CISCO安全监控分析和响应系统测试报告.doc

mars测试报告mars实施报告目录1mars概述42mars功能简介及配置42.1mars拓朴自动发现42.2添加安全设备62.3配置netflow信息82.4创建自定义规则92.5创建自定义报告123mars管理153.1拓朴结构及设备查看153.2系统统计信息173.3安全事件操作173.3.1查看incident173.3.2攻击分析203.3.3攻击缓解223.4常用报表查看234mars的报表功能264.1mars实用报表示例264.1.1自定报告清单264.1.2最多报告事件设备统计284.1.3最大命中规则统计284.1.4dos事件报告304.1.5过去1天最大访问目的ip端口报告314.1.6过去7天最大被拒绝源ip报告314.1.7过去7天dos攻击报告324.1.8过去7天最大连接数网络报告334.1.9过去7天最多病毒源报告354.1.10过去30天最多p2p主机报告354.1.11过去60天入侵报告364.2mars对富士康部分园区的安全分析374.2.1防火墙相关分析374.2.2ips相关分析384.2.3其他安全问题分析395mars测试总结395.1总体评价395.2netflow信息的分析功能对未知攻击发现的作用405.3mars的设计和部署建议411 mars概述cisco安全监控分析和响应系统(cs-mars),简单的说cs-mars的功能就是可以接受各种设备的事件和数据,进行事件分析.汇总、然后根据需要生成相关的报告结果. 以达到识别和消除网络攻击。2 mars功能简介及配置2.1 mars拓朴自动发现1. 通过80 登進mars之后（缺省用户名密码pnadmin/pnadmin）,点进admin页面。2. 点 community string and networks 选项，填入要发现的拓扑ip 网段和community string之后，按add，填完相关ip网段之后，按submit。（图2.1）图2.1 输入网络设备的community属性3. 按back 返回主菜单按vaild network(选择有效的发现网络)，填入有效的发现网络之后，按add，单击 discover now进行设备发现，最后按submit完成配置。（图2.2）图2.2 输入有效网络4. 配置定时发现设备。选择 admintoplogy/monitored device update scheduler 选择default discovery group -edit (选择定时发现的时间段和发现的有效网段)。完成后，按run now。（图2.3）图2.3 输入定时发现网络设备参数5. 返回 admin vaild network 按一下discover now ，发现完成后按click here。（结果如图2.4）图2.4发现结果6. 检查新发现的设备列表。选择adminsecurity monitor devices，可以看到发现的设备清单。（图2.5）图2.4发现的可管理安全设备2.2 添加安全设备1. 点击admin-security monitor devices，添加需要增加管理的设备。一个添加设备的范例如图2.5所示： 图2.5添加安全设备范例：asa2. 在添加安全设备时，mars上需要添加设备的软件版本要与设备的版本一致，而且被管理的设备的软件版本需要满足mars的需求（软件版本请查阅mars的release notes）。为了让mars了解网络详细拓扑，需要把每台要加入的设备的 login password ,enable password 和snmp community配置对。填完之后，按discovery，此时设备已经添加完毕。（图2.6为已管理安全设备清单）注：如果添加设备不成功，mars会提供添加设备错误的原因，可根据原因改正。图2.6已管理安全设备清单3. 配置被管理安全设备要使cs-mars收集的安全设备的数据，还必须都将安全设备的日志信息发给cs-mars。因为每种安全设备的日志设置不完全一样，这里以pix的设置为例说明：logging enablelogging trap warningslogging history notificationslogging host campus 802.3 配置netflow信息当需要分析netflow信息时，还应为mars配置netflow。