版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
基于思科路由器IOS入侵检测功能配置SDM基于思科路由器IOS入侵检测功能配置SDM基于思科路由器IOS入侵检测功能配置SDM内容介绍 任务场景1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6基于思科路由器IOS入侵检测功能配置SDM基于思科路由器IO1内容介绍
任务场景1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6内容介绍 任务场景1任务相关工具软件介绍2任务设计、规划任务场景任务场景任务相关工具软件介绍任务相关工具软件介绍利用对路由器配置入侵检测与防御功能互联网防火墙路由器交换机具有入侵检测与防御功能的路由器与防火墙任务设计、规划利用对路由器配置入侵检测与防御功能互联网防火墙路由器交换机具任务实施及方法技巧第一部分入侵检测与入侵防御技术相关原理任务实施及方法技巧任务实施及方法技巧1、入侵检测与入侵防护比较前面的工作任务主要是对入侵检测技术的知识与实施方法的介绍,这里将对入侵检测与入侵防护进行相关知识的综合介绍,并加以区别。最后通过在思科路由器或防火墙上利用配置完成入侵防护功能的规划与配置。与都具有对攻击进行识别的能力,例如对网络与主机资源的非法访问或攻击等,也都可以将发现的攻击行为进行日志及报警并发送到管理控制台。主要区别在于:类似于等协议分析或嗅探软件的功能,放置于网络关键点进行协议数据检查,一般采取旁路方式进行协议数据的分析(例如利用端口镜在交换机上分流共享到网络关键入口的协议数据),将这获得的协议数据与攻击特征库相比较,以确定是否发生攻击行为。当确认发生网络攻击后,可采取的动作主要是日志、报警或向管理控制台发送消息,较高级的是能与防火墙联动对正在进行的攻击进行阻断。是以串联方式放置与防火墙后,或串入网络主干对关键区域的流量进行入侵防护,一般采取在线方式,所有流经的数据流量,都可以加以控制,以终止对网络的攻击行为。将流经的协议数据与攻击特征库相比较,识别针对网络的攻击,并能终止攻击的继续进行,根据预先设定对以类攻击进行记录,对同样的攻击做出快速准确的判断与阻止。任务实施及方法技巧1、入侵检测与入侵防护比较任务实施及方法技巧2、与对检测到的攻击所采取的行动对所接收到的或流经的协议数据或都要进行检查,如果匹配特征库中的某条时,就会根据设定,进行如下可能的行动(可以是一个或多个组合动作):日志():记录到系统日志或指定的数据库中去,如上一个工作任务;报警():可以利用向管理人员发出声音、邮件或消息等报警信息;重置():对一些面向连接的协议如,发送复位协议数据包;丢弃():将协议数据包丢弃;阻止():拒绝源地址的数据流量通过。属于被动设备,因为数据流量不经过设备。当检测到攻击时发出警报给管理人员。可以选用的动作主要是:对后续的攻击数据流量通过安全设备或路由器;或由向攻击的源发送协议的复位数据包。属于主动设备,所有数据流量流经设备,一般有多个接口(一般至少要有两个接口,流量的入口与出口)。可以拒绝攻击流量的通过;可以把警报发到管理工作站。互联网企业服务器区IDS传感器互联网企业服务器区IPS任务实施及方法技巧2、与对检测到的攻击所采取的行动互联网企业任务实施及方法技巧3、与的组合可以主支阻断认为是攻击的流量,但不应该阻断合法的数据流量,只是阻断确认为攻击的流量,这需要进行调整以免网络连接的中断。而可以对进行有效的补充,可以检测是否工作,除认为是正常流量外对其它流量认为是可疑流量并进行报警,可以对没有阻止的可能是攻击的数据流量进行标识。国内产品专家对两种产品的研讨如下:入侵检测系统侧重于全面检测、记录与警报,而则更擅长深层防御与精确阻断。从应用角度来看,低风险企业往往关注风险控制,对检测与监控和风险管理要求不高,此类企业选择产品即可;对金融、电信等高风险行业,不仅关注风险控制,而且关注风险管理,这样的企业既需要,也需要;对于一些监管机构/部门来说,往往更关注风险管理的检测与监控,监督风险控制的改进状况,因此是比较合适的产品。