基于思科路由器的IOS入侵检测功能配置SDM

专业务实学以致用计算机网络安全技术与实施学习情境4：实训任务4.2基于思科路由器的IOS入侵检测功能配置专业务实学以致用内容介绍任务场景1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6专业务实学以致用任务场景专业务实学以致用任务相关工具软件介绍专业务实学以致用利用SDM对CISCO路由器IOS配置入侵检测与防御功能互联网防火墙路由器LANWAN交换机具有入侵检测与防御功能的路由器与防火墙任务设计、规划专业务实学以致用任务实施及方法技巧第一部分入侵检测与入侵防御技术相关原理专业务实学以致用任务实施及方法技巧1、入侵检测与入侵防护比较前面的工作任务主要是对入侵检测技术IDS的知识与实施方法的介绍，这里将对入侵检测IDS与入侵防护IPS进行相关知识的综合介绍，并加以区别。最后通过在思科路由器或PIX防火墙上利用SDM配置IPS完成入侵防护功能的规划与配置。IDS与IPS都具有对攻击进行识别的能力，例如对网络与主机资源的非法访问或攻击等，也都可以将发现的攻击行为进行日志及报警并发送到管理控制台。主要区别在于：IDS类似于SnifferPro等协议分析或嗅探软件的功能，放置于网络关键点进行协议数据检查，一般采取旁路方式进行协议数据的分析（例如利用端口镜在交换机上分流共享到网络关键入口的协议数据），将这获得的协议数据与攻击特征库相比较，以确定是否发生攻击行为。当确认发生网络攻击后，IDS可采取的动作主要是日志、报警或向管理控制台发送消息，较高级的是能与防火墙联动对正在进行的攻击进行阻断。IPS是以串联方式放置与防火墙后，或串入网络主干对关键区域的流量进行入侵防护，一般采取在线方式，所有流经IPS的数据流量，IPS都可以加以控制，以终止对网络的攻击行为。将流经的协议数据与攻击特征库相比较，识别针对网络的攻击，并能终止攻击的继续进行，根据预先设定对以类攻击进行记录，对同样的攻击做出快速准确的判断与阻止。专业务实学以致用任务实施及方法技巧2、IDS与IPS对检测到的攻击所采取的行动对所接收到的或流经的协议数据IDS或IPS都要进行检查，如果匹配特征库中的某条时，就会根据设定，进行如下可能的行动（可以是一个或多个组合动作）：日志（Log）：记录到系统日志或指定的数据库中去，如上一个工作任务；报警（Alert/Alarm）：可以利用向管理人员发出声音、邮件或消息等报警信息；重置（Rest）：对一些面向连接的协议如TCP，发送复位协议数据包；丢弃（Drop）：将协议数据包丢弃；阻止（Block）：拒绝源地址的数据流量通过。IDS属于被动设备，因为数据流量不经过IDS设备。当检测到攻击时IDS发出警报给管理人员。IDS可以选用的动作主要是：对后续的攻击数据流量通过安全设备或路由器；或由IDS向攻击的源发送TCP协议的复位数据包。IPS属于主动设备，所有数据流量流经IPS设备，一般IPS有多个接口（一般至少要有两个接口，流量的入口与出口）。IPS可以拒绝攻击流量的通过；可以把警报发到管理工作站。互联网企业服务器区IDS传感器互联网企业服务器区IPS专业务实学以致用任务实施及方法技巧3、IDS与IPS的组合IPS可以主支阻断认为是攻击的流量，但不应该阻断合法的数据流量，只是阻断确认为攻击的流量，这需要进行调整以免网络连接的中断。而IDS可以对IPS进行有效的补充，可以检测IPS是否工作，除认为是正常流量外对其它流量认为是可疑流量并进行报警，可以对IPS没有阻止的可能是攻击的数据流量进行标识。国内产品专家对两种产品的研讨如下：IDS入侵检测系统侧重于全面检测、记录与警报，而IPS则更擅长深层防御与精确阻断。从应用角度来看，低风险企业往往关注风险控制，对检测与监控和风险管理要求不高，此类企业选择IPS产品即可；对金融、电信等高风险行业，不仅关注风险控制，而且关注风险管理，这样的企业既需要IDS，也需要IPS；对于一些监管机构/部门来说，往往更关注风险管理的检测与监控，监督风险控制的改进状况，因此IDS是比较合适的产品。