NetEye IDS使用 东软集团公司

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,NetEye IDS,使用培训,Copyright 2011 By Neusoft Group. All rights reserved,张书恒,zhang.shh,东软集团股份有限公司,概述,IDS,的日常维护、问题处理,IDS,的基本安装、配置,IDS,是什么,在过去的十多年间，,Internet,以前所未有的速度发展起来，它的开放性虽然使得信息达到了高度共享和高速传递，但同时也带来了系统入侵、泄密等网络安全问题。,只要有网络存在，网络安全问题就会作为一个极其重要和极具威胁性的问题存在。,IDS,是什么,入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全机制。,入侵检测系统的英文缩写是,IDS,（,Intrusion Detection System,），它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。,IDS,是什么,NetEye IDS 2.2,是东软公司开发的网络安全产品，通过对网络进行不间断的监控，扩大网络防御的纵深，利用先进的基于网络数据流实时智能分析技术，判断来自网络内部和外部的入侵企图，从而进行报警、响应和防范。,并可对网络的运行及使用情况进行监控、记录和重放，使用户对网络的运行状况一目了然，便于网络问题的分析和网络故障的排除，是防火墙之后的第二道安全闸门。,部署,IDS,的,目的,事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；,事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、,TCP Killer,等方式进行报警及动态防御；,事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。,概述,IDS,的日常维护、问题处理,IDS,的基本安装、配置,IDS,在网络中所处的位置,省级节点,IDS,在网络中所处的位置,地市节点,省厅设备安装上架位置,地市设备安装上架位置,省级入侵检测系统（,D-IDS1,）,产品外观,省级节点,前面板,后面板,地市,级入侵检测系统（,D-IDS2,）,产品外观,地市级节点,前面板,后面板,省级设备互联表,(,北京、天津、辽宁、江苏、山东、河南,),本端设备,对端设备,备注,核心交换机,1,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P1,镜像口,G3/0/23,绿盟安全审计,eth6,镜像口,G5/0/36,Vlan24,防病毒服务器,管理口,10.,aa,.24.1/24,10.,aa,.24.254,设备管理,G5/0/37,服务口,10.,aa,.24.2/24,服务,IP,G5/0/38,东软入侵检测,eth-S1P1,10.,aa,.24.3/24,设备管理,G5/0/39,绿盟安全审计,eth0,10.,aa,.24.4/24,设备管理,G5/0/40,绿盟漏洞扫描,管理口,10.,aa,.24.5/24,设备管理,本端设备,对端设备,备注,核心交换机,2,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P2,镜像口,G3/0/23,绿盟安全审计,eth7,镜像口,省级设备互联表,(,河北、山西,),本端设备,对端设备,备注,核心交换机,1,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P1,镜像口,G3/0/23,绿盟安全审计,eth6,镜像口,G5/0/36,Vlan24,防病毒服务器,管理口,10.,aa,.24.1/24,10.,aa,.24.254,设备管理,G5/0/37,服务口,10.,aa,.24.2/24,服务,IP,G5/0/38,东软入侵检测,eth-S1P1,10.,aa,.24.3/24,设备管理,G5/0/39,绿盟安全审计,eth0,10.,aa,.24.4/24,设备管理,G5/0/40,绿盟漏洞扫描,管理口,10.,aa,.24.5/24,设备管理,本端设备,对端设备,备注,核心交换机,2,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