启明星辰客户产品培训- 培训讲义
天阗6.0入侵检测系统 入侵检测系统原理 天阗6.0入侵检测与管理系统功能 天阗6.0入侵检测系统的安装配置 天阗6.0入侵检测系统的使用与日常操作 天阗6.0策略优化,日志维护与常见问题
第一部分 入侵检测系统原理
IDS的作用 在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否有效的系统 监控楼外 监控屋内人员 监控后门 Card Key 监控室=控制中心 这是在现实生活中,摄象机的作用 形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机. Card Key 监控前门和保安
IDS的安全职责 实时检测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文 。 (注意和审计产品的不同)
IDS的检测方法 目前有以下两种检测方法 误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录匹配时,系统就认为这种行为是入侵 异常检测模型(Anomaly Detection ):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 目前商用的基本都是第一种,第二种在实验环境中有应用。
基于网络的IDS
网络IDS的基本结构
探测引擎 引擎的主要功能为:原始数据读取、数据分析、产生事件、策略匹配、事件处理、通讯等功能
控制中心 控制中心的主要功能为: 通讯、事件读取、事件显示、策略定制、日志分析、事件帮助等
系统结构
通讯 身份认证:是要保证一个引擎,或者子控制中心只能由固定的上级进行控制,任何非法的控制行为将予以阻止 数据加密:完成身份认证后,利用相对简单的加密算法进行大量的数据交换 ,保证数据的保密性
第二部分 天阗6.0入侵检测与管理系统功能 这是一个纯产品介绍的幻灯片
网络入侵检测系统 产品组件 特点 网络探测引擎 管理控制中心 综合信息显示 日志分析中心 天阗网络入侵检测系统独创性的将检测、管理配置、报警显示以及日志分析四部分的功能可以实现分开部署,满足多人同时监测和分权限管理。 强调4 个组件 网络探测引擎:采用专用硬件设备通过旁路方式接入检测网络,全面侦听网上信息流,动态监视网络上流过的所有数据包,进行检测和实时分析,实时甚至提前发现非法或异常行为,执行告警、阻断等功能并记录相应的事件日志。 管理控制中心:面向用户,提供管理配置之用。控制中心是个高性能的管理系统,它能控制位于本地或远程的多个网络探测引擎的活动,集中制定和配置策略,提供统一的数据管理。管理控制中心可以被设置为主、子结构,主管理控制中心可以实时接收、转发子控制中心的告警信息,定时、分类提取子控制中心的日志信息,下发各种配置文件、策略供子控对其所属网络探测引擎进行配置。 综合信息显示:能显示详细的入侵告警信息(如入侵者的IP地址、攻击特征),对事件的响应提供在线帮助。 日志分析中心:将历史的报警信息进行分类提取,提供了多种分析手段和模版,可以产生用户所需要的独特的统计性和分析性的管理报表。 物理上权限分开,
产品型号 产品型号 NS200 NS500 NS2200 NS2800 多级管理 不支持 支持 向下分级 无 网络环境 百兆 千兆 检测网路 默认一路 检测能力 100Mbps 200Mbps 1000Mbps 2000Mbps 各型号的区别和应用环境
第三部分 天阗6.0的系统安装与配置 天阗6.0网络入侵检测系统安装 版本:V2.1 名称:天阗6.0入侵检测系统安装配置 使用范围:培训讲师、技术工程师 制作人:张文静 制作日期:2004.10.14 更新人:张文静 更新日期:2005.6.8
目标 安装天阗6.0探测引擎 安装天阗6.0管理组件 通过基本配置操作,使天阗网络入侵监测系统正常运行。
通常部署方式 天阗6.0安装 天阗6.0基本操作
外网接入的端口镜像到IDS的接入端口,对其进行实时的入侵检测 通常部署方式 天阗探测引擎 天阗入侵检测系统 Internet 外网接入的端口镜像到IDS的接入端口,对其进行实时的入侵检测 对内网的服 务器或主机 进行入侵检测
通常部署方式 天阗6.0安装 天阗6.0基本操作
