设备安全–IPS部署与维护

IPS—网络入侵防护系统

1.入侵检测技术

攻击手段最多的是应用层,而IPS就是一款防御应用层攻击的系统。
1.产生该技术的背景:
(1)外部攻击众多—外部黑客会不停进行攻击
(2)内部威胁增多—内部人员的不正当操作
(3)防火墙的局限—防火墙工作在网络层并不能对应用层的攻击进行有效的防护
(4)各种应用纷杂—各种小公司的一些应用的安全并不能保证安全
2.入侵检测技术的工作流程
数据经由主机与网络经过的时候,先进行数据采集采集完成后进行数据的检测与分析,倘若检测时,检测出数据中携带库中的原型,则会进行报警与响应
3.NIPS的体系架构–内置库需要经常进行升级更新
具体可以达到的功能:
入侵防护、抗D.o.s攻击、数据泄露防护、高级威胁防御、信誉、URL过滤、防病毒、用户管理、应用管理、流量控制(系统规则(攻击特征库)、信誉库(恶意网站)、URL分类(URL分类库))
分为五个大的模块:
(1)高性能多核硬件平台
(2)数通引擎(1-4层)—负责转发流量
功能:IP碎片重组、流汇聚、TCP状态跟踪、数据捕获
(3)安全引擎(4-7层)—应用层的防护
功能:协议的识别、分析、检测
(4)安全响应模块
功能:包丢弃、会话阻断、记录日志、报警显示、邮件报警、协议回放、互动接口、自定义命令
(5)管理模块
功能:账号管理、配置管理、策略管理、事件管理、日志管理、系统监控
.4.匹配方式
(1)基于特征
[50363] windows SMB协议用户认证失败(如果一段时间内错误次数达到设定最大值)则进行(2)
(2)基于统计(ddos、暴力猜测–猜测在猜测密码)
[20384] windows SMB暴力猜测用户口令
5.产品实施流程
调研阶段:
客户拓扑、部署方式
客户环境,例如是否有MTU大于2048的流量穿过设备
实施步骤
基本参数配置:系统时间、账号、DNS、安全中心、接口配置
设备上架
设备连线
功能调试:测试网络连通性、测试阻断/告警等
6.默认用户

用户名称 web操作员 web审计员 console口管理员
用户名 admin auditor conadmin
密码 admin auditor conadmin

注意:
1.admin即为设备管理员,具有最高权限
2.实施完毕请告知客户admin和auditor的用户名和密码,并及时修改默认密码。
3.conadmin密码修改视情况而定,一般不修改。(如果修改后忘记,找回这个密码比较麻烦)
conadmin(串口):端口:COM4、波特率115200
可以实现的功能为:查看系统信息、诊断工具、维护工具、系统初始化、重新启动系统、关闭系统、退出配置界面

7.web登陆
https://IP地址
默认管理口IP:
M:192.168.1.1/24
H1:192.168.2.1/24

注意:M口和H1口不能配置为同一网段,否则两个接口都无法ping通
8.NIPS基本参数配置
(1)修改系统时间
1.web界面支持NTP服务器自动同步,也可以手动修改系统时间。
2.系统时间直接关系着告警和入侵事件的日志记录时间,请力求设置准确。
(2)导入证书
以证书到期的日期为准,到期之前发布的升级都能升级但是到期之后就不能进行升级了
1.初级登录设备会自动提示导入证书
2.及时核查证书有效期、功能模块等是否与客户购买合同一致
3.正式销售证书请及时备份,拷贝给客户存档,如果证书遗失,可以从web页面导出一份
(3)账号管理
1.默认只启用admin账号,auditor需要手动启动
2.如果忘记密码,请到串口下重置
(4)管理口配置
EU的设备只有M口,没有H口
可管理要选是,之后就能管理该接口了
1.M,H1口为带外管理口,也可做HA心跳口
2.尽量给管理口配置网关,用作跨网段管理,自动升级等
(5)DNS配置
必须配置
1.自动升级,连接云安全中心必须配置DNS
2.云端获取信誉库也会用到DNS
(6)升级配置
升级时要提前和客户商量好
升级时要查询升级里面的说明,看看固件是否支持以及软件版本信息是否满足

