CCSP自学指南：Cisco安全入侵检测系统（CSIDS）

第1章　对网络安全的需要　1
1.1　安全威胁　2
1.1.1　无组织的威胁　3
1.1.2　有组织的威胁　4
1.1.3　外部威胁　5
1.1.4　内部威胁　5
1.2　安全概念　6
1.3　攻击的各个阶段　6
1.3.1　设定攻击目标　7
1.3.2　攻击前的侦察　7
1.3.3　正式攻击　9
1.4　攻击方法　9
1.4.1　即兴攻击　10
1.4.2　系统性攻击　10
1.4.3　外科手术式打击　10
1.4.4　耐心 慢 攻击　10
1.5　网络攻击点　10
1.5.1　网络资源　10
1.5.2　网络协议　12
1.6　黑客工具与技术　13
1.6.1　使用侦察工具　13
1.6.2　攻击网络中的薄弱点　14
1.6.3　实施拒绝服务攻击技术　17
1.7　小结　20
1.8　复习题　21
第2章　网络安全与Cisco　23
2.1　保护网络安全　24
2.1.1　加强认证　25
2.1.2　建立安全边界　27
2.1.3　通过虚拟专用网提供私密性　28
2.1.4　漏洞修补　30
2.2　监控网络安全　31
2.2.1　人工监控　31
2.2.2　自动监控　31
2.3　检验网络安全　32
2.3.1　使用安全扫描器　32
2.3.2　进行专业安全评估　32
2.4　提升网络安全　33
2.4.1　留意安全新闻　33
2.4.2　定期检查配置文件　34
2.4.3　评估传感器的放置　34
2.4.4　验证安全配置　35
2.5　Cisco集成化语音. 视频和数据 AVVID 体系结构　35
2.5.1　Cisco AVVID体系结构　36
2.5.2　Cisco AVVID的益处　37
2.6　Cisco SAFE　38
2.6.1　SAFE模块化蓝图　38
2.6.2　SAFE的益处　39
2.7　小结　39
2.8　复习题　40
第3章　入侵检测的概念　43
3.1　入侵检测的定义　43
3.2　IDS警报术语　44
3.2.1　错误警报　44
3.2.2　正确警报　44
3.3　IDS触发器　45
3.3.1　异常检测　45
3.3.2　滥用检测　48
3.3.3　协议分析　49
3.4　IDS监控位置　50
3.4.1　基于主机的IDS　50
3.4.2　基于网络的IDS　51
3.5　混合IDS　53
3.5.1　优点　53
3.5.2　缺点　53
3.6　入侵检测响应技术　53
3.6.1　TCP重置　54
3.6.2　IP拦阻　54
3.6.3　记录　54
3.6.4　访问限制　54
3.7　入侵检测逃避技术　55
3.7.1　泛洪　55
3.7.2　分片　55
3.7.3　加密　56
3.7.4　迷惑　56
3.7.5　TTL操作　57
3.8　小结　58
3.9　复习题　59
第4章　Cisco入侵防护　63
4.1　Cisco入侵检测系统 IDS 解决方案概述　64
4.1.1　入侵防护　64
4.1.2　积极防御　65
4.1.3　深入防御　68
4.2　Cisco IDS传感器　68
4.2.1　网络传感器　69
4.2.2　交换机传感器　69
4.2.3　路由器传感器　70
4.2.4　防火墙传感器　71
4.2.5　主机代理　71
4.3　Cisco威胁响应　72
4.4　Cisco传感器管理　72
4.4.1　Cisco IDS设备管理器　73
4.4.2　Cisco IDS管理中心　73
4.5　Cisco警报监控与报告　73
4.5.1　Cisco IDS事件查看器　74
4.5.2　Cisco IDS安全监控器　74
4.6　部署Cisco IDS　74
4.6.1　传感器的选择　74
4.6.2　传感器的布放　75
4.6.3　传感器部署的考虑　77
4.6.4　传感器部署的情形　79
4.7　小结　80
4.8　复习题　82
第5章　Cisco IDS体系结构　85
5.1　以前的软件体系结构　85
5.2　Cisco IDS 4.0软件体系结构　86
5.2.1　cidWebServer　87
5.2.2　mainApp　88
5.2.3　logApp　88
5.2.4　认证　88
5.2.5　网络接入控制器 NAC 　89
5.2.6　ctlTransSource　89
5.2.7　sensorApp　89
5.2.8　事件存储 Event Store 　89
5.2.9　cidCLI　90
5.3　Cisco IDS 4.0通信体系结构　90
5.3.1　通信概述　90
5.3.2　入侵检测应用程序接口　90
5.3.3　远程数据交换协议　90
5.4　用户账号和角色　92
5.4.1　管理员　93
5.4.2　操作员　93
5.4.3　查看者　93
5.4.4　服务　93
5.5　小结　93
5.6　复习题　95
第6章　捕获网络数据流量　97
6.1　数据流量捕获设备　97
6.1.1　集线器　97
6.1.2　网络分接头　98
6.1.3　交换机　99
6.2　交换机端口分析　100
