《端口镜像与入侵检测系统的布置》由会员分享,可在线阅读,更多相关《端口镜像与入侵检测系统的布置(42页珍藏版)》请在金锄头文库上搜索。
1、端口镜像与入侵检测系统的部署端口镜像主要内容主要内容1.端口镜像概述端口镜像概述2.端口镜像配置端口镜像配置3.VSPAN配置配置1.端口镜像概述端口镜像概述1.1 SPAN1.1 SPAN的作用的作用 交换网络不同于共享网络,不再使用广播式方式进交换网络不同于共享网络,不再使用广播式方式进行数据交换。因此必须要有一种新的机制对网络流进行量行数据交换。因此必须要有一种新的机制对网络流进行量监。可以通过使用监。可以通过使用SPAN将一个端口上的帧拷贝到交换将一个端口上的帧拷贝到交换机上的另一个连接有网络分析设备或机上的另一个连接有网络分析设备或RMON分析仪的端分析仪的端口上来分析该端口上的通讯
2、。口上来分析该端口上的通讯。SPAN将某个端口上所有接将某个端口上所有接收和发送的帧收和发送的帧MIRROR到某个物理端口上来进行分析。到某个物理端口上来进行分析。但它并不影响源端口和目的端口交换,除非目的端口流量但它并不影响源端口和目的端口交换,除非目的端口流量过度。过度。1.2 SPAN1.2 SPAN中的基本概念中的基本概念 1.SPAN会话会话一个一个SPAN会话是一个目的端口和源端口的组合。会话是一个目的端口和源端口的组合。可以监控单个或多个接口的输入,输出和双向帧。可以监控单个或多个接口的输入,输出和双向帧。Switchedport、routedport和和AP都可以配置为源端口都
3、可以配置为源端口和目的端口。和目的端口。SPAN会话并不影响交换机的正常操作。会话并不影响交换机的正常操作。2.帧类型帧类型接收帧:接收帧:所有源端口上接收到的帧都将被拷贝一份到目所有源端口上接收到的帧都将被拷贝一份到目的口。的口。发送帧:发送帧:所有从源端口发送的帧都将拷贝一份到目的端所有从源端口发送的帧都将拷贝一份到目的端口。由于某些原因发送到源端口的帧的格式可能改变,例口。由于某些原因发送到源端口的帧的格式可能改变,例如源端口输出经过路由之后的帧,帧的源如源端口输出经过路由之后的帧,帧的源MAC、目的、目的MAC、VLANID以及以及TTL发生变化。同样,拷贝到目的发生变化。同样,拷贝到
4、目的端口的帧的格式也会变化。端口的帧的格式也会变化。双向帧:双向帧:包括上面所说的两种帧。包括上面所说的两种帧。1.端口镜像概述端口镜像概述1.3 SPAN1.3 SPAN中的基本概念中的基本概念 3.源端口源端口源端口源端口(也叫被被监控口也叫被被监控口)是一个是一个switchedport、routedport或或AP,该端口被监控用做网络分析。,该端口被监控用做网络分析。4.目的端口目的端口SPAN会话有一个目的口会话有一个目的口(也叫监控口也叫监控口),用于接收,用于接收源端口的帧拷贝。源端口的帧拷贝。它可以是它可以是switchedport、routedport和和AP。5.可监控的
5、流量可监控的流量多播和桥接协议数据单元(多播和桥接协议数据单元(BPDU)、链路层发现)、链路层发现协议、中继协议、生成树协议和端口聚合协议等。协议、中继协议、生成树协议和端口聚合协议等。1.端口镜像概述端口镜像概述1.指定源端口指定源端口Switch(config)#monitorsessionsession_numbersourceinterfaceinterface-id,|-both|rx|tx2.指定目的端口指定目的端口Switch(config)#monitorsessionsession_number destinationinterfaceinterface-idswitch3
6、.显示显示SPAN状态状态Switch#showmonitorsessionsession_number2.端口镜像配置端口镜像配置3.VSPAN配置配置VSPANVSPAN的作用的作用SPAN还可以基于还可以基于VLAN使用。一个源使用。一个源VLAN是一个是一个为了网络流量分析被监控为了网络流量分析被监控VLAN。VSPAN使用一个或多个使用一个或多个VLAN作为作为SPAN的源。源的源。源VLAN中的所有端口成为源端口。中的所有端口成为源端口。对于对于VSPAN只能监控进入的流量。只能监控进入的流量。VSPANVSPAN配置配置1.指定源指定源VLANSwitch(config)#mon
7、itorsessionsession_numbersourcevlan vlan-id,|-rx2.指定目的端口指定目的端口Switch(config)#monitorsessionsession_number destinationinterfaceinterface-iddot1q|isl3.显示显示SPAN状态状态Switch#showmonitorsessionsession_number3.VSPAN配置配置入侵检测系统的配置IDS/IPS概述概述入侵检测系统(入侵检测系统(IntrusionDetectionSystem,IDS)对入侵行为发现(告警)但不进行相应的处理入侵防护系统
