mars调试总结

MARS调试总结：2007-12一、MARS概述MARS系统(Monitoring,AnalysingandRespondingSystem)，全名为：思科安全监控、分析和响应系统。又称安全威胁管理系统。它象一个精通所有网络安全设施的专家，由他来帮助我们进行早期预警、源头跟踪、措施建议等等。具体包括的功能有：监控安全设备：能够监控所有安全设备形成了日志、记录和告警，进行收集；监控网络拓扑形态：能够了解整个网络拓扑、设备类型和路由表、地址表等等信息；监控网络流量：能够监控网络中的各种流量，比如某个特定TCP/UDP端口号的流量变化，能够采集设备的Netflow信息，进行统计、形成日常基线，从而能够识别异常流量，未知或称新出现的安全攻击常表现为网络中突发异常流量；监控网络设备：能够监控业界主流厂商的网络设备的安全事件记录，包括路由器、交换机、VPN设备等等；统一进行分析功能：能把以上的所有监控信息统一进行分析，特别是和网络的拓扑和异常流量相关联，从而将各种看似分离的事件相关联，把各种重复的、错误的报告删除，最后把浩如烟海的问题报告浓缩成少量的安全事故报告，供管理员参考。往往数十万个告警最后仅剩下十几个高中低不同优先级的事故报告。形象的呈现：最后的事故报告可以向管理员清晰的描述攻击的源、路径、目标，攻击次数等等，并且在网络拓扑图中将上述信息标识处理，供管理员直观地察看、参考。智能专家建议：根据发现的安全事故，管理系统可以向管理员进行智能建议，比如对拓扑和路径智能分析后告诉管理员应在何处最佳位置进行过滤和安全缓解措施，过滤应采用的访问控制列表的具体命令，可主动执行威胁缓解动作等等。MARS对攻击事件的识别基于预定义规则，对主要来自于网络中的IPS/IDS设备上报的安全事件报警进行分析产生主要安全事故报警，所以我们在部署MARS时首先需配置好IDS设备。同时，全网设备NTP时间同步很重要，众多设备上报的同源安全事件不同步的时间戳可能会造成MARS无法关联识别。通过配置NTP服务器，实现全网设备的时钟同步，以方便管理及排错。二、全网NTP同步设置使用轮巡模式。将6500-1作为主NTP服务器。注意：两台6500交换机管理地址为10.10.10.x/24网段地址O-6506-primary:VLAN1地址：10.10.10.1O-6506-Secondary:VLAN1地址：10.10.10.2O-6506-Primary配置示例：首先使用clockset设置好时间，然后再配置NTP参数：clocktimezoneBJ8ntpmaster2ntpsourcevlan1ntpauthenticatentpauthentication-key1md5hollyntptrusted-key1ntppeer10.10.10.2sourcevlan1ntpupdate-calendar!!!PeriodicallyupdatecalendarwithNTPtime注意主NTP服务器不能加载clockcalendar-valid命令，否则自身无法同步。例如：O-6506-Primary#shntpstat―――加上面的命令出错Clockisunsynchronized,stratum16,noreferenceclocknominalfreqis250.0000Hz,actualfreqis250.0000Hz,precisionis2**24referencetimeisCAFE1E76.DDEEFC88(14:19:34.866BJMonDec32007)clockoffsetis0.0000msec,rootdelayis0.00msecrootdispersionis0.02msec,peerdispersionis0.02msecO-6506-Primary#showntpstat―――不加上面的命令Clockissynchronized,stratum2,referenceis127.127.7.1nominalfreqis250.0000Hz,actualfreqis250.0000Hz,precisionis2**24referencetimeisCAFE1EB6.DDEE516B(14:20:38.866BJMonDec32007)clockoffsetis0.0000msec,rootdelayis0.00msecrootdispersionis15875.02msec,peerdispersionis15875.02msecO-6506-Secondary配置示例：首先使用clockset设置好时间，然后再配置NTP参数：clocktimezoneBJ8clockcalendar-validntpsourcevlan1ntpauthenticatentpauthentication-key1md5hollyntptrusted-key1ntpserver10.10.10.1sourcevlan1ntpupdate-calendar!!!PeriodicallyupdatecalendarwithNTPtime客户端设置(所有的接入层交换机及安全服务模块等)：ClocktimezoneBJ8ntpserver10.10.10.1key1sourcevlan1ntpserver10.10.10.2key1sourcevlan1ntpsourcevlan1ntpauthenticatentpauthentication-key1md5hollyntptrusted-key1三、IDSM模块调试1、设置IDSM模块的管理口地址在6500命令行使用sessionslotxproc1登录IDSM模块缺省Login/password：cisco/cisco@123或guest/ciscocisco/cisco使用SETUP命令进行IP地址及网关设置注意：YoumustconfiguretheCatalyst6500seriesswitchtohavecommandandcontrolaccesstoIDSM-2.ThissectiondescribeshowtoconfiguretheswitchtohavecommandandcontrolaccesstoIDSM-2,在6500上把IDSM-2模块的管理接口划入VLAN中.