设备安全--IPS部署与维护
設(shè)備安全–IPS部署與維護(hù)
IPS—網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)
1.入侵檢測技術(shù)
攻擊手段最多的是應(yīng)用層,而IPS就是一款防御應(yīng)用層攻擊的系統(tǒng)。
1.產(chǎn)生該技術(shù)的背景:
(1)外部攻擊眾多—外部黑客會(huì)不停進(jìn)行攻擊
(2)內(nèi)部威脅增多—內(nèi)部人員的不正當(dāng)操作
(3)防火墻的局限—防火墻工作在網(wǎng)絡(luò)層并不能對應(yīng)用層的攻擊進(jìn)行有效的防護(hù)
(4)各種應(yīng)用紛雜—各種小公司的一些應(yīng)用的安全并不能保證安全
2.入侵檢測技術(shù)的工作流程
數(shù)據(jù)經(jīng)由主機(jī)與網(wǎng)絡(luò)經(jīng)過的時(shí)候,先進(jìn)行數(shù)據(jù)采集采集完成后進(jìn)行數(shù)據(jù)的檢測與分析,倘若檢測時(shí),檢測出數(shù)據(jù)中攜帶庫中的原型,則會(huì)進(jìn)行報(bào)警與響應(yīng)。
3.NIPS的體系架構(gòu)–內(nèi)置庫需要經(jīng)常進(jìn)行升級更新
具體可以達(dá)到的功能:
入侵防護(hù)、抗D.o.s攻擊、數(shù)據(jù)泄露防護(hù)、高級威脅防御、信譽(yù)、URL過濾、防病毒、用戶管理、應(yīng)用管理、流量控制(系統(tǒng)規(guī)則(攻擊特征庫)、信譽(yù)庫(惡意網(wǎng)站)、URL分類(URL分類庫))
分為五個(gè)大的模塊:
(1)高性能多核硬件平臺(tái)
(2)數(shù)通引擎(1-4層)—負(fù)責(zé)轉(zhuǎn)發(fā)流量
功能:IP碎片重組、流匯聚、TCP狀態(tài)跟蹤、數(shù)據(jù)捕獲
(3)安全引擎(4-7層)—應(yīng)用層的防護(hù)
功能:協(xié)議的識(shí)別、分析、檢測
(4)安全響應(yīng)模塊
功能:包丟棄、會(huì)話阻斷、記錄日志、報(bào)警顯示、郵件報(bào)警、協(xié)議回放、互動(dòng)接口、自定義命令
(5)管理模塊
功能:賬號管理、配置管理、策略管理、事件管理、日志管理、系統(tǒng)監(jiān)控
.4.匹配方式
(1)基于特征
[50363] windows SMB協(xié)議用戶認(rèn)證失敗(如果一段時(shí)間內(nèi)錯(cuò)誤次數(shù)達(dá)到設(shè)定最大值)則進(jìn)行(2)
(2)基于統(tǒng)計(jì)(ddos、暴力猜測–猜測在猜測密碼)
[20384] windows SMB暴力猜測用戶口令
5.產(chǎn)品實(shí)施流程
調(diào)研階段:
客戶拓?fù)洹⒉渴鸱绞?br /> 客戶環(huán)境,例如是否有MTU大于2048的流量穿過設(shè)備
實(shí)施步驟
基本參數(shù)配置:系統(tǒng)時(shí)間、賬號、DNS、安全中心、接口配置
設(shè)備上架
設(shè)備連線
功能調(diào)試:測試網(wǎng)絡(luò)連通性、測試阻斷/告警等
6.默認(rèn)用戶
| 用戶名稱 | web操作員 | web審計(jì)員 | console口管理員 |
|---|---|---|---|
| 用戶名 | admin | auditor | conadmin |
| 密碼 | admin | auditor | conadmin |
注意:
1.admin即為設(shè)備管理員,具有最高權(quán)限
2.實(shí)施完畢請告知客戶admin和auditor的用戶名和密碼,并及時(shí)修改默認(rèn)密碼。
3.conadmin密碼修改視情況而定,一般不修改。(如果修改后忘記,找回這個(gè)密碼比較麻煩)
