332-传输层安全协议SSL

任务十一：企业网络安全预警内容简介一、任务内容二、背景知识三、风险分析四、步骤介绍五、任务小结一、任务内容任务名称包含步骤能力目标支撑知识训练内容11、企业网络安全预警（重点）11.1入侵检测的部署、安装及配置1、IDS网络部署方法2、IDS的安装方法3、IDS的测试方法4、IDS的配置方法1、入侵检测的定义、作用原理2、入侵检测的部署1、入侵检测系统的部署2、入侵检测系统的安装3、入侵检测系统的配置11．2防火墙与入侵检测联动预警入侵检测系统与防火墙的联动配置方法1、硬件防火墙作用原理2、防火墙与入侵检测联动工作原理作用1、生成防火墙和IDS的通讯密钥2、联想网御IDS与防火墙联动证书上传防火墙3、网御IDS与防火墙联动IDS端配置二、背景知识1、入侵检测技术2、入侵检测的部署1、入侵检测技术入侵检测的定义入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此做出反映的过程。入侵检测系统IDS（IntrusionDetectionSystem）是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象对系统的入侵，另一方面还监视授权对象对系统资源的非法操作。1、入侵检测技术入侵检测的作用（1）监视、分析用户和系统的运行状况，查找非法用户和合法用户的越权操作；（2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；（3）对用户非正常活动的统计分析，发现攻击行为的规律；（4）检查系统程序和数据的一致性和正确性；（5）能够实时地对检测到的攻击行为进行响应；（5）对操作系统审计跟踪管理，并识别用户违反安全策略的行为。1、入侵检测技术入侵检测的意义（1）单纯的防护技术容易导致系统的盲目建设，一方面是不了解安全威胁的严峻和当前的安全现状；另一方面是安全投入过大而又没有真正抓住安全的关键环节，导致资源浪费。（2）防火墙策略有明显的局限性。（3）静态安全措施不足以保护安全对象属性。（4）而入侵检测系统在动态安全模型中占有重要的地位。2、入侵检测的部署（1）共享网络共享式局域网是最简单的网络，它由共享式HUB连接各个主机。在这种网络环境下，一般来说，只需要配置一个网络探测器就可以达到监控全网的目的。（2）墙前监听和墙后监听安装两个在防火墙的前段和后端，随时监视数据包的情况，可以保护防火墙。（3）交换机具备管理功能（端口镜像）使用交换机（Switch）作为网络中心交换设备的网络即为交换式网络。交换机工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将主机连接到镜像端口即可，此时可以捕获整个网络中所有的数据通讯。2、入侵检测的部署（4）代理服务器在代理服务器上安装入侵检测就可以监听整个网络数据。（5）交换机不具备管理功能一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分析。如果中心交换或网段交换没有端口镜像功能，一般可采取串接集线器（Hub）或分接器（Tap）的方法进行部署。使用网络分接器(Tap)：使用Tap时，成本较高，需要安装双网卡，并且在管理机器不能上网，如果要上网，需要再安装另外的网卡,将探测器部署在网络分接器上。使用集线器(Hub)：Hub成本低，但网络流量大时，性能不高（Tap即使在网络流量高时，也对网络性能不会造成任何影响），将探测器部署在集线器上。（6）DMZ区将入侵检测部署在DMZ区对外网络节点上进行监控。三、风险分析风险造成的影响软件编写存在bug口令失窃风险成因软件编写漏洞被利用导致网络系统被攻击入侵安全防护知识安全防护技术入侵检测系统的作用原理入侵检测技术网络被嗅探组成信息泄露防火墙与入侵检测联动的作用原理暴力破解导致密码失窃、身份仿冒、越权访问设计缺陷导致的先天的安全漏洞入侵检测与防火墙联动技术系统配置不当初始设计存在缺陷等方面明文通讯信息被监听四、步骤介绍1、入侵检测的部署、安装及配置具体步骤目标：1.