IDP配置手册及实例new.doc

JUNIPER IDP配置手册作者版本日期科科V1.12008-12-30科科V1.22009-2-241、IDP的初始化设置3IDP sensor的初始化设置3IDP模块的安装方法132、IDP的策略配置14在NSM中寻找IDP设备和模块14配置IDP的策略17IDP配置实例22IDP的入侵保护策略配置实例22IDP防网络扫描配置实例23IDP防SYN配置实例23IDP特征库的升级24查看IDP sensor的状态251、IDP的初始化设置IDP sensor的初始化设置加电以后，sensro开始启动，过了几分钟，设备就会启动完毕。用网线连接电脑和sensor的MGT接口，默认的IP地址是，通过/登录sensor的ACM管理界面。默认的用户名和密码分别是root和abc123。采用ACM方式配置，并修改IDP sensor的工作模式等IDP sensor设置，登录进去以后会显示以下的界面，点击ACM可以开始配置IDP sensor；1.1.1、 修改root和admin的密码，在使用NSM寻找sensor的时候需要使用。（NSM服务器查找IDP sensor的时候会查询admin用户名，admin密码和root密码）1.1.2、 修改设备的名字和域名，1.1.3、 修改IDP的部署模式，可以根据实际情况选择相应的工作模式，如sniffor，bridge，transparent等，若选择transparent模式，可以选择bypass功能（限电口，IDP 800和IDP 8200有光纤BYPASS模块）。PS：BYPASS功能是指在IDP掉电或出现问题后，IDP的两个接口是直通的状态，BYPASS切换一般需要5秒左右，设备不同时间会不一样1.1.4、 配置IDP的HA模式，若IDP都有自带的HA专用接口。1.1.5、 配置网络接口，若修改工作模式，则需要重启IDP才可以生效。1.1.6、 选择多个虚拟路由器（可选），若配置IDP的工作模式的时候选择了transparent模式，可能需要选择是否启动多个虚拟路由器，每两个接口属于一个虚拟路由器1.1.7、 修改管理口的IP地址和管理口的网关，供NSM服务器和客户端远程连接使用，1.1.8、 配置那些接口处于工作模式的状态下，以transparent为例，其他界面不同，但比较类似1.1.9、 配置IDP MGT接口的 静态路由和缺省网关（透明模式）输入缺省网关并选择对应的接口，若IDP为透明模式，则只需要做一个管理接口的网关即可；若为路由模式则需要在相应的接口做相应的网关1.1.10、 DNS设置，设置IDP是否自动查询相关的域名，IDP特征库的升级是通过NSM服务器完成因此在配置NSM服务器时必须设置对应的DNS服务器，而IDPsensor则可以不设置；1.1.11、 设置IDP的时间区域建议在中国选择上海的时间，（PS:这里没有北京时间）1.1.12、 设置时间服务器NTP1.1.13、 设置外置的Radius服务器，用户认证的时候使用1.1.14、 SNMP设置，设置对应的SNMP服务器IP地址和端口号1.1.15、 设置IDP的SSH访问，此功能必须开放，NSM服务器在查找IDP sensor的时候，首先是通过SSH获取IDP的SSH key；1.1.16、 配置NSM服务器的IP地址和一次性密码，Device ID可以不填写，Primary netscreen-Security Manager IP必须设置，通讯端口默认是7803，一次性密码（OTP）可以不设置。NSM服务器查找IDP时使用了SSH KEY代替了OTP，因此可以不设置。1.1.17、 ACM配置，此处提示是否每次启动IDP管理的时候是否使用ACM模式以上配置完以后会出现汇总界面，并可以点击save & apply。IDP会进行进程重启和修改自身的配置，需要几分钟的时间，如果修改了管理口的IP地址，还需要更改自身电脑的IP就可以重新连接IDP模块的安装方法Netscreen-ISG系列的防火墙的IDP模块安装，不需要进行上述的设置。但该模块的设置都是通过NSM进行。IP地址和路由都是依赖防火墙的路由和IP地址设置（注，IDP模块不支持sniffor模式）安装步骤：（以NS-ISG-2000为例）1. 拆开防火墙NS-ISG-2000的机箱，在插槽的最后一个模块可以找到管理模块。Slot 3Mgt cardSlot 2-0Security Cards（扩展）ASIC CardI/O ModulesFan Card2. 管理模块上有两条内存，每条512M。将此内存拆下，然后将NS-ISG-1000-IKT所带的内存，每条1GB。将内存装上，NS-ISG-2000的内存即为2G，（增加了内存的ISG系列防火墙并发会话数会增加一倍）3. 将NS-ISG-SEC模块插入到机箱的其中一个插槽（不需要占用接口模块的槽位）4. 将NS-ISG-2000的版本升级到带IDP功能的版本（如nsISG200-IDP1.r9.0）5. 将NS-ISG-SEC的序列号和NS-ISG-2000-IKT的认证码进行绑定生成license，将此license导入防火墙中，重启防火墙。此时防火墙会提示SCIO和SCTOP进行已经启动，设备的硬件安装已经完成。2、IDP的策略配置在NSM中寻找IDP设备和模块NSM做为控制端，负责对IDP进行配置和收集IDP的日志等，有以下的几个功能（NSM安装步骤另外写）：1、 IDP的策略是通过NSM服务器上传到IDP sensor中；2、 IDP日志也是通过NSM服务器进行保存安装了NSM的postgresql数据库中3、 IDP的当前运行状态也会自动送到NSM服务器上配置IDP sensor的第一步是去NSM的Device ManagerSecurity Deivce中。