任务十一:企业网络安全预警
This presentation is the property of its rightful owner.
Sponsored Links
1 / 80

任务十一:企业网络安全预警 PowerPoint PPT Presentation


  • 57 Views
  • Uploaded on
  • Presentation posted in: General

任务十一:企业网络安全预警. 《 计算机安全维护 》. 内容简介. 一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结. 一、任务内容. 二、 背景知识. 1 、入侵检测技术 2 、入侵检测的部署. 1 、 入侵检测技术. 入侵检测的定义 入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵,并对此做出反映的过程。

Download Presentation

任务十一:企业网络安全预警

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


6040173

任务十一:企业网络安全预警

《计算机安全维护》


6040173

内容简介

  • 一、任务内容

  • 二、背景知识

  • 三、风险分析

  • 四、步骤介绍

  • 五、任务小结


6040173

一、任务内容


6040173

二、 背景知识

  • 1、入侵检测技术

  • 2、入侵检测的部署


6040173

1、 入侵检测技术

  • 入侵检测的定义

  • 入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵,并对此做出反映的过程。

  • 入侵检测系统IDS(Intrusion Detection System)是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象对系统的入侵,另一方面还监视授权对象对系统资源的非法操作。


6040173

1、 入侵检测技术

  • 入侵检测的作用

  • (1)监视、分析用户和系统的运行状况,查找非法用户和合法用户的越权操作;

  • (2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;

  • (3)对用户非正常活动的统计分析,发现攻击行为的规律;

  • (4)检查系统程序和数据的一致性和正确性;

  • (5)能够实时地对检测到的攻击行为进行响应;

  • (5)对操作系统审计跟踪管理,并识别用户违反安全策略的行为。


6040173

1、 入侵检测技术

  • 入侵检测的意义

  • (1)单纯的防护技术容易导致系统的盲目建设,一方面是不了解安全威胁的严峻和当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致资源浪费。

  • (2)防火墙策略有明显的局限性。

  • (3)静态安全措施不足以保护安全对象属性。

  • (4)而入侵检测系统在动态安全模型中占有重要的地位。


6040173

2、 入侵检测的部署

  • (1)共享网络

    • 共享式局域网是最简单的网络,它由共享式HUB连接各个主机。在这种网络环境下,一般来说,只需要配置一个网络探测器就可以达到监控全网的目的。

  • (2)墙前监听和墙后监听

    • 安装两个在防火墙的前段和后端,随时监视数据包的情况,可以保护防火墙。

  • (3)交换机具备管理功能(端口镜像)

    • 使用交换机(Switch)作为网络中心交换设备的网络即为交换式网络。交换机工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将主机连接到镜像端口即可,此时可以捕获整个网络中所有的数据通讯。


6040173

2、 入侵检测的部署

  • (4)代理服务器

  • 在代理服务器上安装入侵检测就可以监听整个网络数据。

  • (5)交换机不具备管理功能

  • 一般简易型的交换机不具备管理功能,不能通过端口镜像来实现网络的监控分析。如果中心交换或网段交换没有端口镜像功能,一般可采取串接集线器(Hub)或分接器(Tap)的方法进行部署。

  • 使用网络分接器(Tap):使用Tap时,成本较高,需要安装双网卡,并且在管理机器不能上网,如果要上网,需要再安装另外的网卡,将探测器部署在网络分接器上。

  • 使用集线器(Hub):Hub成本低,但网络流量大时,性能不高(Tap即使在网络流量高时,也对网络性能不会造成任何影响),将探测器部署在集线器上。

  • (6)DMZ区

  • 将入侵检测部署在DMZ区对外网络节点上进行监控。


6040173

三、风险分析


6040173

四、步骤介绍

  • 1、入侵检测的部署、安装及配置

  • 具体步骤目标:

  • 1.能正确部署入侵检测系统

  • 2.能正确安装入侵检测系统

  • 3.能正确设置入侵检测系统


6040173

四、步骤介绍

  • 1、入侵检测的部署、安装及配置

  • 网络环境:


