CCSP自學指南：Cisco安全入侵檢測系統（CSIDS）

第1章　對網絡安全的需要　1
1.1　安全威脅　2
1.1.1　無組織的威脅　3
1.1.2　有組織的威脅　4
1.1.3　外部威脅　5
1.1.4　內部威脅　5
1.2　安全概念　6
1.3　攻擊的各個階段　6
1.3.1　設定攻擊目標　7
1.3.2　攻擊前的偵察　7
1.3.3　正式攻擊　9
1.4　攻擊方法　9
1.4.1　即興攻擊　10
1.4.2　系統性攻擊　10
1.4.3　外科手術式打擊　10
1.4.4　耐心 慢 攻擊　10
1.5　網絡攻擊點　10
1.5.1　網絡資源　10
1.5.2　網絡協議　12
1.6　黑客工具與技術　13
1.6.1　使用偵察工具　13
1.6.2　攻擊網絡中的薄弱點　14
1.6.3　實施拒絕服務攻擊技術　17
1.7　小結　20
1.8　復習題　21
第2章　網絡安全與Cisco　23
2.1　保護網絡安全　24
2.1.1　加強認證　25
2.1.2　建立安全邊界　27
2.1.3　通過虛擬專用網提供私密性　28
2.1.4　漏洞修補　30
2.2　監(jiān)控網絡安全　31
2.2.1　人工監(jiān)控　31
2.2.2　自動監(jiān)控　31
2.3　檢驗網絡安全　32
2.3.1　使用安全掃描器　32
2.3.2　進行專業(yè)安全評估　32
2.4　提升網絡安全　33
2.4.1　留意安全新聞　33
2.4.2　定期檢查配置文件　34
2.4.3　評估傳感器的放置　34
2.4.4　驗證安全配置　35
2.5　Cisco集成化語音. 視頻和數據 AVVID 體系結構　35
2.5.1　Cisco AVVID體系結構　36
2.5.2　Cisco AVVID的益處　37
2.6　Cisco SAFE　38
2.6.1　SAFE模塊化藍圖　38
2.6.2　SAFE的益處　39
2.7　小結　39
2.8　復習題　40
第3章　入侵檢測的概念　43
3.1　入侵檢測的定義　43
3.2　IDS警報術語　44
3.2.1　錯誤警報　44
3.2.2　正確警報　44
3.3　IDS觸發(fā)器　45
3.3.1　異常檢測　45
3.3.2　濫用檢測　48
3.3.3　協議分析　49
3.4　IDS監(jiān)控位置　50
3.4.1　基于主機的IDS　50
3.4.2　基于網絡的IDS　51
3.5　混合IDS　53
3.5.1　優(yōu)點　53
3.5.2　缺點　53
3.6　入侵檢測響應技術　53
3.6.1　TCP重置　54
3.6.2　IP攔阻　54
3.6.3　記錄　54
3.6.4　訪問限制　54
3.7　入侵檢測逃避技術　55
3.7.1　泛洪　55
3.7.2　分片　55
3.7.3　加密　56
3.7.4　迷惑　56
3.7.5　TTL操作　57
3.8　小結　58
3.9　復習題　59
第4章　Cisco入侵防護　63
4.1　Cisco入侵檢測系統 IDS 解決方案概述　64
4.1.1　入侵防護　64
4.1.2　積極防御　65
4.1.3　深入防御　68
4.2　Cisco IDS傳感器　68
4.2.1　網絡傳感器　69
4.2.2　交換機傳感器　69
4.2.3　路由器傳感器　70
4.2.4　防火墻傳感器　71
4.2.5　主機代理　71
4.3　Cisco威脅響應　72
4.4　Cisco傳感器管理　72
4.4.1　Cisco IDS設備管理器　73
4.4.2　Cisco IDS管理中心　73
4.5　Cisco警報監(jiān)控與報告　73
4.5.1　Cisco IDS事件查看器　74
4.5.2　Cisco IDS安全監(jiān)控器　74
4.6　部署Cisco IDS　74
4.6.1　傳感器的選擇　74
4.6.2　傳感器的布放　75
4.6.3　傳感器部署的考慮　77
4.6.4　傳感器部署的情形　79
4.7　小結　80
4.8　復習題　82
第5章　Cisco IDS體系結構　85
5.1　以前的軟件體系結構　85
5.2　Cisco IDS 4.0軟件體系結構　86
5.2.1　cidWebServer　87
5.2.2　mainApp　88
5.2.3　logApp　88
5.2.4　認證　88
5.2.5　網絡接入控制器 NAC 　89
5.2.6　ctlTransSource　89
5.2.7　sensorApp　89
5.2.8　事件存儲 Event Store 　89
5.2.9　cidCLI　90
5.3　Cisco IDS 4.0通信體系結構　90
5.3.1　通信概述　90
5.3.2　入侵檢測應用程序接口　90
5.3.3　遠程數據交換協議　90
5.4　用戶賬號和角色　92
5.4.1　管理員　93
5.4.2　操作員　93
5.4.3　查看者　93
5.4.4　服務　93
5.5　小結　93
5.6　復習題　95
第6章　捕獲網絡數據流量　97
6.1　數據流量捕獲設備　97
6.1.1　集線器　97
6.1.2　網絡分接頭　98
6.1.3　交換機　99
6.2　交換機端口分析　100