点击“”添加设备模板。并选择“Device”。（NSM服务器安装过程见NSM安装手册（DC版）在Device Name中输入设备模板的名字，在Color选择模板图标的颜色（名字和图标颜色只用于表示设备，没有实际意义）。如果IDP已经配置好，则选择“device is reachable(i.e. static IP address)”。并点击下一步输入IDP sensor的IP地址，admin用户名，密码和root的密码。若设备是ISG+IDP。则输入的admin用户名和密码均使用防火墙的用户名和密码。在Connect To Device With中选择使用什么协议和设备进行通讯，默认为SSHv2。IDP和NSM通信的第二阶段则是通过DevSvr进程的7803端口通信点击下一步以后NSM服务器的DevSvr进程会按照实际情况去寻找设备。找到设备以后，模板还没有设备的配置，只有设备的序列号等信息，因此需要在“DeviceConfigurationImport Device Config”中导入现有设备的配置，则可以看到当前被导入设备的状态，序列号，软件版本等信息；或在新增的设备上双击鼠标左键，NSM服务器会自动运行Import Device Config；配置IDP的策略IDP的策略配置是最为关键和要消耗较多的时间，IDP的策略包括以下几种1、 IDP：入侵检测和保护的策略，主要针对来自应用层的攻击行为。包括两种检查机制signature和anomaly2、 Syn protector：syn泛滥保护策略，主要是针对通过IDP设备的SYN泛滥攻击3、 Traffic anomaly：流量异常策略，主要是针对通过IDP的端口扫描4、 Exempt：5、 Backdoor：6、 Honeypot：新建策略的时候是新建一整套的策略，具体的防护策略则在新建的策略里面添加在“Policy ManagerSecurity Policies”中点击右键，并选择New Policy输入名字和描述，并点击下一步选择Create new Policy for。新建一套策略模板如果设备是防火墙ISG+IDP，则选择firewall/vpn Device。如果设备是单独的IDP设备则选择Stand Alone IDP Devcies。再次点击next以后选择安装到那台设备，可以暂时不选择，再点击next。完成策略的模板设置。若新建的是防火墙策略，则只出现防火墙部分，要增加IDP策略的时候则需要在那里选择add IDP Rulebase。点击增加以后会出现一套IDP RULEBASE。（其余honey pot，backdoor也是一样的设置）在source框中点击右键可以选择对应的地址，在attacks框中可以攻击特征库。 此时策略处于模板的形式，还没有安装到指定的设备上。在“Install On”下面的“any”上点击右键，选择“Select Target”。选择需要将此策略安装到指定的设备上。策略新建完成以后需要进行保存。保存好以后，选择“DeviceConfigurationupdate Device Config”对该设备的配置进行升级。IDP配置实例IDP的入侵保护策略配置实例本次配置的采用状态签名和协议异常的全部特征库，针对Metasploit发起的攻击进行检测，主要是针对IIS和SMB协议的攻击，配置图如下所示：本次因为两边的特征库不重叠，也就是策略1和策略2所引用的特征库都不一样，所以不需要选择Terminate Match。如果是新手配置IDP，action可以配置recommand，可以对威胁等级较高的攻击进行drop connect或drop packet。通过MetaSploit进行攻击发现有以下的条目经过检查发现被攻击的机器没有启动IIS，所以发送过去的80端口的请求，均被客户端发送RST数据包终结请求。在客户端安装了IIS以后，再次进行攻击就由于有IIS的响应而产生了对应的LOG，如下所示：攻击已经被发现，但本次由于是测试IDP对攻击的检查力度，所以action都是acceptIDP防网络扫描配置实例本次测试IDP的防扫描功能用的是NMAP工具，命令如下所示：nmap sS X.X.X.XIDP的配置如下：Traffic anomalies选择detect，severity选择default，缺省是critical的等级在进行端口扫描以后出现以下的LOG日志信息IDP防SYN配置实例本次测试IDP的防SYN攻击功能采用的是HPING产生的SYN FLOOD攻击，命令如下所示hping x.x.x.x -p port -i u1000 -S 而IDP的配置如下所示：MODE的模式采用了passive模式。在syn泛滥的时候在达到一定程度的时候自动block其他的syn flood流量。采用hping以后产生了如下的告警信息：IDP特征库的升级和IDP ENGINE的升级1、 IDP特征库的升级选择“ToolsView/Update NSM Attack Database”可以对特征库进行升级，升级特征库的方式可通过网络的NAPT或者网络代理进行升级（通过代理升级需要在2007以后的版本才带）点击”Preferences”可以设置升级的方式和升级特征库的网页。点击”attack object”，进入升级设置的环境，”restore default”可以恢复默认的升级路径。2、 IDP engine升级IDP engine是IDP sen