对模式,接口对（,Interface Pairs,）模式,流量通过传感器的第,1,个接口对进入并从第,2,个接口对流出,两个接口必须分别属于不同的,VLAN,，但属于同一个,IP,子网,VLAN 10,VLAN 20,G0/1,G0/2,同一个,IP,子网,192.168.1.0/24,配置接口对,VLAN,对（,VLAN Pairs,）模式,创建子接口，流量进入到,VLAN 10,后被检测，并在相同的物理接口将带有,VLAN 20,标记的流量发送出去,VLAN 10,VLAN 20,G0/1,F0/1,Trunk,配置,VLAN,对,配置旁路（,Bypass,）,模式,IPS 的,旁路,模式只工作在Inline,模式，,该模式有三个选项：on、off和auto,Auto,：传感器宕机时允许流量通过，传感器正常工作时就要对流量进行审查和分析，这是默认的模式,Off,：禁止旁路模式，传感器宕机时就将流量丢弃,On,：永远不对流量进行审查和分析,配置分析引擎,将接口分配给分析引擎,分析引擎从接口处获取数据包并对其进行分析，然后与定义好的签名进行比对，做出指定的动作,将接口对分配给,默认虚拟传感器,vs0,特征（,Signature,）,特征库和特征引擎是,IPS,解决方案架构的基础,特征是对攻击者进行基于网络的攻击时所呈现的网络流量模式的描述,当检测到恶意行为时，,IPS,通过将流量与具体特征比对，监控网络流量并生成警报,特征引擎是相似特征的集合的一个分组，每个分组检测特定类型的行为,IPS,的特征引擎分为很多种类,IPS,的特征引擎,事件动作,当有特征匹配时，便会触发一个事件动作以防止状况发生,，,每个事件动作可由单独的特征库配置,IPS,的事件动作,Deny attacker Inline:拒绝攻击者的ip地址,Deny attacker Service Pair inline:以攻击者的地址和被攻击者的服务端口为拒绝对象,Deny attacker Victim Pair inline: 以攻击者和受害者地址为拒绝对象,Deny connection inline: 拒绝这个TCP流量的现在和将来的包,Deny packet inline:丢弃这个数据包,事件动作,当有特征匹配时，便会触发一个事件动作以防止状况发生,，,每个事件动作可由单独的特征库配置,IPS,的事件动作,Log Attacker Packets: 记录攻击者地址,Log Pair Packets: 记录攻击和受害者地址,Log Victim Packets: 记录受害者地址,Produce Alert: 生成报警,Produce Verbose Alert: 详细的报警,事件动作,当有特征匹配时，便会触发一个事件动作以防止状况发生,，,每个事件动作可由单独的特征库配置,IPS,的事件动作,Request Block Connection:,对攻击响应控制器（,ARC,）,发送,请求以切断该连接,Request Block Host:,对攻击响应控制器（,ARC,）,发送,请求以阻断该攻击,主机,Request SNMP Trap: 发送SNMP trap到设置的管理主机,，,同时会自动产生Alert,Reset TCP connection: 重置 TCP 连接,IPS,的,事件动作,配置,IPS,防御,SYN Flood,什么是,SYN Flood,攻击,？,PC1,PC2,1.,发送,SYN,报文,伪造源,IP,地址,2.,发送,SYN,ACK,报文,3.,发送,ACK,报文？,如果短时间内接收到的,SYN,太多，半连接队列就会溢出，,则,正常的客户发送的,SYN,请求连接也会被服务器丢弃,！,配置,IPS,防御,SYN Flood,IPS,配置为接口对模式，防御由,PC,机发起的,SYN Flood,攻击,Router,F0/1,F0/11,F0/2,IPS,Vlan10:F0/1,F0/11,Vlan20:F0/2,F0/12,F0/0:192.168.1.1/24,F0/12,G0/1,G0/2,1.1.1.1/24,192.168.1.2/24,配置,SYN Flood,特征,ID 3050,的事件动作为,Deny Attacker Inline,和,Log Attacker Packets,在,PC,机上发动,SYN Flood,攻击并伪造源,IP,地址为,2.2.2.2,，在,IDM,的监控界面上查看到的事件,查看到拒绝攻击者的,IP,地址,配置,IDS,与网络设备联动防御,SYN Flood,IPS,接口配置为混杂模式（使用,IDS,功能），配置,IDS,与路由器联动防御,PC,机发起的,SYN Flood,攻击,Router,F0/1,F0/11,F0/2,IDS:10.1.1.10/24,F0/0:10.1.1.1/24,F0/12,G0/1,M0/0,1.1.1.1/24,10.1.1.2/24,F1/0,IDS,与路由器配置联动是通过给路由器下发,ACL,来拒绝流量,配置,SYN Flood,特征,ID 3050,的事件动作为,Request Block Host,和,Log Attacker Packets,需要在交换机上配置端口镜像以使,IDS,监控流量,配置,IDS,与网络设备联动防御,SYN Flood,配置拦阻（,Blocking,）,配置设备,Login Profiles,需要配置访问路由器的方式，需要提供登录用户名、密码及,enable,密码,配置,IDS,与网络设备联动防御,SYN Flood,配置拦阻（,Blocking,）,配置,Blocking,设备,配置路由器的,IP,地址、设备类型、引用之前定义的模板以及通信方式,配置,IDS,与网络设备联动防御,SYN Flood,配置拦阻（,Blocking,）,配置路由器参数,需要配置路由器在,F1/0,接口、,In,方向上应用,ACL,配置,IDS,与网络设备联动防御,SYN Flood,测试,在,PC,机上发动,SYN Flood,攻击并伪造源,IP,地址为,2.2.2.2,，在,IDM,的监控界面上查看到被,Blocking,的主机,在路由器上查看,ACL,Router#sh access-lists,Extended IP access list IDS_FastEthernet1/0_in_1,10 permit ip host 10.1.1.10 any,20,deny ip host 2.2.2.2 any,(90039 matches),30 permit ip any any,END,