Network Security Platform 7.0 IPS Administration Guide - McAfee

More documents

Recommendations

Info

3 如何管理 IPS 设置如何配置和管理策略表 3-2 类别描述 Audit(审核) 任何事关安全分析员的网络事件。例如,调用特定的应用程序或在某些应用程序中使用特定的命令。 Back Door(后门) 取决于触发器的可信度,可能表示联系后门进程的企图,也可能是实际出现后门的双向通信。如果是后者,则表明您的网络中要么存在后门进程,要么存在后门用户,甚或是二者同时存在, 具体取决于通信端的位置。 Brute Force(暴力攻击) Buffer Overflow(缓冲区溢出) Command Shell(命令 Shell) Covert Channel(秘密通道) DDoS Agent Activity (DDoS 代理活动) 密码破解程序之类的程序使用暴力攻击尝试许多不同的密码来猜测正确的密码。这种警报指示有人试图利用某些软件的漏洞,通过这些漏洞操纵缓冲区空间可导致改写非预定内存区域。这种改写操作会导致不同的后果,具体取决于被改写区域是不是可执行区域。如果不是可执行区域,可能导致软件故障,如拒绝服务;如果是可执行区域,可能执行当前进程环境中的任意计算机代码,严重破坏安全。表示 Unix 或 Windows 等操作系统下交互式 Shell 的流量活动。认为不是发生在受监控通信通道上的任何通信活动。已知的 DDoS 攻击工具在攻击者(或处理程序)和攻击代理(或傀儡)之间使用各种通信方式。检测到这些活动就意味着有人试图联系 DDoS 代理,或所监控的网络中存在实际攻击者或代理进程。 DoS 精心编制的数据包(例如带有无效或不一致的 TCP/UDP/IP 报头值),意图使目标 TCP/IP 堆栈崩溃或导致大量资源被占用。 Evasion Attempt(规避企图) Fingerprinting(指纹识别) Host Sweep(主机扫描) Non‑standard Port (非标准端口) Over Threshold(超过阈值) 这种警报指示流量中的一系列数据包或字节表示逃避 IDS 检测的特定企图。例如,已知的 FTP 攻击就是使用换码控制符序列隐藏攻击负载,基于 TCP 的 RPC 攻击可能使用记录格式拆分攻击负载。精心定义的数据包序列,每个数据包本身通常都有探查企图,它们针对特定的目标 IP 地址发出,目的是确定目标操作系统或主机类型。精心定义的数据包序列,企图通过扫描一定范围的目标 IP 地址确定活动的主机。根据协议规范,表示标准协议运行在非标准端口上的任何流量活动。超过了任何精心定义的流量阈值的情况。例如,ICMP 数据包速率、IP 碎片速率等。 Port Scan(端口扫描) 精心定义的数据包序列,企图通过扫描给定 IP 上的多个目标端口确定目标主机上的开放端口。 Privileged Access(授权访问) 授权访问指示最严重的一种成功利用漏洞攻击,它使未获授权的攻击者得到了授权帐户。例如, 在 Unix 服务器上成功造成缓冲区溢出,就会为攻击者打开根 Shell。或者,攻击者已经通过损害合法用户帐户或远程访问,成功获得权限提升。授权访问使攻击者可以完全控制受损系统。 Probe(探查) 特定服务或主机的探查程序,通常基于特殊构造的数据包,如不常用的标记设置。 Protocol Violation(违反协议) Read Exposure(读暴露) Remote Access(远程访问) Restricted Access(限制访问) Restricted Application(限制应用程序) 应用协议异常行为,包括无效的字段值或无效的命令序列等。攻击成功,表示机密资料已泄露。例如,目录被遍历、文件内容(如 CGI 脚本)被转存或者其他敏感数据文件(如密码和数据库记录)被读取。远程访问表示利用漏洞攻击可能已成功,非授权访问已经得逞。例如,在 Windows 服务器上成功造成缓冲区溢出,会为攻击者打开 Windows 命令 Shell。不一定只有授权用户才能进行远程访问,如果攻击者成功实现远程访问,就可能会进一步攻击系统来取得权限提升。任何明令禁止的与使用网络资源有关的活动。例如,来自/发往特定地址的电子邮件和浏览特定的 URL。策略禁止的与运行网络应用程序有关的任何活动。例如,未经授权在公司网络上运行 IRC 或音乐共享服务器。 36 McAfee ® Network Security Platform 7.0 IPS 管理手册