6.2.1　交換機端口分析 SPAN 端口術語　101
6.2.2　傳輸控制協議 TCP 重置限制　101
6.2.3　Catalyst 2900XL/3500XL交換機　102
6.2.4　Catalyst 4000和6500交換機　104
6.3　遠程交換機端口分析　105
6.4　虛擬局域網 Virtual Local-Area Network, VLAN 訪問控制列表　107
6.4.1　定義感興趣的數據流量 Interesting Traffic 　107
6.4.2　在CatOS上配置虛擬局域網訪問控制列表 VACL 　108
6.4.3　在Cisco互聯操作系統 IOS 防火墻下配置VACL　111
6.5　高級數據流量捕獲　113
6.6　小結　115
6.7　復習題　116
第7章　Cisco IDS網絡傳感器的安裝　119
7.1　IDS設備　120
7.1.1　設備型號　120
7.1.2　設備限制　123
7.1.3　硬件注意事項　124
7.2　IDS加速卡　126
7.3　IDS設備命令行接口　127
7.3.1　使用CLI　127
7.3.2　用戶角色　130
7.3.3　CLI命令模式　131
7.3.4　管理任務　135
7.3.5　配置任務　135
7.4　安裝IDS設備　135
7.4.1　從3.1版本升級到4.0版本　135
7.4.2　初始化配置任務　137
7.5　小結　142
7.6　復習題　143
第8章　Cisco IDS模塊配置　147
8.1　Cisco IDS模塊 IDSM 　147
8.1.1　第二代入侵檢測系統模塊 IDSM-2 技術指標　147
8.1.2　關鍵特性　148
8.1.3　IDSM同IDSM-2的比較　149
8.2　IDSM-2配置　149
8.2.1　IDSM-2初始化　150
8.2.2　IDSM-2端口　151
8.2.3　捕獲數據流量　152
8.2.4　IDSM-2數據流量流向　152
8.3　Catalyst 6500交換機配置　153
8.3.1　配置命令和控制端口　153
8.3.2　監(jiān)控數據流量　154
8.3.3　中繼配置任務　158
8.3.4　管理任務　158
8.4　故障排除　159
8.4.1　IDSM-2狀態(tài)發(fā)光二極管 LED 　159
8.4.2　Catalyst 6500命令　159
8.5　小結　161
8.6　復習題　162
第9章　Cisco IDS設備管理器與事件查看器　165
9.1　Cisco IDS設備管理器　165
9.1.1　系統要求　165
9.1.2　安裝Cisco IDS設備管理器　166
9.1.3　Cisco IDS設備管理器接口結構　166
9.1.4　訪問IDS設備管理器 IDM 　168
9.1.5　訪問在線IDM幫助　169
9.1.6　IDS設備管理器與Cookie　169
9.1.7　IDS設備管理器與證書　169
9.2　Cisco IDS事件查看器　171
9.2.1　系統要求　172
9.2.2　安裝Cisco IDS事件查看器　172
9.2.3　卸載Cisco IDS事件查看器　173
9.2.4　啟動Cisco IDS事件查看器　173
9.2.5　指定使用IDS設備監(jiān)控　173
9.2.6　配置過濾器　177
9.2.7　配置視圖　183
9.2.8　查看事件數據　187
9.2.9　使用警報　190
9.2.10　網絡安全數據庫 NSDB 　194
9.2.11　配置首選項　197
9.2.12　配置應用程序設置　199
9.2.13　數據庫管理　200
9.3　小結　202
9.4　復習題　203
第10章　傳感器配置　207
10.1　在IDS傳感器管理中心中添加傳感器 IDS MC 　208
10.1.1　傳感器組　208
10.1.2　獨立傳感器　209
10.2　配置網絡設置　210
10.3　配置允許主機　212
10.4　遠程訪問　213
10.5　安全Shell SSH 屬性　213
10.5.1　定義授權密鑰　214
10.5.2　生成新的主機密鑰　215
10.5.3　配置SSH已知主機密鑰　216
10.6　證書管理　218
10.6.1　信任主機證書　218
10.6.2　產生主機證書　219
10.6.3　查看服務器證書　220
10.7　配置時間　221
10.7.1　設置時間　221
10.7.2　配置時區(qū)　222
10.7.3　配置NTP服務器　222
10.7.4　配置夏令時　223
10.7.5　修正時間　224
10.8　添加用戶　224
10.9　管理任務　226
10.9.1　查看系統信息　226
10.9.2　查看診斷信息　227
10.9.3　重新啟動傳感器　228
10.10　小結　229
10.11　復習題　231
第11章　特征配置　233
11.1　全局探測配置　233
11.1.1　內部網絡　233
11.1.2　重組選項　237
11.2　IDM中的特征組　241
11.2.1　特征ID　242
11.2.2　特征引擎　243