8、(入侵防护系统(IntrusionPreventionSystem,IPS)对入侵行为发现并进行相应的防御处理IDS工作原理工作原理使用一个或多个监听端使用一个或多个监听端口口“嗅探嗅探”不不转发任何流量转发任何流量IDSIDS受保护的网络受保护的网络v对收集的报文,提取相应的流量统计特征值,并对收集的报文,提取相应的流量统计特征值,并利用内置的特征库,与这些流量特征进行分析、利用内置的特征库,与这些流量特征进行分析、比较、匹配比较、匹配v根据系统预设的阀值,匹配度较高的报文流量将根据系统预设的阀值,匹配度较高的报文流量将被认为是攻击,被认为是攻击,IDS将根据相应的配置进行报警将根据相应的配
9、置进行报警或进行有限度的反击或进行有限度的反击IDS工作流程工作流程信息收集信息收集信号分析信号分析实时记录、报警实时记录、报警或有限度反击或有限度反击包括网络流量的内容、用户包括网络流量的内容、用户连接活动的状态和行为连接活动的状态和行为3种技术手段:种技术手段:模式匹配模式匹配统计分析统计分析完整性分析完整性分析模式匹配是将收集到的信息与已知的网络入侵和模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安系统误用模式数据库进行比较,从而发现违背安全策略的行为。全策略的行为。优点优点:只需收集相关的数据集合,显著减少系统只需收集相关的数据集合,显著减少系统负担
10、。负担。缺点:缺点:需要不断的升级需要不断的升级,不能检测到从未出现过不能检测到从未出现过的攻击手段的攻击手段统计统计分析首先给信息对象(如用户、连接等)创分析首先给信息对象(如用户、连接等)创建一个统计描述,统计正常使用时的一些测量属建一个统计描述,统计正常使用时的一些测量属性(如访问次数等)。测量属性的平均值将被用性(如访问次数等)。测量属性的平均值将被用来与网络行为进行比较,任何观察值在正常偏差来与网络行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。之外时,就认为有入侵发生。优点优点:可检测到未知的入侵和更为复杂的入侵可检测到未知的入侵和更为复杂的入侵缺点:缺点:误报、漏报率
11、高,且不适应用户正常行为误报、漏报率高,且不适应用户正常行为的突然改变的突然改变完整性分析主要关注某个文件或对象是否被更改完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更,包括文件和目录的内容及属性,它在发现被更改的、被特洛伊木马感染的应用程序方面特别有改的、被特洛伊木马感染的应用程序方面特别有效。效。优点优点:只要是成功的攻击导致了文件或其它对象只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现的任何改变,它都能够发现缺点:缺点:不用于实时响应不用于实时响应对入侵行为做出适当的反应,对入侵行为做出适当的反应,包括详细日志记录、实时报包括详细日志记
12、录、实时报警和有限度的反击攻击源警和有限度的反击攻击源IPS工作原理工作原理提供主动性的防护,预提供主动性的防护,预先对入侵活动和攻击性先对入侵活动和攻击性网络流量进行拦截网络流量进行拦截IPSIPS受保护的网络受保护的网络v继承和发展了继承和发展了IDS的深层分析技术的深层分析技术v采用了类似防火墙的在线部署方式来实现对攻击采用了类似防火墙的在线部署方式来实现对攻击行为的阻断行为的阻断IPS工作流程工作流程嵌入模式的嵌入模式的IPS直接获取数据包,而直接获取数据包,而旁路模式的旁路模式的IPS通过端口镜像获取通过端口镜像获取获取数据包获取数据包匹配过滤器匹配过滤器对数据包进行分类对数据包进行
13、分类判断数据包是否命中判断数据包是否命中数据包的放行或阻断数据包的放行或阻断分类的目的是为了下一步提供合适的分类的目的是为了下一步提供合适的过滤器过滤器,分类的依据是数据包的报头分类的依据是数据包的报头信息信息每个过滤器都包含一系列规则,负责每个过滤器都包含一系列规则,负责分析对应的数据包分析对应的数据包所有过滤器都是并行工作所有过滤器都是并行工作,如果任何如果任何数据包符合匹配要求,该数据包将被数据包符合匹配要求,该数据包将被标为命中标为命中如果判断无攻击迹象则放行数据包,如果判断无攻击迹象则放行数据包,如果发现攻击,立即采取抵御措施如果发现攻击,立即采取抵御措施:告警告警、丢弃数据包丢弃数
