啟明星辰天闐ids產品培訓資料

1、啟明星辰客戶產品培訓－培訓講義,天闐6.0入侵檢測系統(tǒng),入侵檢測系統(tǒng)原理天闐6.0入侵檢測與管理系統(tǒng)功能天闐6.0入侵檢測系統(tǒng)的安裝配置天闐6.0入侵檢測系統(tǒng)的使用與日常操作天闐6.0策略優(yōu)化,日志維護與常見問題,第一部分入侵檢測系統(tǒng)原理,IDS的作用,在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng),,,,,,,,,,,,,監(jiān)控室=控制中心,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

2、,,,監(jiān)控前門和保安,監(jiān)控屋內人員,監(jiān)控后門,監(jiān)控樓外,IDS的安全職責,實時檢測：實時地監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文 。安全審計：通過對IDS系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù) （注意和審計產品的不同）,IDS的檢測方法,目前有以下兩種檢測方法誤用檢測模型（Misuse Detection)：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測

3、的用戶或系統(tǒng)行為與庫中的記錄匹配時，系統(tǒng)就認為這種行為是入侵異常檢測模型（Anomaly Detection ):首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵 目前商用的基本都是第一種，第二種在實驗環(huán)境中有應用。,基于網(wǎng)絡的IDS,網(wǎng)絡IDS的基本結構,探測引擎,引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產生事件、策略匹配、事件處理、通訊等功能,控制中心,控制中心的主要功能為：

4、 通訊、事件讀取、事件顯示、策略定制、日志分析、事件幫助等,系統(tǒng)結構,通訊,身份認證：是要保證一個引擎，或者子控制中心只能由固定的上級進行控制，任何非法的控制行為將予以阻止數(shù)據(jù)加密：完成身份認證后，利用相對簡單的加密算法進行大量的數(shù)據(jù)交換 ，保證數(shù)據(jù)的保密性,第二部分天闐6.0入侵檢測與管理系統(tǒng)功能,,網(wǎng)絡入侵檢測系統(tǒng),產品組件網(wǎng)絡探測引擎管理控制中心綜合信息顯示日志分析中心特點 天闐網(wǎng)絡入侵檢測系統(tǒng)獨創(chuàng)

5、性的將檢測、管理配置、報警顯示以及日志分析四部分的功能可以實現(xiàn)分開部署，滿足多人同時監(jiān)測和分權限管理。,產品型號,,,天闐6.0網(wǎng)絡入侵檢測系統(tǒng)安裝,第三部分天闐6.0的系統(tǒng)安裝與配置,目標,安裝天闐6.0探測引擎安裝天闐6.0管理組件通過基本配置操作，使天闐網(wǎng)絡入侵監(jiān)測系統(tǒng)正常運行。,,通常部署方式 天闐6.0安裝 天闐6.0基本操作,通常部署方式,,通常部署方式 天闐6.0安裝 天闐6.0基本操作,準備事項

6、,明確引擎監(jiān)控范圍分配相應IP地址探測引擎：管理控制端口管理組件：管理控制中心交換機配置結合交換機本身對鏡像的支持能力保證檢測重點服務器盡量不做全端口鏡像,天闐6.0安裝,安裝探測引擎安裝管理組件,安裝探測引擎,探測引擎設置步驟1. 通過超級終端連接后面板串口2. 配置探測引擎IP地址/子網(wǎng)掩碼/路由設置3. 退出設置4. 正確插好監(jiān)聽端口和通信端口的網(wǎng)線,標識說明,超級終端的連接端口硬件引擎的數(shù)據(jù)包監(jiān)聽端

7、口，連接交換機的鏡像端口 硬件引擎的管理控制端口，主要用于與管理控制中心通訊硬件引擎的USB端口，主要用于引擎系統(tǒng)軟件的升級,安裝探測引擎,探測引擎登陸界面 用戶名：venus，口令為‘1234567’,安裝探測引擎,探測功能菜單通過菜單選項設置口令、地址配置完畢后退出超級終端注意選項3：重置引擎認證密鑰。,天闐6.0安裝,安裝探測引擎安裝管理組件,運行環(huán)境,控制中心安裝需求 CPU：P4

