NetEye IDS使用培训 东软集团公司

NetEyeIDS使用培训 Copyright2011ByNeusoftGroup Allrightsreserved 张书恒zhang shh 东软集团股份有限公司 概述 IDS的日常维护 问题处理 IDS的基本安装 配置 IDS是什么 在过去的十多年间 Internet以前所未有的速度发展起来 它的开放性虽然使得信息达到了高度共享和高速传递 但同时也带来了系统入侵 泄密等网络安全问题 只要有网络存在 网络安全问题就会作为一个极其重要和极具威胁性的问题存在 IDS是什么 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全机制 入侵检测系统的英文缩写是IDS IntrusionDetectionSystem 它使用入侵检测技术对网络与其上的系统进行监视 并根据监视结果进行不同的安全动作 最大限度地降低可能的入侵危害 IDS是什么 NetEyeIDS2 2是东软公司开发的网络安全产品 通过对网络进行不间断的监控 扩大网络防御的纵深 利用先进的基于网络数据流实时智能分析技术 判断来自网络内部和外部的入侵企图 从而进行报警 响应和防范 并可对网络的运行及使用情况进行监控 记录和重放 使用户对网络的运行状况一目了然 便于网络问题的分析和网络故障的排除 是防火墙之后的第二道安全闸门 部署IDS的目的 事前警告 入侵检测系统能够在入侵攻击对网络系统造成危害前 及时检测到入侵攻击的发生 并进行报警 事中防御 入侵攻击发生时 入侵检测系统可以通过与防火墙联动 TCPKiller等方式进行报警及动态防御 事后取证 被入侵攻击后 入侵检测系统可以提供详细的攻击信息 便于取证分析 概述 IDS的日常维护 问题处理 IDS的基本安装 配置 IDS在网络中所处的位置 省级节点 IDS在网络中所处的位置 地市节点 省厅设备安装上架位置 地市设备安装上架位置 省级入侵检测系统 D IDS1 产品外观 省级节点 前面板 后面板 地市级入侵检测系统 D IDS2 产品外观 地市级节点 前面板 后面板 省级设备互联表 北京 天津 辽宁 江苏 山东 河南 省级设备互联表 河北 山西 省级设备互联表 内蒙 黑龙江 省级设备互联表 吉林 陕西 地市级设备互联表 IDS管理软件安装 正确地安装和使用NetEyeIDS管理系统 需要一个适当的环境 硬件环境 Pentium350 128M内存 至少100MB可用硬盘空间 10 100M以太网卡 软件环境 中文Windows2000 WindowsXP Windows2003 TCP IP网络环境以及中文InternetExplorer6 0以上版本 注意 请安装杀毒软件和操作系统补丁以确保IDS管理主机自身的安全 IDS管理软件安装 连接用户管理器 管理主机和监控主机通过交叉网线或交换机连接成功后 使用NetEyeIDS用户管理器连接监控主机 监控主机管理口缺省的IP地址是192 168 1 200 第一次运行NetEyeIDS用户管理器时 如图所示 用户管理器的主要功能是 新建用户 删除用户 修改密码 查看和编辑用户 用户管理员可通过此管理器设置新用户的角色 用户管理员 审计管理员 安全管理员 对安全管理员还可以按权限进一步划分 添加用户 添加用户 续 IDS工作模式 两种模式监听模式和桥模式监听模式需要交换机配置镜像口桥模式 两个或两个以上监听网卡机型 配置步骤 参考安装配置手册了解用户网络情况与IDS部署需求IDS上架接入网络监听口 模式区别 管理口 对接 添加安全管理员 用户管理器 修改监控主机地址 初始为192 168 1 200 使用实时监控系统及安全管理器确定数据正常 高级配置 攻击检测策略配置与报警响应邮件报警设置切断连接设置防火墙联动设置其它响应设置策略解读网络审计 传输过滤与内容检测 传输过滤设置内容检测设置 自定义事件 准备自定义事件的相关资料事件编辑 添加事件 保存策略设置 策略编辑 选中自定义事件 设置响应方式 保存策略策略设置 应用策略 FTProot登录自定义事件示例 切断连接设置 只对TCP连接有效需要在主机设置中选中切断模式如果交换机的镜像口只支持单向 使用管理口进行切断编辑策略 对相应规则设置切断连接选项保存策略并应用 邮件报警设置 安全管理器 系统配置 邮件报警中设置邮件服务器及相关配置安全管理器 策略设置 策略编辑 设置邮件报警 保存 策略应用注意 需要IDS监控主机的管理口可以与邮件服务器进行通信 路由设置 DNS设置 测试邮件 技术优势 身份管理安全 NetEyeIDS独有的双重密码认证登录验证体系根据需要采用单密码认证或双重密码认证根据不同的管理需求 分为三种权限 分别是 用户管理员 安全管理员 和 审计管理员 RADIOSKEY认证 33 技术优势 应用审计 NetEyeIDS提供了强大的应用审计功能 针对常见的应用协议均可做到详细的审计记录 并为事后的报文回放提供原始依据 34 技术优势 应用审计数据还原 35 NetEyeIDS具有强大的报文还原能力 可真实的记录网络中的流量事件 并在后续的电子取证中真实的还原出来 让管理员轻松看到当时网络中的状态 当前可回放如下协议事件 SMTPPOP3TELNETFTPHTTPNNTP MSNIMAPDNSYahooMessageRloginRsh 技术优势 报表 