准备事项 明确引擎监控范围 分配相应IP地址 交换机配置 探测引擎:管理控制端口 管理组件:管理控制中心 结合交换机本身对镜像的支持能力 保证检测重点服务器 尽量不做全端口镜像 引擎监控范围有管理员确定而不是交换机 交换机配置
天阗6.0安装 安装探测引擎 安装管理组件
安装探测引擎 探测引擎设置步骤 1. 通过超级终端连接后面板串口 2. 配置探测引擎IP地址/子网掩码/路由设置 3. 退出设置 4. 正确插好监听端口和通信端口的网线
标识说明 超级终端的连接端口 硬件引擎的数据包监听端口,连接交换机的镜像端口 硬件引擎的管理控制端口,主要用于与管理控制中心通讯 硬件引擎的USB端口,主要用于引擎系统软件的升级
安装探测引擎 探测引擎登陆界面 用户名:venus,口令为‘1234567’
安装探测引擎 探测功能菜单 通过菜单选项设置口令、地址 配置完毕后退出超级终端 注意选项3:重置引擎认证密钥。
天阗6.0安装 安装探测引擎 安装管理组件
运行环境 控制中心安装需求 CPU:P4 2.0G 以上 内存:1G 以上(连接多个引擎或者子控,要求2G) 存储:20G 以上的剩余空间 网卡:百兆以上 控制中心、显示中心、日志中心对硬件软件配置要求相同 日志中心要求安装EXCEL
运行环境 软件配置要求 操作系统:推荐使用windows 2k sp4、windows 2003,可以使用windows XP sp2。注意操作系统只支持中文版! 杀毒软件: 可选 办公软件:Office 2000/XP 控制中心、显示中心、日志中心对硬件软件配置要求相同 日志中心要求安装EXCEL
安装管理组件 安装数据库 要求系统先安装数据库 安装MSDE或SQL Server 安装结束后重启服务器 控制中心、显示中心、日志中心对硬件软件配置要求相同 日志中心要求安装EXCEL
安装管理组件 两种安装方式:全部安装和定制安装
安装管理组件 定制安装: 如果分布式管理,可以选择要分布式安装的组件,例如只安装显示模块或日志分析中心。
安装管理组件 建立SQLSERVER数据库。 天阗后台运行数据库,必需。 注意: sa口令一定要修改 文件目录最好不要在系统盘
安装管理组件 提示安装水晶报表组件。 管理报表运行必需
安装管理组件 安装完成信息,重新启动计算机。
整体部署 天阗6.0安装 天阗6.0基本操作
基本配置-1 用户管理 天阗用户有三类:用户管理员、审计员、管理员 默认用户有:用户管理员admin,口令venus60,审计员audit,口令venus60,管理员adm,口令venus60。 系统最初只有用户管理员和审计员。 整个系统没有拥有所有权限的超级管理员。 进入用户管理审计 添加 密码必须大于6位且数字和字母混合 如果不选择“可以登录”的后果 添加管理员时注意选择“可以登录”
基本配置-2 进入管理控制中心 序列号授权 以管理员帐号登录 添加完管理员以后,就可以用管理员登陆管理控制中心。 第一次安装完天阗登陆,需要输入序列号授权。 无法登录最容易出现原因:1,没有使用管理员。2,添加管理员没有选择“可以登录”。
基本配置-3 添加模块 系统自带一个显示中心模块 选择添加组件的类型 输入组件的IP地址 登陆系统以后, 组件类型不全的原因:数据库安装完成后没有及时导入。或数据库其他问题。 如果组件类型不全,修复安装。
基本配置-4 显示中心配置通讯参数 管理控制中心 综合显示中心 配置真实IP,避免使用127.0.0.1 日志显示中心和管理控制中心 tcp 5000 配置真实IP,避免使用127.0.0.1
基本配置-5 启动连接组件 组件管理->启动连接 查看组件属性 默认情况是系统自动连接组件 检查综合显示中心已经启动
基本配置-6 导入引擎授权文件 试用期3个月,要导出授权文件发送给启明星辰,经过认证后,用户很快就会收到一个正式授权文件,然后将其导入就可以拥有较长时间的使用权限
基本配置-7 升级事件库(每周5下午更新事件库) 自动升级(需要能连接上互联网) 手动升级 思考:为什么要做事件库升级? 启明星辰对针对新的入侵行为定义新的事件,只有将这些事件更新到我们的事件库中,并将其相应的策略应用到引擎上,才能检测出这种入侵行为。 事件库要及时更新。 第一次安装,保证事件库的事件定义为最新 也是日常维护的重要工作之一。
基本配置-8 下发策略 系统策略 用户自定义策略 攻击分析集比较全 陈旧事件集?
