收藏 分享(赏)
下载资源 加入VIP,免费下载

CISCO安全监控分析和响应系统测试报告.doc

上传人:dzzj200808 文档编号:2467512 上传时间:2018-09-17 格式:DOC 页数:42 大小:5.75MB
下载 相关 举报
CISCO安全监控分析和响应系统测试报告.doc_第1页
第1页 / 共42页
CISCO安全监控分析和响应系统测试报告.doc_第2页
第2页 / 共42页
CISCO安全监控分析和响应系统测试报告.doc_第3页
第3页 / 共42页
CISCO安全监控分析和响应系统测试报告.doc_第4页
第4页 / 共42页
CISCO安全监控分析和响应系统测试报告.doc_第5页
第5页 / 共42页
点击查看更多>>
资源描述

1、MARS 测试报告第 1 页共 42 页MARS 实施报告MARS 测试报告第 2 页共 42 页目录1 MARS 概述 .42 MARS 功能简介及配置 .42.1 MARS 拓朴自动发现 .42.2 添加安全设备 62.3 配置 Netflow 信息 .82.4 创建自定义规则 92.5 创建自定义报告 123 MARS 管理 .153.1 拓朴结构及设备查看 153.2 系统统计信息 173.3 安全事件操作 173.3.1 查看 Incident173.3.2 攻击分析 203.3.3 攻击缓解 223.4 常用报表查看 234 MARS 的报表功能 .264.1 MARS 实用报表示

2、例 .264.1.1 自定报告清单 264.1.2 最多报告事件设备统计 284.1.3 最大命中规则统计 284.1.4 DoS 事件报告 304.1.5 过去 1 天最大访问目的 IP 端口报告 314.1.6 过去 7 天最大被拒绝源 IP 报告 314.1.7 过去 7 天 DoS 攻击报告 .324.1.8 过去 7 天最大连接数网络报告 334.1.9 过去 7 天最多病毒源报告 354.1.10 过去 30 天最多 P2P 主机报告 .354.1.11 过去 60 天入侵报告 364.2 MARS 对富士康部分园区的安全分析 .374.2.1 防火墙相关分析 374.2.2 IP

3、S 相关分析 .384.2.3 其他安全问题分析 395 MARS 测试总结 .395.1 总体评价 395.2 Netflow 信息的分析功能对未知攻击发现的作用 405.3 MARS 的设计和部署建议 .41MARS 测试报告第 3 页共 42 页1 MARS 概述CISCO 安全监控分析和响应系统(CS-MARS), 简单的说 CS-MARS 的功能就是可以接受各种设备的事件和数据,进行事件分析.汇总、然后根据需要生成相关的报告结果. 以达到识别和消除网络攻击。2 MARS 功能简介及配置2.1 MARS 拓朴自动发现1. 通过 https:/10.191.130.180 登進 MARS

4、 之后(缺省用户名密码pnadmin/pnadmin),点进 ADMIN 页面。2. 点 Community String and Networks 选项,填入要发现的拓扑 IP 网段和 Community string 之后,按 ADD,填完相关 IP 网段之后,按Submit。 (图 2.1)MARS 测试报告第 4 页共 42 页图 2.1 输入网络设备的 Community 属性3. 按 Back 返回主菜单按 Vaild Network(选择有效的发现网络),填入有效的发现网络之后,按 ADD,单击 Discover now 进行设备发现,最后按 Submit 完成配置。 (图 2.

5、2)图 2.2 输入有效网络4. 配置定时发现设备。选择 ADMINToplogy/Monitored Device Update Scheduler 选择 default Discovery Group -edit (选择定时发现的时间段和发现的有效网段)。完成后,按 Run now。 (图 2.3)MARS 测试报告第 5 页共 42 页图 2.3 输入定时发现网络设备参数5. 返回 Admin Vaild network 按一下 Discover now ,发现完成后按click here。 (结果如图 2.4)图 2.4 发现结果6. 检查新发现的设备列表。选择 AdminSecuri

6、ty Monitor Devices,可以看到发现的设备清单。 (图 2.5)MARS 测试报告第 6 页共 42 页图 2.4 发现的可管理安全设备2.2 添加安全设备1. 点击 ADMIN-Security Monitor Devices,添加需要增加管理的设备。一个添加设备的范例如图 2.5 所示:MARS 测试报告第 7 页共 42 页图 2.5 添加安全设备范例:ASA2. 在添加安全设备时,MARS 上需要添加设备的软件版本要与设备的版本一致,而且被管理的设备的软件版本需要满足 MARS 的需求(软件版本请查阅 MARS 的 Release Notes) 。为了让 MARS 了解网

7、络详细拓扑,需要把每台要加入的设备的 login password ,enable password 和 snmp community 配置对。填完之后,按 Discovery,此时设备已经添加完毕。 (图 2.6 为已管理安全设备清单)注:如果添加设备不成功,MARS 会提供添加设备错误的原因,可根据原因改正。MARS 测试报告第 8 页共 42 页图 2.6 已管理安全设备清单3. 配置被管理安全设备要使 CS-MARS 收集的安全设备的数据,还必须都将安全设备的日志信息发给 CS-MARS。因为每种安全设备的日志设置不完全一样,这里以 PIX 的设置为例说明:logging enable