P2,镜像口,G3/0/23,绿盟安全审计,eth7,镜像口,省级设备互联表,(,内蒙、黑龙江,),本端设备,对端设备,备注,核心交换机,1,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P1,镜像口,G3/0/23,绿盟安全审计,eth6,镜像口,G5/0/26,Vlan24,防病毒服务器,管理口,10.,aa,.24.1/24,10.,aa,.24.254,设备管理,G5/0/27,服务口,10.,aa,.24.2/24,服务,IP,G5/0/28,东软入侵检测,eth-S1P1,10.,aa,.24.3/24,设备管理,G5/0/29,绿盟安全审计,eth0,10.,aa,.24.4/24,设备管理,G5/0/30,绿盟漏洞扫描,管理口,10.,aa,.24.5/24,设备管理,本端设备,对端设备,备注,核心交换机,2,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P2,镜像口,G3/0/23,绿盟安全审计,eth7,镜像口,省级设备互联表,(,吉林、陕西,),本端设备,对端设备,备注,核心交换机,1,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P1,镜像口,G3/0/23,绿盟安全审计,eth6,镜像口,G5/0/25,Vlan24,防病毒服务器,管理口,10.,aa,.24.1/24,10.,aa,.24.254,设备管理,G5/0/26,服务口,10.,aa,.24.2/24,服务,IP,G5/0/27,东软入侵检测,eth-S1P1,10.,aa,.24.3/24,设备管理,G5/0/28,绿盟安全审计,eth0,10.,aa,.24.4/24,设备管理,G5/0/29,绿盟漏洞扫描,管理口,10.,aa,.24.5/24,设备管理,本端设备,对端设备,备注,核心交换机,2,接口,IP,地址,网关,G3/0/22,东软入侵检测,eth-S2P2,镜像口,G3/0/23,绿盟安全审计,eth7,镜像口,地市级设备互联表,本端设备,对端设备,备注,核心交换机,接口,IP,地址,网关,端口,Vlan ID,Vlan name,G1/2/16,东软入侵检测,Eth-S1P1,镜像口,G1/2/15,绿盟安全审计,Eth0,镜像口,G1/0/46,Vlan,cc,Anquan_vlan,东软入侵检测,Eth0,10.,bb,.,cc,.3/24,10.,bb,.,cc,.254,设备管理,IP,G1/0/47,绿盟安全审计,Eth5,10.,bb,.,cc,.4/24,设备管理,IP,G1/0/48,漏洞扫描系统,Eth0,10.,bb,.,cc,.5/24,设备管理,IP,IDS,管理软件安装,正确地安装和使用,NetEye IDS,管理系统，需要一个适当的环境：,硬件环境：,Pentium 350,、,128M,内存、至少,100MB,可用硬盘空间、,10/100M,以太网卡。,软件环境：中文,Windows 2000,、,Windows XP,、,Windows 2003,，,TCP/IP,网络环境以及中文,Internet Explorer 6.0,以上版本。,【,注意,】,请安装杀毒软件和操作系统补丁以确保,IDS,管理主机自身的安全。,IDS,管理软件安装,连接用户管理器,管理主机和监控主机通过交叉网线或交换机连接成功后，使用,NetEye IDS,用户管理器连接监控主机。,监控主机管理口缺省的,IP,地址是,192.168.1.200,。,第一次运行,NetEye IDS,用户管理器时，如图所示：,用户管理器的主要功能是：,新建用户，删除用户，修改密码，查看和编辑用户。,用户管理员可通过此管理器设置新用户的角色：用户管理员、审计管理员、安全管理员（对安全管理员还可以按权限进一步划分）。