端口镜像与入侵检测系统布置

端口镜像与入侵检测系统布置第一页，共43页。端口镜像第二页，共43页。主要内容1.端口镜像概述2.端口镜像配置3.VSPAN配置第三页，共43页。1.端口镜像概述1.1SPAN的作用

交换网络不同于共享网络，不再使用广播式方式进行数据交换。因此必须要有一种新的机制对网络流进行量监。可以通过使用SPAN将一个端口上的帧拷贝到交换机上的另一个连接有网络分析设备或RMON分析仪的端口上来分析该端口上的通讯。SPAN将某个端口上所有接收和发送的帧MIRROR到某个物理端口上来进行分析。但它并不影响源端口和目的端口交换，除非目的端口流量过度。第四页，共43页。1.2SPAN中的基本概念1.SPAN会话一个SPAN会话是一个目的端口和源端口的组合。可以监控单个或多个接口的输入，输出和双向帧。Switchedport、routedport和AP都可以配置为源端口和目的端口。SPAN会话并不影响交换机的正常操作。2.帧类型接收帧：所有源端口上接收到的帧都将被拷贝一份到目的口。发送帧：所有从源端口发送的帧都将拷贝一份到目的端口。由于某些原因发送到源端口的帧的格式可能改变，例如源端口输出经过路由之后的帧，帧的源MAC、目的MAC、VLANID以及TTL发生变化。同样，拷贝到目的端口的帧的格式也会变化。双向帧：包括上面所说的两种帧。1.端口镜像概述第五页，共43页。1.3SPAN中的基本概念3.源端口源端口(也叫被被监控口)是一个switchedport、routedport或AP，该端口被监控用做网络分析。4.目的端口

SPAN会话有一个目的口(也叫监控口)，用于接收源端口的帧拷贝。它可以是switchedport、routedport和AP。5.可监控的流量多播和桥接协议数据单元（BPDU）、链路层发现协议、中继协议、生成树协议和端口聚合协议等。1.端口镜像概述第六页，共43页。1.指定源端口

Switch(config)#monitorsessionsession_numbersourceinterfaceinterface-id[，|-]{both|rx|tx}2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id[switch]3.显示SPAN状态

Switch#showmonitorsessionsession_number

2.端口镜像配置第七页，共43页。3.VSPAN配置VSPAN的作用SPAN还可以基于VLAN使用。一个源VLAN是一个为了网络流量分析被监控VLAN。VSPAN使用一个或多个VLAN作为SPAN的源。源VLAN中的所有端口成为源端口。对于VSPAN只能监控进入的流量。第八页，共43页。VSPAN配置1.指定源VLANSwitch(config)#monitorsessionsession_numbersourcevlanvlan-id[，|-]rx2.指定目的端口

Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id{dot1q|isl}3.显示SPAN状态

Switch#showmonitorsessionsession_number3.VSPAN配置第九页，共43页。入侵检测系统的配置第十页，共43页。IDS/IPS概述入侵检测系统（IntrusionDetectionSystem，IDS）对入侵行为发现（告警）但不进行相应的处理入侵防护系统（IntrusionPreventionSystem，IPS）对入侵行为发现并进行相应的防御处理第十一页，共43页。IDS工作原理使用一个或多个监听端口“嗅探”

不转发任何流量IDS受保护的网络对收集的报文，提取相应的流量统计特征值，并利用内置的特征库，与这些流量特征进行分析、比较、匹配根据系统预设的阀值，匹配度较高的报文流量将被认为是攻击，IDS将根据相应的配置进行报警或进行有限度的反击第十二页，共43页。IDS工作流程信息收集信号分析实时记录、报警或有限度反击包括网络流量的内容、用户连接活动的状态和行为3

种技术手段：模式匹配统计分析完整性分析模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。优点：只需收集相关的数据集合，显著减少系统

负担。缺点：需要不断的升级，不能检测到从未出现过

的攻击手段统计分析首先给信息对象（如用户、连接等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数等）。测量属性的平均值将被用来与网络行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。优点：可检测到未知的入侵和更为复杂的入侵缺点：误报、漏报率高，且不适应用户正常行为