引擎和规则的关系
(1)当发现不能检测某种攻击或某种应用时,不光要升级规则库,还要同时升级引擎,才能保证检测的准确性
(2)从V5.6.6版本开始,规则库的升级对引擎版本有依赖性(依赖:引擎版本不升级到最新及时规则库却升级到最新,依然无法检测出规则)
校验:在系统命令行(cmd)里面输入:certutil -hashfile 文件路径 md5——所产生的结果和网页上一致则可以进行升级,之后在离线升级里面选择文件上传(不要因为卡住而直接关闭,用其余浏览器登录查看是否是页面卡住了)
1.上线前请先升级至最新版本
2.引擎升级会导致设备引擎重启,导致少量丢包,在线升级尽量不要自动升级引擎
3.自动升级时间可以选择其他时间,避免周一–00:00的升级高峰
(7)连接安全中心
一共只能有一万条日志
一次只能查看一千条日志
1.连接安全中心需配置本地IP地址
2.NIPS可以联动ESPC,云安全中心和BSA
3.连接安全中心并非必须,单独的NIPS也可以正常工作,但因为单机内部存储很小,所以日志不能保存很长时间
4.ESPC的安装方法和设备添加方法见ESPC培训
9.NIPS典型拓扑
(1)直通部署
数据准备:带外管理口地址和网关地址
配置思路:
1.安全区配置
设备配置
5610F01版本接口配置
(1)安全区配置(选择“网络>安全区”)
(2)接口配置(选择Direct-A,接口可配可不配(G3/4口),M口要配置地址和网关)
5610F02版本接口配置
(1)安全区配置(选择"网络>安全区"类型选择为vwire且有虚拟线)
(2)接口配置(接口类型选择虚拟线,安全区也选择虚拟线)
(3)添加虚拟线(记住选择接口链路状态同步,MTU=1500)记着要点应用
监听配置
(1)安全区配置(选择“网络>安全区”)类型选择monitor
(2)接口配置(选择“网络>接口”)M口配置地址
2.虚拟线配置
3.应用配置,使配置生效
10.NIPS的首页组成
系统状态
引擎状态:绿色代表是启动的,黄色代表停止或调试(此状态下是不会进行防护的)
证书:查看是否过期
版本信息
一定要把版本升级到最新
接口信息
接口如果是绿色代表正常运行,如果为红色代表不能正常运行
流量监控

2.上线配置

1.对于一般用户
(1)NIPS/NIDS上线时,仅需修改管理口地址及网关,并应用配置,不需要进行额外配置
(2)NIPS/NIDS默认出厂时接口安全区为direct或者monitor,以及一条入侵防护策略
(3)NIPS/NIDS默认没有硬盘,日志存储在内存中(最多存储10000条,界面显示1000条),重启后日志会被清空,建议上线时联动ESPC
2.对于高级用户
除对一般用户的配置外,还可以根据需要配置其他策略模块
3.策略模块的分类
IPS/IDS–绿盟入侵防护/检测系统
数据泄露防护
入侵防御检测
信誉
URL分类
应用管理
流量管理
防病毒
用户管理
高级威胁防护
4.策略-入侵检测防护的作用
(1)有效识别并阻断网络攻击,蠕虫和病毒传播
(2)灵活的策略配置:基于安全区,源目的IP/MAC,时间等
5.系统规则库模板
Defauit:适用于大多环境(一般都使用这个)告警>阻断>隔离(关到小黑屋–禁闭时间30min)
DMZ区服务器:所有攻击类型规则,使用TFTP/RIP/NETBIOS/NFS和WINS的利用漏洞攻击规则除外
内网客户端:所有攻击规则,使用RIP和路由协议的利用漏洞攻击规则除外
web服务器:所有侦测和DOS攻击规则/一般后门程序以及使用DNS/HTTP/FTP协议的利用漏洞攻击规则
windows服务器:受影响的操作系统包括windows的所有攻击规则
通用服务器:所有侦测和DOS攻击规则,一般后门程序以及使用DNS/SMTP/POP3/IMAP/DNS和NFS/RPC和NETBIOS/SMB协议的利用漏洞攻击规则
UNIX类服务器:受影响的操作系统包括UNIX、Linux、Solaris的所有攻击规则
系统规则模板
内置模板:按防护的对象进行划分
内置模板的使用场景:一般用户采用系统内置模板即可,根据可靠度已经选择好需要阻断的规则;并可根据防护的对象选择对应的分类
派生模板:由内置模板派生
派生模板的使用场景:想要额外阻断或者不阻断某条具体规则时,可以派生出一个新的模板,并进行阻断动作的修改
用户规则模板: 由用户自己选择规则
**用户规则模板的使用场景:**可以增加或者减少规则,以及添加自定义规则,适用于更高级的用户
6.策略–入侵检测/防护
主要配置步骤
1.选择安全区
2.选择源目的对象
3.选择规则模板
4.选择是否启用阻断功能
5.应用配置,使配置生效
隔离功能
(1)启动防护,在一段时间内丢弃触发规则的攻击源IP到目的IP的数据包
(2)dynamic_isolation_time隔离时间,一般默认为30min(是可以进行人为修改的)
(3)触发隔离后,在日志中的图标会显示为隔离,而非阻断
(4)首页入侵防护告警事件中可以取消隔离
例外规则
(1)针对某个地址对象的某个规则白名单
(2)例外规则是全局规划,针对所有链路,所有IP生效
入侵防护–DOS防护
参数含义:
检测阈值:设定的报文阈值
检测周期:设定的时间阈值
复位时间:每隔设定时间将统计告警的表项清零,一般不改
保护时间:防护的时间,即限流的时间
限制流量:开启防护后,允许通过的每秒包的数量。不包括正常通信流中所占的pps,只限制符合告警条件的包
注意事项:(1)默认的阈值较大,在进行测试时要适当调整阈值(2)一般不建议开启自动保护功能,可能会有误阻断(3)告警在入侵防护日志中进行查询
数据泄露防护
概念:数据泄露防护功能对内网进行有效的安全防护,可以防止内网敏感数据的泄露、防止某些文件的外发,可以监控服务器的非法外联行为,以防止攻击者通过服务器进行跳转攻击
包含三个部分:
敏感数据保护
敏感数据保护可以防止内部敏感数据(电话、身份证、银行卡)的外泄,在网络流中(HTTP、FTP、EMAIL)发现大量的敏感数据外传时(全局阈值超过时),NGIPS会阻断外传行为,并产生告警日志,启示用户内网存在敏感资源外泄行为
文件识别
文件识别可以防止内部特定格式的文件的外发,例如在专利局部门中,为了防止专利文档被恶意获取并传到外部,需要监控PDF格式或图片格式文件的外发
文件识别配置
(1)新建网络对象
(2)新建时间对象
(3)新建文件识别策略,选择文件类型
路径:策略–数据泄露防护–文件识别—新建
服务器异常防护
软件BYPASS
作用:即调试模式,安全引擎不再工作,但数通引擎仍旧正常工作(DDOS策略依然生效)
硬件BYPASS可用条件必须在串口关闭
(1)硬件BYPASS:bypass的两个端口物理连通,变成一根网线,用户的数据流量可以直接通过设备,不受设备自身当前状态的影响
(2)设备带BYPASS板卡:1.板载电口支持bypass 2.部分版本和型号支持光板卡bypass,V567及以前版本光口bypass必须使用外置光bypass交换机
(3)经过IPS一路流量经过一对板卡标识的bypass口
硬件bypass启动条件
(1)人工在web页面设置开启bypass—重启设备生效,bypass灯亮起,网卡灯不亮
(2)IPS处于掉电状态—-bypass灯熄灭,网卡灯熄灭
(3)IPS系统启动过程—bypass灯亮,网卡灯熄灭
(4)数通引擎异常—–bypass灯亮起,网卡灯熄灭