conadmin(串口):端口:COM4、波特率115200
可以實(shí)現(xiàn)的功能為:查看系統(tǒng)信息、診斷工具、維護(hù)工具、系統(tǒng)初始化、重新啟動(dòng)系統(tǒng)、關(guān)閉系統(tǒng)、退出配置界面
7.web登陸
https://IP地址
默認(rèn)管理口IP:
M:192.168.1.1/24
H1:192.168.2.1/24
注意:M口和H1口不能配置為同一網(wǎng)段,否則兩個(gè)接口都無法ping通
8.NIPS基本參數(shù)配置
(1)修改系統(tǒng)時(shí)間
1.web界面支持NTP服務(wù)器自動(dòng)同步,也可以手動(dòng)修改系統(tǒng)時(shí)間。
2.系統(tǒng)時(shí)間直接關(guān)系著告警和入侵事件的日志記錄時(shí)間,請力求設(shè)置準(zhǔn)確。
(2)導(dǎo)入證書
以證書到期的日期為準(zhǔn),到期之前發(fā)布的升級都能升級但是到期之后就不能進(jìn)行升級了
1.初級登錄設(shè)備會(huì)自動(dòng)提示導(dǎo)入證書
2.及時(shí)核查證書有效期、功能模塊等是否與客戶購買合同一致
3.正式銷售證書請及時(shí)備份,拷貝給客戶存檔,如果證書遺失,可以從web頁面導(dǎo)出一份
(3)賬號管理
1.默認(rèn)只啟用admin賬號,auditor需要手動(dòng)啟動(dòng)
2.如果忘記密碼,請到串口下重置
(4)管理口配置
EU的設(shè)備只有M口,沒有H口
可管理要選是,之后就能管理該接口了
1.M,H1口為帶外管理口,也可做HA心跳口
2.盡量給管理口配置網(wǎng)關(guān),用作跨網(wǎng)段管理,自動(dòng)升級等
(5)DNS配置
必須配置
1.自動(dòng)升級,連接云安全中心必須配置DNS
2.云端獲取信譽(yù)庫也會(huì)用到DNS
(6)升級配置
升級時(shí)要提前和客戶商量好
升級時(shí)要查詢升級里面的說明,看看固件是否支持以及軟件版本信息是否滿足
引擎和規(guī)則的關(guān)系:
(1)當(dāng)發(fā)現(xiàn)不能檢測某種攻擊或某種應(yīng)用時(shí),不光要升級規(guī)則庫,還要同時(shí)升級引擎,才能保證檢測的準(zhǔn)確性
(2)從V5.6.6版本開始,規(guī)則庫的升級對引擎版本有依賴性(依賴:引擎版本不升級到最新及時(shí)規(guī)則庫卻升級到最新,依然無法檢測出規(guī)則)
校驗(yàn):在系統(tǒng)命令行(cmd)里面輸入:certutil -hashfile 文件路徑 md5------所產(chǎn)生的結(jié)果和網(wǎng)頁上一致則可以進(jìn)行升級,之后在離線升級里面選擇文件上傳(不要因?yàn)榭ㄗ《苯雨P(guān)閉,用其余瀏覽器登錄查看是否是頁面卡住了)
1.上線前請先升級至最新版本
2.引擎升級會(huì)導(dǎo)致設(shè)備引擎重啟,導(dǎo)致少量丟包,在線升級盡量不要自動(dòng)升級引擎
3.自動(dòng)升級時(shí)間可以選擇其他時(shí)間,避免周一–00:00的升級高峰
(7)連接安全中心
一共只能有一萬條日志
一次只能查看一千條日志
1.連接安全中心需配置本地IP地址
2.NIPS可以聯(lián)動(dòng)ESPC,云安全中心和BSA
3.連接安全中心并非必須,單獨(dú)的NIPS也可以正常工作,但因?yàn)閱螜C(jī)內(nèi)部存儲(chǔ)很小,所以日志不能保存很長時(shí)間
4.ESPC的安裝方法和設(shè)備添加方法見ESPC培訓(xùn)
9.NIPS典型拓?fù)?/strong>
(1)直通部署
數(shù)據(jù)準(zhǔn)備:帶外管理口地址和網(wǎng)關(guān)地址
配置思路:
1.安全區(qū)配置
設(shè)備配置
5610F01版本接口配置
