Juniper IDP实验指南.doc

LAB1 安装和卸载NSM安装NSM到Juniper网站上下载nsm2007.3r1_servers_linux_x86.sh （软件安装包）nsm2007.3r1_systemupdate-linuxES_3 （系统升级包）系统升级Cd /nsm_install/nsm2007.3r1_systemupdate-linuxES_3/es3sh rhes3_upd9.sh安装软件Cd /nsm_installSh nsm2007.3r1_servers_linux_x86.sh卸载NSM查看安装的有关NSM的RPM包rootnsm root# rpm -qa | grep netscreennetscreen-DevSvr-1.9.1-1netscreen-HaSvr-1.9.1-1netscreen-GuiSvr-1.9.1-1挨个卸载这些RPM包：Rpm e netscreen-DevSvr-1.9.1-1Rpm e netscreen-HaSvr-1.9.1-1Rpm e netscreen-GuiSvr-1.9.1-1删除NSM的相关目录Rm fr /usr/netscreen/Rm fr /var/netscreen/查看NSM运行状态：rootnsm es3# /etc/rc.d/init.d/guiSvr statusnsm owner is ROOTRetrieving status.guiSvrManager (pid 9298).ONguiSvrMasterController (pid 9451).ONguiSvrDirectiveHandler (pid 9608).ONguiSvrLicenseManager (pid 9793).ONguiSvrStatusMonitor (pid 9941).ONguiSvrWebProxy.pid exists, but guiSvrWebProxy is offrootnsm es3# /etc/rc.d/init.d/devSvr statusnsm owner is ROOTRetrieving status.devSvrDbSvr (pid 2271).ONdevSvrManager (pid 2301).ONdevSvrLogWalker (pid 2441).ONdevSvrDataCollector (pid 2580).ONdevSvrDirectiveHandler (pid 2697).ONdevSvrProfilerMgr (pid 2815).ONdevSvrStatusMonitor (pid 2950).ON对NSM服务操作的命令rootnsm es3# /etc/rc.d/init.d/devSvrnsm owner is ROOTUsage: /usr/netscreen/DevSvr/bin/devSvr.sh start|stop|status|version|restartrootnsm es3# /etc/rc.d/init.d/guiSvrnsm owner is ROOTUsage: /usr/netscreen/GuiSvr/bin/guiSvr.sh start|stop|status|version|restart建议：NSM服务器关闭防火墙服务，防止阻止NSM的连接iptables F，（清空防火墙）或者用setup命令关闭防火墙服务。NSM服务器启动SSH服务，方便远程调试rootnsm es3# /etc/rc.d/init.d/sshd startStarting sshd: OK LAB2 更改NSM的IP地址如何更改NSM服务器的IP地址 如果NSM的地址还没有改变，你可以登陆到NSM服务器的控制台上，select - Server Manager Servers GUI Server ，改GUI Server的IPselect - Server Manager Servers Device Server Cluster ,改Dev server的IP退出NSM UI 更改 NSM 服务器的IP地址。 如果服务器的IP地址已经更改，无法登陆到NSM服务器上，Example - If the new IP address of NSM server is 1. Log into NSM server via SSH 2. Stop the NSM Server processes both Device Server and Gui Server 3. Update /usr/netscreen/DevSvr/var/devSvr.cfg: guiSvr1.addr 4. cd to /usr/netscreen/GuiSvr/utils/ 5. Run:o For Gui Server - ./.xdbUpdate.sh /usr/netscreen/GuiSvr/var/xdb server 0 0 /_/ip o For Dev Server - ./.xdbUpdate.sh /usr/netscreen/GuiSvr/var/xdb server 01 /_/ip LAB3：用NSM管理IDP设备1 用串口登陆到IDP设备上进行网络基本参数配置，IP地址配置：ifconfig eth0 netmask ， 缺省路由配置：route add default gw 2 用ACM(https:/)登陆IDP，进行初始配置3 用NSM客户端登陆NSM服务器，在Security devices中添加IDP设备LAB4：IDP详细策略配置与修改1 Security Policy 中为standalone IDP 配置策略，选择模板（任意），注意添加的为Main策略（只包括状态签名和协议异常）2 点击右上方的“”号，添加其他的安全策略3 保存安全策略，将策略指定给相应的设备4 下发安全策略，在下发安全策略之前，要查看相关设备的策略是否正确，以免下发错误。下面的图，实际上下发的是空策略！5 用扫描器扫描某服务器，流量经过IDP，查看报警。LAB5：IDP日志、报表分析1.熟悉各种日志缺省在NSM当中显示的位置：状态签名/协议异常的报警： PredefinedIDP/DI二层攻击/IP欺骗/Synflood攻击报警：traffic配置日志：config后门攻击：backdoor流量异常: scan防火墙日志：traffic/screen2.