由于各行业客户不同的应用环境和实际需求,和在国内都呈现出繁荣发展的前景,因此二者之间的关系并非简单的升级和替代,长期来看,和将出现共同发展、和平共存的局面。目前国内在信息安全行业中与产品较成熟的企业有启明星辰、联想网御和H3C,国外产品有、、、等。关于网络产品的信息可以查阅168产品介绍部分。任务实施及方法技巧3、与的组合任务实施及方法技巧4、与对攻击的检测手段一种是基于攻击签名的()检测方式,或设备厂商提供攻击签名数据库,并可以从厂商处获得对新的攻击检测条目的更新,这种方式与杀毒软件所采取的方式类似。这种方式可能会产生错误报告,如正常的测试或访问行为可能会被认为是攻击,如利用带有参数的命令测试网络连通性是可能会产生误报。这种方式是对已知攻击有效,需要一个攻击的特征文件,并要不断升级。第二种是基于策略的()检测方式,策略的定义与描述要先创建。这种方式下,入侵检测系统分为入侵检测设备与管理控制端两部分,入侵检测设备负责数据的收集和分析,记录日志信息,发现入侵行为时报警,安全管理端接收和处理报警信息,根据报警的相关设定按相应的策略采取行动,如与防火墙联动,并形成对此行为的新的规则库(可以是填加的访问控制到防火墙上,以后就可以由防火墙直接拦截)。这种方式下需要对入侵检测与网络管理进行策略的协调,也需要一个策略数据库。第三种是基于异常的()检测方式,在这种方式下要先定义哪些是正常的流量,即需要定义一个用户的活动范围,对超出此范围的情况则发出警报。当然这需要构建一个准确的特征文件。这种方式的优点是能够检测未公布的攻击行为。但是这种方式的缺点也很明显,因为用户的活动有很大的随机性,可能新的访问方式或行为被认为是攻击而产生报警。这种方式下需要一个用户正常行为的特征文件。还有一种被称之为密罐的()检测方式,这种方式要先设置一台主机,这台主机尽可能多开启服务,用于引诱攻击者对这台主机进行扫描或探测,对攻击者起到一个陷阱的作用,并与关键设备隔离,这样可以使网络管理者发现企图对网络发起攻击的源头。这种方式下需要在网络关键位置部署一台陷阱主机。任务实施及方法技巧4、与对攻击的检测手段任务实施及方法技巧5、思科的和设备介绍下面对思科的与产品及解决方案加以介绍,思科与产品的实现主要是对过路由器、防火墙和专用的思科4200系统探测器完成。(1)基于思科路由器的入侵防御系统思科路由器的功能提供了一个在线的数据包检测方案,在不影响路由器的性能的情况下提供对恶意流量识别、分类并阻止的能力。由将报警发送到路由器内部缓存、日志服务器、或控制台。这对于中小型企业的网络提供了一种基本的流量监视,并能终止恶意的流量对内部的攻击。(2)防火墙集成与功能思科在防火墙和自适应安全设备内集成成了在线的入侵检测与入侵防御功能。的5.2以上版本支持入侵检测功能,通过模块提供此功能。(3)专用硬件或专用的硬件可能是配置在路由器上的模块,可以提供给思科的2600和3700系列路由器,或或用于多层交换机,如安装到思科的6500/7600的插槽中的模块来提供与功能。思科的4200系列探测器可以提供探测、分类和阻止各种攻击威胁的能力。如思科的4240等。关于思科的同类新产品可以在网上获取相关介绍。任务实施及方法技巧5、思科的和设备介绍任务实施及方法技巧6、基于网络与基于主机基于网络缩写为,网络探测器安装到网段的主干,来监视多台主机的活动。基于主机缩写为,每一台主机上都安装有管理软件的代理程序。思科安全代理对主机进行防御并报告给管理控制台。为每个主机提供检测与防御,不需要特殊的硬件。在中,探测器是网络入侵检测分析设备,专用于入侵检测分析。一个探测器连接到网段来监视多台主机,并提供保护,与不同,增加主机不必增加探测器,并且在一个网段添加探测器很容易。