设备安全--IPS部署与维护
設備安全–IPS部署與維護
IPS—網絡入侵防護系統
1.入侵檢測技術
攻擊手段最多的是應用層,而IPS就是一款防御應用層攻擊的系統。
1.產生該技術的背景:
(1)外部攻擊眾多—外部黑客會不停進行攻擊
(2)內部威脅增多—內部人員的不正當操作
(3)防火墻的局限—防火墻工作在網絡層并不能對應用層的攻擊進行有效的防護
(4)各種應用紛雜—各種小公司的一些應用的安全并不能保證安全
2.入侵檢測技術的工作流程
數據經由主機與網絡經過的時候,先進行數據采集采集完成后進行數據的檢測與分析,倘若檢測時,檢測出數據中攜帶庫中的原型,則會進行報警與響應。
3.NIPS的體系架構–內置庫需要經常進行升級更新
具體可以達到的功能:
入侵防護、抗D.o.s攻擊、數據泄露防護、高級威脅防御、信譽、URL過濾、防病毒、用戶管理、應用管理、流量控制(系統規則(攻擊特征庫)、信譽庫(惡意網站)、URL分類(URL分類庫))
分為五個大的模塊:
(1)高性能多核硬件平臺
(2)數通引擎(1-4層)—負責轉發流量
功能:IP碎片重組、流匯聚、TCP狀態跟蹤、數據捕獲
(3)安全引擎(4-7層)—應用層的防護
功能:協議的識別、分析、檢測
(4)安全響應模塊
功能:包丟棄、會話阻斷、記錄日志、報警顯示、郵件報警、協議回放、互動接口、自定義命令
(5)管理模塊
功能:賬號管理、配置管理、策略管理、事件管理、日志管理、系統監控
.4.匹配方式
(1)基于特征
[50363] windows SMB協議用戶認證失敗(如果一段時間內錯誤次數達到設定最大值)則進行(2)
(2)基于統計(ddos、暴力猜測–猜測在猜測密碼)
[20384] windows SMB暴力猜測用戶口令
5.產品實施流程
調研階段:
客戶拓撲、部署方式
客戶環境,例如是否有MTU大于2048的流量穿過設備
實施步驟
基本參數配置:系統時間、賬號、DNS、安全中心、接口配置
設備上架
設備連線
功能調試:測試網絡連通性、測試阻斷/告警等
6.默認用戶
| 用戶名稱 | web操作員 | web審計員 | console口管理員 |
|---|---|---|---|
| 用戶名 | admin | auditor | conadmin |
| 密碼 | admin | auditor | conadmin |
注意:
1.admin即為設備管理員,具有最高權限
2.實施完畢請告知客戶admin和auditor的用戶名和密碼,并及時修改默認密碼。
3.conadmin密碼修改視情況而定,一般不修改。(如果修改后忘記,找回這個密碼比較麻煩)
conadmin(串口):端口:COM4、波特率115200
可以實現的功能為:查看系統信息、診斷工具、維護工具、系統初始化、重新啟動系統、關閉系統、退出配置界面
7.web登陸
https://IP地址
默認管理口IP:
M:192.168.1.1/24
H1:192.168.2.1/24
注意:M口和H1口不能配置為同一網段,否則兩個接口都無法ping通
8.NIPS基本參數配置
(1)修改系統時間
1.web界面支持NTP服務器自動同步,也可以手動修改系統時間。
2.系統時間直接關系著告警和入侵事件的日志記錄時間,請力求設置準確。
(2)導入證書
以證書到期的日期為準,到期之前發布的升級都能升級但是到期之后就不能進行升級了
1.初級登錄設備會自動提示導入證書
2.及時核查證書有效期、功能模塊等是否與客戶購買合同一致
3.正式銷售證書請及時備份,拷貝給客戶存檔,如果證書遺失,可以從web頁面導出一份
(3)賬號管理
1.默認只啟用admin賬號,auditor需要手動啟動
2.如果忘記密碼,請到串口下重置
(4)管理口配置
EU的設備只有M口,沒有H口
可管理要選是,之后就能管理該接口了
1.M,H1口為帶外管理口,也可做HA心跳口
2.盡量給管理口配置網關,用作跨網段管理,自動升級等
(5)DNS配置
必須配置
1.自動升級,連接云安全中心必須配置DNS
2.云端獲取信譽庫也會用到DNS
(6)升級配置
升級時要提前和客戶商量好
升級時要查詢升級里面的說明,看看固件是否支持以及軟件版本信息是否滿足
引擎和規則的關系:
(1)當發現不能檢測某種攻擊或某種應用時,不光要升級規則庫,還要同時升級引擎,才能保證檢測的準確性
(2)從V5.6.6版本開始,規則庫的升級對引擎版本有依賴性(依賴:引擎版本不升級到最新及時規則庫卻升級到最新,依然無法檢測出規則)