6040173

四、步骤介绍

  • 2、入侵检测与防火墙的联动

  • 具体步骤目标:能正确地对防火墙和入侵检测进行联动设置

  • 网络环境:


6040173

1、入侵检测的部署、安装及配置

  • 1.入侵检测系统的部署

  • 2.入侵检测系统的安装

    • 入侵检测的物理安装

    • 入侵检测的软件安装

  • 3.入侵检测系统的配置

    • 入侵检测系统探测器超级终端配置

    • 入侵检测系统探测器系统配置

    • 控制台系统配置

    • 入侵检测数据库系统的配置

    • 配置探头

    • 策略配置


6040173

1.入侵检测系统的部署

  • 入侵检测是监控某一局域网内部的网络数据流量,所以需要将入侵检测部署在该网络对外的接口设备上面。

    • 1)将联想网御入侵检测的监控端口与交换机的镜像口连接,用于检测整个DMZ区的网络流量。

    • 一般来说,交换机的镜像口为1号端口,有些交换机的镜像端口需要配置,配置方法会在其他实训中说明。

    • 2)将联想网御入侵检测的COM口和控制主机的COM口连接,用于配置入侵检测的检测探头。

    • 3)将联想网御入侵检测的通讯端口与控制主机的网卡口相连接,用于查看当前网络中的数据流量。


6040173

1.入侵检测系统的部署

  • 在控制主机上安装入侵检测,配置相应策略之后看到当前网络中的数据。

  • 到此入侵检测已经部署成功。


6040173

2.入侵检测的物理安装


6040173

2.入侵检测的物理安装

  • IDS的探测器部署在需要监听的网络节点上,其主要步骤如下:

  • 1)将监听口上的RJ45接口的数据线插入被监听网络的网络节点上(通常是交换机的公共映射端口);

  • 2)将通讯口上的RJ45接口的数据线插入控制台主机的网卡上。


6040173

3.入侵检测的软件安装

  • 1)在随机光盘中打开程序,开始安装。

  • 2)在欢迎窗口中单击【下一步】按钮,弹出同意协议窗口。在注册信息窗口单击【下一步】按钮继续安装。

  • 3)选择安装路径。控制台的默认安装目录是“C:\Program Files\Lenovo\IDS”。如果希望改变默认路径安装目录,单击【查找】按钮打开对话框,选择安装目录,在当前窗口单击【确定】按钮。然后在选择安装目录对话框中单击【下一步】按钮继续安装。