(1)安全區(qū)配置(選擇“網(wǎng)絡(luò)>安全區(qū)”)
(2)接口配置(選擇Direct-A,接口可配可不配(G3/4口),M口要配置地址和網(wǎng)關(guān))
5610F02版本接口配置
(1)安全區(qū)配置(選擇"網(wǎng)絡(luò)>安全區(qū)"類型選擇為vwire且有虛擬線)
(2)接口配置(接口類型選擇虛擬線,安全區(qū)也選擇虛擬線)
(3)添加虛擬線(記住選擇接口鏈路狀態(tài)同步,MTU=1500)記著要點(diǎn)應(yīng)用
監(jiān)聽配置
(1)安全區(qū)配置(選擇“網(wǎng)絡(luò)>安全區(qū)”)類型選擇monitor
(2)接口配置(選擇“網(wǎng)絡(luò)>接口”)M口配置地址
2.虛擬線配置
3.應(yīng)用配置,使配置生效
10.NIPS的首頁組成
系統(tǒng)狀態(tài)
引擎狀態(tài):綠色代表是啟動(dòng)的,黃色代表停止或調(diào)試(此狀態(tài)下是不會(huì)進(jìn)行防護(hù)的)
證書:查看是否過期
版本信息
一定要把版本升級到最新
接口信息
接口如果是綠色代表正常運(yùn)行,如果為紅色代表不能正常運(yùn)行
流量監(jiān)控
2.上線配置
1.對于一般用戶
(1)NIPS/NIDS上線時(shí),僅需修改管理口地址及網(wǎng)關(guān),并應(yīng)用配置,不需要進(jìn)行額外配置
(2)NIPS/NIDS默認(rèn)出廠時(shí)接口安全區(qū)為direct或者monitor,以及一條入侵防護(hù)策略
(3)NIPS/NIDS默認(rèn)沒有硬盤,日志存儲(chǔ)在內(nèi)存中(最多存儲(chǔ)10000條,界面顯示1000條),重啟后日志會(huì)被清空,建議上線時(shí)聯(lián)動(dòng)ESPC
2.對于高級用戶
除對一般用戶的配置外,還可以根據(jù)需要配置其他策略模塊
3.策略模塊的分類
IPS/IDS–綠盟入侵防護(hù)/檢測系統(tǒng)
數(shù)據(jù)泄露防護(hù)
入侵防御檢測
信譽(yù)
URL分類
應(yīng)用管理
流量管理
防病毒
用戶管理
高級威脅防護(hù)
4.策略-入侵檢測防護(hù)的作用
(1)有效識(shí)別并阻斷網(wǎng)絡(luò)攻擊,蠕蟲和病毒傳播
(2)靈活的策略配置:基于安全區(qū),源目的IP/MAC,時(shí)間等
5.系統(tǒng)規(guī)則庫模板
Defauit:適用于大多環(huán)境(一般都使用這個(gè))告警>阻斷>隔離(關(guān)到小黑屋–禁閉時(shí)間30min)
DMZ區(qū)服務(wù)器:所有攻擊類型規(guī)則,使用TFTP/RIP/NETBIOS/NFS和WINS的利用漏洞攻擊規(guī)則除外
內(nèi)網(wǎng)客戶端:所有攻擊規(guī)則,使用RIP和路由協(xié)議的利用漏洞攻擊規(guī)則除外
web服務(wù)器:所有偵測和DOS攻擊規(guī)則/一般后門程序以及使用DNS/HTTP/FTP協(xié)議的利用漏洞攻擊規(guī)則
windows服務(wù)器:受影響的操作系統(tǒng)包括windows的所有攻擊規(guī)則
通用服務(wù)器:所有偵測和DOS攻擊規(guī)則,一般后門程序以及使用DNS/SMTP/POP3/IMAP/DNS和NFS/RPC和NETBIOS/SMB協(xié)議的利用漏洞攻擊規(guī)則
UNIX類服務(wù)器:受影響的操作系統(tǒng)包括UNIX、Linux、Solaris的所有攻擊規(guī)則
系統(tǒng)規(guī)則模板
內(nèi)置模板:按防護(hù)的對象進(jìn)行劃分
內(nèi)置模板的使用場景:一般用戶采用系統(tǒng)內(nèi)置模板即可,根據(jù)可靠度已經(jīng)選擇好需要阻斷的規(guī)則;并可根據(jù)防護(hù)的對象選擇對應(yīng)的分類