表 3-2 (续) 类别描述 Sensitive Content(敏感内容) Shellcode Execution (Shellcode 执行) Statistical Deviation (统计偏差) 所有内容关键字匹配,它们被认为在传输敏感信息,例如标有“Company Confidential(公司机密)”字样的文档。这类警报指示最严重的缓冲区溢出攻击,也就是载有 Shellcode 负载的缓冲区溢出攻击。 Shellcode 是可执行代码的泛称,它在目标系统上被成功执行后,将修改目标系统的配置或执行恶意行为。指示检测到特定流量测量的数据包速率发生明显变化。例如,如果在正常的通信流中,TCP SYN 数据包占流量的 23‑28%,当短期内测量到的 TCP SYN 流量达到 40% 就表示受到 DoS 攻击。 Unassigned(未指定) 此类别表示 Network Security Platform 环境中已知子类别范围之外的攻击。例如,如果攻击者随 Van Eck 设备出现,并开始发起猛烈攻击,就会用“未分配”来描述类别。 Unauthorized IP(未授权 IP) 含有未获受保护网络访问权限的 IP 地址的任何流量活动。 Virus(病毒) 与特定病毒有关的任何网络事件或负载。恶意病毒会给它的攻击目标造成各种损坏,涉及范围包括窃取或毁坏资料信息一直到安装后门进程。不过,病毒需要依赖其他载体(如电子邮件)在网络间传播。 Volume DoS(大量 DoS) 大量流量,从应用内容的角度来看,这些流量可能完全有效,但它们会完全淹没通向目标系统路径中的处理元素(包括交换机、路由器、防火墙和目标服务器等),这会对其他合法流量造成 DoS 影响。 Worm(蠕虫) 与特定蠕虫活动有关的任何网络事件或负载。恶意蠕虫会给它的攻击目标造成各种损坏,涉及范围包括窃取或毁坏资料信息一直到安装后门进程。蠕虫与病毒的不同之处在于它本身可以通过网络传播。 Write Exposure(写暴露) Arbitrary Command execution(任意命令执行) Code Execution(代码执行) 如果攻击成功,表示数据库的完整性和/或真实性已被破坏。例如,创建、删除和修改了系统配置或用户密码文件。出现写暴露警报时,经常会有更为严重的间接影响,例如添加非法用户帐户记录破坏访问控制。攻击者可以执行系统命令和脚本(例如获取系统上列出的目录),从而窃取和毁坏数据。可以访问用户系统的攻击者可能会利用漏洞并安装恶意软件,然后利用此系统对其他系统发动攻击。恶意用户可用于危害用户系统的漏洞。攻击者可以在用户系统上执行恶意程序或代码。成功利用漏洞的攻击者可以执行任意代码,并可能完全控制受影响的系统。攻击者可以使用提升权限运行代码。如果用户以管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。然后, 攻击者可以安装程序;查看、更改或删除数据;或者使用完全用户权限创建新帐户。在系统上配置为具有较少用户权限的帐户,其用户受到的影响小于使用管理员用户权限进行操作的用户。 Bot 指一组运行或执行程序的计算机,该程序允许攻击者远程控制系统,并使用户执行类似 DOS 的命令。在 IRC 通道中 Service‑sweep(服务扫描) 执行这些命令。如何管理 IPS 设置如何配置和管理策略 3 Bot 是一种恶意软件,该软件允许攻击者获取对受影响计算机的完全控制权限。被 Bot 感染的计算机通常被称为“傀儡”。攻击者可以访问“傀儡”PC 的列表并激活这些列表,以帮助对网站执行 DoS(拒绝服务)攻击、驻留网络钓鱼攻击网站或发送大量垃圾邮件。 Bot 蠕虫是驻留在当前内存 (RAM) 中的自我复制的恶意软件程序,使受感染的计算机成为“傀儡”(或 Bot),并将自身传输到其他计算机。创建 Bot 蠕虫的最终目的是创建 Botnet,Botnet 可以用作传播病毒、特洛伊木马和垃圾邮件的载体。一种警报,表示对网络或子网上的服务进行客户端扫描,从而导致损坏增加的带宽并增加网络流量。此警报通常由 P2P 客户端生成。“Service Sweep(服务扫描)”用于尝试确定是否在一系列计算机上运行某个服务。黑客将选择一个端口(通常为 25‑SMTP、80‑HTTP 或 139‑NetBIOS SSN)和 IP 地址的范围。 “Ping Sweep(Ping 扫描)”用于尝试找出网络中处于启动状态并做出响应的计算机。在跟踪中检测这些计算机的最简单方法是查找 ARP 数据包。因此,应创建一个过滤器来查找 ARP 请求。 McAfee ® Network Security Platform 7.0 IPS 管理手册 37
Page 1 and 2: IPS 管理手册修订版 A McAfee
Page 3 and 4: 目录前言 7 关于本手册 . .