  • 4)选择安装证书。

  • 5)在对话框中单击【查找】按钮,选择证书文件。

  • 6)选择完证书文件,在对话框中单击【下一步】按钮。


6040173

3.入侵检测的软件安装

  • 7)选择管理程序组,缺省为网御IDS控制台,单击【下一步】按钮继续安装。

  • 8)开始安装,单击【下一步】按钮继续。

  • 9)复制文件。

  • 10)设置日志目录,默认的日志文件夹是“C:\Program Files\Lenovo\IDS\ Manager\Log”。

  • 11)LenovoIDS控制安装完成,单击【完成】按钮结束安装过程。


6040173

4.入侵检测系统探测器超级终端配置

  • 通过配置串口电缆连接探测器到配置终端。使用计算机进行配置,需要在计算机上运行终端程序,建立新的连接。

  • 1)打开【开始】【程序】【附件】【通讯】【超级终端】,键入新连接的名称,单击【确定】按钮。

  • 2)在进行本地配置时,【连接时使用】选择连接的串口(注意选择的串口应该与配置电缆实际连接的串口一致),然后单击【确定】按钮。


6040173

4.入侵检测系统探测器超级终端配置

  • 3)在串口的属性对话框中设置波特率为38400,数据位为8,奇偶校验为无,停止位为1,流量控制为无,单击【确定】按钮,进入超级终端窗口。


6040173

4.入侵检测系统探测器超级终端配置

  • 4)在超级终端中选择【文件】【属性】【设置】项,进入属性设置窗口,选择终端仿真类型为【自动检测】,单击【确定】按钮,返回超级终端窗口。


6040173

5.入侵检测系统探测器系统配置

  • 1)打开配置好的超级终端,按【回车】键,配置终端上出现命令提示行“login:”。


6040173

5.入侵检测系统探测器系统配置

  • 2)输入用户名和密码后,即可登陆配置页面。


6040173

5.入侵检测系统探测器系统配置

  • 3)配置IP地址

  • 在命令行界面上,依次选择【主菜单】【系统管理】【网络配置】【查看&编辑IP配置】菜单项,打开【查看IP界面】。


6040173

5.入侵检测系统探测器系统配置

  • 默认配置为:IP地址:192.168.0.253

  • 子网掩码:255.255.255.0

  • 网关:192.168.0.1

  • “是否要进行IP配置?(0-否/1-是)”选择1,修改IP地址和子网掩码。


6040173

6.控制台系统配置

  • 1)进入入侵检测控制台界面

  • 打开系统,系统会要求输入帐户和密码


6040173

6.控制台系统配置

  • 1)进入入侵检测控制台界面

  • 打开系统,系统会要求输入帐户和密码

  • 系统默认的用户为lenovo,为超级用户,密码为缺省的default。

  • 也可以自己添加管理员并设置权限。


6040173

6.控制台系统配置

  • 2)在控制台窗口中,选择【资产】【引擎】菜单项,打开【客户资产管理】【引擎】窗口。


6040173

6.控制台系统配置

  • 3)单击【添加】按钮,打开【添加引擎】窗口。


6040173

6.控制台系统配置

  • 输入如下信息:

  • 名称:输入LenovoIDS引擎的名称。

  • 类型:选择“LenovoIDS”。

  • 组:选择引擎组,在【资产】【引擎组】菜单项中定义。缺省的引擎组为IDS。

  • IP/端口:设置IP地址和端口,端口默认为2002。

  • 策略:单击策略栏右侧的按钮,打开【策略项属性】窗口。


6040173

6.控制台系统配置

  • 4)单击【刷新引擎】按钮,刷新引擎列表,选择需要添加的策略,单击【应用策略】按钮添加策略到引擎,单击【确定】按钮增加策略。


6040173

6.控制台系统配置

  • 5)确认无误后,单击引擎状态复选框下的【确定】按钮,增加引擎。


6040173

6.控制台系统配置

  • 6)选择同步菜单,下发并应用策略到引擎。

  • 增加后的引擎将出现在主窗口左侧的树型目录中。


6040173

7.入侵检测数据库系统的配置

  • MS-SQL Server数据库生成器用于在使用MS-SQL Server作为日志保存数据库时自动创建数据库表。准备工作:

  • 首先要安装MS-SQL Server数据库;记录访问数据库的帐户和口令。

  • 在安装MS-SQL Server的服务器上选择创建数据库的路径。如果不存在,需要手工创建。记录改路径。


6040173

7.入侵检测数据库系统的配置

  • 1)运行MS-SQL Server数据库生成器。可以安装MS-SQL Server服务器在本地运行,也可以运行在网络中的任何一台主机上。

  • 运行方式包括自动和手动两种。手动方式需要用户按照顺序一步一步完成操作,自动运行将根据设置好的参数自动完成所有操作。


6040173

7.入侵检测数据库系统的配置

  • 2)连接数据库

  • SQL服务器名:安装了MS-SQL Server数据库服务器的主机名或IP地址;

  • SQL服务器(sa)帐户名:访问MS-SQL Server数据库的帐户名称,默认为“sa”;

  • SQL服务器(sa)口令:访问MS-SQL Server数据库的口令,默认为“sa”;

