1、天阗 v6.0 维护手册北京启明星辰信息技术有限公司2008 年 1 月目录 天阗 v6.0 维护手册1目 录1 编写说明 12 管理员须知 12.1 使用入侵监测系统以后是否就确保网络的安全了 12.2 一旦入侵监测系统配置完毕是否就不用调整了 12.3 网络入侵监测和网络审计的区别 .22.4 如何看待天阗入侵监测系统的报警事件 .22.5 对天阗入侵监测系统管理员的要求 23 初次使用 43.1 创建登录用户 43.2 添加并连接组件 .53.3 初始策略制定及下发 .83.3.1 策略制定 .83.3.2 策略下发 .103.4 导入授权 .113.5 数据库自动维护设置 .124 日
2、常使用及维护 .134.1 察看报警事件 134.2 升级事件库 154.3 策略调整 .164.3.1 事件的取舍 164.3.2 设置过滤条件 184.3.3 设置防火墙联动 194.4 察看历史事件 195 常见问题处理 225.1 天阗控制中心和引擎无法连接 .22目录 天阗 v6.0 维护手册25.2 控制中心可以连接引擎和显示中心,但没有事件上报 .225.3 数据库设成每周自动备份,为什么本周的数据没有备份 .225.4 详细查询报表导出对系统环境有什么要求 .225.5 使用远程桌面启动天阗系统,发现控制中心和显示中心无法连接 .225.6 连接上引擎后,下发策略没有生效,控制
3、中心工作日志也没有提示 .235.7 MSDE 安装不成功 .236 联系我们 23天阗 v6.0 维护手册11 编写说明编写本手册是为了方便启明星辰天阗入侵监测系统的用户能够更好地使用天阗入侵监测系统,发挥入侵监测系统的最佳性能。为了更好的使用本手册,请您在阅读本手册前先阅读天阗用户使用手册 ,对实际产品操作建立一定的了解。在使用本手册时可以参考天阗用户使用手册中具体操作办法细项说明或联机帮助。天阗入侵监测系统处于不断更新和升级中,本手册不保证完全符合产品的最新状况,请注意关注产品实体的变化和升级时的说明文档。2 管理员须知2.1 使用入侵监测系统以后是否就确保网络的安全了作为网络安全产品的
4、一种,使用天阗入侵监测系统是可以帮助提高部分网络安全的水平的,但仅仅依靠天阗入侵监测系统不可能确保网络的安全。天阗入侵监测系统能够实时地监测主机/网络信息,主动发现可疑行为并报警,给管理员提供重要的信息。因此天阗的主要作用是给管理员提示告警,如何进行防护还需要管理员人为参与或与其它技术手段相结合。通过和防火墙联动,天阗可以动态切断网络连接,保护网络中的设备免受外部攻击。但是对来自于内部的攻击,防火墙的联动是没有办法切断网络连接的。2.2 一旦入侵监测系统配置完毕是否就不用调整了对于目前网络部署来说,如交换机、路由器等网络设备,一旦配置完毕,为了保证网络的各种应用,在相当长的时期内无须调整,同样
5、天阗的探测引擎硬件也是如此。另一方面,网络中的服务和应用是不断变化的,而天阗的日常工作就是检查网络的数据流、主机的状态中是否存在攻击行为,所以天阗的软件配置也需要做相应的调整来适应这个动态的系统。需要调整的天阗软件配置主要有如下几个方面: 应用策略调整 事件库升级 数据库维护天阗 v6.0 维护手册2 产品升级和 bug 修补 2.3 网络入侵监测和网络审计的区别网络入侵监测和网络审计是有本质区别的,虽然两者都是从网络中以旁路方式获取网络数据包,但入侵监测旨在从大量的数据包中发现异常的行为并进行报警和记录,对正常的网络行为往往是忽略的,其主要工作量是在分析网络数据包的模式,一般不记录数据包的内
