1 / 80

任务十一:企业网络安全预警

任务十一:企业网络安全预警. 《 计算机安全维护 》. 内容简介. 一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结. 一、任务内容. 二、 背景知识. 1 、入侵检测技术 2 、入侵检测的部署. 1 、 入侵检测技术. 入侵检测的定义 入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵,并对此做出反映的过程。

keely-gross
Download Presentation

任务十一:企业网络安全预警

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 任务十一:企业网络安全预警 《计算机安全维护》

  2. 内容简介 • 一、任务内容 • 二、背景知识 • 三、风险分析 • 四、步骤介绍 • 五、任务小结

  3. 一、任务内容

  4. 二、 背景知识 • 1、入侵检测技术 • 2、入侵检测的部署

  5. 1、 入侵检测技术 • 入侵检测的定义 • 入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵,并对此做出反映的过程。 • 入侵检测系统IDS(Intrusion Detection System)是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象对系统的入侵,另一方面还监视授权对象对系统资源的非法操作。

  6. 1、 入侵检测技术 • 入侵检测的作用 • (1)监视、分析用户和系统的运行状况,查找非法用户和合法用户的越权操作; • (2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞; • (3)对用户非正常活动的统计分析,发现攻击行为的规律; • (4)检查系统程序和数据的一致性和正确性; • (5)能够实时地对检测到的攻击行为进行响应; • (5)对操作系统审计跟踪管理,并识别用户违反安全策略的行为。

  7. 1、 入侵检测技术 • 入侵检测的意义 • (1)单纯的防护技术容易导致系统的盲目建设,一方面是不了解安全威胁的严峻和当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致资源浪费。 • (2)防火墙策略有明显的局限性。 • (3)静态安全措施不足以保护安全对象属性。 • (4)而入侵检测系统在动态安全模型中占有重要的地位。

  8. 2、 入侵检测的部署 • (1)共享网络 • 共享式局域网是最简单的网络,它由共享式HUB连接各个主机。在这种网络环境下,一般来说,只需要配置一个网络探测器就可以达到监控全网的目的。 • (2)墙前监听和墙后监听 • 安装两个在防火墙的前段和后端,随时监视数据包的情况,可以保护防火墙。 • (3)交换机具备管理功能(端口镜像) • 使用交换机(Switch)作为网络中心交换设备的网络即为交换式网络。交换机工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将主机连接到镜像端口即可,此时可以捕获整个网络中所有的数据通讯。

  9. 2、 入侵检测的部署 • (4)代理服务器 • 在代理服务器上安装入侵检测就可以监听整个网络数据。 • (5)交换机不具备管理功能 • 一般简易型的交换机不具备管理功能,不能通过端口镜像来实现网络的监控分析。如果中心交换或网段交换没有端口镜像功能,一般可采取串接集线器(Hub)或分接器(Tap)的方法进行部署。 • 使用网络分接器(Tap):使用Tap时,成本较高,需要安装双网卡,并且在管理机器不能上网,如果要上网,需要再安装另外的网卡,将探测器部署在网络分接器上。 • 使用集线器(Hub):Hub成本低,但网络流量大时,性能不高(Tap即使在网络流量高时,也对网络性能不会造成任何影响),将探测器部署在集线器上。 • (6)DMZ区 • 将入侵检测部署在DMZ区对外网络节点上进行监控。

  10. 三、风险分析

  11. 四、步骤介绍 • 1、入侵检测的部署、安装及配置 • 具体步骤目标: • 1.能正确部署入侵检测系统 • 2.能正确安装入侵检测系统 • 3.能正确设置入侵检测系统

  12. 四、步骤介绍 • 1、入侵检测的部署、安装及配置 • 网络环境:

  13. 四、步骤介绍 • 2、入侵检测与防火墙的联动 • 具体步骤目标:能正确地对防火墙和入侵检测进行联动设置 • 网络环境:

  14. 1、入侵检测的部署、安装及配置 • 1.入侵检测系统的部署 • 2.入侵检测系统的安装 • 入侵检测的物理安装 • 入侵检测的软件安装 • 3.入侵检测系统的配置 • 入侵检测系统探测器超级终端配置 • 入侵检测系统探测器系统配置 • 控制台系统配置 • 入侵检测数据库系统的配置 • 配置探头 • 策略配置

  15. 1.入侵检测系统的部署 • 入侵检测是监控某一局域网内部的网络数据流量,所以需要将入侵检测部署在该网络对外的接口设备上面。 • 1)将联想网御入侵检测的监控端口与交换机的镜像口连接,用于检测整个DMZ区的网络流量。 • 一般来说,交换机的镜像口为1号端口,有些交换机的镜像端口需要配置,配置方法会在其他实训中说明。 • 2)将联想网御入侵检测的COM口和控制主机的COM口连接,用于配置入侵检测的检测探头。 • 3)将联想网御入侵检测的通讯端口与控制主机的网卡口相连接,用于查看当前网络中的数据流量。