6.2.1　交换机端口分析 SPAN 端口术语　101
6.2.2　传输控制协议 TCP 重置限制　101
6.2.3　Catalyst 2900XL/3500XL交换机　102
6.2.4　Catalyst 4000和6500交换机　104
6.3　远程交换机端口分析　105
6.4　虚拟局域网 Virtual Local-Area Network, VLAN 访问控制列表　107
6.4.1　定义感兴趣的数据流量 Interesting Traffic 　107
6.4.2　在CatOS上配置虚拟局域网访问控制列表 VACL 　108
6.4.3　在Cisco互联操作系统 IOS 防火墙下配置VACL　111
6.5　高级数据流量捕获　113
6.6　小结　115
6.7　复习题　116
第7章　Cisco IDS网络传感器的安装　119
7.1　IDS设备　120
7.1.1　设备型号　120
7.1.2　设备限制　123
7.1.3　硬件注意事项　124
7.2　IDS加速卡　126
7.3　IDS设备命令行接口　127
7.3.1　使用CLI　127
7.3.2　用户角色　130
7.3.3　CLI命令模式　131
7.3.4　管理任务　135
7.3.5　配置任务　135
7.4　安装IDS设备　135
7.4.1　从3.1版本升级到4.0版本　135
7.4.2　初始化配置任务　137
7.5　小结　142
7.6　复习题　143
第8章　Cisco IDS模块配置　147
8.1　Cisco IDS模块 IDSM 　147
8.1.1　第二代入侵检测系统模块 IDSM-2 技术指标　147
8.1.2　关键特性　148
8.1.3　IDSM同IDSM-2的比较　149
8.2　IDSM-2配置　149
8.2.1　IDSM-2初始化　150
8.2.2　IDSM-2端口　151
8.2.3　捕获数据流量　152
8.2.4　IDSM-2数据流量流向　152
8.3　Catalyst 6500交换机配置　153
8.3.1　配置命令和控制端口　153
8.3.2　监控数据流量　154
8.3.3　中继配置任务　158
8.3.4　管理任务　158
8.4　故障排除　159
8.4.1　IDSM-2状态发光二极管 LED 　159
8.4.2　Catalyst 6500命令　159
8.5　小结　161
8.6　复习题　162
第9章　Cisco IDS设备管理器与事件查看器　165
9.1　Cisco IDS设备管理器　165
9.1.1　系统要求　165
9.1.2　安装Cisco IDS设备管理器　166
9.1.3　Cisco IDS设备管理器接口结构　166
9.1.4　访问IDS设备管理器 IDM 　168
9.1.5　访问在线IDM帮助　169
9.1.6　IDS设备管理器与Cookie　169
9.1.7　IDS设备管理器与证书　169
9.2　Cisco IDS事件查看器　171
9.2.1　系统要求　172
9.2.2　安装Cisco IDS事件查看器　172
9.2.3　卸载Cisco IDS事件查看器　173
9.2.4　启动Cisco IDS事件查看器　173
9.2.5　指定使用IDS设备监控　173
9.2.6　配置过滤器　177
9.2.7　配置视图　183
9.2.8　查看事件数据　187
9.2.9　使用警报　190
9.2.10　网络安全数据库 NSDB 　194
9.2.11　配置首选项　197
9.2.12　配置应用程序设置　199
9.2.13　数据库管理　200
9.3　小结　202
9.4　复习题　203
第10章　传感器配置　207
10.1　在IDS传感器管理中心中添加传感器 IDS MC 　208
10.1.1　传感器组　208
10.1.2　独立传感器　209
10.2　配置网络设置　210
10.3　配置允许主机　212
10.4　远程访问　213
10.5　安全Shell SSH 属性　213
10.5.1　定义授权密钥　214
10.5.2　生成新的主机密钥　215
10.5.3　配置SSH已知主机密钥　216
10.6　证书管理　218
10.6.1　信任主机证书　218
10.6.2　产生主机证书　219
10.6.3　查看服务器证书　220
10.7　配置时间　221
10.7.1　设置时间　221
10.7.2　配置时区　222
10.7.3　配置NTP服务器　222
10.7.4　配置夏令时　223
10.7.5　修正时间　224
10.8　添加用户　224
10.9　管理任务　226
10.9.1　查看系统信息　226
10.9.2　查看诊断信息　227
10.9.3　重新启动传感器　228
10.10　小结　229
10.11　复习题　231
第11章　特征配置　233
11.1　全局探测配置　233
11.1.1　内部网络　233
11.1.2　重组选项　237
11.2　IDM中的特征组　241
11.2.1　特征ID　242
