端口镜像与入侵检测系统的布置

Cisco IDS/IPS系统
• Cisco IDS/IPS产品线主要包含的设备类型
– 设备传感器产品：IPS 4200系列 – 模块化产品： • ASA上的高级检测和保护安全服务模块（AIP-SSM） • Catalyst 6500系列交换机和7600系列路由器上的安全 模块IDSM • 综合业务路由器（ISR）上的IPS增强型集成模块（ IPS-AIM） – 集成式产品： • 路由器IOS集成IPS功能 • ASA/PIX集成IPS功能 – 主机IDS/IPS产品: CSA（Cisco Security Agent，Cisco 安全代理）
– 默认的用户名是cisco，密码是cisco – 第一次登录时会被提示要求更改默认密码 – 主机名称 – IP地址及掩码 – 默认网关 – Telnet服务器状态（默认为禁用） – Web服务器端口（默认为 443） 输入yes或直接回车，
进入配置对话框
新密码至少8个字符
• 运行setup命令
设置主机名和管理IP地址
• 使用一个或多个监听端 口“嗅探” • 不转发任何流量
IDS
受保护的网络
对收集的报文，提取相应的流量统计特征值，并 利用内置的特征库，与这些流量特征进行分析、 比较、匹配 根据系统预设的阀值，匹配度较高的报文流量将 被认为是攻击，IDS将根据相应的配置进行报警 或进行有限度的反击
IDS工作流程
1.端口镜像概述
1.2 SPAN中的基本概念
1. SPAN会话 一个 SPAN 会话是一个目的端口和源端口的组合。 可以监控单个或多个接口的输入，输出和双向帧。 Switched port、routed port和AP都可以配置为源端口 和目Fra Baidu bibliotek端口。SPAN会话并不影响交换机的正常操作。 2. 帧类型 接收帧：所有源端口上接收到的帧都将被拷贝一份到目 的口。 发送帧：所有从源端口发送的帧都将拷贝一份到目的端 口。由于某些原因发送到源端口的帧的格式可能改变，例 如源端口输出经过路由之后的帧，帧的源MAC、目的 MAC、VLAN ID 以及 TTL 发生变化。同样，拷贝到目的 端口的帧的格式也会变化。 双向帧：包括上面所说的两种帧。
端口镜像与入侵检测系统的部署
端口镜像
主要内容
1.端口镜像概述 2.端口镜像配置 3.VSPAN配置
1.端口镜像概述
1.1 SPAN的作用
交换网络不同于共享网络，不再使用广播式方式进 行数据交换。因此必须要有一种新的机制对网络流进行量 监。可以通过使用 SPAN 将一个端口上的帧拷贝到交换 机上的另一个连接有网络分析设备或 RMON 分析仪的端 口上来分析该端口上的通讯。SPAN 将某个端口上所有接 收和发送的帧 MIRROR到某个物理端口上来进行分析。 但它并不影响源端口和目的端口交换，除非目的端口流量 过度。
IPS的分类
• 基于主机的入侵防护（HIPS）
– 通过在主机/服务器上安装软件代理程序，防止网 络攻击入侵操作系统以及应用程序 – 可以阻断缓冲区溢出、改变登录口令、改写动态 链接库以及其他试图从操作系统夺取控制权的入 侵行为
• 基于网络的入侵防护（NIPS）
– 通过检测流经的网络流量，提供对网络系统的安 全保护 – 必须基于特定的硬件平台，才能实现千兆级网络 流量的深度数据包检测和阻断功能
入侵检测系统的配置
IDS/IPS概述
• 入侵检测系统（Intrusion Detection System，IDS）
– 对入侵行为发现（告警）但不进行相应的处理
• 入侵防护系统（Intrusion Prevention System，IPS）
– 对入侵行为发现并进行相应的防御处理
IDS工作原理
IPS 4200系列传感器2-1
• 产品型号有4215、4240、4255、4260和 4270 • 产品功能
– 细致检查第2层到第7层的流量 – 阻止恶意流量，包括网络病毒、蠕虫、间谍软件 、广告软件等 – 可同时以混杂模式和内部模式运行 – 支持多接口以监控多个子网 – 基于特征和基于异常的检测功能 – 丰富的传输级性能选择，从65Mb/s到2Gb/s – 传感器软件内部集成基于Web的管理解决方案
配置IPS设备管理器（IDM）
• 首先在管理主机上安装Java虚拟机，然后启 用Java控制面板，配置Java Runtime参数
设置内存为256M
配置IPS设备管理器（IDM）
• 然后在IE浏览器中输入https://10.1.1.10，按 提示输入用户名和密码
进入主机配置模式
sensor# conf terminal 网络配置 sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# host-name ips sensor(config-hos-net)# host-ip 10.1.1.10/24,10.1.1.254 sensor(config-hos-net)# exit 应用配置 sensor(config-hos)# exit Apply Changes:?[yes]: sensor(config)#
2. 端口镜像配置
1. 指定源端口 Switch(config)# monitor session session_number source interface interface-id[，| -] {both | rx | tx} 2. 指定目的端口 Switch(config)# monitor session session_number destination interface interface-id [switch] 3. 显示SPAN状态 Switch#show monitor session session_number
对数据包进行分类
每个过滤器都包含一系列规则，负责 分析对应的数据包