8、2.0G 以上 內存：1G 以上（連接多個引擎或者子控，要求2G） 存儲：20G 以上的剩余空間 網(wǎng)卡：百兆以上,運行環(huán)境,軟件配置要求操作系統(tǒng)：推薦使用windows 2k sp4、windows 2003，可以使用windows XP sp2。注意操作系統(tǒng)只支持中文版！殺毒軟件: 可選辦公軟件：Office 2000/XP,安裝管理組件,安裝數(shù)據(jù)庫要求系統(tǒng)先安裝數(shù)據(jù)庫 安裝MSDE或SQL Server安裝

9、結束后重啟服務器,安裝管理組件,兩種安裝方式：全部安裝和定制安裝,安裝管理組件,定制安裝：如果分布式管理，可以選擇要分布式安裝的組件，例如只安裝顯示模塊或日志分析中心。,安裝管理組件,建立SQLSERVER數(shù)據(jù)庫。天闐后臺運行數(shù)據(jù)庫，必需。 注意：sa口令一定要修改文件目錄最好不要在系統(tǒng)盤,安裝管理組件,提示安裝水晶報表組件。管理報表運行必需,安裝管理組件,安裝完成信息，重新啟動計算機。,,整體部署 天闐6.0安裝

10、 天闐6.0基本操作,基本配置-1,用戶管理天闐用戶有三類：用戶管理員、審計員、管理員默認用戶有：用戶管理員admin，口令venus60，審計員audit，口令venus60，管理員adm，口令venus60。,添加管理員時注意選擇“可以登錄”,基本配置-2,進入管理控制中心序列號授權 以管理員帳號登錄,基本配置-3,添加模塊系統(tǒng)自帶一個顯示中心模塊選擇添加組件的類型輸入組件的IP地址,基本配置-4,顯示

11、中心配置通訊參數(shù)管理控制中心綜合顯示中心,配置真實IP，避免使用127.0.0.1,基本配置-5,啟動連接組件組件管理->啟動連接查看組件屬性,檢查綜合顯示中心已經(jīng)啟動,基本配置-6,導入引擎授權文件,基本配置-7,升級事件庫(每周5下午更新事件庫)自動升級(需要能連接上互聯(lián)網(wǎng))手動升級,思考：為什么要做事件庫升級？,基本配置-8,下發(fā)策略系統(tǒng)策略用戶自定義策略,,,第四部分天闐6.0系統(tǒng)的使用與日常操

12、作,,網(wǎng)絡入侵檢測系統(tǒng)常用功能 網(wǎng)絡入侵檢測系統(tǒng)高級功能 網(wǎng)絡入侵檢測系統(tǒng)日常維護,常用功能,查看事件策略基本操作報表輸出數(shù)據(jù)庫維護更新升級,查看事件,查看報警事件雙擊出現(xiàn)事件詳細信息,顯示設置,添加窗口樹型窗口,策略基本操作,策略衍生策略集操作策略向導策略導入導出,策略基本操作,編輯策略,策略基本操作,策略下發(fā),報表輸出,日志分析中心提供多種缺省模板和方案文件強大的條件過濾功能,數(shù)據(jù)庫維護,自動維護

13、和手動維護支持MSDE、SQL Server和其他以ODBC連接的數(shù)據(jù)庫,數(shù)據(jù)庫維護,自動備份按時間進行備份,自動維護,數(shù)據(jù)庫維護,設定手動維護條件，然后手動完成數(shù)據(jù)庫維護工作 手動刪除、手動備份數(shù)據(jù)庫摘要,手動維護,數(shù)據(jù)庫維護,ACCESS數(shù)據(jù)庫 SQL數(shù)據(jù)庫,導入數(shù)據(jù),更新升級,產品升級引擎升級：控制中心下發(fā)USB升級軟件升級：升級管理中心網(wǎng)站下載,更新升級,事件庫升級(每周5下午更新事件庫)自動（需要能