  16. 1.入侵检测系统的部署 • 在控制主机上安装入侵检测,配置相应策略之后看到当前网络中的数据。 • 到此入侵检测已经部署成功。

  17. 2.入侵检测的物理安装

  18. 2.入侵检测的物理安装 • IDS的探测器部署在需要监听的网络节点上,其主要步骤如下: • 1)将监听口上的RJ45接口的数据线插入被监听网络的网络节点上(通常是交换机的公共映射端口); • 2)将通讯口上的RJ45接口的数据线插入控制台主机的网卡上。

  19. 3.入侵检测的软件安装 • 1)在随机光盘中打开程序,开始安装。 • 2)在欢迎窗口中单击【下一步】按钮,弹出同意协议窗口。在注册信息窗口单击【下一步】按钮继续安装。 • 3)选择安装路径。控制台的默认安装目录是“C:\Program Files\Lenovo\IDS”。如果希望改变默认路径安装目录,单击【查找】按钮打开对话框,选择安装目录,在当前窗口单击【确定】按钮。然后在选择安装目录对话框中单击【下一步】按钮继续安装。 • 4)选择安装证书。 • 5)在对话框中单击【查找】按钮,选择证书文件。 • 6)选择完证书文件,在对话框中单击【下一步】按钮。

  20. 3.入侵检测的软件安装 • 7)选择管理程序组,缺省为网御IDS控制台,单击【下一步】按钮继续安装。 • 8)开始安装,单击【下一步】按钮继续。 • 9)复制文件。 • 10)设置日志目录,默认的日志文件夹是“C:\Program Files\Lenovo\IDS\ Manager\Log”。 • 11)LenovoIDS控制安装完成,单击【完成】按钮结束安装过程。

  21. 4.入侵检测系统探测器超级终端配置 • 通过配置串口电缆连接探测器到配置终端。使用计算机进行配置,需要在计算机上运行终端程序,建立新的连接。 • 1)打开【开始】【程序】【附件】【通讯】【超级终端】,键入新连接的名称,单击【确定】按钮。 • 2)在进行本地配置时,【连接时使用】选择连接的串口(注意选择的串口应该与配置电缆实际连接的串口一致),然后单击【确定】按钮。

  22. 4.入侵检测系统探测器超级终端配置 • 3)在串口的属性对话框中设置波特率为38400,数据位为8,奇偶校验为无,停止位为1,流量控制为无,单击【确定】按钮,进入超级终端窗口。

  23. 4.入侵检测系统探测器超级终端配置 • 4)在超级终端中选择【文件】【属性】【设置】项,进入属性设置窗口,选择终端仿真类型为【自动检测】,单击【确定】按钮,返回超级终端窗口。

  24. 5.入侵检测系统探测器系统配置 • 1)打开配置好的超级终端,按【回车】键,配置终端上出现命令提示行“login:”。

  25. 5.入侵检测系统探测器系统配置 • 2)输入用户名和密码后,即可登陆配置页面。

  26. 5.入侵检测系统探测器系统配置 • 3)配置IP地址 • 在命令行界面上,依次选择【主菜单】【系统管理】【网络配置】【查看&编辑IP配置】菜单项,打开【查看IP界面】。

  27. 5.入侵检测系统探测器系统配置 • 默认配置为:IP地址:192.168.0.253 • 子网掩码:255.255.255.0 • 网关:192.168.0.1 • “是否要进行IP配置?(0-否/1-是)”选择1,修改IP地址和子网掩码。

  28. 6.控制台系统配置 • 1)进入入侵检测控制台界面 • 打开系统,系统会要求输入帐户和密码

  29. 6.控制台系统配置 • 1)进入入侵检测控制台界面 • 打开系统,系统会要求输入帐户和密码 • 系统默认的用户为lenovo,为超级用户,密码为缺省的default。 • 也可以自己添加管理员并设置权限。

  30. 6.控制台系统配置 • 2)在控制台窗口中,选择【资产】【引擎】菜单项,打开【客户资产管理】【引擎】窗口。

  31. 6.控制台系统配置 • 3)单击【添加】按钮,打开【添加引擎】窗口。

  32. 6.控制台系统配置 • 输入如下信息: • 名称:输入LenovoIDS引擎的名称。 • 类型:选择“LenovoIDS”。 • 组:选择引擎组,在【资产】【引擎组】菜单项中定义。缺省的引擎组为IDS。 • IP/端口:设置IP地址和端口,端口默认为2002。 • 策略:单击策略栏右侧的按钮,打开【策略项属性】窗口。