14、据包、切断此次应用切断此次应用会话会话、切断此次切断此次TCP连接连接IPS的分类的分类基于主机的入侵防护基于主机的入侵防护(HIPS)通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为基于网络的入侵防护基于网络的入侵防护(NIPS)通过检测流经的网络流量,提供对网络系统的安全保护必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能CiscoIDS/IPS系统系统CiscoIDS/IPS产品线主要包含的设备类型产品线主要包含的设备类型设备传感器产品:IPS 42
15、00系列模块化产品:ASA上的高级检测和保护安全服务模块(AIP-SSM)Catalyst 6500系列交换机和7600系列路由器上的安全模块IDSM综合业务路由器(ISR)上的IPS增强型集成模块(IPS-AIM)集成式产品:路由器IOS集成IPS功能ASA/PIX集成IPS功能主机IDS/IPS产品: CSA(Cisco Security Agent,Cisco安全代理)IPS4200系列传感器系列传感器2-1产品型号有产品型号有4215、4240、4255、4260和和4270产品功能产品功能细致检查第2层到第7层的流量阻止恶意流量,包括网络病毒、蠕虫、间谍软件、广告软件等可同时以混杂模
16、式和内部模式运行支持多接口以监控多个子网基于特征和基于异常的检测功能丰富的传输级性能选择,从65Mb/s到2Gb/s传感器软件内部集成基于Web的管理解决方案IPS4200系列传感器系列传感器2-2IPS4200典型工作模式典型工作模式IPS模式可以在线检测攻击并拦截攻击IDS模式可以与网络设备(路由器、交换机和防火墙)联动vIPS4200的部署的部署IPSInternetIDS受保护的网络受保护的网络受保护的网络受保护的网络其他网络其他网络IDS可以部署在防火墙可以部署在防火墙外外可以部署在防火墙可以部署在防火墙内内IPS4200初始化配置初始化配置进入进入CLI默认的用户名是cisco,密
17、码是cisco第一次登录时会被提示要求更改默认密码运行运行setup命令命令主机名称IP地址及掩码默认网关Telnet服务器状态(默认为禁用)Web服务器端口(默认为443)用户角色是管理员用户角色是管理员新密码至少新密码至少8个字符个字符sensor#setup-SystemConfigurationDialog-Atanypointyoumayenteraquestionmark?forhelp.Userctrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets.CurrentConfigur
18、ation:servicehostnetwork-settingshost-ip10.1.9.201/24,10.1.9.1host-namesensortelnet-optiondisabledftp-timeout300nologin-banner-textexittime-zone-settingsoffset0standard-time-zone-nameUTCexitsummertime-optiondisabledntp-optiondisabledexitserviceweb-serverport443exitCurrenttime:WedMay510:25:352011Cont
19、inuewithconfigurationdialog?yes:输入输入yes或直接回车,或直接回车,进入配置对话框进入配置对话框设置主机名和管理设置主机名和管理IP地址地址配置完成后需要配置完成后需要重启重启IPS后主机名才生效后主机名才生效sensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#host-nameipssensor(config-hos-net)#host-ip10.1.1.10/24,10.1.1.254sensor(con
20、fig-hos-net)#exitsensor(config-hos)#exitApplyChanges:?yes:sensor(config)#进入主机配置模式进入主机配置模式网络配置网络配置应用配置应用配置配置配置信任主机信任主机配置信任主机,即允许哪些网段或主机访问配置信任主机,即允许哪些网段或主机访问IPS,访问方式包括,访问方式包括Telnet、FTP、SSH和和HTTPsensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#acces