6、容。产品的主要功能是实时发现网络中的入侵行为和及时响应,或根据报警的历史记录进行网络安全策略的调整。网络审计不区分正常行为和异常行为,只要是经过的网络数据都应当记录下来,其主要工作量是在对网络数据包内容进行记录和还原,记录的内容往往是用来事后校验的。由于技术原理的前端有相似性,目前网络审计产品也做了部分入侵监测的功能,网络入侵监测也融合了一些网络审计的功能,但是从产品的性能上说是不主张同时使用这两种功能的,特别是在大流量的网络环境中。网络入侵监测和审计产品两者不应当混为一谈,用户在选择产品时要明确功能主项是用来做入侵防范还是用来对网络行为的审计。2.4 如何看待天阗入侵监测系统的报警事件初次使
7、用天阗入侵监测系统的时候,一般应用的是最大策略集,在实际网络应用的时候,会报出大量事件。对待报警事件,要明确如下几点看法:1、 不是每个事件都是入侵事件。有些网络正常应用(特别是内网环境)也会符合事 件特征,产生事件。因此,要注意对这些网络应用的过滤。2、 不是每个事件都会产生攻击效果,攻击的成功依赖于目标系统环境。有些只是一种攻击尝试,参考事件帮助,如果目标系统对这种攻击事件有抵御能力,对于外网事件可以忽略,对于内网事件保持关注。3、 不要因为报警事件过多而放弃使用入侵监测,只有通过一段时间和网络环境的磨合,调整监测策略,入侵监测系统才会发挥其应有作用。2.5 对天阗入侵监测系统管理员的要求
8、作为一种专用的网络安全产品,天阗不同于一般的应用软件,对天阗的管理员有两方面的要求:1、 技术要求 熟悉 TCP/IP 的基本协议 熟悉应用网络的拓扑结构、网络设备、地址分配、应用服务 了解主流的操作系统知识 了解网络安全的基本知识天阗 v6.0 维护手册32、 非技术要求 具有一定的分析能力 具有高度的责任心 具有严格的管理制度保障 实行定时计划管理天阗 6.0 维护手册43 初次使用3.1 创建登录用户第一次使用天阗入侵监测系统,必须首先创建一个登录用户。点击“开始菜单”“程序”“启明星辰”“用户管理审计” ,在登录界面中输入用户名及口令,默认用户名为:admin,口令为:venus60
9、点击“确定”按钮后弹出“用户管理与审计”界面,在其中点击“添加用户” ,输入用户名、密码,并选中“可以登录”后,就可以使用这个新建的用户登录天阗入侵监测系统的“管理控制中心”界面了。注意,密码必须大于 6 位,且要求中英文混杂。天阗 6.0 维护手册53.2 添加并连接组件登录天阗“管理控制中心”后,第一步必须把“探测引擎”及“显示中心”作为组件添加。点击“组件管理”“添加组件” ,如下图:天阗 6.0 维护手册6添加组件时,应注意选择所添加组件的类型。以添加探测引擎为例,名称可以任取,类型选择“网络引擎” ,地址为事先配置好的引擎地址,其他项保持默认;另外,添加显示中心组件时,除类型选择“显
10、示中心”外,地址应填写与控制中心相同的地址,如下图:如果引擎配置无误且网络连接正常,此时可以看到“网络引擎”组件已经处于“连接”状态,而“显示中心”仍显示“断开” ,这是因为“显示中心”这个组件并没有开启。点击“视图选择”“综合信息显示” ,打开“显示中心”组件。天阗 6.0 维护手册7在“综合信息显示”界面中,点击“系统”“系统设置” ,并切换到“连接设置”页面,将地址更改为控制中心的实际 IP 地址,端口保持不变,此时可以看到控制中心中三个组件均处于“连接”状态。天阗 6.0 维护手册8注意:1、如果数据库与天阗控制中心没有安装在同一台主机上,此处还要进行“数据源”的设置,具体步骤参见天阗
11、用户使用手册 。2、 “探测引擎”及“显示中心”均可添加多个,以实现多引擎同台管理和分布式监控。3.3 初始策略制定及下发3.3.1 策略制定制定策略是使用天阗最重要的工作之一,良好的策略不仅可以让管理员及时捕捉到网络上正在发生的重大危害事件,而且使管理员不致被大量的无用信息所淹没,减轻工作负担。由于是初次使用天阗,对网络上存在些什么样的数据流可能不甚明确,这时可以采用包含事件较多的策略集,待天阗运行一段时间后,对网络状况有了基本的了解,再在此策略集的基础上酌情删减。下面是制定一个包含全部事件的策略集的步骤。步骤 1:在天阗管理控制中心里点击“策略任务”“入侵检测”“策略编辑” ,弹出“策略编
