端口镜像与入侵检测系统的部署端口镜像主要内容1.端口镜像概述2.端口镜像配置3.VSPAN配置1.端口镜像概述1.1SPAN的作用交换网络不同于共享网络,不再使用广播式方式进行数据交换。因此必须要有一种新的机制对网络流进行量监。可以通过使用SPAN将一个端口上的帧拷贝到交换机上的另一个连接有网络分析设备或RMON分析仪的端口上来分析该端口上的通讯。SPAN将某个端口上所有接收和发送的帧MIRROR到某个物理端口上来进行分析。但它并不影响源端口和目的端口交换,除非目的端口流量过度。1.2SPAN中的基本概念1.SPAN会话一个SPAN会话是一个目的端口和源端口的组合。可以监控单个或多个接口的输入,输出和双向帧。Switchedport、routedport和AP都可以配置为源端口和目的端口。SPAN会话并不影响交换机的正常操作。2.帧类型接收帧:所有源端口上接收到的帧都将被拷贝一份到目的口。发送帧:所有从源端口发送的帧都将拷贝一份到目的端口。由于某些原因发送到源端口的帧的格式可能改变,例如源端口输出经过路由之后的帧,帧的源MAC、目的MAC、VLANID以及TTL发生变化。同样,拷贝到目的端口的帧的格式也会变化。双向帧:包括上面所说的两种帧。1.端口镜像概述1.3SPAN中的基本概念3.源端口源端口(也叫被被监控口)是一个switchedport、routedport或AP,该端口被监控用做网络分析。4.目的端口SPAN会话有一个目的口(也叫监控口),用于接收源端口的帧拷贝。它可以是switchedport、routedport和AP。5.可监控的流量多播和桥接协议数据单元(BPDU)、链路层发现协议、中继协议、生成树协议和端口聚合协议等。1.端口镜像概述1.指定源端口Switch(config)#monitorsessionsession_numbersourceinterfaceinterface-id[,|-]{both|rx|tx}2.指定目的端口Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id[switch]3.显示SPAN状态Switch#showmonitorsessionsession_number2.端口镜像配置3.VSPAN配置VSPAN的作用SPAN还可以基于VLAN使用。一个源VLAN是一个为了网络流量分析被监控VLAN。VSPAN使用一个或多个VLAN作为SPAN的源。源VLAN中的所有端口成为源端口。对于VSPAN只能监控进入的流量。VSPAN配置1.指定源VLANSwitch(config)#monitorsessionsession_numbersourcevlanvlan-id[,|-]rx2.指定目的端口Switch(config)#monitorsessionsession_numberdestinationinterfaceinterface-id{dot1q|isl}3.显示SPAN状态Switch#showmonitorsessionsession_number3.VSPAN配置入侵检测系统的配置IDS/IPS概述•入侵检测系统(IntrusionDetectionSystem,IDS)–对入侵行为发现(告警)但不进行相应的处理•入侵防护系统(IntrusionPreventionSystem,IPS)–对入侵行为发现并进行相应的防御处理IDS工作原理•使用一个或多个监听端口“嗅探”•不转发任何流量IDS受保护的网络对收集的报文,提取相应的流量统计特征值,并利用内置的特征库,与这些流量特征进行分析、比较、匹配根据系统预设的阀值,匹配度较高的报文流量将被认为是攻击,IDS将根据相应的配置进行报警或进行有限度的反击IDS工作流程信息收集信号分析实时记录、报警或有限度反击包括网络流量的内容、用户连接活动的状态和行为3种技术手段:模式匹配统计分析完整性分析模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。优点:只需收集相关的数据集合,显著减少系统负担。缺点:需要不断的升级,不能检测到从未出现过的攻击手段统计分析首先给信息对象(如用户、连接等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数等)。测量属性的平均值将被用来与网络行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。优点:可检测到未知的入侵和更为复杂的入侵缺点:误报、漏报率高,且不适应用户正常行为的突然改变完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特洛伊木马感染的应用程序方面特别有效。优点:只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现缺点:不用于实时响应对入侵行为做出适当的反应,包括详细日志记录、实时报警和有限度的反击攻击源IPS工作原理•提供主动性的防护,预先对入侵活动和攻击性网络流量进行拦截IPS受保护的网络继承和发展了IDS的深层分析技术采用了类似防火墙的在线部署方式来实现对攻击行为的阻断IPS工作流程嵌入模式的IPS直接获取数据包,而旁路模式的IPS通过端口镜像获取获取数据包匹配过滤器对数据包进行分类判断数据包是否命中数据包的放行或阻断分类的目的是为了下一步提供合适的过滤器,分类的依据是数据包的报头信息每个过滤器都包含一系列规则,负责分析对应的数据包所有过滤器都是并行工作,如果任何数据包符合匹配要求,该数据包将被标为命中如果判断无攻击迹象则放行数据包,如果发现攻击,立即采取抵御措施:告警、丢弃数据包、切断此次应用会话、切断此次TCP连接IPS的分类•基于主机的入侵防护(HIPS)–通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