啟明星辰天闐ids產(chǎn)品培訓(xùn)資料

1、啟明星辰客戶產(chǎn)品培訓(xùn)－培訓(xùn)講義,天闐6.0入侵檢測(cè)系統(tǒng),入侵檢測(cè)系統(tǒng)原理天闐6.0入侵檢測(cè)與管理系統(tǒng)功能天闐6.0入侵檢測(cè)系統(tǒng)的安裝配置天闐6.0入侵檢測(cè)系統(tǒng)的使用與日常操作天闐6.0策略優(yōu)化,日志維護(hù)與常見問題,第一部分入侵檢測(cè)系統(tǒng)原理,IDS的作用,在安全體系中，IDS是唯一一個(gè)通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng),,,,,,,,,,,,,監(jiān)控室=控制中心,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

2、,,,監(jiān)控前門和保安,監(jiān)控屋內(nèi)人員,監(jiān)控后門,監(jiān)控樓外,IDS的安全職責(zé),實(shí)時(shí)檢測(cè)：實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文 。安全審計(jì)：通過對(duì)IDS系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù) （注意和審計(jì)產(chǎn)品的不同）,IDS的檢測(cè)方法,目前有以下兩種檢測(cè)方法誤用檢測(cè)模型（Misuse Detection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測(cè)

3、的用戶或系統(tǒng)行為與庫中的記錄匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵異常檢測(cè)模型（Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵 目前商用的基本都是第一種，第二種在實(shí)驗(yàn)環(huán)境中有應(yīng)用。,基于網(wǎng)絡(luò)的IDS,網(wǎng)絡(luò)IDS的基本結(jié)構(gòu),探測(cè)引擎,引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通訊等功能,控制中心,控制中心的主要功能為：

4、 通訊、事件讀取、事件顯示、策略定制、日志分析、事件幫助等,系統(tǒng)結(jié)構(gòu),通訊,身份認(rèn)證：是要保證一個(gè)引擎，或者子控制中心只能由固定的上級(jí)進(jìn)行控制，任何非法的控制行為將予以阻止數(shù)據(jù)加密：完成身份認(rèn)證后，利用相對(duì)簡(jiǎn)單的加密算法進(jìn)行大量的數(shù)據(jù)交換 ，保證數(shù)據(jù)的保密性,第二部分天闐6.0入侵檢測(cè)與管理系統(tǒng)功能,,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),產(chǎn)品組件網(wǎng)絡(luò)探測(cè)引擎管理控制中心綜合信息顯示日志分析中心特點(diǎn) 天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)獨(dú)創(chuàng)

5、性的將檢測(cè)、管理配置、報(bào)警顯示以及日志分析四部分的功能可以實(shí)現(xiàn)分開部署，滿足多人同時(shí)監(jiān)測(cè)和分權(quán)限管理。,產(chǎn)品型號(hào),,,天闐6.0網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)安裝,第三部分天闐6.0的系統(tǒng)安裝與配置,目標(biāo),安裝天闐6.0探測(cè)引擎安裝天闐6.0管理組件通過基本配置操作，使天闐網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)正常運(yùn)行。,,通常部署方式 天闐6.0安裝 天闐6.0基本操作,通常部署方式,,通常部署方式 天闐6.0安裝 天闐6.0基本操作,準(zhǔn)備事項(xiàng)

6、,明確引擎監(jiān)控范圍分配相應(yīng)IP地址探測(cè)引擎：管理控制端口管理組件：管理控制中心交換機(jī)配置結(jié)合交換機(jī)本身對(duì)鏡像的支持能力保證檢測(cè)重點(diǎn)服務(wù)器盡量不做全端口鏡像,天闐6.0安裝,安裝探測(cè)引擎安裝管理組件,安裝探測(cè)引擎,探測(cè)引擎設(shè)置步驟1. 通過超級(jí)終端連接后面板串口2. 配置探測(cè)引擎IP地址/子網(wǎng)掩碼/路由設(shè)置3. 退出設(shè)置4. 正確插好監(jiān)聽端口和通信端口的網(wǎng)線,標(biāo)識(shí)說明,超級(jí)終端的連接端口硬件引擎的數(shù)據(jù)包監(jiān)聽端

7、口，連接交換機(jī)的鏡像端口 硬件引擎的管理控制端口，主要用于與管理控制中心通訊硬件引擎的USB端口，主要用于引擎系統(tǒng)軟件的升級(jí),安裝探測(cè)引擎,探測(cè)引擎登陸界面 用戶名：venus，口令為‘1234567’,安裝探測(cè)引擎,探測(cè)功能菜單通過菜單選項(xiàng)設(shè)置口令、地址配置完畢后退出超級(jí)終端注意選項(xiàng)3：重置引擎認(rèn)證密鑰。,天闐6.0安裝,安裝探測(cè)引擎安裝管理組件,運(yùn)行環(huán)境,控制中心安裝需求 CPU：P4