匹配过滤器 所有过滤器都是并行工作，如果任 何数据包符合匹配要求，该数据包 将被标为命中 如果判断无攻击迹象则放行数据包， 如果发现攻击，立即采取抵御措施： 告警、丢弃数据包、切断此次应用 会话、切断此次TCP连接
判断数据包是否命中
数据包的放行或阻断
IPS 4200系列传感器2-2
IPS 4200的部署 • IPS 4200典型工作模式
– IPS模式
– IDS模式
可以部署在防火墙内
Internet
• 可以在线检测攻击并拦截攻击 可以部署在防火墙外
IDS
• 可以与网络设备（路由器、交换机和防火墙）联动
受保护的网络
IPS
IDS
受保护的网络
其他网络
• 配置完成后需要重启IPS后主机名才生效
配置信任主机
• 配置信任主机，即允许哪些网段或主机访问 IPS，访问方式包括Telnet、FTP、SSH和 sensor# HTTPconf terminal
sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# access-list 10.1.1.0/24 sensor(config-hos-net)# telnet-option enabled sensor(config-hos-net)# exit sensor(config-hos)# exit 允许10.1.1.0/24网段中的主机通过 Apply Changes:?[yes]: Telnet访问IPS sensor(config)#
IPS 4200初始化配置
• 进入CLI
sensor# setup --- System Configuration Dialog --At any point you may enter a question mark '?' for help. 用户角色是管理员 User ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Current Configuration: service host network-settings host-ip 10.1.9.201/24,10.1.9.1 host-name sensor telnet-option disabled ftp-timeout 300 no login-banner-text exit time-zone-settings offset 0 standard-time-zone-name UTC exit summertime-option disabled ntp-option disabled exit service web-server port 443 exit Current time: Wed May 5 10:25:35 2011 Continue with configuration dialog?[yes]：
3.VSPAN配置
VSPAN的作用
SPAN还可以基于 VLAN使用。一个源VLAN是一个 为了网络流量分析被监控VLAN。VSPAN使用一个或多个 VLAN作为SPAN的源。源VLAN中的所有端口成为源端口。 对于VSPAN只能监控进入的流量。
3.VSPAN配置
VSPAN配置
1. 指定源VLAN Switch(config)# monitor session session_number source vlan vlan-id[，| -] rx 2. 指定目的端口 Switch(config)# monitor session session_number destination interface interface-id {dot1q|isl} 3. 显示SPAN状态 Switch# show monitor session session_number
实时记录、报警 或有限度反击
IPS工作原理
• 提供主动性的防护，预 先对入侵活动和攻击性 网络流量进行拦截
IPS 受保护的网络
继承和发展了IDS的深层分析技术
采用了类似防火墙的在线部署方式来实现对攻击 行为的阻断
IPS工作流程
嵌入模式的IPS直接获取数据包，而 旁路模式的IPS通过端口镜像获取 获取数据包 分类的目的是为了下一步提供合适 的过滤器，分类的依据是数据包的 报头信息
包括网络流量的内容、用户 连接活动的状态和行为 信息收集 3 种技术手段： 模式匹配 统计分析 完整性分析 统计分析首先给信息对象（如用户、连接等） 信号分析
创 完整性分析主要关注某个文件或对象是否被更改 建一个统计描述，统计正常使用时的一些测量 ，包括文件和目录的内容及属性，它在发现被更 属 模式匹配是将收集到的信息与已知的网络入侵和 改的、被特洛伊木马感染的应用程序方面特别有 性（如访问次数等）。测量属性的平均值将被 对入侵行为做出适当的反应， 系统误用模式数据库进行比较，从而发现违背安 用 效。 包括详细日志记录、实时报 全策略的行为。 来与网络行为进行比较，任何观察值在正常偏 优点：只要是成功的攻击导致了文件或其它对象 警和有限度的反击攻击源 优点：只需收集相关的数据集合，显著减少系统 差 的任何改变，它都能够发现 负担。 之外时，就认为有入侵发生。 缺点：不用于实时响应 缺点：需要不断的升级，不能检测到从未出现过 优点：可检测到未知的入侵和更为复杂的入侵 的攻击手段 缺点：误报、漏报率高，且不适应用户正常行 为 的突然改变
1.端口镜像概述
1.3 SPAN中的基本概念
3. 源端口 源端口(也叫被被监控口)是一个 switched port、 routed port 或 AP，该端口被监控用做网络分析。 4. 目的端口 SPAN会话有一个目的口(也叫监控口)，用于接收 源端口的帧拷贝。 它可以是 switched port、routed port 和 AP。 5. 可监控的流量 多播和桥接协议数据单元（BPDU）、链路层发现 协议、中继协议、生成树协议和端口聚合协议等。