8、logging trap warningslogging history notificationslogging host campus 10.191.130.1802.3 配置 Netflow 信息当需要分析 Netflow 信息时,还应为 MARS 配置 Netflow。1. 配置 MARS 的 Netflow 配置。选择 AdminNetflow Configuration,配置 Netflow 使用的 UDP 端口,并加入需要分析的 Netflow 报告的网络,不指定加入则分析所有网络。 (图 2.7)MARS 测试报告第 9 页共 42 页图 2.7 配置 MARS 的 Netfl

9、ow2. 配置网络设备的 Netflow。以 Cisco 2600 为例,需要作如下配置:ip flow-export version 5ip flow-export source FastEthernet 0/1interface FastEthernet0/1ip flow ingressip flow egress2.4 创建自定义规则除了 MARS 提供的安全规则以外,还可以通过自定义规则的方式增加客户化的安全规则,用于特定环境或特定要求之下的事件分析。自定义规则可以通过修改系统规则或增加规则的方式创建:MARS 测试报告第 10 页共 42 页1. 通过修改 system rule

10、生成。首先找到作为生成基础的 System rule,选上,然后按 Duplicate,然后对 rule 中的配置作相应的调整或增减。(图 2.8)图 2.8 修改 system rule 生成新规则2. 创建新规则。进入 RULE 页面,按 ADD 创建规则,进入规则命名页面(图 2.9) ,规则命名完之后,按 NEXT 到规则格式页面,根据MARS 提示,到达某一参数时,选择你需要的参数值填入参数框里(图 2.10) ,填完所有参数,到达确认框,按 YES 应用(图 2.11) 。MARS 测试报告第 11 页共 42 页图 2.9 增加新规则图 2.10 配置新规则参数图 2.11 确认

11、新规则3. 激活规则和去激活规则。规则建立后无法删除,当不需要使用某规则时,可以通过去激活实现。只要把 ACTIVE 规则勾上,按 change status 就可将规则处于非激活状态。 (图 2.12)图 2.12 规则的激活状态MARS 测试报告第 12 页共 42 页2.5 创建自定义报告MARS 除了提供大量预定制报表以外,还允许管理员自己定义报表,以下做 IPS 十大类型事件报告为例,介绍如何创建自定义报告。1. 点 QUERY/REPORTS 页面,在 QUERY 页面的 SELECT REPORT 对话框中选择 top event types。 (图 2.13)图 2.13 定制

12、报表2. 单击 DEVICE 选项框,选择此报表所包含的设备信息,如 IPS4240-TEST,按一下 ,再选择 ANY,按 REMOVE,全部设备选择完毕后 APPLY。 (图 2.14)图 2.14 输入报表条件:选择设备MARS 测试报告第 13 页共 42 页3. 选择收集汇总事件的时间段,然后按 APPLY。 (图 2.15)图 2.15 输入报表条件:选择时间段4. 回到主界面,选择 Submit。 (图 2.16) ,此时会出现两个选项SUBMIT INLINE,即在线生成报表,或者 SUBMIT BATCH,即生成报表,并保存成一个记录,方便查看。 (图 2.17)图 2.16

13、 提交报表MARS 测试报告第 14 页共 42 页图 2.17 报表方式选择5. 报表生成后,将出线在报表页面的 user report 中,MARS 将按配置生成报告。用户可以看到每一个报告的完成状态和完成时间,也可以随时指示 MARS 再次生成报告。当报告的 STATUS 到达 100%时,可以按 VIEW RESULTS 查看报告。 (图 2.18)图 2.18 报表状态MARS 测试报告第 15 页共 42 页3 MARS 管理3.1 拓朴结构 及设备查看MARS 通过对所有被管理安全设备的分析,可以生成完整的网络拓扑图。进入 Summary 页面,在 Hotspot Graph 面

14、板按 full topo graph 就可以看到整体的拓朴结构。 (图 3.1)图 3.1 整网拓扑图可以通过右键操作,放大和缩少这个拓扑图。上图中所画的云是被管理安全设备接口直连的网段。每个图标代表一种安全设备,以下是 MARS 的图标示例:Table 16-1 Icons and States in Topology Healthy Attacker Compromised (已经危及安全)Compromised and Attacking MARS 测试报告第 16 页共 42 页Clouds Firewall Reporting Host Host IDS Network Router