1. 配置mars的netflow配置。选择adminnetflow configuration，配置netflow使用的udp端口，并加入需要分析的netflow报告的网络，不指定加入则分析所有网络。（图2.7）图2.7配置mars的netflow2. 配置网络设备的netflow。以cisco 2600为例，需要作如下配置：ip flow-export version 5ip flow-export source fastethernet 0/1interface fastethernet0/1ip flow ingressip flow egress2.4 创建自定义规则除了mars提供的安全规则以外，还可以通过自定义规则的方式增加客户化的安全规则，用于特定环境或特定要求之下的事件分析。自定义规则可以通过修改系统规则或增加规则的方式创建：1. 通过修改system rule生成。首先找到作为生成基础的system rule，选上，然后按duplicate，然后对rule中的配置作相应的调整或增减。（图2.8）图2.8修改system rule生成新规则2. 创建新规则。进入rule页面，按add 创建规则，进入规则命名页面（图2.9），规则命名完之后，按next到规则格式页面，根据mars提示，到达某一参数时，选择你需要的参数值填入参数框里（图2.10），填完所有参数，到达确认框，按yes应用（图2.11）。图2.9增加新规则图2.10配置新规则参数图2.11确认新规则3. 激活规则和去激活规则。规则建立后无法删除，当不需要使用某规则时，可以通过去激活实现。只要把active规则勾上，按 change status 就可将规则处于非激活状态。（图2.12）图2.12规则的激活状态2.5 创建自定义报告mars除了提供大量预定制报表以外，还允许管理员自己定义报表，以下做ips十大类型事件报告为例，介绍如何创建自定义报告。1. 点query/reports页面，在query页面的select report 对话框中选择top event types。（图2.13）图2.13定制报表2. 单击device选项框，选择此报表所包含的设备信息，如ips4240-test，按一下 ，再选择any，按remove，全部设备选择完毕后apply。（图2.14）图2.14输入报表条件：选择设备3. 选择收集汇总事件的时间段，然后按apply。（图2.15）图2.15输入报表条件：选择时间段4. 回到主界面，选择submit。（图2.16），此时会出现两个选项submit inline，即在线生成报表，或者submit batch，即生成报表，并保存成一个记录，方便查看。（图2.17）图2.16提交报表图2.17报表方式选择5. 报表生成后，将出线在报表页面的user report中，mars将按配置生成报告。用户可以看到每一个报告的完成状态和完成时间，也可以随时指示mars再次生成报告。当报告的status到达100%时，可以按view results查看报告。（图2.18）图2.18报表状态3 mars管理3.1 拓朴结构及设备查看mars通过对所有被管理安全设备的分析，可以生成完整的网络拓扑图。进入 summary 页面，在hotspot graph 面板按 full topo graph 就可以看到整体的拓朴结构。（图3.1）图3.1整网拓扑图可以通过右键操作，放大和缩少这个拓扑图。上图中所画的云是被管理安全设备接口直连的网段。每个图标代表一种安全设备，以下是mars的图标示例：table16-1 icons and states in topology healthy attacker compromised （已经危及安全）compromised and attacking clouds firewall reporting host host ids network router switch 通过点击相应的图标，可以查看对应设备的信息。（图3.2）图3.2设备信息设备信息能够提供设备型号，名称，软件版本，接口的mac地址等信息。3.2 系统统计信息mars可以实时地显示系统的统计信息，如收到的安全事件数量，分别属于什么等级（高、中、低），收到的session数量，收到的netflow事件数量，以及进行关联后，信息的压缩比率等。