第四部分 天阗6.0系统的使用与 日常操作 版本:V2.0 名称:天阗6.0入侵检测系统使用及维护 使用范围:培训讲师、技术工程师 制作人:张文静 制作日期:2004.10. 更新人:张文静 更新日期:2005.3.8
网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护
常用功能 查看事件 策略基本操作 报表输出 数据库维护 更新升级
查看事件 查看报警事件 双击出现事件详细信息 查看事件:了解网络的状况,是否发生了安全事件。报警信息显示在显示中心。 添加树形窗口:如果事件很多时,想针对某些属性进行查看,就可以添加窗口,例如想查看某个增加信息的可显示性 树型窗口适合做验证,招标要求能够自动验证事件成功与失败
显示设置 添加窗口 树型窗口
策略基本操作 策略衍生 策略集操作 策略向导 策略导入导出
策略基本操作 编辑策略 策略设置最好不要设置为无效(一次事件)
策略基本操作 策略下发
报表输出 日志分析中心 提供多种缺省模板和方案文件 强大的条件过滤功能
数据库维护 自动维护和手动维护 支持MSDE、SQL Server和其他以ODBC连接的数据库
数据库维护 自动维护 自动备份 按时间进行备份
数据库维护 手动维护 设定手动维护条件,然后手动完成数据库维护工作 手动删除、手动备份 数据库摘要
数据库维护 导入数据 ACCESS数据库 SQL数据库
更新升级 产品升级 引擎升级: 控制中心下发 USB升级 软件升级: 升级管理中心 网站下载
更新升级 事件库升级(每周5下午更新事件库) 自动(需要能连接上互联网) 手动 为了根据网络安全的需要;不断加大事件库中的内容;根据事件生成策略集;把策略集下发到各个引擎上使系统具有更好的性能。 注意:升级完毕后为了使引擎的事件库与策略一致,用户需要将新增事件集和引擎上正在使用的事件集进行合并操作,然后重新下发策略。
网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护
日常工作建议 每日查看天阗控制台工作是否启动或是否工作正常。 每日查看控制台连接引擎是否正常 每日早晚各一次查看报警信息。 对可疑事件进行及时分析。 及时调整并下发天阗工作策略。 根据情况及时上报事件。
日常维护建议 至少每周进行一次天阗事件库更新。 注意启明星辰网站对天阗事件库的更新或从售后服务部门获取。 注意天阗控制中心和引擎的升级包。 定期查看日志数据库大小及进行数据库维护。
第五部分 日志分析,常见问题处理
天阗6.0日志分析 为什么要进行日志分析 如何进行日志分析
为什么要进行日志分析 不是每个事件都是入侵事件 不是每个事件都会产生攻击效果 了解网络安全状况 方便管理网络 使领导对报表一目了然
天阗6.0日志分析 为什么要进行日志分析 如何进行日志分析
日志分析方法 总体分析 具体分析 管理统计分析报表查看统计信息 初步确定敏感事件或敏感IP地址 利用过滤条件生成多角度、多层面详细报表,进一步确认敏感信息 具体分析事件确认攻击是否发生、产生危害和源地址
日志分析方法 总结现阶段安全状况 建议改进方案 分析事件的分布,找出重点威胁所在 分析源地址的分布,找出重点威胁来源 调整安全策略 调整网络部署 增加安全设备 加强全员安全教育 完善安全管理制度
天阗6.0日志分析 天阗6.0常见问题处理
天阗6.0常见问题处理 探测引擎端口: TCP 20001:此端口是用来传输数据的,如策略/文件的下发、日志的上传;此端口是用来和控制中心建立连接及认证的。 方向为控制中心到探测引擎的主动连接。 控制中心: TCP 50000:此端口是用来向上级控制中心或各组件传输数据的,如策略/文件的下发、日志的上传、显示中心和上级控制中心建立连接及进行认证。 方向为各组件和子控制中心到总控制中心的主动连接。
天阗6.0常见问题处理 如何确认天阗安装完全 控制中心,检查snmp是否正确安装 添加组件,看下拉列表。 打开管理报表,看水晶报表 打开服务,查看datatransfer(数据传输)、venusautostorage(报表)
天阗6.0常见问题处理 探测引擎与控制中心连接不上 网络物理连接是否正常; 网络层是否可以进行通信; 是否有不正常的关机行为发生; 是否更换了控制台或IP地址; 两者是否同在一个网络、若不则查看网关; 控制台参数设置是否有问题; 防火墙是否进行了阻断; 认证是否发生了问题; 使用串口查看引擎设置参数是否正确; 使用维护工具查看引擎工作是否正常; 初始化引擎;
天阗6.0常见问题处理 控制中心无报警信息 控制台和引擎连接是不是正常; 网络上是不是有数据通信; 探测引擎是否和交换机或集线器连接; 交换机是否进行过镜像配置,配置是否进行过保存; 防火墙是否进行了阻断; 不报警还可能是引擎进程的问题
天阗6.0常见问题处理 如何确定控制中心与探测引擎通信正常 在控制中心使用ping <探测引擎IP>命令后,使用 arp –a 命令。若出现探测引擎IP 并其MAC地址,则说明控制中心与探测引擎通信没问题。 若控制中心与探测引擎中间有路由器存在,可以使用以下命令:telnet <探测引擎IP> 22。(需要先在探测引擎打开该端口) 。若连接不被切断有信息返回说明控制中心与探测引擎通信没问题。
天阗6.0常见问题处理 使用超级终端配置探测引擎时,无任何信息显示 使用超级终端配置探测引擎时,显示的信息不正常或没有输入口令的提示 检查串口线连接是否正确。 检查超级终端参数配置是否正确。 探测引擎是否加电。 确认串口线是否有问题。 使用超级终端配置探测引擎时,显示的信息不正常或没有输入口令的提示 超级终端参数配置不正确。是否沿用了5.5的设置。
天阗6.0入侵检测系统 入侵检测系统原理 天阗6.0入侵检测与管理系统功能 天阗6.0入侵检测系统的安装配置 天阗6.0入侵检测系统的使用与日常操作 天阗6.0策略优化,日志维护与常见问题
Any questions?
E-mail: train@venustech.com.cn 谢谢大家 E-mail: train@venustech.com.cn