的突然改变完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特洛伊木马感染的应用程序方面特别有效。优点：只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现缺点：不用于实时响应对入侵行为做出适当的反应，包括详细日志记录、实时报警和有限度的反击攻击源第十三页，共43页。IPS工作原理提供主动性的防护，预先对入侵活动和攻击性网络流量进行拦截IPS受保护的网络继承和发展了IDS的深层分析技术采用了类似防火墙的在线部署方式来实现对攻击行为的阻断第十四页，共43页。IPS工作流程嵌入模式的IPS直接获取数据包，而旁路模式的IPS通过端口镜像获取获取数据包匹配过滤器对数据包进行分类判断数据包是否命中数据包的放行或阻断分类的目的是为了下一步提供合适的过滤器，分类的依据是数据包的报头信息每个过滤器都包含一系列规则，负责分析对应的数据包所有过滤器都是并行工作，如果任何数据包符合匹配要求，该数据包将被标为命中如果判断无攻击迹象则放行数据包，如果发现攻击，立即采取抵御措施：告警、丢弃数据包、切断此次应用会话、切断此次TCP连接第十五页，共43页。IPS的分类基于主机的入侵防护（HIPS）通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为基于网络的入侵防护（NIPS）通过检测流经的网络流量，提供对网络系统的安全保护必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能第十六页，共43页。CiscoIDS/IPS系统CiscoIDS/IPS产品线主要包含的设备类型设备传感器产品：IPS4200系列模块化产品：ASA上的高级检测和保护安全服务模块（AIP-SSM）Catalyst6500系列交换机和7600系列路由器上的安全模块IDSM综合业务路由器（ISR）上的IPS增强型集成模块（IPS-AIM）集成式产品：路由器IOS集成IPS功能ASA/PIX集成IPS功能主机IDS/IPS产品:CSA（CiscoSecurityAgent，Cisco安全代理）第十七页，共43页。IPS4200系列传感器2-1产品型号有4215、4240、4255、4260和4270产品功能细致检查第2层到第7层的流量阻止恶意流量，包括网络病毒、蠕虫、间谍软件、广告软件等可同时以混杂模式和内部模式运行支持多接口以监控多个子网基于特征和基于异常的检测功能丰富的传输级性能选择，从65Mb/s到2Gb/s传感器软件内部集成基于Web的管理解决方案第十八页，共43页。IPS4200系列传感器2-2IPS4200典型工作模式IPS模式可以在线检测攻击并拦截攻击IDS模式可以与网络设备（路由器、交换机和防火墙）联动IPS4200的部署IPSInternetIDS受保护的网络受保护的网络其他网络IDS可以部署在防火墙外可以部署在防火墙内第十九页，共43页。IPS4200初始化配置进入CLI默认的用户名是cisco，密码是cisco第一次登录时会被提示要求更改默认密码运行setup命令主机名称IP地址及掩码默认网关Telnet服务器状态（默认为禁用）Web服务器端口（默认为443）用户角色是管理员新密码至少8个字符sensor#setup---SystemConfigurationDialog---Atanypointyoumayenteraquestionmark'?'forhelp.Userctrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'.