11.2.3　攻擊類型　243
11.2.4　L2/L3/L4協議　244
11.2.5　操作系統　245
11.2.6　服務　246
11.3　IDS MC中的特征組　247
11.4　特征過濾　250
11.4.1　定義事件過濾器　250
11.4.2　過濾程序　251
11.4.3　使用IDM添加事件過濾器　251
11.4.4　使用IDS MC添加事件過濾器　253
11.5　特征配置　257
11.5.1　特征調整　257
11.5.2　自定義特征　257
11.5.3　調整特征　258
11.5.4　使用IDM調整特征6250　260
11.5.5　使用IDS MC調整特征6250　261
11.6　創(chuàng)建自定義特征　262
11.6.1　選擇特征引擎　263
11.6.2　驗證現有功能　264
11.6.3　定義特征參數　264
11.6.4　測試特征的有效性　265
11.6.5　自定義特征情形　265
11.7　小結　273
11.8　復習題　274
第12章　特征響應　277
12.1　特征響應概述　277
12.2　IP攔阻　277
12.2.1　IP攔阻定義　278
12.2.2　IP攔阻設備　278
12.2.3　攔阻指導方針　280
12.2.4　攔阻過程　282
12.3　ACL放置考慮　283
12.4　配置IP攔阻　286
12.4.1　指定攔阻行為　286
12.4.2　設置攔阻屬性　288
12.4.3　定義從不攔阻地址　290
12.4.4　安裝邏輯設備　292
12.4.5　定義攔阻設備　293
12.4.6　定義主攔阻傳感器　301
12.5　手動攔阻　302
12.5.1　攔阻主機　303
12.5.2　攔阻網絡　303
12.6　IP記錄　304
12.6.1　IDM中的IP記錄參數　304
12.6.2　IDS MC中的IP記錄參數　305
12.6.3　手動IP記錄　306
12.7　TCP重置　307
12.8　小結　307
12.9　復習題　309
第13章　Cisco IDS警報與特征　311
13.1　Cisco IDS特征　311
13.1.1　警報扼殺模式　311
13.1.2　Summary模式升級　313
13.1.3　正則表達式字符串匹配　314
13.2　Cisco IDS警報　315
13.2.1　嚴重級別　315
13.2.2　傳感器狀態(tài)警報　315
13.3　Cisco IDS特征引擎　316
13.3.1　特征參數　316
13.3.2　Atomic特征引擎　318
13.3.3　Flood特征引擎　323
13.3.4　OTHER特征引擎　325
13.3.5　Service特征引擎　326
13.3.6　State特征引擎　336
13.3.7　String特征引擎　337
13.3.8　Sweep特征引擎　338
13.3.9　Traffic特征引擎　342
13.3.10　Trojan特征引擎　343
13.4　小結　343
13.5　復習題　345
第14章　主機入侵防護　349
14.1　端點防護　349
14.1.1　零日防護　349
14.1.2　數據防護　350
14.1.3　服務器和臺式機維護　350
14.2　Cisco安全代理 CSA 　350
14.2.1　攻擊保護　350
14.2.2　部署概述　351
14.2.3　Cisco安全代理管理中心　352
14.3　使用Cisco安全代理的管理中心　353
14.3.1　定義安全策略　353
14.3.2　基于角色的管理　353
14.3.3　部署CSA策略　354
14.4　監(jiān)控CSA事件　355
14.4.1　狀態(tài)總結　356
14.4.2　事件日志　356
14.4.3　根據事件屬性過濾　358
14.4.4　定義過濾器　358
14.4.5　事件日志管理　359
14.4.6　事件監(jiān)控器　361
14.4.7　事件集　361
14.4.8　警報　363
14.5　配置組與管理主機　364
14.5.1　配置組　365
14.5.2　主機　368
14.6　CSA策略　369
14.6.1　CSA策略組件　370
14.6.2　配置策略　372
14.6.3　理解規(guī)則　375
14.6.4　使用配置變量　376
14.6.5　配置應用程序類　378
14.6.6　全局事件關聯　380
14.7　代理工具　380
14.7.1　創(chuàng)建代理工具　380
14.7.2　控制代理注冊　382
14.8　發(fā)布軟件更新　383
14.8.1　可用軟件更新　383
14.8.2　定期軟件更新　383
14.9　報告　384
14.10　Profiler工具　384
14.11　小結　385
14.12　復習題　387
第15章　Cisco IDS維護與故障排除　389
15.1　軟件更新　389
15.1.1　IDS軟件的文件格式　390
15.1.2　軟件更新向導　391
15.2　升級傳感器軟件　392
15.2.1　通過CLI的軟件安裝　392
15.2.2　使用IDS設備管理器 IDM 的軟件安裝　393