11.2.2　特征引擎　243
11.2.3　攻击类型　243
11.2.4　L2/L3/L4协议　244
11.2.5　操作系统　245
11.2.6　服务　246
11.3　IDS MC中的特征组　247
11.4　特征过滤　250
11.4.1　定义事件过滤器　250
11.4.2　过滤程序　251
11.4.3　使用IDM添加事件过滤器　251
11.4.4　使用IDS MC添加事件过滤器　253
11.5　特征配置　257
11.5.1　特征调整　257
11.5.2　自定义特征　257
11.5.3　调整特征　258
11.5.4　使用IDM调整特征6250　260
11.5.5　使用IDS MC调整特征6250　261
11.6　创建自定义特征　262
11.6.1　选择特征引擎　263
11.6.2　验证现有功能　264
11.6.3　定义特征参数　264
11.6.4　测试特征的有效性　265
11.6.5　自定义特征情形　265
11.7　小结　273
11.8　复习题　274
第12章　特征响应　277
12.1　特征响应概述　277
12.2　IP拦阻　277
12.2.1　IP拦阻定义　278
12.2.2　IP拦阻设备　278
12.2.3　拦阻指导方针　280
12.2.4　拦阻过程　282
12.3　ACL放置考虑　283
12.4　配置IP拦阻　286
12.4.1　指定拦阻行为　286
12.4.2　设置拦阻属性　288
12.4.3　定义从不拦阻地址　290
12.4.4　安装逻辑设备　292
12.4.5　定义拦阻设备　293
12.4.6　定义主拦阻传感器　301
12.5　手动拦阻　302
12.5.1　拦阻主机　303
12.5.2　拦阻网络　303
12.6　IP记录　304
12.6.1　IDM中的IP记录参数　304
12.6.2　IDS MC中的IP记录参数　305
12.6.3　手动IP记录　306
12.7　TCP重置　307
12.8　小结　307
12.9　复习题　309
第13章　Cisco IDS警报与特征　311
13.1　Cisco IDS特征　311
13.1.1　警报扼杀模式　311
13.1.2　Summary模式升级　313
13.1.3　正则表达式字符串匹配　314
13.2　Cisco IDS警报　315
13.2.1　严重级别　315
13.2.2　传感器状态警报　315
13.3　Cisco IDS特征引擎　316
13.3.1　特征参数　316
13.3.2　Atomic特征引擎　318
13.3.3　Flood特征引擎　323
13.3.4　OTHER特征引擎　325
13.3.5　Service特征引擎　326
13.3.6　State特征引擎　336
13.3.7　String特征引擎　337
13.3.8　Sweep特征引擎　338
13.3.9　Traffic特征引擎　342
13.3.10　Trojan特征引擎　343
13.4　小结　343
13.5　复习题　345
第14章　主机入侵防护　349
14.1　端点防护　349
14.1.1　零日防护　349
14.1.2　数据防护　350
14.1.3　服务器和台式机维护　350
14.2　Cisco安全代理 CSA 　350
14.2.1　攻击保护　350
14.2.2　部署概述　351
14.2.3　Cisco安全代理管理中心　352
14.3　使用Cisco安全代理的管理中心　353
14.3.1　定义安全策略　353
14.3.2　基于角色的管理　353
14.3.3　部署CSA策略　354
14.4　监控CSA事件　355
14.4.1　状态总结　356
14.4.2　事件日志　356
14.4.3　根据事件属性过滤　358
14.4.4　定义过滤器　358
14.4.5　事件日志管理　359
14.4.6　事件监控器　361
14.4.7　事件集　361
14.4.8　警报　363
14.5　配置组与管理主机　364
14.5.1　配置组　365
14.5.2　主机　368
14.6　CSA策略　369
14.6.1　CSA策略组件　370
14.6.2　配置策略　372
14.6.3　理解规则　375
14.6.4　使用配置变量　376
14.6.5　配置应用程序类　378
14.6.6　全局事件关联　380
14.7　代理工具　380
14.7.1　创建代理工具　380
14.7.2　控制代理注册　382
14.8　发布软件更新　383
14.8.1　可用软件更新　383
14.8.2　定期软件更新　383
14.9　报告　384
14.10　Profiler工具　384
14.11　小结　385
14.12　复习题　387
第15章　Cisco IDS维护与故障排除　389
15.1　软件更新　389
15.1.1　IDS软件的文件格式　390
15.1.2　软件更新向导　391
15.2　升级传感器软件　392
15.2.1　通过CLI的软件安装　392