（图3.3）图3.3系统统计信息3.3 安全事件操作mars具有丰富详尽的安全事件查看功能，管理员能够通过mars的界面即使地获得网络当前发生的事件。3.3.1 查看incident在summary页面中，可以点击查看攻击事件的整个拓扑。（图3.4）图3.4攻击拓扑点击incidents 页面，该页面已列出近来发生incident 清单。（图3.5）图3.5安全事件（incident）清单选中相应的incident id 之后，按view，就可以查看事件详细信息，比如下图就是一个完整的蠕虫攻击的实例，可以看到一个安全事件是由分析多个攻击session而得出来的。（图3.6）图3.6蠕虫攻击实例下图是一个icmp flood攻讦的部分内容示例。（图3.7）图3.7 icmp flood攻击事件信息片断3.3.2 攻击分析mars可以实现具体攻击的分析，通过对某个安全事件的查看，就能得到攻击的类型，源、目标和攻击跳板的信息。以下就是mars生成的一个具体攻击的攻击拓扑图。（图3.8）图3.8攻击拓扑图及选中session信息上图列出了一个安全事件的攻击拓扑图，图中显示攻击源，攻击目标，攻击的session号，当选择某个session号时，会弹出小窗口，显示此session的详细信息。而下图（图3.9）则单独列出了nachi蠕虫攻击的细节。图3.9蠕虫攻击细节3.3.3 攻击缓解mars有攻击缓解的功能，即针对某个攻击，它能够向管理员提出第三层的攻击缓解建议，让管理员手动实施；或者向管理员提出第二层的攻击缓解建议，并可以选择手动实施或自动实施。在详细攻击事件信息图中，选择collapse选项，就可以看到攻击还击标志（红色），点击白色拓扑标志之后，就可查看到攻击事件路径图。（图3.10）图3.10攻击事件路径图点击红色缓解标记之后，mars就会提出针对这个攻击的相应缓解建议。（图3.11）图3.11攻击缓解建议第二层的缓解建议可以通过点击 push键应用到设备上。3.4 常用报表查看mars在summary中提供接近实时的事件信息（图3.12），也提供一些预先定义好的常用的报表。图3.12 summary界面系统默认提供的summary reports可以在主页面激活成“my report”。当激活这些report后，在my report的页面就可以看到所有的激活了的报表。图13显示所有被激活的my report。图3.13 my report界面点其中一个report以后，可看到以下相对应的图表。（图14）图3.14 my report中的一个报表在报表中的每一行后，都有一个图标，点击这个图标就可以进入相关参数的自定义报告，第二章已描述如何制作自定义报表。（图3.15）图3.15通过 my report制作自定义报表4 mars的报表功能mars具有强大的报表功能，能够帮助用户监视和分析网络、主机以及数据库的运行情况， 用户可以根据这些信息作出安全事件响应和系统调整。4.1 mars实用报表示例以下是在测试过程中生成的一些报表示例。4.1.1 自定报告清单图4.1是自定义报告的清单，用户可以选中之后作各种操作，如：重新提交，查看结果，删除，编辑等等。图4.1自定义报表清单4.1.2 最多报告事件设备统计图4.2是按照报告事件数量的多少对所有的被管理设备进行排序。管理员通过这个报表可以了解在网络中的哪里产生最多的事件，那些设备报告的事件最多。图4.2最多报告事件设备统计4.1.3 最大命中规则统计图4.3是按命中的安全规则数进行排序的统计。管理员通过这个报表可以知道系统中发生最多的问题在哪里。图4.3最大命中规则统计4.1.4 dos事件报告图4.4显示dos攻击的统计。通过这个报表，可以了解过去一段时间里，发生了何种dos攻击，数量分别是多少。图4.4 dos事件报告4.1.5 过去1天最大访问目的ip端口报告图4.5显示了过去一天内，对目的ip端口访问的排序。从图中可以发现，对445端口的访问在某个时段有突发性的增长，而且占了所有端口的70%以上，说明在这个时段肯定发生了蠕虫爆发，管理员通过这个报表就可以循序渐进地找到问题点，进行系统优化。图4.5过去1天访问目的ip端口排序4.1.6 过去7天最大被拒绝源ip报告图4.6对过去7天被拒绝的源ip（主要是被防火墙拒绝方案）进行排序。