《联想网御入侵检测系统IDS N2000快速安装手册》由会员分享,可在线阅读,更多相关《联想网御入侵检测系统IDS N2000快速安装手册(7页珍藏版)》请在金锄头文库上搜索。
1、联想网御入侵检测系统IDS N2000快速安装手册联想计算机技术服务有限公司联想网御入侵检测系统 IDS N2000快速安装指南1 网御 IDS N2000 安装1.1 控制台安装安装控制台时,应:确认操作系统为windows2000确认管理员账号密码的安全性 解除或删除不使用的用户账户 确认解除 Guest 账户 设置有效的密码策略 设置用户账户锁定 设置管理员账户 删除不必要的共享文件,对必要的共享文件设置恰当的访问权限 安装最近的 Service Pack 安装最恰当的 Post-Service Pack 和安全 Hot fixes 删除不必要的服务执行安装光盘下根目录下的setup.e
2、xe文件,按照提示一步步进行,首 先安装完 MSDE 后重新启动计算机,在继续安装联想网御入侵检测系统。 安装完毕将控制台ip配成192.16801。1.2探测器设置:使用串口线设置探测器信息:1)设置超级终端:选择com 口;设置波特率:19200 ;数据位:8;奇偶校验:无;停止位: 1 ;流量控制:硬件。2)登录使用用户名admin, 口令admin123。3)输入 ipconfig192.168.0.100 255.255.255.0,设置网卡的地址为 192.168.0.100,掩码是255.255.255.0。4)输入 commdconf console 192.168.0.1 c
3、p 18999 hp 18999 mode passive 回车。5)输入exit退出,自动保存配置。经过这些配置后,使用交叉线将通讯口连接到控制台所在主机的以太 网口上,并使用光线线连接探测器上的光纤口和交换机上的监听口上,这 样探测器和控制台就可以自动连接了,插入电子钥匙,启动控制台,输入 管理员账号root和初始密码111111,即可以进入控制台操作界面,入侵检 测系统就可以正常运行了。2 系统维护文档2.1 安全配置标准入侵检测系统被安装在网络中之后,就开始按照既定的策略进行数据 监控和审计,为了保证入侵检测系统的安全、正常、高效运行,我们需要 做到:1) 确保交换机上的监听口的配置正
4、确完成,能够监听所有进出服务器 群的网络数据流,。2) 控制台软件安装在专用机器上,并按照安装手册上的要求进行安全 配置、安装最新的安全补丁。3) 对所有事件进行监控,不但要实现入侵检测的功能,还需要对网络 事件进行审计。4) 对重要的安全事件,增加其响应方式,即不仅记录日志和界面报警, 适当的情况下可以增加阻断连接或是与防火墙联动。5) 经由入侵检测系统发现的高风险事件,及时、严格地按照系统提供 的解决方案进行修补、加固。6) 安装有入侵检测系统主控制台的机器,应确保其物理安全。7) 入侵检测系统探测器上通讯口的IP与控制台的IP地址尽量使用与 网络中其他主机不同网段,最好将控制台和探测器直
5、接通过交叉线 相连。8) 入侵检测系统的入侵检测/安全审计日志应当定时备份和转储。并需 要定时分析。9) 控制台自身的安全设置需要启用,包括密码策略和完整性检查。2.2 入侵检测系统管理 入侵检测系统在实现以上安全配置的情况下,还需要在平时的管理方 面注意到以下几点:1) 入侵检测系统需要主控制台必须确保实时连接探测器,保证入侵检 测日志不丢失。2) 入侵检测系统的管理员需要熟悉入侵检测相关知识,接受关于入侵 检测的使用方面的培训。3) 入侵检测系统探测器和主控制台的物理安全必须要保证。4) 对入侵检测系统的日志分析过后,必须要按照报表所提供的解决方 案对系统进行加固。5) 入侵检测系统的配置
6、文件应当及时备份,并安全妥善地保存。6) 入侵检测系统应当及时升级事件规则库,可以是以计划任务的方式 定时进行,也可以是手动的方式自行追加。7) 入侵检测系统的管理员应当保持与厂商的联系,以了解当前的安全 动态及产品动态。2.3 入侵检测系统维护 入侵检测系统在日常的使用过程当中,需要注意到:1) 入侵检测控制台至少要有一个以上用户(管理员一名、用户一名,) 平时的分析以用户身份登录。并严格保密管理员口令和安全保管电 子钥匙。2) 在运行入侵检测系统时,制定并执行相应的安全策略,重点盯防需 要保护的主机。3 与产品安全功能相关的术语及定义说明DMA技术DMA是Direct Memory Acc
7、ess的缩写。其意思是存储器直接访问。 它是指一种高速的数据传输操作,允许在外部设备和存储器之间直接读写 数据,即不通过CPU,也不需要CPU干预。整个数据传输操作在一个称 为“DMA控制器的控制下进行的。CPU除了在数据传输开始和结束时作一 点处理外,在传输过程中CPU可以进行其它的工作。这样,在大部分时间 里, CPU 和输入输出都处在并行操作。因此,使整个计算机系统的效率大 大提高。混杂模式 (promiscuous)在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际 上数据的目的地址是不是他。模式匹配模式匹配就是将收集到的信息与已知的攻击特征和系统误用模式数据 库进行比较,来
8、发现违背安全策略的入侵行为。该过程可以很简单,也可 以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统的 数据采集占用,并且技术已相当成熟,检测准确率也相当高。但是,该技 术需要不断进行升级以对付不断出现的攻击手法,检测时的系统开销大, 并且不能检测未知攻击手段。模式匹配技术有时也被称作误用检测。异常检测异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统 计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和 延时等,构造一个异常模型。当观察值在异常模型的正常值范围之外时,IDS 就会判断有入侵发生。异常检测的
9、优点是可以检测到未知入侵和复杂的入侵,缺点是误报、 漏报率较高。完整性分析严格的说,完整性分析不能算一种分析技术,而只是一种分析类性, 完整性分析主要关注某个文件或对象是否被更改。这经常包括文件和目录 的内容及属性,在发现被更改的、被安装木马的应用程序方面特别有效。联想网御入侵检测系统IDS N2000快速安装手册 通常,完整性分析被用作对入侵检测系统本身的保护上。协议分析协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检 测技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉 协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐 渐进入成熟应用阶段。协议分析大
10、大减少了计算量,即使在高负载的高速 网络上,也能逐个分析所有的数据包。采用协议分析技术的NIDS能够理解不同协议的原理,由此分析这些协 议的数据包,来寻找可疑的或不正常行为。对每一种协议,分析不仅仅基 于协议标准,还基于协议的具体实现,因为很多协议的实现偏离了协议标 准。协议分析技术观察并验证所有的流量/数据,当流量/数据不是期望值时, NIDS 就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能 力,因此能够检测到已知和未知攻击方法。状态协议分析状态协议分析就是在对网络数据流进行重组的基础上进行常规协议分 析,即不仅仅检测单一的连接请求或响应,而是将一个会话的所有数据作 为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是 检测不到的,因为攻击行为包含在多个请求中,此时状态协议分析技术就 显得十分必要。附:网御IDS N2000电子手册(见光盘)