序–可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为•基于网络的入侵防护(NIPS)–通过检测流经的网络流量,提供对网络系统的安全保护–必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能CiscoIDS/IPS系统•CiscoIDS/IPS产品线主要包含的设备类型–设备传感器产品:IPS4200系列–模块化产品:•ASA上的高级检测和保护安全服务模块(AIP-SSM)•Catalyst6500系列交换机和7600系列路由器上的安全模块IDSM•综合业务路由器(ISR)上的IPS增强型集成模块(IPS-AIM)–集成式产品:•路由器IOS集成IPS功能•ASA/PIX集成IPS功能–主机IDS/IPS产品:CSA(CiscoSecurityAgent,Cisco安全代理)IPS4200系列传感器2-1•产品型号有4215、4240、4255、4260和4270•产品功能–细致检查第2层到第7层的流量–阻止恶意流量,包括网络病毒、蠕虫、间谍软件、广告软件等–可同时以混杂模式和内部模式运行–支持多接口以监控多个子网–基于特征和基于异常的检测功能–丰富的传输级性能选择,从65Mb/s到2Gb/s–传感器软件内部集成基于Web的管理解决方案IPS4200系列传感器2-2•IPS4200典型工作模式–IPS模式•可以在线检测攻击并拦截攻击–IDS模式•可以与网络设备(路由器、交换机和防火墙)联动IPS4200的部署IPSInternetIDS受保护的网络受保护的网络其他网络IDS可以部署在防火墙外可以部署在防火墙内IPS4200初始化配置•进入CLI–默认的用户名是cisco,密码是cisco–第一次登录时会被提示要求更改默认密码•运行setup命令–主机名称–IP地址及掩码–默认网关–Telnet服务器状态(默认为禁用)–Web服务器端口(默认为443)用户角色是管理员新密码至少8个字符sensor#setup---SystemConfigurationDialog---Atanypointyoumayenteraquestionmark'?'forhelp.Userctrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'.CurrentConfiguration:servicehostnetwork-settingshost-ip10.1.9.201/24,10.1.9.1host-namesensortelnet-optiondisabledftp-timeout300nologin-banner-textexittime-zone-settingsoffset0standard-time-zone-nameUTCexitsummertime-optiondisabledntp-optiondisabledexitserviceweb-serverport443exitCurrenttime:WedMay510:25:352011Continuewithconfigurationdialog?[yes]:输入yes或直接回车,进入配置对话框设置主机名和管理IP地址•配置完成后需要重启IPS后主机名才生效sensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#host-nameipssensor(config-hos-net)#host-ip10.1.1.10/24,10.1.1.254sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#进入主机配置模式网络配置应用配置配置信任主机•配置信任主机,即允许哪些网段或主机访问IPS,访问方式包括Telnet、FTP、SSH和HTTPsensor#confterminalsensor(config)#servicehostsensor(config-hos)#network-settingssensor(config-hos-net)#access-list10.1.1.0/24sensor(config-hos-net)#telnet-optionenabledsensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges:?[yes]:sensor(config)#允许10.1.1.0/24网段中的主机通过Telnet访问IPS配置IPS设备管理器(IDM)•首先在管理主机上安装Java虚拟机,然后启用Java控制面板,配置JavaRuntime参数设置内存为256M配置IPS设备管理器(IDM)•然后在IE浏览器中输入,按提示输入用户名和密码配置IDM用户•IPS支持四种用户角色,用户角色决定用户的权限级别–管理员(Administrator):该用户角色拥有最高的权限等级,能执行传感器上的所有功能–操作员(Operator):该用户角色拥有第2高的权限等级,能执行如修改密码、更改特征库、配置虚拟传感器等有限功能–观察员(Viewer):该用户角色的权限等级最低,可以查看配置和事件,但是不能修改配置–服务(Service):该用户角色属于特殊账号,主要用于技术支持和故障诊断配置传感接口•传感接口也称嗅探接口,是用于监控和分析网络流量的特定接口,该接口没有IP地址•传感接口可以运行在混杂模式,也可以配置为在线模式•混杂模式–通常称为IDS解决方案,传感器只会分析镜像备份过来的流量•在线(Inline)模式–接口可以配置为接口对模式或VLAN对模式接口对(InterfacePairs)模式•流量通过传感器的第1个接口对进入并从第2个接口对流出•两个接口必须分别