12、辑”对话框。步骤 2:点击“策略向导” ,在新出现的对话框中,勾选“全选中”复选框后点击“生成”按钮,为新生成的策略集取一个名字,待进度指示完成时,点击“退出” 。天阗 6.0 维护手册9步骤 3:回到“策略编辑”窗口,此时可以看到窗口中多出一项刚刚定义好的策略集(名称为 ALL) ,关闭该窗口天阗 6.0 维护手册103.3.2 策略下发制定好的策略必须下发到引擎才能生效。在天阗“管理控制中心”里右键点击“网络引擎”组件,选择“策略下发” ,如下图:选中刚刚定义好的策略集,等待大约 30 秒后该策略集即被下发到引擎下发成功后,在“策略任务”一栏会显示刚刚发下去的策略名称及下发时间,如图:天阗
13、 6.0 维护手册113.4 导入授权完成上述工作后,天阗系统已经可以正常工作了。但此时引擎处于“试用”状态,需要及时导入授权密钥。在“天阗管理控制中心”里点击“系统设置”“授权管理” ,在新窗口中选中需要授权的引擎,点击“导入授权文件”即可完成授权。授权文件存在于随机软盘中,导入成功后授权类型处变为“已授权” 。天阗 6.0 维护手册123.5 数据库自动维护设置天阗使用一段时间后,数据量会越来越大,当数据库容量大到一定程度时(对于MSDE 来说,该值为 2G) ,会严重影响数据库的性能,造成数据查询缓慢。为避免这种情况发生,建议在初次使用时就利用天阗的数据库维护工具,对数据库进行定期自动备
14、份。点击“日志管理”“入侵检测”“日志维护” ,切换到“自动维护”界面。选中“启用数据库自动维护” ;备份频率可根据实际情况进行选择,如事件较多建议使用每周备份;备份库类型选择 SQL SERVER 并填写正确的服务器地址及 sa 口令;选择一个剩余空间较大的存放路径;选中“自动收缩日志”后保存。如下图所示:天阗 6.0 维护手册13注意:1、配置完成后一定要退出此界面,否则数据库备份不能完成。2、备份时间默认为 00:00:00,因该时刻数据库还要进行其它的操作,因此建议将此时间改为其它时刻。4 日常使用及维护4.1 察看报警事件推荐频度:每天被监控网络上发生的各类安全事件会在天阗显示中心实
15、时显示出来。坚持每天察看这些事件,可以及时了解当前网络上存在哪些攻击行为,以便迅速做出响应,消除安全隐患。天阗将所有网络事件按危险级别不同由高到低依次分为高级事件、中级事件、低级事天阗 6.0 维护手册14件和连接事件,在显示中心分类显示,如下图:四类事件中,低级事件和连接事件一般为正常网络访问引起,基本不会对网络或主机造成危害或危害很小。对于管理员来说,应该重点关注高级事件和中级事件,尤其是高级事件,应该做到逐条追查。为方便管理员对事件进行分析,每条事件均提供了事件帮助,说明了触发该事件的原理、影响的系统以及解决建议等。双击需要分析的事件,即弹出该事件的详细说明,再选中“帮助” ,即出现该事
16、件的帮助信息。天阗 6.0 维护手册154.2 升级事件库推荐频度:每周天阗需要不断对事件库进行升级才能对最新出现的安全事件、攻击行为具备监测能力。启明星辰公司网站 http:/ 每周会发布一个最新的事件库升级包。建议管理员每周一进行下载,解压缩后得到一个名如“CenterDB_2006_09_29_cn.dat”的文件。在“天阗管理控制中心”里点击“更新升级”“入侵检测”“手工更新” ,在弹出的窗口中浏览到刚刚解压缩得到的升级文件,点击“升级” ,待出现升级完成的提示后退出,即完成升级。升级完成后为使新增的事件应用于引擎,需要对策略进行调整后重新下发。在“天阗管理控制中心”里点击“策略任务”