  • 初始化数据库


6040173

7.入侵检测数据库系统的配置

  • 3)创建基本数据表


6040173

7.入侵检测数据库系统的配置

  • 4)创建管理日志数据库


6040173

7.入侵检测数据库系统的配置

  • 5)创建汇总数据库

  • 注:输入数据库路径要保持一致。


6040173

7.入侵检测数据库系统的配置

  • 6)创建统计数据库

  • 7)设置好参数后,点击【开始】按钮。

  • 8)如果设置的参数全部正确,将成功创建数据库。


6040173

7.入侵检测数据库系统的配置

  • 9)在【资产】【环境设置】【常规】中选择日志保存数据库为MS SQL-Server。

  • SQL服务器地址:安装MS-SQL Server的服务器的IP地址;

  • SQL数据库名:保持默认;

  • 日志目录:必须输入相同的路径值。


6040173

7.入侵检测数据库系统的配置

  • 10)设置好参数后,单击【连接测试】按钮,数据库设置正确,可以切换到MS-SQL Server数据库。

  • 11)在提示“成功连接MS-SQL数据库”后,点击【确定】按钮,将提示:

  • 点击【是(Y)】按钮后重新启动控制台。重启后,系统使用MS-SQL Server作为日志保存数据库。

  • 到此入侵检测安装和配置工作全部完成。


6040173

8.配置探头

  • 1)启动联想网御入侵检测

  • 以联想lenovo IDS系统为例阐述IDS引擎和策略配置的过程,首先打开系统,系统会要求输入帐户和密码。

  • 系统默认的用户为lenovo,为超级用户,也可以自己添加管理员并设置权限。


6040173

8.配置探头

  • 2)配置引擎策略

  • 配置引擎:在刚刚安装的IDS系统中是没有为用户设置引擎的,需要自己设置,所以首先在资产菜单中选择引擎。


6040173

8.配置探头

  • 进入对话框之后可以看到窗口中有很多的选项。

  • 这里首先选择引擎点左下方的添加进入添加引擎对话框,首先设置引擎的名称类型这里选择Lenovo IDS类型,在组选项中选择IDS,将监控端IP地址输入IP框,在端口设置中选择默认的2002端口。


6040173

8.配置探头

  • 配置引擎策略:在策略的选择中首先进入策略的对话框。

  • 根据现有的网络环境,配置缺省策略就能满足要求,首先从系统自带的缺省策略中派生出一个缺省策略,点击应用策略就完成了引擎策略的配置。


6040173

8.配置探头

  • 策略的配置是IDS非常重要的一个环节,配置合适的策略就可以在一定的情况下有效的对网络入侵进行检测 ,在引擎菜单中选择策略进入策略编辑器。


6040173

8.配置探头

  • 在策略编辑器窗口中可以看到,LenovoIDS内置有5个默认策略,分别是Emial、FTP、 WWW、缺省和最大化策略。分别用来检测不同环境下的网络事件。这5个策略为只读策略不可删除。只读策略可以派生出新策略,派生的策略可以修改和删除。用户可以通过编辑派生出的策略以生成合适实际网络环境的应用策略。

  • 这5个只读策略的适用环境分别是:

  • Email策略:适用于独立监控Emil事件的环境,如DMZ中Email Server监控。

  • FTP策略:适用于独立监控FTP事件的环境

  • WWW策略:适用于独立监控Web事件的环境,如DMZ中的Web Server监控

  • 缺省策略:适用于各种网络环境

  • 最大化策略:所有入侵规则都选中,适用于比较复杂的网络环境,或用于产品测试环境。

  • 在这些策略中可以先复制只读策略然后在策略编辑器中在添加想要进行检测的事件名称。从而产生所需要的策略。


6040173

8.配置探头

  • 这里选择缺省策略进入可以看到缺省策略所能检测的范围。


6040173

8.配置探头

  • 点事件旁边的策略选项看到缺省策略能检测的事件,在右边的面板中(红色框)可以根据实际的需要对所要检测的网络事件添加到策略中。也可以对现有的策略中所要进行检测的网络事件进行筛选,只选出想要进行检测的网络事件。