互联网NIPSNIDSNIPS路由器防火墙管理服务器企业服务器群任务实施及方法技巧6、基于网络与基于主机互联网NIPSNID任务实施及方法技巧第二部分基于配置入侵防御技术任务实施及方法技巧任务实施及方法技巧1、思科入侵防护系统介绍思科的是带功能的路由器,即可升级支持功能的路由器。而探测器是专门的系统,如4200产品。思科路由器较新版本的可以支持功能,作为一个在线式的探测器,可以监控并检测到1600多种常见攻击,允许管理员手工修改已有的特征库或新建特征库来处理新发现的攻击行为。它可以检查穿越路由器的每个数据包,并与特征库进行模式匹配来发现异常流量,当发现异常时,的对攻击可以采取复位、丢弃或报警等方式对异常数据包进行处理。并且可以通过或安全设备事件交换(思科用于在客户端与服务器端之间进行消息交换的协议)等方式进行报告。可以配置中的功能来启用、禁用或设置特定的特征库。一般建议在路由器上同时启用防火墙和功能以达到整体策略的部署。当然启用功能对路由器的性能有影响,这主要与特征库的数量有关。思科的在12.3(8)T之前,内建了132个特征在软件本身中,当然也可以到思科网站下载新的特征库文件。另外思科的可以使用即特征定义文件来设置,的通过读取文件来识别每个特征。在配置工具的安装目录下可以找到两个特征文件,128、256和这几个文件。在12.3(8)T之后的路由器的闪存内已经有这个文件了。思科的可能使用内建的特征库也可以使用文件,也可以同时使用两种方式组合。而文件分为静态与动态两种,如为静态的,而128和256是动态加载到内存中的。可以对某一个特征进行调整或禁用。任务实施及方法技巧1、思科入侵防护系统介绍任务实施及方法技巧2、利用配置的的规划在图中所示的路由器上配置,利用配置的的规划如下:在如下图所示的网络中的路由器R1上配置功能。首先要配置图中路由器的基本功能,在一台计算机A上安装软件(当然也可以使用配置功能),如果没有足够的硬件路由器可以利用路由器模拟软件进行模拟,建设选用3660的路由器,需要注意的是选择较新版本的,并且在配置上把3660路由器的内存改为128。使用安装目录下的128(推荐给内存大小为128的路由器使用)的特征定义文件作为检测用。在A主机上利用利用连接路由器R1并进行相应的配置,以实现利用128特征定义文件进行入侵防护。并配置检测报告方式为或方式,配置完成后偿试进行修改特征。路由器与主机地址信息参见图中所示:互联网NIDSNIPS路由器R1管理服务器F0/0:10.2.2.110.2.2.2As1/0任务实施及方法技巧2、利用配置的的规划互联网NIDSNIPS任务实施及方法技巧1、利用配置的的过程在图中所示的路由器R1上配置,利用配置的的步骤如下:步骤1:对路由器进行基本的配置,利用一台安装有的计算机A登录路由器R1;步骤2:启动规则向导,开始的配置;步骤3:选择要检测的接口;步骤4:指定的文件的位置;步骤5:结束配置向导,并利用把配置命令发送到路由器中去;步骤6:编辑策略;步骤7:查看全局设置,并进行修改;步骤8:签名查看、设置与修改。任务实施及方法技巧1、利用配置的的过程任务实施及方法技巧步骤1:对路由器进行基本的配置,利用一台安装有的计算机A登录路由器R1,如右图所示显示,说明路由器的内存不足,无法开启功能。根据的提示:路由器至少具有128内存才能运行。这时需要更大内存的路由器或增加路由器的内存。如果是利用路由器模拟软件,在路由器配置中的内存要调大于128,或修改已经生成的路由器的批处理文件,把”96”改为”128”或更大。任务实施及方法技巧步骤1:对路由器进行基本的配置,利用一台任务实施及方法技巧步骤2:具备功能和开启条件的路由器利用登录后选择入侵防御后,显示如右图所示界面。选择启动规则向导可以开始的配置。点击后出现提示信息“将打开预订,使路由器获取事件”,说明会把检测到的警报等利用协议送到路由器。并且会要求进行验证。任务实施及方法技巧步骤2:具备功能和开启条件的路由器利用登录任务实施及方法技巧正确输入用户名和口令后,策略向导会提示规则配置向导可以配置在接口上的规则,并指定文件的位置,需要指明检测的方向,也可以指明对特定的通信进行检测。