8、2.0G 以上 內(nèi)存：1G 以上（連接多個(gè)引擎或者子控，要求2G） 存儲(chǔ)：20G 以上的剩余空間 網(wǎng)卡：百兆以上,運(yùn)行環(huán)境,軟件配置要求操作系統(tǒng)：推薦使用windows 2k sp4、windows 2003，可以使用windows XP sp2。注意操作系統(tǒng)只支持中文版！殺毒軟件: 可選辦公軟件：Office 2000/XP,安裝管理組件,安裝數(shù)據(jù)庫要求系統(tǒng)先安裝數(shù)據(jù)庫 安裝MSDE或SQL Server安裝

9、結(jié)束后重啟服務(wù)器,安裝管理組件,兩種安裝方式：全部安裝和定制安裝,安裝管理組件,定制安裝：如果分布式管理，可以選擇要分布式安裝的組件，例如只安裝顯示模塊或日志分析中心。,安裝管理組件,建立SQLSERVER數(shù)據(jù)庫。天闐后臺(tái)運(yùn)行數(shù)據(jù)庫，必需。 注意：sa口令一定要修改文件目錄最好不要在系統(tǒng)盤,安裝管理組件,提示安裝水晶報(bào)表組件。管理報(bào)表運(yùn)行必需,安裝管理組件,安裝完成信息，重新啟動(dòng)計(jì)算機(jī)。,,整體部署 天闐6.0安裝

10、 天闐6.0基本操作,基本配置-1,用戶管理天闐用戶有三類：用戶管理員、審計(jì)員、管理員默認(rèn)用戶有：用戶管理員admin，口令venus60，審計(jì)員audit，口令venus60，管理員adm，口令venus60。,添加管理員時(shí)注意選擇“可以登錄”,基本配置-2,進(jìn)入管理控制中心序列號(hào)授權(quán) 以管理員帳號(hào)登錄,基本配置-3,添加模塊系統(tǒng)自帶一個(gè)顯示中心模塊選擇添加組件的類型輸入組件的IP地址,基本配置-4,顯示

11、中心配置通訊參數(shù)管理控制中心綜合顯示中心,配置真實(shí)IP，避免使用127.0.0.1,基本配置-5,啟動(dòng)連接組件組件管理->啟動(dòng)連接查看組件屬性,檢查綜合顯示中心已經(jīng)啟動(dòng),基本配置-6,導(dǎo)入引擎授權(quán)文件,基本配置-7,升級(jí)事件庫(每周5下午更新事件庫)自動(dòng)升級(jí)(需要能連接上互聯(lián)網(wǎng))手動(dòng)升級(jí),思考：為什么要做事件庫升級(jí)？,基本配置-8,下發(fā)策略系統(tǒng)策略用戶自定義策略,,,第四部分天闐6.0系統(tǒng)的使用與日常操

12、作,,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)常用功能 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)高級(jí)功能 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)日常維護(hù),常用功能,查看事件策略基本操作報(bào)表輸出數(shù)據(jù)庫維護(hù)更新升級(jí),查看事件,查看報(bào)警事件雙擊出現(xiàn)事件詳細(xì)信息,顯示設(shè)置,添加窗口樹型窗口,策略基本操作,策略衍生策略集操作策略向?qū)Р呗詫?dǎo)入導(dǎo)出,策略基本操作,編輯策略,策略基本操作,策略下發(fā),報(bào)表輸出,日志分析中心提供多種缺省模板和方案文件強(qiáng)大的條件過濾功能,數(shù)據(jù)庫維護(hù),自動(dòng)維護(hù)

13、和手動(dòng)維護(hù)支持MSDE、SQL Server和其他以O(shè)DBC連接的數(shù)據(jù)庫,數(shù)據(jù)庫維護(hù),自動(dòng)備份按時(shí)間進(jìn)行備份,自動(dòng)維護(hù),數(shù)據(jù)庫維護(hù),設(shè)定手動(dòng)維護(hù)條件，然后手動(dòng)完成數(shù)據(jù)庫維護(hù)工作 手動(dòng)刪除、手動(dòng)備份數(shù)據(jù)庫摘要,手動(dòng)維護(hù),數(shù)據(jù)庫維護(hù),ACCESS數(shù)據(jù)庫 SQL數(shù)據(jù)庫,導(dǎo)入數(shù)據(jù),更新升級(jí),產(chǎn)品升級(jí)引擎升級(jí)：控制中心下發(fā)USB升級(jí)軟件升級(jí)：升級(jí)管理中心網(wǎng)站下載,更新升級(jí),事件庫升級(jí)(每周5下午更新事件庫)自動(dòng)（需要能

14、連接上互聯(lián)網(wǎng)）手動(dòng),,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)常用功能 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)高級(jí)功能 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)日常維護(hù),日常工作建議,每日查看天闐控制臺(tái)工作是否啟動(dòng)或是否工作正常。每日查看控制臺(tái)連接引擎是否正常每日早晚各一次查看報(bào)警信息。對(duì)可疑事件進(jìn)行及時(shí)分析。及時(shí)調(diào)整并下發(fā)天闐工作策略。根據(jù)情況及時(shí)上報(bào)事件。,日常維護(hù)建議,至少每周進(jìn)行一次天闐事件庫更新。注意啟明星辰網(wǎng)站對(duì)天闐事件庫的更新或從售后服務(wù)部門獲取。注意天闐控制中心和引