定义单独的日志显示，显示指定的内容，如显示/16网段遭受的critical级别的攻击，显示指定的内容。3使用预定义报表，4自定义报表5使用Log Investigator6使用Security ExplorerLAB6：IDP Profiler配置与使用配置Profiler:双击指定的IDP设备，进入profiler settings，选择需要记录的主机，应用。启动profiler：在Security Devices,选中指定的IDP设备，右键。查看profiler信息Security Monitor Profiler查看指定的信息。LAB7：IDP设备软件升级及LICENSE添加与备份如何升级IDP软件版本1 方法1：Ssh登陆到IDP设备当中：sh sensor_.sh2 方法2：用NSM升级Devices Firmware Change Device Firmware如何做成永久的IDP License1. IDP4.0R3的LICENSE为三年的许可，在服务合同内可以免费升级为永久许可2. 查看序列号3. 在JUNIPER网站上生成新的LICENSE4. 升级IDP到4.1版本，加入license.5. 详细做法见附PDF文件LAB8：用NSM管理防火墙设备LAB9：IDP特征码升级1. 在线升级工具特征码选择View/update NSM attack database.查看更新的URL是否正确，进行更新。2. 离线升级攻击特征码 到Juniper网站/restricted/sigupdates/nsm-updates/NSM-SecurityUpdateInfo.dat下载NSM-SecurityUpdateInfo.dat，保存到NSM服务器上的TMP目录下。下载攻击数据库 zip 文件/restricted/sigupdates/nsm-updates/Zip文件名到NSM服务器上，保存在TMP目录下。这个ZIP文件的名字是从上面的DAT文件中看到的。更改download URL 运行Tools View/Update Attack DB更新。3. 攻击特征码的自动升级将上面的命令写入脚本scheduleupdate.sh, 将该脚本放入crond当中。LAB10 ：IDP设备设置与查看命令系统配置命令：Scio查看license: scio lic list查看系统版本和配置：rootdefaulthost root# scio getsystemProduct Name: NS-IDP-200Serial Number: 0146112005000020Software Version: 4.1.104571IDP Mode: transparentHA Mode: DisabledDetector Version: 4.1.104259Software License: EvaluationSoftware Expiration Date: 4/25/2009查看系统参数配置scio const listscio const -v vr0 list配置系统参数rootdefaulthost root# scio const -v vr0 set sc_arp_spoof_detect 0scio: setting sc_arp_spoof_detect to 0x0查看IDP支持的协议scio sysconf protocolsscio sysconf contexts查看命令：Sctop hv - reverse sort order a - ARP/MAC table 0 - disable sorting i - IP flows 1 - sort by bytes/session c - ICMP flows 2 - sort by packets/session u - UDP flows 3 - sort by expiration t - TCP flows 4 - sort by service r - RPC table 5 - sort by dst port x - RPC XID table 6 - sort by src ip s - Subscribers status 7 - sort by dst ip m - Memory statistics 8 - sort by vlan l - Q-Module statistics e - Rulebase statistics g - Aggregate statistics k - Attack statistics p - Spanning tree protocol b - IP Action table z - Packet distribution d - Strip Chart f - Fragment chain w - HA status y - IDS cache statistics q - Quit the program查看端口状态：mii-tool应用流量跟踪：statview该功能缺省关闭scio const -s s0:flow set sc_periodic_stat_update 1/usr/idp/device/utils/statview view 15:2:5:1:2007:std 15M LAB11：IDP攻击特征码的自定义特征码自定义步骤 抓取攻击数据包，或者获得攻击工具。 在指定的机器上运行重放攻击数据，或者运行攻击工具。 在IDP探测器上运行scio cca sip 命令，来获得工具数据的应用层信息。 分析应用层信息，获取其他独有的特征。 NSM当中，attack objects中定义新的特征码。 选择特征码的协议，上下文(context)，pattern。状态签名自定义，定义一个检测用root登陆telnet服务器的特征码，将该特征码加入到安全策略当中，测试该特征码是否正常使用。定义检测迅雷或者QQ的特征码，将该特征码加入到安全策略当中，测试该特征码是否正常使用。协议异常签名协议异常签名是否可以定制？修改HTTP协议的相关定义（sensor settingprotocol threashold），将某个门值设小（如为1），运行HTTP访问，查看报警状况。混和签名自定义定义一个检测用root登陆telnet服务器，然后运行“cd /etc”命令的特征码，将该特征码加入到安全策略当中，测试该特征码是否正常使用。LAB12：IDP混和模式的部署配置IDP同时使用透明模式和Sniff模式，将IDP