21、s-list10.1.1.0/24sensor(config-hos-net)#telnet-optionenabledsensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?yes:sensor(config)#允许允许10.1.1.0/24网段中的主机网段中的主机通过通过Telnet访问访问IPS配置配置IPS设备管理器设备管理器(IDM)首先在管理主机上安装首先在管理主机上安装Java虚拟机,然后启虚拟机,然后启用用Java控制面板,配置控制面板,配置JavaRuntime参数参数设置内存为设置内存为256M配置配置
22、IPS设备管理器设备管理器(IDM)然后在然后在IE浏览器中输入浏览器中输入https:/10.1.1.10,按,按提示输入用户名和密码提示输入用户名和密码配置配置IDM用户用户IPS支持四种用户角色,用户角色决定用户的支持四种用户角色,用户角色决定用户的权限级别权限级别管理员(Administrator):该用户角色拥有最高的权限等级,能执行传感器上的所有功能操作员(Operator):该用户角色拥有第2高的权限等级,能执行如修改密码、更改特征库、配置虚拟传感器等有限功能观察员(Viewer):该用户角色的权限等级最低,可以查看配置和事件,但是不能修改配置服务(Service):该用户角色属
23、于特殊账号,主要用于技术支持和故障诊断配置配置传感接口传感接口传感接口也称嗅探接口,是用于监控和分析传感接口也称嗅探接口,是用于监控和分析网络流量的特定接口网络流量的特定接口,该接口没有该接口没有IP地址地址传感接口可以运行在混杂模式,也可以配置传感接口可以运行在混杂模式,也可以配置为在线模式为在线模式混杂模式混杂模式通常称为IDS解决方案,传感器只会分析镜像备份过来的流量在线(在线(Inline)模式)模式接口可以配置为接口对模式或VLAN对模式接口对(接口对(InterfacePairs)模式)模式流量通过传感器的第流量通过传感器的第1个接口对进入并从第个接口对进入并从第2个接口对流出个接
24、口对流出两个接口必须分别属于不同的两个接口必须分别属于不同的VLAN,但属,但属于同一个于同一个IP子网子网VLAN 10VLAN 10VLAN 20VLAN 20G0/1G0/1G0/2G0/2同一个同一个IPIP子网子网192.168.1.0/24192.168.1.0/24配置接口对配置接口对VLAN对(对(VLANPairs)模式)模式创建子接口,流量进入到创建子接口,流量进入到VLAN10后被检测,后被检测,并在相同的物理接口将带有并在相同的物理接口将带有VLAN20标记的标记的流量发送出去流量发送出去VLAN 10VLAN 10VLAN 20VLAN 20G0/1G0/1F0/1F
25、0/1TrunkTrunk配置配置VLAN对对配置旁路(配置旁路(Bypass)模式模式IPS的的旁路旁路模式只工作在模式只工作在Inline模式,模式,该模式该模式有三个选项:有三个选项:on、off和和autoAuto:传感器宕机时允许流量通过,传感器正常工作时就要对流量进行审查和分析,这是默认的模式Off:禁止旁路模式,传感器宕机时就将流量丢弃On:永远不对流量进行审查和分析配置分析引擎配置分析引擎将接口分配给分析引擎将接口分配给分析引擎分析引擎从接口处获取数据包并对其进行分分析引擎从接口处获取数据包并对其进行分析,然后与定义好的签名进行比对,做出指析,然后与定义好的签名进行比对,做出指
26、定的动作定的动作将接口对分配给将接口对分配给默默认虚拟传感器认虚拟传感器vs0特征(特征(Signature)特征库和特征引擎是特征库和特征引擎是IPS解决方案架构的基础解决方案架构的基础特征是对攻击者进行基于网络的攻击时所呈特征是对攻击者进行基于网络的攻击时所呈现的网络流量模式的描述现的网络流量模式的描述当检测到恶意行为时,当检测到恶意行为时,IPS通过将流量与具体通过将流量与具体特征比对,监控网络流量并生成警报特征比对,监控网络流量并生成警报特征引擎是相似特征的集合的一个分组,每特征引擎是相似特征的集合的一个分组,每个分组检测特定类型的行为个分组检测特定类型的行为IPS的特征引擎分为很多种
27、类的特征引擎分为很多种类IPS的特征引擎的特征引擎事件动作事件动作当有特征匹配时,便会触发一个事件动作以当有特征匹配时,便会触发一个事件动作以防止状况发生防止状况发生,每个事件动作可由单独的特每个事件动作可由单独的特征库配置征库配置IPS的事件动作的事件动作Deny attacker Inline:拒绝攻击者的ip地址Deny attacker Service Pair inline:以攻击者的地址和被攻击者的服务端口为拒绝对象Deny attacker Victim Pair inline: 以攻击者和受害者地址为拒绝对象Deny connection inline: 拒绝这个TCP流量的现