串口功能
登录串口后常用的功能:
1.查看/修改接口IP地址
2.修改设备时间
3.恢复系统
4.初始化配置
5.重置web管理员账户(不能解除已经被锁定的IP)
说明:

锁定IP:换IP登录或等待锁定时间结束
锁定账号:重启系统
为什么要做策略优化
1.大量的低风险事件、不关注事件、误报事件掩盖了真正的攻击事件
2.日志分析时,用户无法从大量的告警信息中找出真正的攻击事件,处理低风险事件浪费大量时间
紧急情况—网络中断
如果客户网络十分重要,对断网时间有严格的要求,一定要以恢复客户网络为优先!!
如果是直通部署,将设备进入调试模式或直接跳过
如果是三层部署,将配置文件和设备运行状态文件导出后,重启设备
诊断工具
(1)回放测试
回放测试功能—检验策略有没有生效
注意:回放接口只能是monitor口
(2)专家诊断
用于映射设备后台
前提:远程协助已开启
证书常见的问题
1.导入时提示无效
(1)检查序列号和hash值是否一致
(2)设备系统时间和当前是否一致
(3)申请的证书起始或者截至时间错误
(4)证书申请错误
V5.6.8以后零配置–默认接口
除M口(千兆设备还包括H1口)外,NIPS的其他接口IP默认为0.0.0.0,安全区默认为direct
除M口(千兆设备还包括H1口)外,NIDS的其他接口IP默认为0.0.0.0,安全区默认为monitor
证书过期
5.6.3~5.6.8
测试/试用证书过期:无法登录web界面,策略生效
正式证书过期:策略生效,但不可升级
5.6.9及以后
测试/试用证书过期:无法登录web界面,策略不生效(DOS防护除外)
正式证书过期,策略生效,但不可升级
修改接口生效方式
5.6.6及以前:重启引擎
5.6.10及以后:应用配置
重启引擎时是否会断网
1.如果接口信息没有更改过,不会断,网卡不会重协商
2.如果接口信息修改过,会丢一两个ping包,因为ping对延时较敏感
安全中心
5.6.6及以前:ESPCv6(windows)
5.6.9及以后:ESPCv7(linux)