  33. 6.控制台系统配置 • 4)单击【刷新引擎】按钮,刷新引擎列表,选择需要添加的策略,单击【应用策略】按钮添加策略到引擎,单击【确定】按钮增加策略。

  34. 6.控制台系统配置 • 5)确认无误后,单击引擎状态复选框下的【确定】按钮,增加引擎。

  35. 6.控制台系统配置 • 6)选择同步菜单,下发并应用策略到引擎。 • 增加后的引擎将出现在主窗口左侧的树型目录中。

  36. 7.入侵检测数据库系统的配置 • MS-SQL Server数据库生成器用于在使用MS-SQL Server作为日志保存数据库时自动创建数据库表。准备工作: • 首先要安装MS-SQL Server数据库;记录访问数据库的帐户和口令。 • 在安装MS-SQL Server的服务器上选择创建数据库的路径。如果不存在,需要手工创建。记录改路径。

  37. 7.入侵检测数据库系统的配置 • 1)运行MS-SQL Server数据库生成器。可以安装MS-SQL Server服务器在本地运行,也可以运行在网络中的任何一台主机上。 • 运行方式包括自动和手动两种。手动方式需要用户按照顺序一步一步完成操作,自动运行将根据设置好的参数自动完成所有操作。

  38. 7.入侵检测数据库系统的配置 • 2)连接数据库 • SQL服务器名:安装了MS-SQL Server数据库服务器的主机名或IP地址; • SQL服务器(sa)帐户名:访问MS-SQL Server数据库的帐户名称,默认为“sa”; • SQL服务器(sa)口令:访问MS-SQL Server数据库的口令,默认为“sa”; • 初始化数据库

  39. 7.入侵检测数据库系统的配置 • 3)创建基本数据表

  40. 7.入侵检测数据库系统的配置 • 4)创建管理日志数据库

  41. 7.入侵检测数据库系统的配置 • 5)创建汇总数据库 • 注:输入数据库路径要保持一致。

  42. 7.入侵检测数据库系统的配置 • 6)创建统计数据库 • 7)设置好参数后,点击【开始】按钮。 • 8)如果设置的参数全部正确,将成功创建数据库。

  43. 7.入侵检测数据库系统的配置 • 9)在【资产】【环境设置】【常规】中选择日志保存数据库为MS SQL-Server。 • SQL服务器地址:安装MS-SQL Server的服务器的IP地址; • SQL数据库名:保持默认; • 日志目录:必须输入相同的路径值。

  44. 7.入侵检测数据库系统的配置 • 10)设置好参数后,单击【连接测试】按钮,数据库设置正确,可以切换到MS-SQL Server数据库。 • 11)在提示“成功连接MS-SQL数据库”后,点击【确定】按钮,将提示: • 点击【是(Y)】按钮后重新启动控制台。重启后,系统使用MS-SQL Server作为日志保存数据库。 • 到此入侵检测安装和配置工作全部完成。

  45. 8.配置探头 • 1)启动联想网御入侵检测 • 以联想lenovo IDS系统为例阐述IDS引擎和策略配置的过程,首先打开系统,系统会要求输入帐户和密码。 • 系统默认的用户为lenovo,为超级用户,也可以自己添加管理员并设置权限。

  46. 8.配置探头 • 2)配置引擎策略 • 配置引擎:在刚刚安装的IDS系统中是没有为用户设置引擎的,需要自己设置,所以首先在资产菜单中选择引擎。

  47. 8.配置探头 • 进入对话框之后可以看到窗口中有很多的选项。 • 这里首先选择引擎点左下方的添加进入添加引擎对话框,首先设置引擎的名称类型这里选择Lenovo IDS类型,在组选项中选择IDS,将监控端IP地址输入IP框,在端口设置中选择默认的2002端口。

  48. 8.配置探头 • 配置引擎策略:在策略的选择中首先进入策略的对话框。 • 根据现有的网络环境,配置缺省策略就能满足要求,首先从系统自带的缺省策略中派生出一个缺省策略,点击应用策略就完成了引擎策略的配置。

  49. 8.配置探头 • 策略的配置是IDS非常重要的一个环节,配置合适的策略就可以在一定的情况下有效的对网络入侵进行检测 ,在引擎菜单中选择策略进入策略编辑器。

  50. 8.配置探头 • 在策略编辑器窗口中可以看到,LenovoIDS内置有5个默认策略,分别是Emial、FTP、 WWW、缺省和最大化策略。分别用来检测不同环境下的网络事件。这5个策略为只读策略不可删除。只读策略可以派生出新策略,派生的策略可以修改和删除。用户可以通过编辑派生出的策略以生成合适实际网络环境的应用策略。 • 这5个只读策略的适用环境分别是: • Email策略:适用于独立监控Emil事件的环境,如DMZ中Email Server监控。 • FTP策略:适用于独立监控FTP事件的环境 • WWW策略:适用于独立监控Web事件的环境,如DMZ中的Web Server监控 • 缺省策略:适用于各种网络环境 • 最大化策略:所有入侵规则都选中,适用于比较复杂的网络环境,或用于产品测试环境。 • 在这些策略中可以先复制只读策略然后在策略编辑器中在添加想要进行检测的事件名称。从而产生所需要的策略。

More Related