能正确部署入侵检测系统2.能正确安装入侵检测系统3.能正确设置入侵检测系统四、步骤介绍1、入侵检测的部署、安装及配置网络环境：用户202.103.0.117防火墙路由模式接入服务器192.168.1.116内部用户192.168.0.202外部网络DMZ区内部网络交换机10M联想网御入侵检测接入交换机端口镜像控制主机四、步骤介绍2、入侵检测与防火墙的联动具体步骤目标：能正确地对防火墙和入侵检测进行联动设置网络环境：1、入侵检测的部署、安装及配置1.入侵检测系统的部署2.入侵检测系统的安装入侵检测的物理安装入侵检测的软件安装3.入侵检测系统的配置入侵检测系统探测器超级终端配置入侵检测系统探测器系统配置控制台系统配置入侵检测数据库系统的配置配置探头策略配置1.入侵检测系统的部署入侵检测是监控某一局域网内部的网络数据流量，所以需要将入侵检测部署在该网络对外的接口设备上面。1）将联想网御入侵检测的监控端口与交换机的镜像口连接，用于检测整个DMZ区的网络流量。一般来说，交换机的镜像口为1号端口，有些交换机的镜像端口需要配置，配置方法会在其他实训中说明。2）将联想网御入侵检测的COM口和控制主机的COM口连接，用于配置入侵检测的检测探头。3）将联想网御入侵检测的通讯端口与控制主机的网卡口相连接，用于查看当前网络中的数据流量。1.入侵检测系统的部署在控制主机上安装入侵检测，配置相应策略之后看到当前网络中的数据。到此入侵检测已经部署成功。2.入侵检测的物理安装名称型号说明Power电源指示灯开机后电源指示灯亮起，若熄灭表示探测器断电或故障。CONSOLECOM口探测器与控制台的控制接口，通过它可以进入探测器界面进行控制操作。通讯口RJ45接口探测器与控制台之间相互通讯，传递信息的接口。监听口RJ45接口探测器监听网络的接口，探测器通过它捕获网络上的数据报文。备用口RJ45接口在通讯口或监听口故障时，临时替代的接口，也用于多台探测器负载均衡时的串连接口。备用口RJ45接口在通讯口或监听口故障时，临时替代的接口，也用于多台探测器负载均衡时的串连接口。2.入侵检测的物理安装IDS的探测器部署在需要监听的网络节点上，其主要步骤如下：1）将监听口上的RJ45接口的数据线插入被监听网络的网络节点上（通常是交换机的公共映射端口）；2）将通讯口上的RJ45接口的数据线插入控制台主机的网卡上。3.入侵检测的软件安装1）在随机光盘中打开程序，开始安装。2）在欢迎窗口中单击【下一步】按钮，弹出同意协议窗口。在注册信息窗口单击【下一步】按钮继续安装。3）选择安装路径。控制台的默认安装目录是“C:\ProgramFiles\Lenovo\IDS”。如果希望改变默认路径安装目录，单击【查找】按钮打开对话框，选择安装目录，在当前窗口单击【确定】按钮。然后在选择安装目录对话框中单击【下一步】按钮继续安装。4）选择安装证书。5）在对话框中单击【查找】按钮，选择证书文件。6）选择完证书文件，在对话框中单击【下一步】按钮。3.入侵检测的软件安装7）选择管理程序组，缺省为网御IDS控制台，单击【下一步】按钮继续安装。8）开始安装，单击【下一步】按钮继续。9）复制文件。10）设置日志目录，默认的日志文件夹是“C:\ProgramFiles\Lenovo\IDS\Manager\Log”。11）LenovoIDS控制安装完成，单击【完成】按钮结束安装过程。4.入侵检测系统探测器超级终端配置通过配置串口电缆连接探测器到配置终端。使用计算机进行配置，需要在计算机上运行终端程序，建立新的连接。1）打开【开始】【程序】【附件】【通讯】【超级终端】，键入新连接的名称，单击【确定】按钮。2）在进行本地配置时，【连接时使用】选择连接的串口（注意选择的串口应该与配置电缆实际连接的串口一致），然后单击【确定】按钮。