通过这个报表，管理员可以清楚了解那些设备对网络资源的滥用最厉害。图4.6过去7天最大被拒绝源ip4.1.7 过去7天dos攻击报告图4.7统计过去7天的dos攻击。图4.7过去7天dos攻击统计4.1.8 过去7天最大连接数网络报告图4.8统计过去7天发生最多连接数的网络，并排序。这个报表通常由netflow信息得出，管理员通过这个报表可以了解网络中哪个部分最繁忙，根据实际情况可以判断究竟是业务确实繁忙，还是发生了病毒或者蠕虫事件而导致繁忙。图4.8过去7天最大连接数网络报告4.1.9 过去7天最多病毒源报告图4.9对过去7天爆发病毒的源ip进行排序。管理员可以根据这个报告进行有针对性的查杀。图4.9过去7天最多病毒源报告4.1.10 过去30天最多p2p主机报告图4.10统计过去30天内产生点对点（p2p）流量最多的主机。这个报告帮助管理员进行有针对性的网络资源实用限制。图4.10过去30天最多p2p主机报告4.1.11 过去60天入侵报告图4.11统计过去60天发生的入侵，主要是由ips模块的报告产生。图4.11过去60天入侵报告4.2 mars对富士康部分园区的安全分析4.2.1 防火墙相关分析从对已被纳入管理的pix防火墙的报告信息进行分析后得出的报表可以看出：99%以上的事情，是由pix的访问列表拒绝掉所产生的事件记录汇总，还有1%就是icmp包不可达，和巨大的icmp包。因此大部分的网络拒绝访问都不是人为故意的，通常是由于终端配置的问题，或者防火墙没有为此类访问配置nat或者路由造成的。从网络访问角度去分析，并没有出现设备被攻击和危及安全的现象。（图4.12）图4.12网络访问分析4.2.2 ips相关分析从mars查看ips的汇总记录来看，发生最多的是tcp sync sweep，而这通常是一些应用发生多次重连的情况，大部分并不是有效的恶意攻击，属于可接受范围；一些icmp的扫描也来自于正常的网络测试，属于正常范围；而smtp的header overflow也是由于ips对双字节邮件标题分析的误判造成，属于正常连接；同时，mars也能输出ips送出的，关于各种p2p软件的使用报告。总体看来，园区中发生的恶意攻击事件并不多。图4.13 ips事件分析4.2.3 其他安全问题分析通过对mars的分析，富士康目前在园区网中发生最多的安全事件是蠕虫的频繁爆发。通过上述报表我们可以看出，在上班时段，网络中目标端口为445的流量经常会突发性地增长，其带宽总占有率经常超过80%，而且在同一时间各种网络设备的cpu占有率也会有较大的提高。说明富士康园区目前面临的最大问题是蠕虫。通过mars的的分析和报表功能，富士康能够更加精确地定位蠕虫的分布，采取有效的措施修补系统。5 mars测试总结5.1 总体评价通过对mars的测试，可以发现，mars能够收集各种安全设备的信息，对这些信息进行智能的归总，并以直观友好的界面向用户提供相信的数据。不仅使管理人员对系统的状态有实时准确的掌握，帮助管理人员及时地对安全事件进行响应，阻止安全问题的扩散，还能帮助管理人员了解网络的使用情况，及时地对网络进行调整，以满足业务的需求。总之，mars是一个对企业网络管理非常有用的效率工具。5.2 netflow信息的分析功能对未知攻击发现的作用由于攻击技术的不断发展，当攻击发生时，现有的网络安全组件 - 例如网络入侵防护系统（ips）、主机入侵检测系统（hids）和防火墙 - 可能无法及时地识别攻击。很多这样的系统都依靠一个攻击特征数据库检测攻击，但是在某个新型攻击刚刚出现时，这个数据库并不能立即进行更新。这样，进入某个企业的攻击就可以在企业网络的专有侧大肆传播，导致这些安全设备无法发挥应有的作用。像blaster这样的蠕虫的传播非常迅速，其中一个原因就是因为它们的第一个重要行动是发现尽可能多的目标。但是，通过对netflow信息的分析，就能够迅速的发现上述问题，而不需要理会ips的签名是否更新。很多遭受攻击的内部和外部主机，流量流经核心路由器、交换机和防火墙。这些位于流量传输途中，负责监控和报告包含blaster蠕虫攻击的事件的设备可以通过设置向mars设备提供报告。这些事件包括安全周边内部的连接和防火墙拒绝的连接。防火墙通过设置可以限制端口的对外访问权限。mars设备随后会根据特定端口的流量的突然升高，通过 “端口流量突然增大”规则来定位一个被标为“严重”的安