  • 这样就完成了策略的配置。


6040173

2、入侵检测与防火墙的联动

  • 1.生成防火墙和IDS的通讯密钥

  • 2.联想网御IDS与防火墙联动证书上传防火墙

  • 3.网御IDS与防火墙联动IDS端配置


1 ids

1.生成防火墙和IDS的通讯密钥

  • 1.生成防火墙和IDS的通讯密钥

  • 1)安装网御密钥管理系统KDC

  • 通过运行随机光盘中“PUMA_KDC”目录下的“Setup.exe”文件,按照安装向导完成【网御主密钥管理系统】的安装。

  • 2)生成网御防火墙和IDS的通讯密钥

  • 运行【开始】菜单里的【网御主密钥管理系统】菜单下的KDC,运行网御主密钥管理系统。


1 ids1

1.生成防火墙和IDS的通讯密钥

  • 输入登陆帐号和口令(缺省安装用户名和口令都为空),进入主界面。

  • 点击【主密钥】按钮后进入主密钥管理界面。


1 ids2

1.生成防火墙和IDS的通讯密钥

  • 点击【添加】按钮后进入【主密钥信息】界面,输入用户标识后点击【确定】。


1 ids3

1.生成防火墙和IDS的通讯密钥

  • 添加完成主密钥后,点击“导出”按钮,进入“导出密钥”界面,输入导出密码(注意,此处的导出密码必需为9位,不能多也不能少)。


1 ids4

1.生成防火墙和IDS的通讯密钥

  • 点击密钥文件后面的[]按钮,选择导出文件的文件名和存放路径(注意:导出文件名必需为“UserMK.dat”,即导出文件名不能修改)。


2 ids

2.联想网御IDS与防火墙联动证书上传防火墙

  • 方法一

  • 可以通过终端或SSH(Securt能够通过ZMODEM上传文件)密钥文件上传到防火墙,在防火墙上执行rz命令,会弹出上传文件对话框,选择KDC生成的UserMK.dat。

  • 上传密钥文件后,使用linkage set puma cert 密钥文件名称(上传的密钥文件名称,如:UserMK.dat), password 口令(KDC中导出时输入的口令)。再执行linkage on puma即可启动防火墙的联动服务。


2 ids1

2.联想网御IDS与防火墙联动证书上传防火墙

  • 方法二

  • 登录防火墙Web管理界面


2 ids2

2.联想网御IDS与防火墙联动证书上传防火墙

  • 打开【系统配置】【联动】下的【IDS产品】。


2 ids3

2.联想网御IDS与防火墙联动证书上传防火墙

  • 选中网御通用安全协议(PUMA)入侵检测系统,并单击【确定】导入密钥文件按钮。


2 ids4

2.联想网御IDS与防火墙联动证书上传防火墙

  • 单击【浏览】按钮。选中“UserMK.dat”,缺省的导出路径在“C:\Program Files\Legend\KDC”。输入管理员口令,即密钥导出时所设置的密码。注意:此密码必须为9位!!!