Page 5 and 6: 如何为 IPS Sensor 配置防火
Page 7 and 8: 前言本手册将提供配置、
Page 9 and 10: 1 计划 IPS 部署 IPS 部署可
Page 11 and 12: 调整策略提供默认 Network S
Page 13 and 14: 如何阻止利用漏洞流量 •
Page 15 and 16: | “IP Settings(TCP 设置)”操
Page 17 and 18: 2 理解 IPS 策略安全策略或
Page 19 and 20: 如何设置针对攻击的通知
Page 21 and 22: 保护类别具有两个级别。
Page 23 and 24: 3 如何管理 IPS 设置 “IPS Se
Page 25 and 26: “IPS Policies(IPS 策略)”选
Page 27 and 28: 字段名描述 “Rule Set(规则
Page 29 and 30: 应用规则集任务 • 添加
Page 31 and 32: 在“Summary(摘要)”窗口中
Page 33 and 34: 3 单击链接以查看该页面。
Page 35: 影响类别影响子类别 •
Page 39 and 40: 3 选择“Annotations of Parent Ad
Page 41 and 42: 3 从“Annotations of Parent Admin
Page 43 and 44: 3 单击“Clone(复制)”。 4
Page 45 and 46: 3 单击“Bulk Edit(批量编辑)
Page 47 and 48: 11 单击窗口底部的“OK(确
Page 49 and 50: 任务 1 选择“IPS Settings(IPS
Page 51 and 52: 弹出窗口显示攻击的详细
Page 53 and 54: 12 在“Enter Comment(输入备注
Page 55 and 56: 如何对侦测策略使用批量
Page 57 and 58: • “Delete(删除)”:删除该
Page 59 and 60: 8 在搜索结果中,选择一个
Page 61 and 62: 5 选择一个攻击,然后单击
Page 63 and 64: 任务 1 在 Manager 中,选择“I
Page 65 and 66: 在规则集中配置智能阻止
Page 67 and 68: 任务 1 在 Manager 中,选择“/
Page 69 and 70: 任务 1 选择“IPS Settings(IPS
Page 71 and 72: 9 选择“Include(包含)”或“
Page 73 and 74: 12 单击“Protocol(协议)”选
Page 75 and 76: 14 单击“Application(应用程
Page 77 and 78: 17 单击“SmartBlocking(智能阻
Page 79 and 80: 3 单击“Delete(删除)”。 4
Page 81 and 82: 默认串联 IPS 策略 • “Poli
Page 83 and 84: 该表包括以下列: • “Proto
Page 85 and 86: • 在“Configure Attack Details(
Page 87 and 88:
• “Signature Desc(特征码描
Page 89 and 90:
选择是否要将“Attack Name Se
Page 91 and 92:
• “软件第 2 版”:从下拉
Page 93 and 94:
4 单击“Edit Attack Details for
Page 95 and 96:
5 在“Notifications(通知)”区
Page 97 and 98:
学习模式阈值模式在学习
Page 99 and 100:
字段名字段描述 “Sensor Re
Page 101 and 102:
5 系统会自动选中“Transport
Page 103 and 104:
任务 1 选择“IPS Settings(IPS
Page 105 and 106:
6 双击“IGSetup.exe”。图 3-
Page 107 and 108:
10 双击“IG_setup.exe” 图 3-8
Page 109 and 110:
任务 1 转到“开始” | “
Page 111 and 112:
选择要导入的策略导入和
Page 113 and 114:
完成策略导入在所有这三
Page 115 and 116:
• Alert & Deny Excess Connections
Page 117 and 118:
• Ping (ICMP echo Request)(Ping(I
Page 119 and 120:
GTI 不支持 XFF IP,因此所有 G
Page 121 and 122:
• Move Up(上移) • Move Down(
Page 123 and 124:
• Alert Only(仅发出警报) •
Page 125 and 126:
• SPAN 端口 • 连接限制规
Page 127 and 128:
此时会显示“Add an Attack Fil
Page 129 and 130:
7 对于来源和目标 IP 地址
Page 131 and 132:
“Attack Filter Assignments(攻击
Page 133 and 134:
“Filter Assignment: (过滤器分
Page 135 and 136:
防火墙策略 4 选择要导入
Page 137 and 138:
如何管理 IPS 设置防火墙
Page 139 and 140:
• Sensor 的物理端口。 •
