dcnids入侵检测安装和部署手册

dcnids入侵检测安装和部署手册内容摘要：

IDS）， DCNIDS1800 M/M2/M3/G/G2/G3 依赖于一个或多个传感器监测网络数据流。 这些传感器代表着 DCNIDS1800 M/M2/M3/G/G2/G3 的眼睛。 因此，传感器在某些重要位置的部署对于 DCNIDS1800 M/M2/M3/G/G2/G3 能否发挥 作用至关重要。 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 部署准备 分析网络拓扑图结构 攻击者可能会对我们的网络中的任何可用资源发起攻击。 分析我们的网络拓扑结构对于定义我们的所有资源是至关重要的。 而且，定义我们想要保护的信息和资源，是创建一个传感器部署计划的第一步。 除非我们对我们的网络拓扑结构有非常透彻的理解，否则我们不可能全面地识别出需要保护的所有网络资源。 当分析我们的网络拓扑结构时，我们必须考虑很多因素： 网络入口点 数据通过网络入口点进入我们的网络，所有这些点都可能被攻击者利用，在这些潜在位置获取我们网络的访问权限。 我们需要验证每一个入口点 都得到了严密的监视。 如果没有对进入我们网络的入口点进行监视，就会允许攻击者穿透我们未被 IDS 保护的网络。 大多数网络的常见入口点包括： 1) Inter 入口点 我们的网络的 Inter 连接使得我们的网络对于整个 Inter 都是可见的。 通过这个入口点，全世界的黑客都可以尝试获得对我们网络的访问权。 对于大多数企业网络来讲，对 Inter的访问是直接通过一台路由器进行的。 这台设备被称为边界路由器（ perimeter router）。 通过在这台设备后面放置一个传感器，我们就可以监视流向企业网络的全部 数据流（其中包括攻击数据流）。 如果我们的网络包含多个边界路由器，我们就可能需要使用多个传感器，每个传感器负责监视进入我们网络的每一个 Inter 入口点。 2) Extra 入口点 许多企业网络都有到商业伙伴网络的特殊连接。 来自这些商业伙伴网络的数据流并不总是通过我们网络的边界设备；因此，重要的是要确定这些入口点也被有效地进行监视。 攻击者可以通过穿透我们商业伙伴的网络，利用 extra 来渗透到我们的网络中。 通常，我们对商业伙伴网络的安全只能进行极少的控制，或者根本不能进行控制。 而且，如果攻击者穿 透了我们的网络，然后利用 extra 连接来攻击我们的一个商业伙伴，我们就可能面临承担责任的问题。 3) Intra 隔离点 Intra 代表我们网络中的内部各部分。 这些部分可能是按照机构或者功能划分的。 有时候，我们网络中的不同部门可能会有不同的安全需求，这取决于他们需要访问或保护的数据和资源。 通常，这些内部部分已经被防火墙隔离开了，在不同的网络之间划分不同的安全级别。 有时，网络管理者使用网段之间的路由器访问控制列表（ ACL）来强制分离出安全区域。 在这些网络之间放置一个传感器（在防火墙或路由器的前 面），可以让我们监视分离的安全区域之间的数据流，并验证是否符合我们定义的安全策略。 有时，我们可能还想在相互间具有完全访问权限的网段之间安装一个传感器。 在这种情况下，我们想让传感器监视不同网络之间的数据流类型，即使在缺省情况下，我们还没有对数据流建立任何物理屏障。 但是，这两个网络之间的任何攻击者都可以被很快的检测出来。 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 4) 远程访问入口点 大多数网络都提供了一种方式，可以通过一条拨号电话线访问网络。 这种接入方式可以允许企业的用户访问网络的某些功能，比如在离开办公室的时候收发电子邮件。 虽然这种增强的功能非常 有用，但是它同时也为攻击者打开了一个可以利用的漏洞。 我们可能需要使用一个传感器来监视来自远程接入服务器的网络数据流，以防黑客可能会攻破我们的远程访问认证机制。 许多远程用户使用家庭系统，通过高速 Inter 连接，比如电缆调制解调器，进行不断线的连接。 由于这些系统的保护措施通常很少，攻击者经常以这些家庭系统作为目标，并发动攻击，这样还可能会对我们的远程访问机制带来危害。 