NetEyeIDS提供了灵活的报表方式 可根据不同的报表模板生成报表 如攻击事件统计分析 发生次数最多的10个事件 发生攻击事件最多的10个源IP等条件生成不同的报表 同时支持以协议为条件生成报表 如根据HTTP FTP等协议生成报表的功能 36 技术优势 连接审计 NetEyeIDS提供了详细的连接审计记录功能 针对某一地址所使用的不同协议可做详细的连接审计 包括源 目地址 源 目端口 连接状态和连接的数据量大小的审计 37 策略解读 系统策略 七种 MAX Default Solaris winnt winnt iis winnt sqlserver建议不要使用MAX规则分类31类 finger FTP TFTP RPC SMTP TELNET Unix远程服务 域名系统 后门 灵活的策略编辑 NetEyeIDS内置了七种检测策略集 可直接采用其中一种策略使用 系统同时提供了策略集的继承功能 用户可通过继承功能产生新的可编辑的策略集根据实际需求 对策略集进行编辑 编辑项目包括检测事件的有效性 和响应方式的指定 41 自定义事件 NetEyeIDS为高级用户提供了自定义事件编辑器 用户可根据实际网络环境的需要 定制特定的事件检测方法 使得IDS具备检测某些极端事件的能力 端口迁移自动重定向 42 网络信息收集功能 对网络中资产的快速收集功能 批量查找网络中的资产所对应的主机名 组名 IP地址 MAC地址和工作时间段等信息 大大节省了管理员手工查找资产信息的时间 43 网络嗅探器 44 支持网络嗅探器 对网络中的数据流进行分析 解码 查找网络问题 主动检测 NetEyeIDS除具备IDS所必需的被动检测能力外 同时具备独有的主动探测检测功能 采用被动检测和主动检测相结合的方式 更高速更准确的探知攻击事件的发生 并大大缩短了攻击事件的响应时间 主动探测的信息包括资产基本信息 开放的端口等 45 实时数据流量 在实时数据流量窗体中可通过折线图查看当前网络中可监听到的网络实时数据流量信息 包括TCP UDP ICMP三种协议的数据包数和字节数六种数据流量 目前不支持针对单一IP地址 协议应用的实时监控列表 46 响应方式 NetEyeIDS提供了多种响应方式 可利用策略集定义的方式对某一条检测事件指定其特有的响应方式 系统指定的响应包式包括如下11种 47 记录日志实时报警报警切断连接防火墙联动Syslog SNMPTrap播放声音Windows日志Windows消息运行程序 响应设置 Syslog SNMP与邮件报警类似 在系统配置中设置服务器 然后在策略设置中设置响应方式 应用策略即可在安全管理器 工具选项 本地选项 实时报警选项中进行相关配置 然后在策略设置中设置响应方式 应用策略即可 集中管理 树型结构 49 总控中心 一级子控中心 二级子控中心 集中管理 数据上报 50 Internet 总部 分支机构A 分支机构B 一级子控制中心 总控制中心 二级子控制中心 兼容性标准 超过3000条的详实确切的事件描述 影响的平台和解决方法入侵规则库兼容CVE和BID标准相对应的事件描述中添加相应的CVE和BID编号 51 ARP攻击 52 ARP攻击的检测 53 NetEyeIDS提供了强大的自定义事件功能 以便客户根据实际需求定制一些特殊的检测规则 对于ARP欺骗 NetEyeIDS特别定义了一条事件信息 允许用户进行IP MAC绑定的配置 通过IP与MAC的绑定 解决了ARP欺骗的攻击 系统特点 54 报告分析 报警诊断 自动处理 系统监控 解决问题的思路三 功效与流程 55 概述 IDS的日常维护 问题处理 IDS的基本安装 配置 NetEyeIDS的问题处理 在解决问题前 记录以下项 产品型号监控主机版本管理系统版本问题现象 问题 IDS配置界面不可选 可能配置权限不够 在用户管理器下为用户重新配置相应权限没有获得配置 主控状态 在 监控主机 菜单下单击 设置主控状态 子菜单 设置成功后将显示如下图所示对话框 问题 没有报警事件 确认主机配置 监听网卡设置确认监听网口是否正常 实时监控系统查看实时连接 确认系统配置 服务配置 攻击检测是否选中确认系统配置 服务配置 监听子网内容确认检测策略设置 是否为空 事件记录 实时报警 问题 不进行内容恢复 确认系统配置 服务配置 内容恢复是否选中确认系统配置 传输过滤设置确认应用协议设置确认数据库比例 较大 考虑应用新升级包 问题 如何升级 在 系统维护 菜单下单击 系统升级 子菜单 打开系统升级窗体 在 当前系统信息 栏 可查看系统版本号 规则库版本号 升级历史信息 在 选取升级包 栏中可从本地选取或通过浏览器从指定网站下载升级包 问题 如何集中管理 使用集中管理器可以集中管理多个子监控主机及子管理节点 可以对子监控主机进行升级 安全策略下发 对子管理节点进行安全策略下发 问题 如何使用集中管理器 升级 使用集中管理器可以 可以对子监控主机进行升级 安全策略下发 对子管理节点进行安全策略下发 问题 如何使用集中管理器 策略设置 使用集中管理器可以 可以对子监控主机进行升级 安全策略下发 对子管理节点进行安全策略下发 管理器与监控端的版本不一致会导致的问题 1 管理器连接失败2 系统配置界面错误 混乱3 配置结果不生效 NetEyeIDSv2 2的管理端连接v2 1的监控端 IDS2 2 0 100的管理端连接2 2 0 300的监控端 IDS2 2 0