配置后你就可以从模块Ping外部设备,也可以通过TFTP升级模块和管理监控设备.缺省是VLAN1.命令和实例如下:Router(config)#intrusion-detectionmodulemodule_numbermanagement-portaccess-vlannumber例如:intrusion-detectionmodule6management-portaccess-vlan36注意：有人会认为，可能基于安全性的考虑，直接PingIDSM模块的IP是不通的，但从IDSM往外PING是通的。错，不完全是，要想从PC侧Ping通IDSM，需通过SETUP命令修改Networkaccesslist，将PC地址permit才能访问IDSM。临时设IDSM的地址为10.80.1.56/24，属vlan800，gateway:10.80.1.12、IDSM配置启用流量监控接口，进行流量采集。配置IDSM接口采集信息为了实现IDS能检测到网络中的ARP攻击，需打开缺省关闭的ARP攻击检测功能：该Signature为7104和71053、将指定的端口或VLAN流量映像给IDSM模块进行分析：第一步和第二步相同.第三步:配置SPAN源端口或VLAN:Router(config)#monitorsessionsession_numbersource{interfacetypeslot_number/port_number|vlanvlan_ID}{rx|tx|both}例如:monitorsession2sourcevlan10第四步:配置IDSM-2端口作为SPAN的目的:Router(config)#monitorsessionsession_numberdestinationintrusion-detection-modulemodule_numberdata-portdata_port_number例如:monitorsession2destinationintrusion-detection-module2data-port1注意(可选):假如源SPAN端口是Trunk端口,SPAN会话仅能看到某些从Trunk端口来的VLAN.命令如下:Router(config)#monitorsessionsession_numberfiltervlanvlan_list四、MARS调试MARS相当于一台服务器，连接入网络内即可，对现网运行不会产生任何影响。MARS产品图片如下（前面板）：基本配置步骤如下：(1)、第一次使用，需准备键盘及显示器。以察看MARS的管理IP地址。开机开关位于前面板内，打开前面板即可发现开机开关。(2)、LicenseKey也位于前面板内。(3)、基本登录信息：基于Linux操作系统缺省用户名/口令：pnadmin/pnadmin接口IP地址：MARS有两个物理接口（Eth0和Eth1），其中Eth0用于搜集网络设备的日志信息，Eth1用于带外管理使用。两个接口不允许配置在同一个网段，其中ETHI1接口可以选择不进行使用，可以配置Eth0接口同时进行设备管理以及网络时间采集工作。但是为了保证安全性，还是强烈建议配置ETHI1接口单独进行管理使用。缺省IP地址：ETH0:192.168.0.100/24ETH1:192.168.1.100/24带外管理口Defaultgateway:192.168.1.254更改命令为:IfconfigipaddressnetmaskGatewaygw-address无存盘命令，系统自动保存配置。配置MARS时区、时间、日期等信息，注意配置完毕需要重启MARS通过访问MARSEth0接口，管理界面当前版本：CS-MARSStandalone:pnmarsv4.2(4)、网络设备需做的配置，主要是设SNMP和SYSLOG，将SYSLOG信息发给MARS：交换机及路由器：servicetimestampsdebugdatetimemseclocaltimeservicetimestampslogdatetimemseclocaltimesnmp-servercommunityxxxx2008RWsnmp-servercommunitycisco2008ROsnmp-serverhost192.168.0.100cisco2008loggingonloggingtrapwarningslogging192.168.0.100logginghistorynotificationsPIX防火墙：loggingenableloggingtimestamploggingtrapwarningslogginghostinside192.168.0.100formatemblemsnmp-serverhostinside192.168.0.100pollcommunitycisconosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitycisco(5)、网络设备需做的Netflow配置，将Netflow流量统计信息发给MARS：交换机上启动Netflow流量统计功能，命令如下：Switch(config)#mlsnetflow!---EnablesNetFlowonthePFC.!Swit