有时候，偷来的笔记本电脑可能会泄漏大量的关于如何访问我们的网络的信息。 因此，即使我们信任我们的用户和远程访问机制，最好还是利用 IDS 传感器 对我们的远程接入服务器进行监视。 关键网络组件 确定我们网络上的关键组件，这对于综合分析我们的网络拓扑来讲是非常关键的。 黑客通常将查看到我们的关键网络组件作为胜利。 如果关键组件的安全受到威胁，就将为整个网络带来巨大的威胁。 需要在整个网络中采用传感器，来确保可以检测到对这些关键组件发动的攻击，并在一定条件下，通过阻塞（也被称为设备管理）来中止这些攻击。 注意：阻塞，或设备管理，是指 IDS 传感器可以动态更新路由器上的访问控制列表，来阻塞来自一台攻击主机的当前和未来的数据流，防止这些数据流进入到路由器中。 关键组件 分为下列几类： 1) 服务器 网络服务器代表了我们网络中的骨干设备。 我们的服务器提供的典型服务包括名字解析、认证、电子邮件和企业的网页。 对这些有价值的网络组件的访问进行监视，对于一个综合的安全策略来说是非常关键的。 在一个典型的网络上存在许多服务器。 一些常见的服务器如下所示： 域名系统（ DNS）服务器； 动态主机配置协议（ DHCP）服务器； 超文本传送协议（ HTTP）服务器； Windows 域控制台 ； 证书授权（ CA）服务器； 电子邮件服务器； 网络文件系统（ NFS）服务器。 基础设施 网络基础设施是指那 些在网络上的主机之间传送数据或数据包的设备。 常见的基础设备包括路由器、交换机、网关和集线器。 如果没有这些设备，我们网络上的每台主机都会成为互相隔离的实体，互相之间不能进行通信。 路由器在不同的网段之间传送数据流。 当路由器停止工作时，互相连接的网络之间的数据流也就停止流动了。 我们的网络可能是由几个内部路由器和一个或多个边界路由器组成的。 交换机在位于相同网段的主机之间传送数据流。 交换机通过只向交换机上的特定端口发送非广播数据流，提供了最小的安全性。 如果交换机被禁用，它就会停止发送数据流，导致拒绝 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 服务（ Dos）。 在其他情况下，交换机可能会在开放状态下失效。 在这种开放状态下，交换机向它上的每个端口都发送所有网络数据包，实际上将交换机变成了一个集线器。 注意：集线器也在位于相同网络上的主机之间传送数据流。 但是，与交换机不同的是，集线器将全部数据流传送到交换机上的每个端口。 这样不仅会产生性能问题，还会降低网络的安全性，这是因为这样做就允许网段上的任何主机都可以监听流向网络上其他主机的数据流。 安全组件 安全组件通过限制数据流并监视针对网络的攻击，增强了网络的安全性。 常见的安全设备包括防火墙、 IDS 传感器、 IDS 管理设备 ，以及具有访问控制列表的路由器。 防火墙在多个网络之间建立了一道安全屏障。 通常，安装防火墙来保护内部网络，防止非授权访问。 这就使得它们成为主要的攻击目标。 类似的， IDS 组件持续的监视网络，寻找攻击的标记。 黑客们不断的寻求新的方法。 来迷惑并破坏常见的入侵检测系统的操作。 通过禁用入侵检测系统，黑客可以穿透网络，而不会被发现（不会触发代表网络正在遭受攻击的警报）。 远程网络 许多网络都是由一个企业中心网络和多个通过 WAN 与企业网络进行通信的远程办公室组成。 在我们的网络分析中，需要考虑这些远程设备的安全性。 根据这 些远程节点的安全状况，我们可能需要放置一个传感器来监视穿越 WAN 链路的数据流。 有时候，远程设备具有到Inter 的独立连接。 显然，所有的 Inter 连接都需要被监视。 网络大小和复杂度 我们的网络越复杂，我们就越需要在网络中的不同位置设置多个传感器。 一个大的网络通常要求使用多个传感器，这是因为每个传感器都受限于它可以监视的最大数据流量。 如果我们的 Inter 网络连接是一条几千兆比特的链路，当我们的 Inter 连接满负载传送网络数据流量时，目前一个传感器就没有能力处理全部的数据流。 考虑安全 策略限制 有时候，把传感器放置在我们的网络中，以此验证是否符合我们定义的安全策略。 