,添加用户,添加用户（续）,IDS,工作模式,两种模式,监听模式和桥模式,监听模式需要交换机配置镜像口,桥模式,(,两个或两个以上监听网卡机型,),配置步骤,参考安装配置手册,了解用户网络情况与,IDS,部署需求,IDS,上架接入网络,监听口,(,模式区别,),管理口,(,对接,),添加安全管理员（用户管理器,),修改监控主机地址（初始为,192.168.1.200,）,使用实时监控系统及安全管理器确定数据正常,高级配置,攻击检测策略配置与报警响应,邮件报警设置,切断连接设置,防火墙联动设置,其它响应设置,策略解读,网络审计,(,传输过滤与内容检测,),传输过滤设置,内容检测设置,自定义事件,准备自定义事件的相关资料,事件编辑,-,添加事件,-,保存,策略设置,-,策略编辑,-,选中自定义事件,-,设置响应方式,-,保存策略,策略设置,-,应用策略,FTP root,登录自定义事件示例,切断连接设置,只对,TCP,连接有效,需要在主机设置中选中切断模式,如果交换机的镜像口只支持单向，使用管理口进行切断,编辑策略，对相应规则设置切断连接选项,保存策略并应用,邮件报警设置,安全管理器,-,系统配置,-,邮件报警中设置邮件服务器及相关配置,安全管理器,-,策略设置,-,策略编辑,-,设置邮件报警,-,保存,-,策略应用,注意：需要,IDS,监控主机的管理口可以与邮件服务器进行通信（路由设置？,DNS,设置,?,测试邮件）,技术优势,-,身份管理安全,Net Eye IDS,独有的双重密码认证登录验证体系,根据需要采用单密码认证或双重密码认证,根据不同的管理需求，分为三种权限，分别是“用户管理员”，“安全管理员”和,”,审计管理员,”,RADIOS KEY,认证,33,技术优势,-,应用审计,NetEye IDS,提供了强大的应用审计功能，针对常见的应用协议均可做到详细的审计记录，并为事后的报文回放提供原始依据。,34,技术优势,-,应用审计数据还原,35,NetEye IDS,具有强大的报文还原能力，可真实的记录网络中的流量事件，并在后续的电子取证中真实的还原出来，让管理员轻松看到当时网络中的状态，当前可回放如下协议事件,SMTP,POP3,TELNET,FTP,HTTP,NNTP,MSN,IMAP,DNS,Yahoo Message,Rlogin,Rsh,技术优势,-,报表,Net Eye IDS,提供了灵活的报表方式，可根据不同的报表模板生成报表，如攻击事件统计分析、发生次数最多的,10,个事件、发生攻击事件最多的,10,个源,IP,等条件生成不同的报表。,同时支持以协议为条件生成报表，如根据,HTTP,、,FTP,等协议生成报表的功能。,36,技术优势,-,连接审计,Net Eye IDS,提供了详细的连接审计记录功能，针对某一地址所使用的不同协议可做详细的连接审计，包括源、目地址，源、目端口，连接状态和连接的数据量大小的审计。,37,策略解读,系统策略,(,七种,),MAX,、,Default,、,Solaris,、,winnt,、,winnt-iis,、,winnt-sqlserver,建议不要使用,MAX,规则分类,31,类,(finger,、,FTP,、,TFTP,、,RPC,、,SMTP,、,TELNET,、,Unix,远程服务、域名系统、后门, ),灵活的策略编辑,NetEye IDS,内置了七种检测策略集，可直接采用其中一种策略使用，系统同时提供了策略集的继承功能，用户可通过继承功能产生新的可编辑的策略集根据实际需求，对策略集进行编辑，编辑项目包括检测事件的有效性、和响应方式的指定。,41,自定义事件,Net EyeIDS,为高级用户提供了自定义事件编辑器，用户可根据实际网络环境的需要，定制特定的事件检测方法，使得,IDS,具备检测某些极端事件的能力。,端口迁移自动重定向,42,网络信息收集功能,对网络中资产的快速收集功能，批量查找网络中的资产所对应的主机名、组名、,IP,地址、,MAC,地址和工作时间段等信息，大大节省了管理员手工查找资产信息的时间。,43,网络嗅探器,44,支持网络嗅探器，对网络中的数据流进行分析，解码。查找网络问题。,主动检测,Net Eye IDS,除具备,IDS,所必需的被动检测能力外，同时具备独有的主动探测检测功能，采用被动检测和主动检测相结合的方式，更高速更准确的探知攻击事件的发生，并大大缩短了攻击事件的响应时间，主动探测的信息包括资产基本信息、开放的端口等。,45,实时数据流量,在实时数据流量窗体中可通过折线图查看当前网络中可监听到的网络实时数据流量信息，包括,TCP,、,UDP,、,ICMP,三种协议的数据包数和字节数六种数据流量。,目前不支持针对单一,IP,地址，协议应用的实时监控列表,46,响应方式,Net Eye IDS,提供了多种响应方式，可利用策略集定义的方式对某一条检测事件指定其特有的响应方式，系统指定的响应包式包括如下,11,种：,47,记录日志,实时报警,报警,切断连接,防火墙联动,Syslog,SNMP Trap,播放声音,Windows,日志,Windows,消息,运行程序,响应设置,Syslog,、,SNMP,与邮件报警类似；在系统配置中设置服务器，然后在策略设置中设置响应方式，应用策略即可,在安全管理器,-,工具选项,-,本地选项,-,实时报警选项中进行相关配置；然后在策略设置中设置响应方式，应用策略即可。