派生模板:由內(nèi)置模板派生
派生模板的使用場景:想要額外阻斷或者不阻斷某條具體規(guī)則時(shí),可以派生出一個(gè)新的模板,并進(jìn)行阻斷動(dòng)作的修改
用戶規(guī)則模板: 由用戶自己選擇規(guī)則
**用戶規(guī)則模板的使用場景:**可以增加或者減少規(guī)則,以及添加自定義規(guī)則,適用于更高級的用戶
6.策略–入侵檢測/防護(hù)
主要配置步驟
1.選擇安全區(qū)
2.選擇源目的對象
3.選擇規(guī)則模板
4.選擇是否啟用阻斷功能
5.應(yīng)用配置,使配置生效
隔離功能:
(1)啟動(dòng)防護(hù),在一段時(shí)間內(nèi)丟棄觸發(fā)規(guī)則的攻擊源IP到目的IP的數(shù)據(jù)包
(2)dynamic_isolation_time隔離時(shí)間,一般默認(rèn)為30min(是可以進(jìn)行人為修改的)
(3)觸發(fā)隔離后,在日志中的圖標(biāo)會(huì)顯示為隔離,而非阻斷
(4)首頁入侵防護(hù)告警事件中可以取消隔離
例外規(guī)則
(1)針對某個(gè)地址對象的某個(gè)規(guī)則白名單
(2)例外規(guī)則是全局規(guī)劃,針對所有鏈路,所有IP生效
入侵防護(hù)–DOS防護(hù)
參數(shù)含義:
檢測閾值:設(shè)定的報(bào)文閾值
檢測周期:設(shè)定的時(shí)間閾值
復(fù)位時(shí)間:每隔設(shè)定時(shí)間將統(tǒng)計(jì)告警的表項(xiàng)清零,一般不改
保護(hù)時(shí)間:防護(hù)的時(shí)間,即限流的時(shí)間
限制流量:開啟防護(hù)后,允許通過的每秒包的數(shù)量。不包括正常通信流中所占的pps,只限制符合告警條件的包
注意事項(xiàng):(1)默認(rèn)的閾值較大,在進(jìn)行測試時(shí)要適當(dāng)調(diào)整閾值(2)一般不建議開啟自動(dòng)保護(hù)功能,可能會(huì)有誤阻斷(3)告警在入侵防護(hù)日志中進(jìn)行查詢
數(shù)據(jù)泄露防護(hù)
概念:數(shù)據(jù)泄露防護(hù)功能對內(nèi)網(wǎng)進(jìn)行有效的安全防護(hù),可以防止內(nèi)網(wǎng)敏感數(shù)據(jù)的泄露、防止某些文件的外發(fā),可以監(jiān)控服務(wù)器的非法外聯(lián)行為,以防止攻擊者通過服務(wù)器進(jìn)行跳轉(zhuǎn)攻擊
包含三個(gè)部分:
敏感數(shù)據(jù)保護(hù)
敏感數(shù)據(jù)保護(hù)可以防止內(nèi)部敏感數(shù)據(jù)(電話、身份證、銀行卡)的外泄,在網(wǎng)絡(luò)流中(HTTP、FTP、EMAIL)發(fā)現(xiàn)大量的敏感數(shù)據(jù)外傳時(shí)(全局閾值超過時(shí)),NGIPS會(huì)阻斷外傳行為,并產(chǎn)生告警日志,啟示用戶內(nèi)網(wǎng)存在敏感資源外泄行為
文件識(shí)別
文件識(shí)別可以防止內(nèi)部特定格式的文件的外發(fā),例如在專利局部門中,為了防止專利文檔被惡意獲取并傳到外部,需要監(jiān)控PDF格式或圖片格式文件的外發(fā)
文件識(shí)別配置
(1)新建網(wǎng)絡(luò)對象
(2)新建時(shí)間對象
(3)新建文件識(shí)別策略,選擇文件類型
路徑:策略–數(shù)據(jù)泄露防護(hù)–文件識(shí)別—新建
服務(wù)器異常防護(hù)
軟件BYPASS
作用:即調(diào)試模式,安全引擎不再工作,但數(shù)通引擎仍舊正常工作(DDOS策略依然生效)
硬件BYPASS可用條件必須在串口關(guān)閉
(1)硬件BYPASS:bypass的兩個(gè)端口物理連通,變成一根網(wǎng)線,用戶的數(shù)據(jù)流量可以直接通過設(shè)備,不受設(shè)備自身當(dāng)前狀態(tài)的影響