校驗:在系統命令行(cmd)里面輸入:certutil -hashfile 文件路徑 md5------所產生的結果和網頁上一致則可以進行升級,之后在離線升級里面選擇文件上傳(不要因為卡住而直接關閉,用其余瀏覽器登錄查看是否是頁面卡住了)
1.上線前請先升級至最新版本
2.引擎升級會導致設備引擎重啟,導致少量丟包,在線升級盡量不要自動升級引擎
3.自動升級時間可以選擇其他時間,避免周一–00:00的升級高峰
(7)連接安全中心
一共只能有一萬條日志
一次只能查看一千條日志
1.連接安全中心需配置本地IP地址
2.NIPS可以聯動ESPC,云安全中心和BSA
3.連接安全中心并非必須,單獨的NIPS也可以正常工作,但因為單機內部存儲很小,所以日志不能保存很長時間
4.ESPC的安裝方法和設備添加方法見ESPC培訓
9.NIPS典型拓撲
(1)直通部署
數據準備:帶外管理口地址和網關地址
配置思路:
1.安全區配置
設備配置
5610F01版本接口配置
(1)安全區配置(選擇“網絡>安全區”)
(2)接口配置(選擇Direct-A,接口可配可不配(G3/4口),M口要配置地址和網關)
5610F02版本接口配置
(1)安全區配置(選擇"網絡>安全區"類型選擇為vwire且有虛擬線)
(2)接口配置(接口類型選擇虛擬線,安全區也選擇虛擬線)
(3)添加虛擬線(記住選擇接口鏈路狀態同步,MTU=1500)記著要點應用
監聽配置
(1)安全區配置(選擇“網絡>安全區”)類型選擇monitor
(2)接口配置(選擇“網絡>接口”)M口配置地址
2.虛擬線配置
3.應用配置,使配置生效
10.NIPS的首頁組成
系統狀態
引擎狀態:綠色代表是啟動的,黃色代表停止或調試(此狀態下是不會進行防護的)
證書:查看是否過期
版本信息
一定要把版本升級到最新
接口信息
接口如果是綠色代表正常運行,如果為紅色代表不能正常運行
流量監控
2.上線配置
1.對于一般用戶
(1)NIPS/NIDS上線時,僅需修改管理口地址及網關,并應用配置,不需要進行額外配置
(2)NIPS/NIDS默認出廠時接口安全區為direct或者monitor,以及一條入侵防護策略
(3)NIPS/NIDS默認沒有硬盤,日志存儲在內存中(最多存儲10000條,界面顯示1000條),重啟后日志會被清空,建議上線時聯動ESPC
2.對于高級用戶
除對一般用戶的配置外,還可以根據需要配置其他策略模塊
3.策略模塊的分類
IPS/IDS–綠盟入侵防護/檢測系統
數據泄露防護
入侵防御檢測
信譽
URL分類
應用管理
流量管理
防病毒
用戶管理
高級威脅防護
4.策略-入侵檢測防護的作用
(1)有效識別并阻斷網絡攻擊,蠕蟲和病毒傳播
(2)靈活的策略配置:基于安全區,源目的IP/MAC,時間等
5.系統規則庫模板
Defauit:適用于大多環境(一般都使用這個)告警>阻斷>隔離(關到小黑屋–禁閉時間30min)
DMZ區服務器:所有攻擊類型規則,使用TFTP/RIP/NETBIOS/NFS和WINS的利用漏洞攻擊規則除外
內網客戶端:所有攻擊規則,使用RIP和路由協議的利用漏洞攻擊規則除外
web服務器:所有偵測和DOS攻擊規則/一般后門程序以及使用DNS/HTTP/FTP協議的利用漏洞攻擊規則
windows服務器:受影響的操作系統包括windows的所有攻擊規則
通用服務器:所有偵測和DOS攻擊規則,一般后門程序以及使用DNS/SMTP/POP3/IMAP/DNS和NFS/RPC和NETBIOS/SMB協議的利用漏洞攻擊規則
UNIX類服務器:受影響的操作系統包括UNIX、Linux、Solaris的所有攻擊規則
系統規則模板
內置模板:按防護的對象進行劃分
內置模板的使用場景:一般用戶采用系統內置模板即可,根據可靠度已經選擇好需要阻斷的規則;并可根據防護的對象選擇對應的分類
派生模板:由內置模板派生
派生模板的使用場景:想要額外阻斷或者不阻斷某條具體規則時,可以派生出一個新的模板,并進行阻斷動作的修改
用戶規則模板: 由用戶自己選擇規則
**用戶規則模板的使用場景:**可以增加或者減少規則,以及添加自定義規則,適用于更高級的用戶
6.策略–入侵檢測/防護
主要配置步驟
1.選擇安全區
2.選擇源目的對象
3.選擇規則模板
4.選擇是否啟用阻斷功能
5.應用配置,使配置生效
隔離功能:
(1)啟動防護,在一段時間內丟棄觸發規則的攻擊源IP到目的IP的數據包
(2)dynamic_isolation_time隔離時間,一般默認為30min(是可以進行人為修改的)
(3)觸發隔離后,在日志中的圖標會顯示為隔離,而非阻斷
(4)首頁入侵防護告警事件中可以取消隔離
例外規則