15.2.2　使用IDS设备管理器 IDM 的软件安装　393
15.2.3　使用IDS MC安装软件　395
15.2.4　降级镜像　397
15.3　镜像恢复　397
15.4　基本故障排除　398
15.4.1　show version　398
15.4.2　show interfaces　399
15.4.3　show interfaces command-control　400
15.4.4　show interfaces sensing　401
15.4.5　show interfaces group　401
15.4.6　show tech-support　402
15.4.7　show statistics　403
15.4.8　show events　404
15.5　小结　405
15.6　复习题　406
第16章　企业级IDS管理　409
16.1　CiscoWorks　410
16.1.1　登录过程　410
16.1.2　授权角色　411
16.1.3　添加用户　411
16.2　IDS传感器管理中心 IDS MC 　412
16.2.1　体系结构概述　413
16.2.2　Windows上的安装　415
16.2.3　Solaris上的安装　417
16.2.4　客户端要求　418
16.2.5　启动IDS MC　418
16.2.6　IDS MC界面　419
16.2.7　在IDS MC中访问在线帮助　421
16.3　IDS配置文件的部署　422
16.3.1　配置与生成　423
16.3.2　配置和批准　424
16.3.3　部署　424
16.4　小结　427
16.5　复习题　428
第17章　企业级IDS监控和报告　431
17.1　安全监控中心　431
17.1.1　服务器要求　432
17.1.2　客户端要求　432
17.1.3　用户界面　433
17.2　安全监控器配置　435
17.2.1　添加设备　435
17.2.2　导入设备　440
17.2.3　事件通知　442
17.2.4　监控设备　446
17.3　安全监控器的事件查看器　450
17.3.1　移动列　450
17.3.2　删除列或行　450
17.3.3　折叠列　451
17.3.4　设置事件展开区间　453
17.3.5　展开列　453
17.3.6　挂起和恢复处理新事件　454
17.3.7　改变显示首选项　455
17.3.8　创建图表　458
17.3.9　显示　459
17.4　安全监控器管理　461
17.4.1　数据库维护　461
17.4.2　系统配置的设置　463
17.4.3　定义事件查看器的首选项　463
17.5　安全监控器报告　464
17.5.1　定义报告　465
17.5.2　计划报告　466
17.5.3　查看报告　466
17.6　小结　468
17.7　复习题　469
第18章　Cisco威胁响应　473
18.1　概要　473
18.1.1　优点　473
18.1.2　术语和定义　475
18.1.3　调查等级　475
18.1.4　预定义策略类型　476
18.2　Cisco威胁响应 CTR 的配置要求　477
18.2.1　系统要求　477
18.2.2　IDS要求　478
18.2.3　防火墙设置　478
18.2.4　迁移到CiscoWorks VPN/安全管理解决方案　478
18.3　软件安装　478
18.3.1　访问CTR图形界面接口 GUI 　479
18.3.2　快速启动　480
18.3.3　使用Cisco威胁响应　481
18.4　基本设置　484
18.4.1　定义警报源　484
18.4.2　配置安全区域　487
18.4.3　定义受保护系统　490
18.5　高级设置　494
18.6　警报和报告　494
18.6.1　显示警报　494
18.6.2　过滤警报　498
18.6.3　生成报告　499
18.7　维护　501
18.7.1　自动更新　501
18.7.2　用户　503
18.8　小结　504
18.9　复习题　505
第19章　Cisco入侵防护系统预计功能　509
19.1　Cisco入侵防护系统概述　509
19.1.1　威胁检测的精确性　509
19.1.2　威胁调查的智能性　510
19.1.3　管理的简便性　510
19.1.4　部署选项的灵活性　510
19.2　新的硬件平台　510
19.2.1　4215工具传感器　511
19.2.2　路由器网络模块　511
19.3　新的软件功能　512
19.3.1　支持多接口　512
19.3.2　捕获数据包　512
19.4　内嵌的 In-Line IDS处理　513
19.5　新的特征　513
19.5.1　S44特征更新　513
19.5.2　S46特征更新　514
19.6　管理　514
19.7　主机入侵防护 HIP 　515
19.8　小结　515
附录A　Cisco入侵防护解决方案调整：案例研究　519
附录B　复习题答案　535
术语表　551