15、擎的升級(jí)包。定期查看日志數(shù)據(jù)庫大小及進(jìn)行數(shù)據(jù)庫維護(hù)。,,第五部分日志分析,常見問題處理,天闐6.0日志分析,為什么要進(jìn)行日志分析如何進(jìn)行日志分析,為什么要進(jìn)行日志分析,不是每個(gè)事件都是入侵事件不是每個(gè)事件都會(huì)產(chǎn)生攻擊效果了解網(wǎng)絡(luò)安全狀況方便管理網(wǎng)絡(luò)使領(lǐng)導(dǎo)對(duì)報(bào)表一目了然,天闐6.0日志分析,為什么要進(jìn)行日志分析如何進(jìn)行日志分析,日志分析方法,總體分析管理統(tǒng)計(jì)分析報(bào)表查看統(tǒng)計(jì)信息初步確定敏感事件或敏感IP地址具體分析

16、利用過濾條件生成多角度、多層面詳細(xì)報(bào)表，進(jìn)一步確認(rèn)敏感信息具體分析事件確認(rèn)攻擊是否發(fā)生、產(chǎn)生危害和源地址,日志分析方法,總結(jié)現(xiàn)階段安全狀況分析事件的分布，找出重點(diǎn)威脅所在分析源地址的分布，找出重點(diǎn)威脅來源建議改進(jìn)方案調(diào)整安全策略調(diào)整網(wǎng)絡(luò)部署增加安全設(shè)備加強(qiáng)全員安全教育完善安全管理制度,,天闐6.0日志分析天闐6.0常見問題處理,天闐6.0常見問題處理,探測(cè)引擎端口：TCP 20001：此端口是用來傳輸數(shù)據(jù)的，如策略

17、/文件的下發(fā)、日志的上傳；此端口是用來和控制中心建立連接及認(rèn)證的。方向?yàn)榭刂浦行牡教綔y(cè)引擎的主動(dòng)連接?？刂浦行模篢CP 50000：此端口是用來向上級(jí)控制中心或各組件傳輸數(shù)據(jù)的，如策略/文件的下發(fā)、日志的上傳、顯示中心和上級(jí)控制中心建立連接及進(jìn)行認(rèn)證。方向?yàn)楦鹘M件和子控制中心到總控制中心的主動(dòng)連接。,天闐6.0常見問題處理,如何確認(rèn)天闐安裝完全控制中心，檢查snmp是否正確安裝添加組件，看下拉列表。打開管理報(bào)表，看水晶報(bào)

18、表打開服務(wù)，查看datatransfer（數(shù)據(jù)傳輸）、venusautostorage（報(bào)表）,天闐6.0常見問題處理,探測(cè)引擎與控制中心連接不上網(wǎng)絡(luò)物理連接是否正常；網(wǎng)絡(luò)層是否可以進(jìn)行通信；是否有不正常的關(guān)機(jī)行為發(fā)生；是否更換了控制臺(tái)或ＩＰ地址；兩者是否同在一個(gè)網(wǎng)絡(luò)、若不則查看網(wǎng)關(guān)；控制臺(tái)參數(shù)設(shè)置是否有問題；防火墻是否進(jìn)行了阻斷； 認(rèn)證是否發(fā)生了問題；使用串口查看引擎設(shè)置參數(shù)是否正確；使用維護(hù)工具查看引擎工作是否

19、正常；初始化引擎；,天闐6.0常見問題處理,控制中心無報(bào)警信息控制臺(tái)和引擎連接是不是正常；網(wǎng)絡(luò)上是不是有數(shù)據(jù)通信；探測(cè)引擎是否和交換機(jī)或集線器連接；交換機(jī)是否進(jìn)行過鏡像配置，配置是否進(jìn)行過保存；防火墻是否進(jìn)行了阻斷；,天闐6.0常見問題處理,如何確定控制中心與探測(cè)引擎通信正常在控制中心使用ping 命令后，使用 arp –a 命令。若出現(xiàn)探測(cè)引擎IP 并其MAC地址，則說明控制中心與探測(cè)引擎通信沒問題。若控制中心與探測(cè)引

20、擎中間有路由器存在，可以使用以下命令：telnet 22。（需要先在探測(cè)引擎打開該端口） 。若連接不被切斷有信息返回說明控制中心與探測(cè)引擎通信沒問題。,天闐6.0常見問題處理,使用超級(jí)終端配置探測(cè)引擎時(shí)，無任何信息顯示檢查串口線連接是否正確。檢查超級(jí)終端參數(shù)配置是否正確。探測(cè)引擎是否加電。確認(rèn)串口線是否有問題。,使用超級(jí)終端配置探測(cè)引擎時(shí)，顯示的信息不正?；驔]有輸入口令的提示超級(jí)終端參數(shù)配置不正確。是否沿用了5.5的設(shè)置。