(1)針對某個地址對象的某個規則白名單
(2)例外規則是全局規劃,針對所有鏈路,所有IP生效
入侵防護–DOS防護
參數含義:
檢測閾值:設定的報文閾值
檢測周期:設定的時間閾值
復位時間:每隔設定時間將統計告警的表項清零,一般不改
保護時間:防護的時間,即限流的時間
限制流量:開啟防護后,允許通過的每秒包的數量。不包括正常通信流中所占的pps,只限制符合告警條件的包
注意事項:(1)默認的閾值較大,在進行測試時要適當調整閾值(2)一般不建議開啟自動保護功能,可能會有誤阻斷(3)告警在入侵防護日志中進行查詢
數據泄露防護
概念:數據泄露防護功能對內網進行有效的安全防護,可以防止內網敏感數據的泄露、防止某些文件的外發,可以監控服務器的非法外聯行為,以防止攻擊者通過服務器進行跳轉攻擊
包含三個部分:
敏感數據保護
敏感數據保護可以防止內部敏感數據(電話、身份證、銀行卡)的外泄,在網絡流中(HTTP、FTP、EMAIL)發現大量的敏感數據外傳時(全局閾值超過時),NGIPS會阻斷外傳行為,并產生告警日志,啟示用戶內網存在敏感資源外泄行為
文件識別
文件識別可以防止內部特定格式的文件的外發,例如在專利局部門中,為了防止專利文檔被惡意獲取并傳到外部,需要監控PDF格式或圖片格式文件的外發
文件識別配置
(1)新建網絡對象
(2)新建時間對象
(3)新建文件識別策略,選擇文件類型
路徑:策略–數據泄露防護–文件識別—新建
服務器異常防護
軟件BYPASS
作用:即調試模式,安全引擎不再工作,但數通引擎仍舊正常工作(DDOS策略依然生效)
硬件BYPASS可用條件必須在串口關閉
(1)硬件BYPASS:bypass的兩個端口物理連通,變成一根網線,用戶的數據流量可以直接通過設備,不受設備自身當前狀態的影響
(2)設備帶BYPASS板卡:1.板載電口支持bypass 2.部分版本和型號支持光板卡bypass,V567及以前版本光口bypass必須使用外置光bypass交換機
(3)經過IPS一路流量經過一對板卡標識的bypass口
硬件bypass啟動條件
(1)人工在web頁面設置開啟bypass—重啟設備生效,bypass燈亮起,網卡燈不亮
(2)IPS處于掉電狀態----bypass燈熄滅,網卡燈熄滅
(3)IPS系統啟動過程—bypass燈亮,網卡燈熄滅
(4)數通引擎異常-----bypass燈亮起,網卡燈熄滅
串口功能
登錄串口后常用的功能:
1.查看/修改接口IP地址
2.修改設備時間
3.恢復系統
4.初始化配置
5.重置web管理員賬戶(不能解除已經被鎖定的IP)
說明:
鎖定IP:換IP登錄或等待鎖定時間結束
鎖定賬號:重啟系統
為什么要做策略優化
1.大量的低風險事件、不關注事件、誤報事件掩蓋了真正的攻擊事件
2.日志分析時,用戶無法從大量的告警信息中找出真正的攻擊事件,處理低風險事件浪費大量時間
緊急情況—網絡中斷
如果客戶網絡十分重要,對斷網時間有嚴格的要求,一定要以恢復客戶網絡為優先!!
如果是直通部署,將設備進入調試模式或直接跳過
如果是三層部署,將配置文件和設備運行狀態文件導出后,重啟設備
診斷工具
(1)回放測試
回放測試功能—檢驗策略有沒有生效
注意:回放接口只能是monitor口
(2)專家診斷
用于映射設備后臺
前提:遠程協助已開啟
證書常見的問題
1.導入時提示無效
(1)檢查序列號和hash值是否一致
(2)設備系統時間和當前是否一致
(3)申請的證書起始或者截至時間錯誤
(4)證書申請錯誤
V5.6.8以后零配置–默認接口
除M口(千兆設備還包括H1口)外,NIPS的其他接口IP默認為0.0.0.0,安全區默認為direct
除M口(千兆設備還包括H1口)外,NIDS的其他接口IP默認為0.0.0.0,安全區默認為monitor
證書過期
5.6.3~5.6.8
測試/試用證書過期:無法登錄web界面,策略生效
正式證書過期:策略生效,但不可升級
5.6.9及以后
測試/試用證書過期:無法登錄web界面,策略不生效(DOS防護除外)
正式證書過期,策略生效,但不可升級
修改接口生效方式
5.6.6及以前:重啟引擎
5.6.10及以后:應用配置
重啟引擎時是否會斷網
1.如果接口信息沒有更改過,不會斷,網卡不會重協商
2.如果接口信息修改過,會丟一兩個ping包,因為ping對延時較敏感
安全中心
5.6.6及以前:ESPCv6(windows)
5.6.9及以后:ESPCv7(linux)
總結
以上是默认站点為你收集整理的设备安全--IPS部署与维护的全部內容,希望文章能夠幫你解決所遇到的問題。