17、“入侵检测”“策略编辑” ,在弹出窗口中点击“策略集操作” ,再选择“增量升级事件集”与当前应用事件集进行“并”操作,生成一个新的策略集,再将此策略发至引擎。天阗 6.0 维护手册164.3 策略调整推荐频度:需要时天阗在应用包含较多事件的策略集运行一段时间后,管理员会对网络上各种数据流愈加了解;哪些事件有危害,哪些事件没有危害,也逐步有了自己的判断。这时,管理员可以对策略加以调整,使之适合自己的环境,使入侵监测系统发挥最大的效力。4.3.1 事件的取舍事件的取舍是一个循序渐进的过程,没有一个策略可以适用于所有网络环境,这里介绍一些事件取舍的原则可以帮助管理员做好这项工作。原则 1:监控范围内
18、不包含的操作系统类型事件不做上报例:当前网络环境中只有 Windows 主机,这时就可以在策略中去掉那些仅针对 UNIX及 LINUX 系统的事件。编辑当前策略,在“划分标准”下选择“按操作系统” ,则所有事件将按操作系统进行分类,这时只要选中 UNIX 及 LINUX 系统事件,将每条事件前面的勾去掉,即从策略中删除了该事件,而以后一旦需要恢复该事件,只需要把勾重新勾上即可。天阗 6.0 维护手册17小技巧:要一次处理多个事件,可以先选中第一条事件,按住“Shift”键后再单击最后一条事件,然后右键单击,在“设置是否有效”中进行选择。天阗 6.0 维护手册18原则 2:监控范围内不包含的协议
19、类型事件不做上报例:当前网络环境中不提供 TELNET 和 FTP 服务,则可以在策略中去掉针对这两种协议类型的事件。操作步骤与上面类似,只是在“划分标准”下选择“按协议”即可。原则 3:持续大量发生但经确认不会对本地网络和主机造成危害的事件不做上报4.3.2 设置过滤条件管理员在可以熟练操作天阗后就可以尝试使用一些较为高级的功能了,这些功能不一定会用到,但在某些特定的场合,使用起来往往会让管理员的工作更加轻松。设置过滤条件就是这样一种功能。例:当前环境中有一台地址为 10.10.10.14 的服务器运行 SNMP 服务,每天天阗都会报出大量以此为源地址的 SNMP 类事件,这些都是正常事件,
20、应该过滤掉,但又不希望因此而漏掉其它地址产生的这类事件。使用过滤条件可以很好的解决这类问题。在策略编辑界面中,点击“设置模板”“过滤条件模板” ,新页面中点击“添加” ,出现一个新的模板。选中此模板,按下图指示填写,然后保存。回到策略编辑界面,在需要应用此模板的事件上右击,选择“响应设置模板”并选中刚刚建好的模板即可。当然还可以根据情况对目的地址进行过滤,或者对一段地址进行过滤,可以在应用中灵活选择。具体操作请见天阗用户使用手册 。天阗 6.0 维护手册194.3.3 设置防火墙联动天阗采用旁路接入的方式来侦听网络上的数据流,这限制了它本身的阻断功能;而防火墙虽然具有很好的阻断功能,但不能动态
21、设置策略,缺少必要的灵活性,因此天阗与防火墙的联动可以充分发挥两者各自的优势,更加有效的阻断攻击事件。天阗与防火墙联动的设置在天阗与防火墙联动手册中有很详细的说明,请参考。注意:事件的取舍、设置过滤条件以及设置防火墙联动都需要在“策略编辑”界面下完成,而每次对策略进行的修改,必须要保存并下发到引擎才能最终生效。4.4 察看历史事件推荐频度:需要时天阗显示中心显示的实时事件在关闭该界面后即消失,如果需要察看历史事件或对一段时间的报警事件进行分析,必须使用天阗提供的报表功能。天阗提供两种报表。管理报表比较简单,以表格、图形等直观的方式记录一段时间内的事件统计信息,适合制作成文档呈报领导。在“天阗管
22、理控制中心”里点击“日志管理”“入侵检测”“管理报表”可以打开管理报表界面,如下图所示。天阗 6.0 维护手册20在“天阗管理控制中心”里点击“日志管理”“入侵检测”“详细报表”可以打开详细报表界面。详细报表详细记录了每条事件的具体信息,通过设定查询条件,可以方便快速地找到用户真正关心的事件,非常适合管理员对历史事件进行分析。要察看每条事件的具体信息,只要选中“时序事件详细表”就可以了,如下图:天阗 6.0 维护手册21点击“报表查询”“条件执行方案”可以设定各种查询条件,本例中设定源地址为10.10.10.14,则执行后得到如下结果,这时显示的就全部都是源地址为 10.10.10.14 的事