由于各行业客户不同的应用环境和实际需求，IDS和IPS在国内都呈现出繁荣发展的前景，因此二者之间的关系并非简单的升级和替代，长期来看，IDS和IPS将出现共同发展、和平共存的局面。目前国内在信息安全行业中IDS与IPS产品较成熟的企业有启明星辰、联想网御和H3C，国外产品有Cisco、JuniperNetScreen、MCAFEE、RadwareDefensePro等。关于网络产品的信息可以查阅产品介绍部分。专业务实学以致用任务实施及方法技巧4、IDS与IPS对攻击的检测手段一种是基于攻击签名的（Signature-based）检测方式，IDS或IPS设备厂商提供攻击签名数据库，并可以从厂商处获得对新的攻击检测条目的更新，这种方式与杀毒软件所采取的方式类似。这种方式可能会产生错误报告，如正常的测试或访问行为可能会被认为是攻击，如利用带有-t参数的Ping命令测试网络连通性是可能会产生误报。这种方式是对已知攻击有效，需要一个攻击的特征文件，并要不断升级。第二种是基于策略的（Policy-based）检测方式，策略的定义与描述要先创建。这种方式下，入侵检测系统分为入侵检测设备与管理控制端两部分，入侵检测设备负责数据的收集和分析，记录日志信息，发现入侵行为时报警，安全管理端接收和处理报警信息，根据报警的相关设定按相应的策略采取行动，如与防火墙联动，并形成对此行为的新的规则库（可以是填加的访问控制到防火墙上，以后就可以由防火墙直接拦截）。这种方式下需要对入侵检测与网络管理进行策略的协调，也需要一个策略数据库。第三种是基于异常的（Anomaly-based）检测方式，在这种方式下要先定义哪些是正常的流量，即需要定义一个用户的活动范围，对超出此范围的情况则发出警报。当然这需要构建一个准确的特征文件。这种方式的优点是能够检测未公布的攻击行为。但是这种方式的缺点也很明显，因为用户的活动有很大的随机性，可能新的访问方式或行为被认为是攻击而产生报警。这种方式下需要一个用户正常行为的特征文件。还有一种被称之为密罐的（Honeypot）检测方式，这种方式要先设置一台主机，这台主机尽可能多开启服务，用于引诱攻击者对这台主机进行扫描或探测，对攻击者起到一个陷阱的作用，并与关键设备隔离，这样可以使网络管理者发现企图对网络发起攻击的源头。这种方式下需要在网络关键位置部署一台陷阱主机。专业务实学以致用任务实施及方法技巧5、思科的IDS和IPS设备介绍下面对思科的IDS与IPS产品及解决方案加以介绍，思科IDS与IPS产品的实现主要是对过路由器、防火墙和专用的思科IPS4200系统探测器完成。（1）基于思科路由器IOS的入侵防御系统IPS思科路由器IOS的IPS功能提供了一个在线的数据包检测方案，在不影响路由器的性能的情况下提供对恶意流量识别、分类并阻止的能力。由IOS将报警发送到路由器内部缓存、日志服务器、或控制台。这对于中小型企业的网络提供了一种基本的流量监视，并能终止恶意的流量对内部的攻击。（2）防火墙集成IDS与IPS功能思科在PIX防火墙和自适应安全设备ASA内集成成了在线的入侵检测与入侵防御功能。PIX的5.2以上版本支持入侵检测功能，ASA通过AIP-SSM模块提供此功能。（3）专用硬件IDS或IPS专用的硬件可能是配置在路由器上的模块，可以提供给思科的2600和3700系列路由器，或或用于多层交换机，如安装到思科的Catalyst6500/7600的插槽中的模块来提供IDS与IPS功能。思科的IPS4200系列探测器可以提供探测、分类和阻止各种攻击威胁的能力。如思科的IPS4240等。关于思科的同类新产品可以在网上获取相关介绍。专业务实学以致用任务实施及方法技巧6、基于网络IPS与基于主机IPS基于网络IPS缩写为NIPS，网络探测器安装到网段的主干，来监视多台主机的活动。