28、在和将来的包Deny packet inline:丢弃这个数据包事件动作事件动作当有特征匹配时,便会触发一个事件动作以当有特征匹配时,便会触发一个事件动作以防止状况发生防止状况发生,每个事件动作可由单独的特每个事件动作可由单独的特征库配置征库配置IPS的事件动作的事件动作Log Attacker Packets: 记录攻击者地址Log Pair Packets: 记录攻击和受害者地址Log Victim Packets: 记录受害者地址Produce Alert: 生成报警Produce Verbose Alert: 详细的报警事件动作事件动作当有特征匹配时,便会触发一个事件动作以当有特征匹配
29、时,便会触发一个事件动作以防止状况发生防止状况发生,每个事件动作可由单独的特每个事件动作可由单独的特征库配置征库配置IPS的事件动作的事件动作Request Block Connection: 对攻击响应控制器(ARC)发送请求以切断该连接Request Block Host: 对攻击响应控制器(ARC)发送请求以阻断该攻击主机Request SNMP Trap: 发送SNMP trap到设置的管理主机,同时会自动产生AlertReset TCP connection: 重置 TCP 连接IPS的的事件动作事件动作配置配置IPS防御防御SYNFlood什么是什么是SYNFlood攻击攻击?PC
30、1PC21.发送发送SYN报文报文伪造源伪造源IP地址地址2.发送发送SYNACK报文报文3.发送发送ACK报文?报文?如果短时间内接收到的如果短时间内接收到的SYN太多,半连接队列就会溢出,太多,半连接队列就会溢出,则则正常的客户发送的正常的客户发送的SYN请求连接也会被服务器丢弃请求连接也会被服务器丢弃!配置配置IPS防御防御SYNFloodIPS配置为接口对模式,防御由配置为接口对模式,防御由PC机发起的机发起的SYNFlood攻击攻击RouterF0/1F0/11F0/2IPSVlan10:F0/1,F0/11Vlan20:F0/2,F0/12F0/0:192.168.1.1/24F0
31、/12G0/1G0/21.1.1.1/24192.168.1.2/24配置配置SYNFlood特征特征ID3050的的事件动作为事件动作为DenyAttackerInline和和LogAttackerPackets在在PC机上发动机上发动SYNFlood攻击攻击并伪造源并伪造源IP地址为地址为2.2.2.2,在,在IDM的监控界面上查看到的事件的监控界面上查看到的事件查看到拒绝攻击者的查看到拒绝攻击者的IP地址地址配置配置IDS与网络设备联动防御与网络设备联动防御SYNFloodIPS接口配置为混杂模式(使用接口配置为混杂模式(使用IDS功能),功能),配置配置IDS与路由器联动防御与路由器联
32、动防御PC机发起的机发起的SYNFlood攻击攻击RouterF0/1F0/11F0/2IDS:10.1.1.10/24F0/0:10.1.1.1/24F0/12G0/1M0/01.1.1.1/2410.1.1.2/24F1/0IDS与路由器配置联动是通过给路由与路由器配置联动是通过给路由器下发器下发ACL来拒绝流量来拒绝流量配置配置SYNFlood特征特征ID3050的的事件动作为事件动作为RequestBlockHost和和LogAttackerPackets需要在交换机上配置端口镜像以使需要在交换机上配置端口镜像以使IDS监控流量监控流量配置配置IDS与网络设备联动防御与网络设备联动防御
33、SYNFlood配置拦阻(配置拦阻(Blocking)配置设备Login Profiles需要配置访问路由器的方式,需要配置访问路由器的方式,需要提供登录用户名、密码需要提供登录用户名、密码及及enable密码密码配置配置IDS与网络设备联动防御与网络设备联动防御SYNFlood配置拦阻(配置拦阻(Blocking)配置Blocking设备配置路由器的配置路由器的IP地址、设备地址、设备类型、引用之前定义的模板类型、引用之前定义的模板以及通信方式以及通信方式配置配置IDS与网络设备联动防御与网络设备联动防御SYNFlood配置拦阻(配置拦阻(Blocking)配置路由器参数需要配置路由器在需要配置路由器在F1/0接口、接口、In方向上应用方向上应用ACL配置配置IDS与网络设备联动防御与网络设备联动防御SYNFlood测试测试在PC机上发动SYN Flood攻击并伪造源IP地址为2.2.2.2,在IDM的监控界面上查看到被Blocking的主机在路由器上查看在路由器上查看ACLRouter#shaccess-listsExtendedIPaccesslistIDS_FastEthernet1/0_in_110permitiphost10.1.1.10any20denyiphost2.2.2.2any(90039matches)30permitipanyanyEND
