您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 锐捷安全专项认证课程-IDS技术
IDS技术学习目标通过本章的学习,希望您能够:了解什么是IDS了解IDS的工作原理了解数据捕获方式了解IDS、IPS、防火墙的区别部署与配置RG-IDS本章内容什么是IDSIDS工作原理数据捕获方式IDS、IPS、防火墙的区别课程议题什么是IDS什么是IDS?IDS(IntrusionDetectionSystem)的概念IDS是硬件或软件用于检测对网络的攻击对攻击的积极响应好人坏人什么是IDS?(续)IDS的起源与发展概念的诞生—1980年美国空军做了题为《计算机安全威胁监控与监视》,第一次详细阐述了入侵检测的概念模型的发展—1984~1986年乔治敦大学的DorothyDenning和SRI公司的计算机科学实验室PeterNeumann研究出了一个入侵检测模型,取名为IDES(入侵检测专家系统)。它独立于特定的系统平台、应用环境、应用弱点以及入侵类型真正提出的入侵检测思想百花齐放—1990年美国加州大学第一次将网络数据流作为审计来源分析入侵活动,为入侵检测技术翻开新的一页。从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术,并且两种方式不断壮大起来里程碑—2000年分布式IDS出现HIDS(HostIDS)Internet网络服务器1客户端网络服务器2X检测内容:系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDSHIDS(续)在最终目的进行分析对网络的视野有限性能问题部署问题NIDS(NetworkIDS)InternetNIDS网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容:包头信息+有效数据部分NIDS(续)视野开阔易于部署带宽、性能问题加密问题课程议题IDS的工作原理IDS警报什么是警报IDS检测到入侵活动时,都必须产生一些警报以发出信号由于IDS没有100%的正确率,所以IDS警报分为两大类错误警报误报漏报正确警报正确命中正确拒绝IDS检测方式异常检测模式匹配(签名匹配)协议分析异常检测概念也称为模型检测,需要为用户习惯建立模型。模型为用户定义了行为特征,以及为用户执行正常任务定义了一个基线优点检测以前未发布的攻击缺点用户习惯改变时,必须更新用户模型很难把特定的攻击与警报相关联模式匹配概念也称为滥用检测,探测与具体特征相匹配的入侵行为,将收集到的信息与特征库匹配优点基于已知的入侵行为安装后立刻就能进行检测缺点需要更新签名库(特征库)有些攻击能绕过IDS无法检测未知攻击模式匹配(续)张三命中协议分析协议分析(续)ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。。。DNS第一步——直接跳到第13个字节,并读取2个字节的协议标识。如果值是0800,则说明这个以太网帧的数据域携带的是IP包,基于协议解码的入侵检测利用这一信息指示第二步的检测工作。第二步——跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06,则说明这个IP帧的数据域携带的是TCP包,入侵检测利用这一信息指示第三步的检测工作。第三步——跳到第35个字节处读取一对端口号。如果有一个端口号是0080,则说明这个TCP帧的数据域携带的是HTTP包,基于协议解码的入侵检测利用这一信息指示第四步的检测工作。第四步——让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器,在它被允许提交给Web服务器前,由HTTP解析器来分析它是否可能会做攻击行为。协议分析(续)0800[13字节]06[24字节]0800[35字节]55字节张三匹配基于状态的检测IDSPC-A1.1.1.1源地址目标地址源端口目标端口初始序列号ACK标记1.1.1.12.2.2.2103380350771syn1.1.1.12.2.2.2103380350772133076syn-ack1.1.1.12.2.2.2103380350773133077ack①②③状态表源地址目标地址源端口目标端口序列号IDS响应技术报警记录日志TCPreset联动SNMPTrap邮件通知IDS逃避技术泛洪使IDS产生大量警报,隐藏真正攻击消耗IDS系统资源分片消耗IDS系统资源加密迷惑使用不同的字符表达方式课程议题数据捕获方式HUB物理层设备将流量向所有端口复制安全问题流量镜像SPAN(SwitchPortAnalyzer)交换机的端口监控功能将一个或多个来自某端口或VLAN的数据镜像到另一个目的端口目的端口常用来连接网络分析仪安全性高配置SPAN配置端口镜像的源端口monitorsessionsession-numbersourceinterfaceinterface{both|rx|tx}Switch(config)#monitorsessionsession-numberdestinationinterfaceinterfaceSwitch(config)#配置端口镜像的目的端口以太网接口的工作模式正常模式只接收目的MAC与自己MAC匹配的报文接收广播报文混杂模式接收所有报文(目的MAC非自身MAC的报文)IDS接口为混杂模式课程议题IDS、IPS与防火墙的区别IDS、IPS、防火墙对比防火墙可以检测20%的攻击IDS可以检测80%的攻击IPS可以检测50%的攻击IDS、IPS、防火墙对比(续)特征IDSIPSFirewall部署方式旁路在线在线优势性能结合IDS/FW严格的安全规则检测层次L3以上L3以上L3/L4成熟度很成熟不成熟非常成熟课程议题部署与配置RG-IDS安装组件步骤安装RGIDSSensor安装DataBase安装RGIDSLogServer安装RGIDSEvent-Collector安装RGIDSConsole安装RGIDSReport安装顺序配置SensorSENSOR显示的当前状态输入管理员密码,进入管理窗口配置SENSOR的网络连接状态配置DataBase安装微软MSDE组件初始配置计算机重启安装LogServer配置LogServer安装完成,出现“数据服务初始化配置”窗口也可以通过点击“开始—程序—入侵检测系统—入侵检测系统(网络)—RGIDS数据服务安装”进入此窗口配置Event-Collector安装License安装许可证配置Event-Collector在应用服务管理器中启用事件收集服务主要功能:后台服务的启动管理收集组件的状态调试信息配置用户控制台登录界面对用户做管理及审计信息添加组件组件管理——添加组件添加传感器组件配置窗口添加传感器同步签名、应用策略、重启引擎应用策略后会出现断开标志;大约2分钟时间,后出现编译签名标志;整个同步签名需要大约需要20分钟时间。添加LogServer添加LogServer策略编辑策略编辑器窗口添加特殊事件添加特殊事件进入“策略”——“告警策略”窗口展开“一般事件树”右键点击某个攻击签名,在出现的菜单中选择“添加到特殊事件窗口”在弹出的窗口中,输入新建事件组的名称点击“确定”按钮,该攻击签名将出现在特殊事件窗口中事件统计图一般事件统计图表窗口事件风险一般事件风险列表窗口系统日志系统日志窗口配置Report报表的登录界面配置Report安全事件报表、系统事件报表、审计事件报表配置Report报表的数据服务器信息设置界面配置Report数据服务器信息课程回顾什么是IDSIDS工作原理数据捕获方式IDS、IPS、防火墙的区别部署与配置RG-IDS
本文标题:锐捷安全专项认证课程-IDS技术
链接地址:https://www.777doc.com/doc-1270312 .html