15、 Switch 通过点击相应的图标,可以查看对应设备的信息。 (图 3.2)图 3.2 设备信息MARS 测试报告第 17 页共 42 页设备信息能够提供设备型号,名称,软件版本,接口的 MAC 地址等信息。3.2 系统统计信息MARS 可以实时地显示系统的统计信息,如收到的安全事件数量,分别属于什么等级(高、中、低) ,收到的 session 数量,收到的 Netflow 事件数量,以及进行关联后,信息的压缩比率等。 (图 3.3)图 3.3 系统统计信息3.3 安全 事件 操作MARS 具有丰富详尽的安全事件查看功能,管理员能够通过 MARS 的界面即使地获得网络当前发生的事件。3.3.1

16、 查看 Incident在 summary 页面中,可以点击查看攻击事件的整个拓扑。 (图 3.4)MARS 测试报告第 18 页共 42 页图 3.4 攻击拓扑点击 Incidents 页面,该页面已列出近来发生 incident 清单。 (图 3.5)图 3.5 安全事件(Incident )清单选中相应的 Incident ID 之后,按 view,就可以查看事件详细信息,比如下图就是一个完整的蠕虫攻击的实例,可以看到一个安全事件是由分析多个攻击 session 而得出来的。 (图 3.6)MARS 测试报告第 19 页共 42 页MARS 测试报告第 20 页共 42 页图 3.6 蠕

17、虫攻击实例下图是一个 ICMP Flood 攻讦的部分内容示例。 (图 3.7)图 3.7 ICMP Flood 攻击事件信息片断3.3.2 攻击分析MARS 可以实现具体攻击的分析,通过对某个安全事件的查看,就能得到攻击的类型,源、目标和攻击跳板的信息。以下就是 MARS 生成的一个具体攻击的攻击拓扑图。 (图 3.8)MARS 测试报告第 21 页共 42 页图 3.8 攻击拓扑图及选中 session 信息上图列出了一个安全事件的攻击拓扑图,图中显示攻击源,攻击目标,攻击的 session 号,当选择某个 session 号时,会弹出小窗口,显示此 session 的详细信息。而下图(图

18、 3.9)则单独列出了 Nachi 蠕虫攻击的细节。图 3.9 蠕虫攻击细节MARS 测试报告第 22 页共 42 页3.3.3 攻击缓解MARS 有攻击缓解的功能,即针对某个攻击,它能够向管理员提出第三层的攻击缓解建议,让管理员手动实施;或者向管理员提出第二层的攻击缓解建议,并可以选择手动实施或自动实施。在详细攻击事件信息图中,选择 Collapse 选项,就可以看到攻击还击标志(红色) ,点击白色拓扑标志之后,就可查看到攻击事件路径图。 (图3.10)图 3.10 攻击事件路径图点击红色缓解标记之后,MARS 就会提出针对这个攻击的相应缓解建议。(图 3.11)MARS 测试报告第 23

19、页共 42 页图 3.11 攻击缓解建议第二层的缓解建议可以通过点击 Push 键应用到设备上。3.4 常用报表查看MARS 在 SUMMARY 中提供接近实时的事件信息(图 3.12) ,也提供一些预先定义好的常用的报表。图 3.12 Summary 界面系统默认提供的 SUMMARY REPORTS 可以在主页面激活成“my report”。当激活这些 report 后,在 my report 的页面就可以看到所有的激活了的报表。图13 显示所有被激活的 my report。MARS 测试报告第 24 页共 42 页MARS 测试报告第 25 页共 42 页图 3.13 My Report

20、 界面点其中一个 report 以后,可看到以下相对应的图表。 (图 14)图 3.14 My Report 中的一个报表在报表中的每一行后,都有一个 图标,点击这个 图标就可以进入相关参数的自定义报告,第二章已描述如何制作自定义报表。 (图 3.15)图 3.15 通过 My Report 制作自定义报表MARS 测试报告第 26 页共 42 页4 MARS 的报表功能MARS 具有强大的报表功能,能够帮助用户监视和分析网络、主机以及数据库的运行情况, 用户可以根据这些信息作出安全事件响应和系统调整。4.1 MARS 实用报表示例以下是在测试过程中生成的一些报表示例。4.1.1 自定报告清单

21、图 4.1 是自定义报告的清单,用户可以选中之后作各种操作,如:重新提交,查看结果,删除,编辑等等。MARS 测试报告第 27 页共 42 页图 4.1 自定义报表清单MARS 测试报告第 28 页共 42 页4.1.2 最多报告事件设备统计图 4.2 是按照报告事件数量的多少对所有的被管理设备进行排序。管理员通过这个报表可以了解在网络中的哪里产生最多的事件,那些设备报告的事件最多。图 4.2 最多报告事件设备统计4.1.3 最大命中规则统计图 4.3 是按命中的安全规则数进行排序的统计。管理员通过这个报表可以知道系统中发生最多的问题在哪里。MARS 测试报告第 29 页共 42 页图 4.3 最大命中规则统计MARS 测试报告第 30 页共 42 页4.1.4 DoS 事件报告图 4.4 显示 DoS 攻击的统计。通过这个报表,可以了解过去一段时间里,发生了何种 DoS 攻击,数量分别是多少。图 4.4 DoS 事件报告

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 大学课件

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报