15.2.3　使用IDS MC安裝軟件　395
15.2.4　降級鏡像　397
15.3　鏡像恢復　397
15.4　基本故障排除　398
15.4.1　show version　398
15.4.2　show interfaces　399
15.4.3　show interfaces command-control　400
15.4.4　show interfaces sensing　401
15.4.5　show interfaces group　401
15.4.6　show tech-support　402
15.4.7　show statistics　403
15.4.8　show events　404
15.5　小結　405
15.6　復習題　406
第16章　企業(yè)級IDS管理　409
16.1　CiscoWorks　410
16.1.1　登錄過程　410
16.1.2　授權角色　411
16.1.3　添加用戶　411
16.2　IDS傳感器管理中心 IDS MC 　412
16.2.1　體系結構概述　413
16.2.2　Windows上的安裝　415
16.2.3　Solaris上的安裝　417
16.2.4　客戶端要求　418
16.2.5　啟動IDS MC　418
16.2.6　IDS MC界面　419
16.2.7　在IDS MC中訪問在線幫助　421
16.3　IDS配置文件的部署　422
16.3.1　配置與生成　423
16.3.2　配置和批準　424
16.3.3　部署　424
16.4　小結　427
16.5　復習題　428
第17章　企業(yè)級IDS監(jiān)控和報告　431
17.1　安全監(jiān)控中心　431
17.1.1　服務器要求　432
17.1.2　客戶端要求　432
17.1.3　用戶界面　433
17.2　安全監(jiān)控器配置　435
17.2.1　添加設備　435
17.2.2　導入設備　440
17.2.3　事件通知　442
17.2.4　監(jiān)控設備　446
17.3　安全監(jiān)控器的事件查看器　450
17.3.1　移動列　450
17.3.2　刪除列或行　450
17.3.3　折疊列　451
17.3.4　設置事件展開區(qū)間　453
17.3.5　展開列　453
17.3.6　掛起和恢復處理新事件　454
17.3.7　改變顯示首選項　455
17.3.8　創(chuàng)建圖表　458
17.3.9　顯示　459
17.4　安全監(jiān)控器管理　461
17.4.1　數據庫維護　461
17.4.2　系統配置的設置　463
17.4.3　定義事件查看器的首選項　463
17.5　安全監(jiān)控器報告　464
17.5.1　定義報告　465
17.5.2　計劃報告　466
17.5.3　查看報告　466
17.6　小結　468
17.7　復習題　469
第18章　Cisco威脅響應　473
18.1　概要　473
18.1.1　優(yōu)點　473
18.1.2　術語和定義　475
18.1.3　調查等級　475
18.1.4　預定義策略類型　476
18.2　Cisco威脅響應 CTR 的配置要求　477
18.2.1　系統要求　477
18.2.2　IDS要求　478
18.2.3　防火墻設置　478
18.2.4　遷移到CiscoWorks VPN/安全管理解決方案　478
18.3　軟件安裝　478
18.3.1　訪問CTR圖形界面接口 GUI 　479
18.3.2　快速啟動　480
18.3.3　使用Cisco威脅響應　481
18.4　基本設置　484
18.4.1　定義警報源　484
18.4.2　配置安全區(qū)域　487
18.4.3　定義受保護系統　490
18.5　高級設置　494
18.6　警報和報告　494
18.6.1　顯示警報　494
18.6.2　過濾警報　498
18.6.3　生成報告　499
18.7　維護　501
18.7.1　自動更新　501
18.7.2　用戶　503
18.8　小結　504
18.9　復習題　505
第19章　Cisco入侵防護系統預計功能　509
19.1　Cisco入侵防護系統概述　509
19.1.1　威脅檢測的精確性　509
19.1.2　威脅調查的智能性　510
19.1.3　管理的簡便性　510
19.1.4　部署選項的靈活性　510
19.2　新的硬件平臺　510
19.2.1　4215工具傳感器　511
19.2.2　路由器網絡模塊　511
19.3　新的軟件功能　512
19.3.1　支持多接口　512
19.3.2　捕獲數據包　512
19.4　內嵌的 In-Line IDS處理　513
19.5　新的特征　513
19.5.1　S44特征更新　513
19.5.2　S46特征更新　514
19.6　管理　514
19.7　主機入侵防護 HIP 　515
19.8　小結　515
附錄A　Cisco入侵防護解決方案調整：案例研究　519
附錄B　復習題答案　535
術語表　551