CurrentConfiguration:servicehostnetwork-settingshost-ip01/24,host-namesensortelnet-optiondisabled300nologin-banner-textexittime-zone-settingsoffset0standard-time-zone-nameUTCexitsummertime-optiondisabledntp-optiondisabledexitserviceweb-serverport443exitCurrenttime:WedMay510:25:352011Continuewithconfigurationdialog?[yes]：输入yes或直接回车，进入配置对话框第二十页，共43页。设置主机名和管理IP地址配置完成后需要重启IPS后主机名才生效sensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#host-nameipssensor(config-hos-net)#host-ip0/24,54sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#进入主机配置模式网络配置应用配置第二十一页，共43页。配置信任主机配置信任主机，即允许哪些网段或主机访问IPS，访问方式包括Telnet、FTP、SSH和HTTPsensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#access-list/24sensor(config-hos-net)#telnet-optionenabledsensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#允许/24网段中的主机通过Telnet访问IPS第二十二页，共43页。配置IPS设备管理器（IDM）首先在管理主机上安装Java虚拟机，然后启用Java控制面板，配置JavaRuntime参数设置内存为256M第二十三页，共43页。配置IPS设备管理器（IDM）然后在IE浏览器中输入，按提示输入用户名和密码第二十四页，共43页。配置IDM用户IPS支持四种用户角色，用户角色决定用户的权限级别管理员（Administrator）：该用户角色拥有最高的权限等级，能执行传感器上的所有功能操作员（Operator）：该用户角色拥有第2高的权限等级，能执行如修改密码、更改特征库、配置虚拟传感器等有限功能观察员（Viewer）：该用户角色的权限等级最低，可以查看配置和事件，但是不能修改配置服务（Service）：该用户角色属于特殊账号，主要用于技术支持和故障诊断第二十五页，共43页。配置传感接口传感接口也称嗅探接口，是用于监控和分析网络流量的特定接口，该接口没有IP地址传感接口可以运行在混杂模式，也可以配置为在线模式混杂模式通常称为IDS解决方案，传感器只会分析镜像备份过来的流量在线（Inline）模式接口可以配置为接口对模式或VLAN对模式第二十六页，共43页。接口对（InterfacePairs）模式流量通过传感器的第1个接口对进入并从第2个接口对流出两个接口必须分别属于不同的VLAN，但属于同一个IP子网VLAN10VLAN20G0/1G0/2同一个IP子网/24配置接口对第二十七页，共43页。VLAN对（VLANPairs）模式创建子接口，流量进入到VLAN10后被检测，并在相同的物理接口将带有VLAN20标记的流量发送出去VLAN10VLAN20G0/1F0/1Trunk配置VLAN对第二十八页，共43页。配置旁路（Bypass）模式IPS的旁路模式只工作在Inline模式，该模式有三个选项：on、off和autoAuto：传感器宕机时允许流量通过，传感器正常工作时就要对流量进行审查和分析，这是默认的模式Off：禁止旁路模式，传感器宕机时就将流量丢弃On：永远不对流量进行审查和分析第二十九页，共43页。配置分析引擎将接口分配给分析引擎分析引擎从接口处获取数据包并对其进行分析，然后与定义好的签名进行比对，做出指定的动作将接口对分配给默认虚拟传感器vs0第三十页，共43页。特征（Signature）特征库和特征引擎是IPS解决方案架构的基础特征是对攻击者进行基于网络的攻击时所呈现的网络流量模式的描述当检测到恶意行为时，IPS通过将流量与具体特征比对，监控网络流量并生成警报特征引擎是相似特征的集合的一个分组，每个分组检测特定类型的行为IPS的特征引擎分为很多种类IPS的特征引擎第三十一页，共43页。事件动作当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置IPS的事件动作DenyattackerInline:拒绝攻击者的ip地址DenyattackerServicePairinline:以攻击者的地址和被攻击者的服务端口为拒绝对象DenyattackerVictimPairinline:以攻击者和受害者地址为拒绝对象Denyconnectioninline:拒绝这个TCP流量的现在和将来的包Denypacketinline:丢弃这个数据包第三十二页，共43页。事件动作当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置IPS的事件动作LogAttackerPackets:记录攻击者地址LogPairPackets:记录攻击和受害者地址LogVictimPackets:记录受害者地址ProduceAlert:生成报警ProduceVerboseAlert:详细的报警第三十三页，共43页。事件动作当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置IPS的事件动作RequestBlockConnection:对攻击响应控制器（ARC）发送请求以切断该连接RequestBlockHost:对攻击响应控制器（ARC）发送请求以阻断该攻击主机RequestSNMPTrap:发送SNMPtrap到设置的管理主机，同时会自动产生AlertResetTCPconnection:重置TCP连接IPS的事件动作第三十四页，共43页。配置IPS防御SYNFlood什么是SYNFlood攻击？PC1PC21.发送SYN报文

伪造源IP地址2.发送SYN＋ACK报文3.发送ACK报文？如果短时间内接收到的SYN太多，半连接队列就会溢出，则正常的客户发送的SYN请求连接也会被服务器丢弃！第三十五页，共43页。配置IPS防御SYNFloodIPS配置为接口对模式，防御由PC机发起的SYNFlood攻击RouterF0/1F0/11F0/2IPSVlan10:F0/1,F0/11Vlan20:F0/2,F0/12F0/0:/24F0/12G0/1G0/2/24/24配置SYNFlood特征ID3050的事件动作为DenyAttackerInline和LogAttackerPackets在PC机上发动SYNFlood攻击并伪造源IP地址为，在IDM的监控界面上查看到的事件查看到拒绝攻击者的IP地址第三十六页，共43页。配置IDS与网络设备联动防御SYNFloodIPS接口配