14、連接上互聯(lián)網(wǎng)）手動,,網(wǎng)絡入侵檢測系統(tǒng)常用功能 網(wǎng)絡入侵檢測系統(tǒng)高級功能 網(wǎng)絡入侵檢測系統(tǒng)日常維護,日常工作建議,每日查看天闐控制臺工作是否啟動或是否工作正常。每日查看控制臺連接引擎是否正常每日早晚各一次查看報警信息。對可疑事件進行及時分析。及時調整并下發(fā)天闐工作策略。根據(jù)情況及時上報事件。,日常維護建議,至少每周進行一次天闐事件庫更新。注意啟明星辰網(wǎng)站對天闐事件庫的更新或從售后服務部門獲取。注意天闐控制中心和引

15、擎的升級包。定期查看日志數(shù)據(jù)庫大小及進行數(shù)據(jù)庫維護。,,第五部分日志分析,常見問題處理,天闐6.0日志分析,為什么要進行日志分析如何進行日志分析,為什么要進行日志分析,不是每個事件都是入侵事件不是每個事件都會產生攻擊效果了解網(wǎng)絡安全狀況方便管理網(wǎng)絡使領導對報表一目了然,天闐6.0日志分析,為什么要進行日志分析如何進行日志分析,日志分析方法,總體分析管理統(tǒng)計分析報表查看統(tǒng)計信息初步確定敏感事件或敏感IP地址具體分析

16、利用過濾條件生成多角度、多層面詳細報表，進一步確認敏感信息具體分析事件確認攻擊是否發(fā)生、產生危害和源地址,日志分析方法,總結現(xiàn)階段安全狀況分析事件的分布，找出重點威脅所在分析源地址的分布，找出重點威脅來源建議改進方案調整安全策略調整網(wǎng)絡部署增加安全設備加強全員安全教育完善安全管理制度,,天闐6.0日志分析天闐6.0常見問題處理,天闐6.0常見問題處理,探測引擎端口：TCP 20001：此端口是用來傳輸數(shù)據(jù)的，如策略

17、/文件的下發(fā)、日志的上傳；此端口是用來和控制中心建立連接及認證的。方向為控制中心到探測引擎的主動連接?？刂浦行模篢CP 50000：此端口是用來向上級控制中心或各組件傳輸數(shù)據(jù)的，如策略/文件的下發(fā)、日志的上傳、顯示中心和上級控制中心建立連接及進行認證。方向為各組件和子控制中心到總控制中心的主動連接。,天闐6.0常見問題處理,如何確認天闐安裝完全控制中心，檢查snmp是否正確安裝添加組件，看下拉列表。打開管理報表，看水晶報

18、表打開服務，查看datatransfer（數(shù)據(jù)傳輸）、venusautostorage（報表）,天闐6.0常見問題處理,探測引擎與控制中心連接不上網(wǎng)絡物理連接是否正常；網(wǎng)絡層是否可以進行通信；是否有不正常的關機行為發(fā)生；是否更換了控制臺或ＩＰ地址；兩者是否同在一個網(wǎng)絡、若不則查看網(wǎng)關；控制臺參數(shù)設置是否有問題；防火墻是否進行了阻斷； 認證是否發(fā)生了問題；使用串口查看引擎設置參數(shù)是否正確；使用維護工具查看引擎工作是否

19、正常；初始化引擎；,天闐6.0常見問題處理,控制中心無報警信息控制臺和引擎連接是不是正常；網(wǎng)絡上是不是有數(shù)據(jù)通信；探測引擎是否和交換機或集線器連接；交換機是否進行過鏡像配置，配置是否進行過保存；防火墻是否進行了阻斷；,天闐6.0常見問題處理,如何確定控制中心與探測引擎通信正常在控制中心使用ping 命令后，使用 arp –a 命令。若出現(xiàn)探測引擎IP 并其MAC地址，則說明控制中心與探測引擎通信沒問題。若控制中心與探測引

20、擎中間有路由器存在，可以使用以下命令：telnet 22。（需要先在探測引擎打開該端口） 。若連接不被切斷有信息返回說明控制中心與探測引擎通信沒問題。,天闐6.0常見問題處理,使用超級終端配置探測引擎時，無任何信息顯示檢查串口線連接是否正確。檢查超級終端參數(shù)配置是否正確。探測引擎是否加電。確認串口線是否有問題。,使用超級終端配置探測引擎時，顯示的信息不正?；驔]有輸入口令的提示超級終端參數(shù)配置不正確。是否沿用了5.5的設置。