23、件了。详细报表还提供了多种其它模板,管理员可以根据需要自行选择。每种模板的具体含义参见天阗用户使用手册 。管理报表和详细报表都有多种文件格式可供导出,以满足不同用户的需求。天阗 6.0 维护手册225 常见问题处理5.1 天阗控制中心和引擎无法连接首先登录引擎 ping 控制中心,看网络是否连通。如果连通,在控制中心 telnet 引擎的20001 端口,看能否登录。如果不能,可能是控制台的机器上安装了防火墙之类。请打开20001 和 50000 端口的通信。如果能 telnet 到 20001 端口,则需要启明星辰工程师的指导下收集控制中心和引擎的一些日志等信息,发回启明星辰。5.2 控制中
24、心可以连接引擎和显示中心,但没有事件上报1、首先,在控制台查看引擎属性,在“业务统计数据”中查看是否有特征事件数,如果特征事件数显示不为 0,进入 2;如果是 0,进入 32、检查系统的服务,查看 datatransfer 服务是否存在,如果存在,请重新启动一下,此时问题就能基本解决3、查看引擎属性, “进程状态” ,检查 Csign、DT 是否都存在,如果都存在,进入 4;如果缺少进程,进入 5。4、到此基本就能确认是网络设备连接的问题了,检查引擎抓包口连接的设备(一般是用户网络的核心交换机的镜像口) ,网线连接是否正常?是否镜像没有配置好?是否是交换HUB?5、发现有进程缺失,搜集错误信息
25、,反馈给启明星辰服务支持中心5.3 数据库设成每周自动备份,为什么本周的数据没有备份为了用户使用的合理性,每月、每周、每天的备份是指对本周期的前一个周期的备份,例如每周备份的是上周的数据,保留本周的数据方便用户查看。5.4 详细查询报表导出对系统环境有什么要求如果您需要使用详细报表导出功能,要求安装 office 环境,推荐安装 office 2002(XP )或以上的版本,否则以 word 格式导出的报表无法查看。5.5 使用远程桌面启动天阗系统,发现控制中心和显示中心无法连接因为远程启动显示中心,数据转发服务就无法寻找到显示中心的窗口,所以就无法转发数据。解决方法:首次保证在控制台机器上没
26、有运行任何天阗程序,然后在控制面板-管理工具-服务-DataTransfer,停止 DataTranfer 服务;然后安装目录下直接运行DataTransfer,双击 DataTransfer.exe,注意一定要保证进程中只有一个 DataTransfer.exe进程;因为在服务器端 DataTransfer 服务为自动启动,如果不想自动启动,把服务改成手动的就可以了。天阗 6.0 维护手册235.6 连接上引擎后,下发策略没有生效,控制中心工作日志也没有提示如果是引擎长期独立运行且没有连接控制中心,入侵事件日志就会存放在引擎上,第一次连接控制中心会自动进行日志同步,将引擎存贮的日志同步到控制中心,可能需要很长时间,然后才会处理文件下发,请耐心等待。5.7 MSDE 安装不成功这有可能是因为您的系统中曾经安装过 MSDE 或 SQL Server 的其它版本,我们建议您先卸载干净,在控制面板中找到 SQL Server 这一项,进行卸载(如果没有这一项就跳过这一步) ,完成后,删除 SQL Server 的安装目录,然后打开注册表,删除 SQL Server 这一项,再运行 MSDE 安装程序就可以了。6 联系我们58 小时技术支持热线 :010-82779160800-810-6038724 小时技术支持热线:13911802208