基于主机IPS缩写为HIPS，每一台主机上都安装有管理软件的代理程序。思科安全代理CSAs对主机进行防御并报告给管理控制台。HIPS为每个主机提供检测与防御，HIPS不需要特殊的硬件。在NIPS中，探测器是网络入侵检测分析设备，专用于入侵检测分析。一个探测器连接到网段来监视多台主机，并提供保护，与HIPS不同，NIPS增加主机不必增加探测器，并且在一个网段添加探测器很容易。互联网NIPSNIDSNIPS路由器防火墙管理服务器企业服务器群专业务实学以致用任务实施及方法技巧第二部分基于SDM配置入侵防御技术专业务实学以致用任务实施及方法技巧1、思科IOS入侵防护系统IPS介绍思科IOS的IPS是带IPS功能的路由器，即可升级支持IPS功能IOS的路由器。而IPS探测器是专门的IPS系统，如CiscoIPS4200产品。思科路由器较新版本的IOS可以支持IPS功能，作为一个在线式的IPS探测器，可以监控并检测到1600多种常见攻击，允许管理员手工修改已有的特征库或新建特征库来处理新发现的攻击行为。它可以检查穿越路由器的每个数据包，并与特征库进行模式匹配来发现异常流量，当发现异常时，IOS的IPS对攻击可以采取复位、丢弃或报警等方式对异常数据包进行处理。并且可以通过Syslog或安全设备事件交换SDEE（思科用于在IPS客户端与IPS服务器端之间进行消息交换的协议）等方式进行报告。可以配置IOS中的IPS功能来启用、禁用或设置特定的特征库。一般建议在路由器上同时启用IOS防火墙和IPS功能以达到整体策略的部署。当然启用IPS功能对路由器的性能有影响，这主要与特征库的数量有关。思科的IOS在12.3(8)T之前，内建了132个特征在IOS软件本身中，当然也可以到思科网站下载新的特征库文件。另外思科IOS的IPS可以使用SDF即特征定义文件来设置，IOS的IPS通过读取SDF文件来识别每个特征。在SDM配置工具的安装目录下可以找到两个特征文件，128MB.sdf、256MB.sdf和attack-drop.sdf这几个文件。在12.3(8)T之后的IOS路由器的闪存内已经有attack-drop.sdf这个文件了。思科IOS的IPS可能使用内建的特征库也可以使用SDF文件，也可以同时使用两种方式组合。而SDF文件分为静态与动态两种，如attack-drop.sdf为静态的，而128MB.sdf和256MB.sdf是动态加载到内存中的。可以对某一个特征进行调整或禁用。专业务实学以致用任务实施及方法技巧2、利用SDM配置IOS的IPS的规划在图中所示的路由器上配置NIPS，利用SDM配置IOS的IPS的规划如下：在如下图所示的网络中的路由器R1上配置IPS功能。首先要配置图中路由器的基本功能，在一台计算机A上安装SDM软件（当然也可以使用CiscoWorksIPSMC配置IPS功能），如果没有足够的硬件路由器可以利用路由器模拟软件进行模拟，建设选用3660的路由器，需要注意的是选择较新版本的IOS，并且在配置上把3660路由器的内存改为128MB。使用SDM安装目录下的128MB.sdf（推荐给内存大小为128MB的路由器使用）的特征定义文件作为IPS检测用。在A主机上利用利用SDM连接路由器R1并进行相应的配置，以实现利用128MB.sdf特征定义文件进行入侵防护。并配置检测报告方式为Syslog或SDEE方式，配置完成后偿试进行修改特征。路由器与主机地址信息参见图中所示：互联网NIDSNIPS路由器R1管理服务器F0/0:10.2.2.110.2.2.2As1/0专业务实学以致用任务实施及方法技巧1、利用SDM配置IOS的IPS的过程在图中所示的路由器R1上配置NIPS，利用SDM配置IOS的IPS的步骤如下：步骤1：对路由器进行基本的配置，利用一台安装有SDM的计算机A登录路由器R1；步骤2：启动IPS规则向导，开始IPS的配置；步骤3：选择IPS要检测的接口；步骤4：指定IPS的SDF文件的位置；步骤5：结束配置向导，并利用