Page 141 and 142:
这些应用程序特征码捆绑
Page 143 and 144:
假设用户尝试访问已知的 G
Page 145 and 146:
• 在“Show(显示)”列表中
Page 147 and 148:
添加应用程序组任务 1 开
Page 149 and 150:
添加网络组任务 1 输入有
Page 151 and 152:
添加服务组任务 1 选择“I
Page 153 and 154:
3 输入 DNS 后缀。您可以输
Page 155 and 156:
添加访问规则查看防火墙
Page 157 and 158:
i 单击“OK(确定)”。 j 要
Page 159 and 160:
4 单击“Save(保存)”。 5 进
Page 161 and 162:
5 单击“Save(保存)”。如
Page 163 and 164:
8 在“Application(应用程序)
Page 165 and 166:
限制 • 只有在“TCP flow vio
Page 167 and 168:
9 单击“Save(保存)”。单
Page 169 and 170:
任务 1 在 Manager 中,选择“I
Page 171 and 172:
任务 1 转到“IPS Settings(IPS
Page 173 and 174:
对于子接口,您只能从其所
Page 175 and 176:
当创建接口时,启发式 Web
Page 177 and 178:
4 单击“Save(保存)”以保存
Page 179 and 180:
当 Sensor 检测到了自定义的
Page 181 and 182:
2 在“GTI”部分下方,您可
Page 183 and 184:
6 单击“Manage File Types(管理
Page 185 and 186:
如何启用安全套接字层 (SSL
Page 187 and 188:
Page 189 and 190:
下面是在 Manager 中进行 IPS
Page 191 and 192:
9 要对由于此攻击而隔离的
Page 193 and 194:
5 选择所需的攻击数目(例
Page 195 and 196:
请查看以下内容了解 IPS 隔
Page 197 and 198:
4 如果需要将配置继承到子
Page 199 and 200:
• “Description(描述)”:规
Page 201 and 202:
任务 1 从资源树中,选择“I
Page 203 and 204:
3 选择“Next(下一步)”。
Page 205 and 206:
您可以针对“Quarantine Durati
Page 207 and 208:
表 3-6 (续) 字段名描述 Host
Page 209 and 210:
对警报和数据包日志进行
Page 211 and 212:
如果选择“Weekly(每周)”,
Page 213 and 214:
2 执行以下任一操作: a 单
Page 215 and 216:
4 通过以下两种方式指定要
Page 217 and 218:
容量规划 Manager 中的“Capac
Page 219 and 220:
数据库大小要求我们根据
Page 221 and 222:
d 单击“Calculate(计算)”。
Page 223 and 224:
“Manager Cache(Manager 缓存)”
Page 225 and 226:
3 单击“New(新建)”。 “SNM
Page 227 and 228:
修改或删除 SNMP 服务器设
Page 229 and 230:
表 3-8 Syslog ‑ 配置选项字
Page 231 and 232:
• 单击“Save(保存)”,返回
Page 233 and 234:
单击“Save(保存)”返回到
Page 235 and 236:
更新设备配置 “Configuration
Page 237 and 238:
4 在 Sensor 级别配置 IPS 策
Page 239 and 240:
6 单击“Save(保存)”。弹
Page 241 and 242:
“Filter Assignment: (过滤器分
Page 243 and 244:
任务 1 单击“IPS Settings(IPS
Page 245 and 246:
如果网络流量随时间自然
Page 247 and 248:
任务 • 选择“IPS Settings(IP
Page 249 and 250:
配置 TCP 设置此操作只能
Page 251 and 252:
TCP 参数描述 SYN Cookie SYN Co
Page 253 and 254:
要编辑参数,请指定新的参
Page 255 and 256:
另请参阅 Jumbo Frame 解析第
Page 257 and 258:
2 在“Common IP Parameters(常见
Page 259 and 260:
2 在“OS Finger Printing(操作
Page 261 and 262:
Page 263 and 264:
Network Security Platform 支持使
Page 265 and 266:
您可以右键单击“Host(主机
Page 267 and 268:
5 在“Type(类型)”中选择“
Page 269 and 270:
虽然两个规则中的来源是
Page 271 and 272:
Page 273 and 274:
已用 CIDR 地址分配方式细
Page 275 and 276:
速率限制用于控制通过网
Page 277 and 278:
队列计数队列计数是指为
Page 279 and 280:
6 为新的流量管理队列输入
Page 281 and 282:
任务 1 从资源树中,选择“I
Page 283 and 284:
表 4-2 Sensor 受限端口 I‑401
Page 285 and 286:
如何启用 SSL 解密适用于 D
Page 287 and 288:
6 输入“SSL Cache Timer(SSL 缓
Page 289 and 290:
6 单击“Apply(应用)”。弹
Page 291 and 292:
在 Manager 中,要在 Sensor 端
Page 293 and 294:
NTBA 选项卡中的第 7 层数据
Page 295 and 296:
5 在接口和子接口级别配置
Page 297 and 298:
接口节点可通过导航到“IP
Page 299 and 300:
另请参阅自定义本地 IPS
Page 301 and 302:
5 通过启用以下“Edit(编辑)
Page 303 and 304:
10 选择“Reset(重置)”并单
Page 305 and 306:
在接口级别分配连接限制
Page 307 and 308:
4 单击“Save(保存)”。 5 验
Page 309 and 310:
此时会打开“Advanced Botnet D
Page 311 and 312:
所提供选项如下所示: • Re
Page 313 and 314:
3 单击“File Reputation ‑ GTI
Page 315 and 316:
3 即会打开“Configure Policy(
Page 317 and 318:
对于子接口,您只能从其所
Page 319 and 320:
4 单击“Save(保存)”以保存
Page 321 and 322:
当 Sensor 检测到了自定义的
Page 323 and 324:
步骤: a 转到“IPS Settings(IPS
Page 325 and 326:
Page 327 and 328:
Page 329 and 330:
检查 X-Forwarder-For 报头信息
Page 331 and 332:
查看接口详细信息要查看
Page 333 and 334:
3 在新的“VLAN”或“CIDR”
Page 335 and 336:
创建子接口如果有 VLAN、
Page 337 and 338:
查看接口上应用的 DoS 策略
Page 339 and 340:
分配 ACL 规则可以在接口
Page 341 and 342:
• Assigned Policy(分配的策略
Page 343 and 344:
创建子接口时,您可以指定
Page 345 and 346:
6 使用 IPS 检测带有双重 VLA
Page 347 and 348:
McAfee ® Network Security Platform
Page 349 and 350:
7 拒绝服务 7 拒绝服务 (DoS)
Page 351 and 352:
DDoS 攻击工具 DDoS 攻击可通
Page 353 and 354:
基于阈值的模式在阈值模
Page 355 and 356:
警报解决利用 DDoS 攻击工
Page 357 and 358:
了解策略编辑选项 “Edit IP
Page 359 and 360:
创建 DoS 策略时,必须注意
Page 361 and 362:
VLAN 假定端口 1A 的流量为 V
Page 363 and 364:
3 在“IP Address(IP 地址)”字
Page 365 and 366:
请注意,在提交所做的更改
Page 367 and 368:
IPS 设置级别的选项在 Manag
Page 369 and 370:
3 单击“DoS Attacks(DoS 攻击)
Page 371 and 372:
7 在“Sensor Response(Sensor 响
Page 373 and 374:
• “DoS Profile Upload and Resto
Page 375 and 376:
以下信息可帮助您理解该
Page 377 and 378:
任务 1 单击“Admin_Domain_Name
Page 379 and 380:
TCP 参数描述 “Outbound Thres
Page 381 and 382:
队列计数 “Queue Count(队列
Page 383 and 384:
字段描述 “UDP Port(UDP 端
Page 385 and 386:
3 选择想要自定义的攻击,
Page 387 and 388:
单击“View(查看)”以查看
Page 389 and 390:
2 即会显示所选警报的警报
Page 391 and 392:
• “Threshold Duration(阈值持
Page 393 and 394:
任务 1 右键单击攻击实例,
Page 395 and 396:
4 使用以下 CLI 命令,在 Senso
Page 397 and 398:
配置 ACL • stRate ‑‑ short
Page 399 and 400:
以下含义和先决条件应用
Page 401 and 402:
索引 A ACL ACL Syslog 转发程
Page 403:
700-3578A11
show all

Network Security Platform 7.0 IPS Administration Guide - McAfee

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?