任务实施及方法技巧正确输入用户名和口令后,策略向导会提示规则任务实施及方法技巧步骤3:选择要检测的接口,根据前面规则的图,这里可以选择,0/0为出站接口,1/0为入站接口。任务实施及方法技巧步骤3:选择要检测的接口,根据前面规则的图任务实施及方法技巧步骤4:指定的文件的位置。在选择文件位置时,选择添加,在添加签名位置处,可以选择指定或使用指定(可以是、或)。任务实施及方法技巧步骤4:指定的文件的位置。在选择文件位置时任务实施及方法技巧如图所示是通过A主机上建立的服务器,将指定到t处(要先将128复制到A主机的服务器目录下)。选择自动保存,会将其保存到路由器的中去。确定后点击下一步任务实施及方法技巧如图所示是通过A主机上建立的服务器,将指定任务实施及方法技巧步骤5:结束配置向导,并利用把配置命令发送到路由器中去。此处有13条命令被发送到路由器中去。任务实施及方法技巧步骤5:结束配置向导,并利用把配置命令发送任务实施及方法技巧步骤6:编辑策略。可以对通过配置向导进行编辑与修改。如右图所示,选择0/0后,选择编辑即可修改接口。任务实施及方法技巧步骤6:编辑策略。可以对通过配置向导进行编任务实施及方法技巧步骤7:查看全局设置,并进行修改。如图所示可以编辑警报通知方式,图中已经启用了和,也可以编辑修改位置。任务实施及方法技巧步骤7:查看全局设置,并进行修改。如图所示任务实施及方法技巧步骤8:签名查看、设置与修改。如图所示可以编辑选定的签名。任务实施及方法技巧步骤8:签名查看、设置与修改。如图所示可以任务实施及方法技巧对选定的签名,选择编辑,在出现的编辑签名窗口中即可以进行修改,修改前点击前面的绿色方形,变为红色菱形,要恢复点此红色菱形即可。任务实施及方法技巧对选定的签名,选择编辑,在出现的编辑签名窗任务实施及方法技巧也可以对一类签名进行控制,如禁用删除等,也可以使用导入或添加签名等操作。修改或编辑完后选择下面的改动生效即可。任务实施及方法技巧也可以对一类签名进行控制,如禁用删除等,也任务检查与评价1、思科路由器的故障安全处理思科路由器的有能力,当失效后,所有流量可通过。使用命令,可以改变行为,发生故障后,丢弃所有数据包。路由器的可以配置多个特征集的备份位置,比如、、等,如果在任何位置都找不到特征集文件,那么会启用内置特征集数据库。如果之前使用命令,明确不允许使用内置特征集数据库的话,那么会执行故障安全,默认为(每分钟产生对应信息:5:),不建议将其修改为(每分钟产生对应信息:5:)。如果某个特征无法加载,路由器忽略对应特征的扫描,其它特征继续工作。2、检查修改某个特征触发的动作可以利用或进行修改。其中动作设置包含:报警、丢弃、重设、拒绝攻击者、拒绝数据流。3、利用查看的消息利用连接到路由器后,即可以查看的消息。任务检查与评价1、思科路由器的故障安全处理任务检查与评价4、方式查看配置
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 运维岗位笔试题及答案
- 2026年农业现代化创新模式深度分析报告
- 高新集团笔试题及答案
- 2026年江苏兴化音乐试题及答案
- 短视频X文化传播平台选择论文
- 律师执业证模拟考试试题及答案真题
- 2026年养老产业市场规模分析报告与行业发展策略
- 深圳 三轮摩托模拟考试试题及答案
- 普通消防员培训考试试题及答案
- 2026年AR技术工业培训创新报告
- 2025华晋焦煤井下操作技能人员招聘100人(山西)笔试参考题库附带答案详解析集合
- 大数据技术在电子商务中的应用研究论文
- 05 新高考必背60篇选必下理解性默写逐篇过关练(教师版)
- 土石方工程第一次原始地貌实测数据记录表
- 2024年贵州省普通高校招生信息表(普通类本科批-历史组合)
- 初中全英文数学试卷
- 新版苏教版六年级数学下册全册教案
- 2021新安全生产法解读
- 现场应急救护知识讲座老年人课件
- 上海交通大学学生生存手册
- 炼金术化学与哲学教学课件
评论
0/150
提交评论