关于它的一个很好的应用实例是，在防火墙的内部和外部各放置一个传感器。 外部的传感器负责监视所有流向被保护网络的数据流。 它检测所有发送到被保护网络的攻击和那些离开被保护网络的数据流，因为防火墙可以防止其中的大部分攻击；内部的传感器监视所有内部数据流，也就是那些从外部成功穿过防火墙的数据流，以及内部主机产生的数据流。 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 部署环境 DCNIDS1800 M/M2/M3/G/G2/G3 引入了两种类型的安装方式：“ Stanalone” （独立安装）安装所有管理组件在一台机器上，“ Distributed”（分布式安装）可选择将 DCNIDS1800 M/M2/M3/G/G2/G3 的各个管理组件安装在多台计算机上。 所选的安装方式取决于拥有的传感器的数目，以及计划对它们进行部署的方式。 在安装DCNIDS1800 M/M2/M3/G/G2/G3 组件之前，请检查您的环境，确定安装方式。 下面是在不同环境可能采用的几种部署案例： 部署案例一（一至五个传感器，孤立式安装在一台计算机上） 部署案例二（六至十个传感器，分布式安装，分布在两台计算机上） 部署案例三（十一至三十个传感器，分布式安装，分布在四台计算机上） 部署案例四（多于三十个传感器，分布式安装，分布在六台计算机上） 提醒：这些案例中所提到的传感器数目都是估计值。 实际使用的安装方式由于和您的网络拓扑、采用的安全策略、每秒检测到的安全事件、机器的硬件配置等相关，所以在传感器数目方面可能稍有不同。 在不同环境中部署 共享网络 在非交换式网络中，即使通话的目的地不是网络传感器，它也能检测到所有的通信。 网络传感器所监测的接口处于混杂模式，这就意味着它会接收所有数据包，而不考虑它们的目标地址。 在一般 情况下，网络接口会放弃所有目的地不是它或者不是发向广播地址的数据包。 在混杂模式中，网络接口会接收所有数据包，而不考虑它们的目标地址。 这种模式允许 网络传感器看到网络上所有设备之间的所有通信。 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 交换式网络 在交换式网络中，通信被交换机分隔开，并且根据接口的 MAC 地址选择路由。 这一配置控制了每一接口所接收的通信量。 如果与其它形式的流量管理方式结合使用，交换式网络配置将是一种有效的带宽控制方式，它能够提高每一设备的通讯过程的效率。 因为由交换机管理业务，设置一个混杂模式的接口也无法控制它能够、或不能看 到哪些业务，这实际上有效地“屏蔽”了网络传感器、数据包传感器或依赖于混杂模式进行操作的任何其它设备。 为了解决这一问题，您必须设置一个可管理的交换机，它能够将所有通信镜像到选定的一个或多个端口。 这在交换机管理中称作“ spanning”或“ mirroring”。 有关将流量镜像到端口的详细信息，请与交换机制造商联系。 下表列出的是几个最常见的制造商的 Web 站点地址： p 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 交换环境部署一 在 switch 和 router 之间接入一个 Hub，从而把一个交换环境转换为共享环境。 这样做的优点是简单易行，成本低廉。 如果客 户对网络的传输速度和可靠性要求不高，建议采用这种方式。 交换环境部署二 如果交换机支持端口镜像的功能，建议采用这种方式，可以在不改变原有网络拓扑结构的基础上完成传感器的部署。 它的优点是配置简单、灵活，使用方便，不需要中断网络，是比较常用的一种方式。 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 交换环境部署三 如果交换机不支持端口镜像功能，或者出于性能的考虑不便启用该功能，可以采用 TAP（分支器）。 它的优点是能够支持全双工 100Mbps 或者全双工 1000Mbps 的网络流量。 神州数码 DCNIDS1800M/M2/G/G2 入侵检测系统 安装和部署手册 全冗余的高可用性部署 在这种情况下，任何一个传感器或者链路发 生故障，都不会。