4.入侵检测系统探测器超级终端配置3）在串口的属性对话框中设置波特率为38400，数据位为8，奇偶校验为无，停止位为1，流量控制为无，单击【确定】按钮，进入超级终端窗口。4.入侵检测系统探测器超级终端配置4）在超级终端中选择【文件】【属性】【设置】项，进入属性设置窗口，选择终端仿真类型为【自动检测】，单击【确定】按钮，返回超级终端窗口。5.入侵检测系统探测器系统配置1）打开配置好的超级终端，按【回车】键，配置终端上出现命令提示行“login：”。5.入侵检测系统探测器系统配置2）输入用户名和密码后，即可登陆配置页面。5.入侵检测系统探测器系统配置3）配置IP地址在命令行界面上，依次选择【主菜单】【系统管理】【网络配置】【查看&编辑IP配置】菜单项，打开【查看IP界面】。5.入侵检测系统探测器系统配置默认配置为：IP地址：192.168.0.253子网掩码：255.255.255.0网关：192.168.0.1“是否要进行IP配置？（0－否/1－是）”选择1，修改IP地址和子网掩码。6.控制台系统配置1）进入入侵检测控制台界面打开系统，系统会要求输入帐户和密码6.控制台系统配置1）进入入侵检测控制台界面打开系统，系统会要求输入帐户和密码系统默认的用户为lenovo，为超级用户，密码为缺省的default。也可以自己添加管理员并设置权限。6.控制台系统配置2）在控制台窗口中，选择【资产】【引擎】菜单项，打开【客户资产管理】【引擎】窗口。6.控制台系统配置3）单击【添加】按钮，打开【添加引擎】窗口。6.控制台系统配置输入如下信息：名称：输入LenovoIDS引擎的名称。类型：选择“LenovoIDS”。组：选择引擎组，在【资产】【引擎组】菜单项中定义。缺省的引擎组为IDS。IP/端口：设置IP地址和端口，端口默认为2002。策略：单击策略栏右侧的按钮，打开【策略项属性】窗口。6.控制台系统配置4）单击【刷新引擎】按钮，刷新引擎列表，选择需要添加的策略，单击【应用策略】按钮添加策略到引擎，单击【确定】按钮增加策略。6.控制台系统配置5）确认无误后，单击引擎状态复选框下的【确定】按钮，增加引擎。6.控制台系统配置6）选择同步菜单，下发并应用策略到引擎。增加后的引擎将出现在主窗口左侧的树型目录中。7.入侵检测数据库系统的配置MS－SQLServer数据库生成器用于在使用MS－SQLServer作为日志保存数据库时自动创建数据库表。准备工作：首先要安装MS－SQLServer数据库；记录访问数据库的帐户和口令。在安装MS－SQLServer的服务器上选择创建数据库的路径。如果不存在，需要手工创建。记录改路径。7.入侵检测数据库系统的配置1）运行MS－SQLServer数据库生成器。可以安装MS－SQLServer服务器在本地运行，也可以运行在网络中的任何一台主机上。运行方式包括自动和手动两种。手动方式需要用户按照顺序一步一步完成操作，自动运行将根据设置好的参数自动完成所有操作。7.入侵检测数据库系统的配置2）连接数据库SQL服务器名：安装了MS－SQLServer数据库服务器的主机名或IP地址；SQL服务器（sa）帐户名：访问MS－SQLServer数据库的帐户名称，默认为“sa”；SQL服务器（sa）口令：访问MS－SQLServer数据库的口令，默认为“sa”；初始化数据库7.入侵检测数据库系统的配置3）创建基本数据表7.入侵检测数据库系统的配置4）创建管理日志数据库7.入侵检测数据库系统的配置5）创建汇总数据库注：输入数据库路径要保持一致。7.入侵检测数据库系统的配置6）创建统计数据库7）设置好参数后，点击【开始】按钮。8）如果设置的参数全部正确，将成功创建数据库。7.入侵检测数据库系统的配置9）在【资产】【环境设置】【常规】中选择日志保存数据库为MSSQL－Server。SQL服务器地址：安装MS－SQLServer的服务器的IP地址；SQL数据库名：保持默