,集中管理,-,树型结构,49,总控中心,一级子控中心,二级子控中心,树型结构,分级部署,集中管理,按需上报,层数不限,集中管理,数据上报,50,Internet,总 部,分支机构,A,分支机构,B,一级子控制中心,总控制中心,二级子控制中心,兼容性标准,超过,3000,条的详实确切的事件描述、影响的平台和解决方法,入侵规则库兼容,CVE,和,BID,标准,相对应的事件描述中添加相应的,CVE,和,BID,编号,51,ARP,攻击,52,ARP,攻击的检测,53,NetEye IDS,提供了强大的自定义事件功能，以便客户根据实际需求定制一些特殊的检测规则。对于,ARP,欺骗，,NetEye IDS,特别定义了一条事件信息，允许用户进行,IP/MAC,绑定的配置，通过,IP,与,MAC,的绑定，解决了,ARP,欺骗的攻击。,系统特点,东软入侵检测系统,强大的审计策略,实时审计与报警,细致的安全分析,丰富的统计排名,智能相关性分析,丰富的报表定制,独特的,RIAs,界面,分立的权限控制,灵活的接入方式,多级分布式架构,强大的转储备份,可靠开放的平台,54,Networks,Database Servers,Windows, Linux, Java & UNIX,Directories,Email Servers,Web Servers,Application Servers,对比分析,趋势分析,管理服务水平,识别根源,辅助调查,解决问题,公布信息,任务调度,制定策略,报告分析,报警诊断,自动处理,稳定安全,永续运转,设置阈值,策略应用,实时监控,系统监控,解决问题的思路三,功效与流程,55,概述,IDS,的日常维护、问题处理,IDS,的基本安装、配置,NetEye IDS,的问题处理,在解决问题前，记录以下项：,产品型号,监控主机版本,管理系统版本,问题现象,问题：,IDS,配置界面不可选,可能配置权限不够,-,在用户管理器下为用户重新配置相应权限,没有获得配置“主控状态”,-,在“监控主机”菜单下单击“设置主控状态”子菜单，设置成功后将显示如下图所示对话框：,问题：没有报警事件,确认主机配置,-,监听网卡设置,确认监听网口是否正常（实时监控系统查看实时连接）；,确认系统配置,-,服务配置,-,攻击检测是否选中,确认系统配置,-,服务配置,-,监听子网内容,确认检测策略设置,(,是否为空、事件记录、实时报警,),问题,:,不进行内容恢复,确认系统配置,-,服务配置,-,内容恢复是否选中,确认系统配置,-,传输过滤设置,确认应用协议设置,确认数据库比例,(,较大,),考虑应用新升级包,问题,:,如何升级,在“系统维护”菜单下单击“系统升级”子菜单，打开系统升级窗体。,在“当前系统信息”栏，可查看系统版本号、规则库版本号、升级历史信息。在“选取升级包”栏中可从本地选取或通过浏览器从指定网站下载升级包。,问题,:,如何集中管理,使用集中管理器可以集中管理多个子监控主机及子管理节点。,可以对子监控主机进行升级、安全策略下发；,对子管理节点进行安全策略下发。,问题,:,如何使用集中管理器,-,升级,使用集中管理器可以：,可以对子监控主机进行升级、安全策略下发；,对子管理节点进行安全策略下发。,问题,:,如何使用集中管理器,-,策略设置,使用集中管理器可以：,可以对子监控主机进行升级、安全策略下发；,对子管理节点进行安全策略下发。,管理器与监控端的版本不一致会导致的问题：,1.管理器连接失败,2.系统配置界面错误，混乱,3.配置结果不生效,NetEye IDS v2.2,的管理端连接,v2.1,的监控端,IDS 2.2.0.100,的管理端连接 2.2.0.300的监控端,IDS 2.2.0.300,的管理端连接 2.2.0.100的监控端,IDS,系统版本的确认,管理端：,在安全管理器中，查看菜单帮助关于。,监控端：,1.用超级终端连接监控端,(19200),，查看监控端登录界面。,2.查看版本记录文件。,建议,在现场支持时，首先确认管理器版本；,然后确认监控主机版本；,不要用不同版本的管理器与监控主机进行配置。,问题：如何联系客户服务,客服热线电话：,400-655-6789,客服邮箱：,neteyeservice,各地安全工程师电话,产品网站：,Copyright 2011,版权所有 东软集团,