2 ids5

2.联想网御IDS与防火墙联动证书上传防火墙

  • 导入通讯密钥后,输入IDS通讯端口的IP地址,并顺序单击【确定】和【保存】按钮。完成通讯密钥导入防火墙的工作。


3 ids ids

3.网御IDS与防火墙联动IDS端配置

  • 1.联想网御IDS与防火墙联动证书上传给IDS探测引擎

  • 启动IDS的控制台,点击主界面的【引擎】【引擎控制】按钮,进入【引擎控制】界面。


3 ids ids1

3.网御IDS与防火墙联动IDS端配置

  • 点击按钮,进入如下界面。

  • 单击,选择联想网御IDS与联想网御防火墙的联动证书(此联动密钥证书为“UserMK.dat”)。


3 ids ids2

3.网御IDS与防火墙联动IDS端配置

  • 选择完联想网御IDS与联想网御防火墙的联动密钥证书后,点击按钮,将联动密钥证书上传到联想网御IDS的探测引擎上。


3 ids ids3

3.网御IDS与防火墙联动IDS端配置

  • 2.策略编辑及应用

  • (1)点击IDS控制台主窗口下的【引擎】菜单的【策略】按钮,进入【LenovoIDS策略编辑器】界面


3 ids ids4

3.网御IDS与防火墙联动IDS端配置

  • (2)选择需要编辑的策略点击【编辑】按钮,打开策略编辑器。


3 ids ids5

3.网御IDS与防火墙联动IDS端配置

  • (3)选择工具栏中的【响应】按钮,打开响应对象窗口。


3 ids ids6

3.网御IDS与防火墙联动IDS端配置

  • (4)将滚动条拖拽到底部,选中【联想网御防火墙】,点击【编辑】按钮,打开联想网御防火墙的【响应属性】窗口。


3 ids ids7

3.网御IDS与防火墙联动IDS端配置

  • (5)先选中【响应属性】窗口中的【联想网御防火墙】,再选中【响应对象】窗口里的【管理员】,点击【编辑】按钮打开【对象属性】窗口。


3 ids ids8

3.网御IDS与防火墙联动IDS端配置

  • (6)输入防火墙IP地址和密钥口令(用网御主密钥管理系统_KDC导出密钥文件时设置的口令);注意:此处的密钥口令必须为9位,不能多也不能少。

  • (7)设置完响应对象,单击【确定】按钮,保存修改,在【响应方式】对话框,选择【阻断】,双击打开【响应方式属性】对话框。


3 ids ids9

3.网御IDS与防火墙联动IDS端配置

  • (8)设置阻断方向、协议等参数,点击【确定】按钮,保存修改。

  • (9)在LenovoIDS【策略编辑器】界面,点击【事件/策略】按钮下的【策略】按钮,切换界面。


3 ids ids10

3.网御IDS与防火墙联动IDS端配置

  • (10)在左侧事件列表中选择需要设置防火墙阻断的事件或全部,比如“Root帐户登录失败”事件,点击按钮,打开【策略属性】对话框,添加新的检测策略;注意:最好只对部分严重的攻击行为进行防火墙联动,以免由于影响客户网络。

  • (11)点击【响应】右侧的按钮,打开响

  • 应对象列表窗口。


3 ids ids11

3.网御IDS与防火墙联动IDS端配置

  • (12)选择【联想网御防火墙】。


3 ids ids12

3.网御IDS与防火墙联动IDS端配置

  • (13)点击【全部保存】按钮,保存编辑好的检测策略,再点击【退出】按钮,退出策略编辑界面。

  • (14)在【LenovoIDS策略编辑器】界面拖拽修改后的检测策略到需要应用的探测引擎的探头上(如果编辑的是正在应用的检测策略,系统不会提示)。


3 ids ids13

3.网御IDS与防火墙联动IDS端配置

  • (15)点击按钮,并点击按钮关闭【LenovoIDS策略编辑器】。


3 ids ids14

3.网御IDS与防火墙联动IDS端配置

  • (16)点击按钮,下发成功会弹出提示信息。


6040173

五、任务小结

  • 在背景知识中,我们介绍了入侵检测的基本知识和入侵检测的部署知识,以便学生掌握入侵检测相关知识{与我们在课程标准中的能力目标相适应},分析了相关的风险问题,如:网络设备的安装配置、网络设备的相互协作。

  • 本任务设计了入侵检测安装配置、入侵检测和防火墙的联动二个实践技能训练,通过技能练习,达到能够根据实际情况搭建配置网络安全设备的能力训练目标,掌握识别、发现已知或者未知网络攻击的知识。


  • Login