(2)設(shè)備帶BYPASS板卡:1.板載電口支持bypass 2.部分版本和型號支持光板卡bypass,V567及以前版本光口bypass必須使用外置光bypass交換機(jī)
(3)經(jīng)過IPS一路流量經(jīng)過一對板卡標(biāo)識(shí)的bypass口
硬件bypass啟動(dòng)條件
(1)人工在web頁面設(shè)置開啟bypass—重啟設(shè)備生效,bypass燈亮起,網(wǎng)卡燈不亮
(2)IPS處于掉電狀態(tài)----bypass燈熄滅,網(wǎng)卡燈熄滅
(3)IPS系統(tǒng)啟動(dòng)過程—bypass燈亮,網(wǎng)卡燈熄滅
(4)數(shù)通引擎異常-----bypass燈亮起,網(wǎng)卡燈熄滅
串口功能
登錄串口后常用的功能:
1.查看/修改接口IP地址
2.修改設(shè)備時(shí)間
3.恢復(fù)系統(tǒng)
4.初始化配置
5.重置web管理員賬戶(不能解除已經(jīng)被鎖定的IP)
說明:
鎖定IP:換IP登錄或等待鎖定時(shí)間結(jié)束
鎖定賬號:重啟系統(tǒng)
為什么要做策略優(yōu)化
1.大量的低風(fēng)險(xiǎn)事件、不關(guān)注事件、誤報(bào)事件掩蓋了真正的攻擊事件
2.日志分析時(shí),用戶無法從大量的告警信息中找出真正的攻擊事件,處理低風(fēng)險(xiǎn)事件浪費(fèi)大量時(shí)間
緊急情況—網(wǎng)絡(luò)中斷
如果客戶網(wǎng)絡(luò)十分重要,對斷網(wǎng)時(shí)間有嚴(yán)格的要求,一定要以恢復(fù)客戶網(wǎng)絡(luò)為優(yōu)先!!
如果是直通部署,將設(shè)備進(jìn)入調(diào)試模式或直接跳過
如果是三層部署,將配置文件和設(shè)備運(yùn)行狀態(tài)文件導(dǎo)出后,重啟設(shè)備
診斷工具
(1)回放測試
回放測試功能—檢驗(yàn)策略有沒有生效
注意:回放接口只能是monitor口
(2)專家診斷
用于映射設(shè)備后臺(tái)
前提:遠(yuǎn)程協(xié)助已開啟
證書常見的問題
1.導(dǎo)入時(shí)提示無效
(1)檢查序列號和hash值是否一致
(2)設(shè)備系統(tǒng)時(shí)間和當(dāng)前是否一致
(3)申請的證書起始或者截至?xí)r間錯(cuò)誤
(4)證書申請錯(cuò)誤
V5.6.8以后零配置–默認(rèn)接口
除M口(千兆設(shè)備還包括H1口)外,NIPS的其他接口IP默認(rèn)為0.0.0.0,安全區(qū)默認(rèn)為direct
除M口(千兆設(shè)備還包括H1口)外,NIDS的其他接口IP默認(rèn)為0.0.0.0,安全區(qū)默認(rèn)為monitor
證書過期
5.6.3~5.6.8
測試/試用證書過期:無法登錄web界面,策略生效
正式證書過期:策略生效,但不可升級
5.6.9及以后
測試/試用證書過期:無法登錄web界面,策略不生效(DOS防護(hù)除外)
正式證書過期,策略生效,但不可升級
修改接口生效方式
5.6.6及以前:重啟引擎
5.6.10及以后:應(yīng)用配置
重啟引擎時(shí)是否會(huì)斷網(wǎng)
1.如果接口信息沒有更改過,不會(huì)斷,網(wǎng)卡不會(huì)重協(xié)商
2.如果接口信息修改過,會(huì)丟一兩個(gè)ping包,因?yàn)閜ing對延時(shí)較敏感
安全中心
5.6.6及以前:ESPCv6(windows)
5.6.9及以后:ESPCv7(linux)
總結(jié)
以上是生活随笔為你收集整理的设备安全--IPS部署与维护的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
