Cisco 安全入侵检测系统

第一部分 网络安全介绍
第1章 对网络安全的需要 
1.1 安全威胁 
1.1.1 无组织的威胁 
1.1.2有组织的威胁 
1.1.3 外部威胁 
1.1.4 内部威胁 
1.2 安全概念 
1.3 攻击的各个阶段 
1.3.1 设定攻击目标 
1.3.2 攻击前的侦察 
1.3.3 正式攻击 
1.4 攻击方法 
1.4.1 即兴(随机)攻击 
1.4.2 系统性攻击 
1.4.3 外科手术式打击(闪电攻击) 
1.4.4 耐心(慢)攻击 
1.5 网络攻击点 
1.5.1 网络资源 
1.5.2 网络协议 
1.6 黑客工具与技术 
1.6.1 使用侦察工具 
1.6.2 攻击网络中的薄弱点 
1.6.3 实施拒绝服务攻击技术 
1.6.4 小结 
1.7 复习题 
第2章 Cisco安全轮图 
2.1 保护网络安全 
2.1.1 加强认证 
2.1.2 建立安全边界 
2.1.3 通过虚拟专用网络提供私密性 
2.1.4 漏洞修补 
2.2 监视网络安全 
2.2.1 人工监视 
2.2.2 自动监视 
2.3 检验网络安全 
2.3.1 使用安全扫描器 
2.3.2 进行专业安全评估 
2.4 提升网络安全 
2.4.1 留意安全新闻 
2.4.2 定期检查配置文件 
2.4.3 评估安全探测器的置放 
2.4.4 核验安全配置 
2.5 小结 
2.6 复习题 
第二部分 入侵检测与CSIDS环境
第3章 入侵检测系统 
3.1 IDS触发器 
3.1.1 异常检测 
3.1.2 滥用检测 
3.2 IDS监测位置 
3.2.1 基于主机的IDS 
3.2.2 基于网络的IDS 
3.3 混合特性 
3.4 小结 
3.5 复习题 
第4章 Cisco安全IDS概述 
4.1 系统功能和特性 
4.2 探测器平台和模块 
4.2.10系列探测器 
4.2.2 Catalyst 6000系列交换器的IDS模块 
4.3 控制器平台 
4.3.1 控制器平台特性 
4.3.2 作为控制器平台的Cisco安全策略管理器 
4.3.3 Cisco安全入侵检测控制器 
4.3.4 控制器平台特性比较 
4.4 Cisco Secure IDS和邮局(PostOffice)协议 
4.4.1 PostOffice协议 
4.4.2 PostOffice特性 
4.4.3 PostOffice标识符 
4.4.4 PostOffice寻址方案 
4.5 小结 
4.6 复习题 
第三部分 CSIDS安装
第5章 Cisco安全IDS探测器部署
5.1 部署准备：分析网络拓扑结构 
5.1.1 网络入口点 
5.1.2 关键网络组件 
5.1.3 远程网络 
5.1.4 网络大小和复杂度 
5.1.5 考虑安全策略限制 
5.2 进行部署：探测器安装考虑 
5.2.1 基于网络功能的探测器布放 
5.2.2 安装配置 
5.3 小结
5.4 复习题
第6章 Cisco安全策略管理器的安装 
6.1 CSPM概述 
6.1.1 软件特性集 
6.1.2 部署配置 
6.2 CSPM安装要求 
6.2.1 软件要求 
6.2.2 硬件要求 
6.2.3 许可证选项 
6.3 CSPM安装设置及选项 
6.3.1 完成Cisco安全通信部署工作单
6.3.2 搭建一台Windows NT 4.0主机
6.3.3 定义安装设置
6.3.4 验证安装设置 
6.3.5 任选的TechSmith屏幕捕捉器编解码器安装 
6.3.6 PostOffice安装 
6.3.7 完成安装程序 
6.4 启动CSPM 
6.4.1 CSPM登录 
6.4.2 入门视频资料 
6.5 小结
6.6 复习题
第7章 在CSPM内安装4200系列探测器
7.1 了解探测器设备
7.1.1 IDS-4230 
7.1.2 IDS-4210 
7.1.3 管理访问 
7.1.4 登录帐号 
7.2 配置探测器的引导程序 
7.2.1 sysconfig-sensor 
7.2.2 退出sysconfig-sensor 
7.3 向CSPM控制器中添加一个探测器 
7.3.1 启动增加探测器向导 
7.3.2 输入探测器的PostOffice标识参数 
7.3.3 输入探测器对象的缺省网关 
7.3.4 选择探测器版本和特征模板 
7.3.5 检验探测器的设置 
7.3.6 将CSPM主机加入拓扑图 
7.3.7 选择策略分发点 
7.3.8 保存并更新设置 
7.3.9 将配置文件推入探测器中 
7.3.10 错误检查 
7.4 小结 
7.5 复习题 
第四部分 报警管理和入侵检测特征
第8章 处理CSPM中的Cisco安全IDS警报 
8.1 管理警报 
8.1.1 打开事件查看器 
8.1.2 警报域 
8.1.3 主机名解析 
8.1.4 查看上下文缓存 
8.1.5 打开NSDB 
8.1.6 理解漏洞特征信息 
8.1.7 理解相关的弱点信息 
8.1.8 删除警报 
8.1.9 挂起和恢复警报显示 
8.2 客户化事件查看器 
8.2.1 展开选中警报条目的一栏 
8.2.2 展开选中警报条目的所有栏目 
8.2.3 收缩选中警报条目的一栏 
8.2.4 收缩当前选中的栏目 
8.2.5 改变警报扩展边界 
8.2.6 移动栏目 
8.2.7 删除栏目 
8.2.8 选择需显示的栏目 
8.3 优选设置 
8.3.1 操作 
8.3.2 单元 
8.3.3 状态事件 
8.3.4 边界 
8.3.5 事件严重程度指示器 
8.3.6 严重程度映射 
8.4 连接状态窗格 
8.4.1 连接状态 
8.4.2 服务状态 
8.4.3 服务版本 
8.4.4 统计 
8.4.5 统计复位 
8.5 小结 
8.6 复习题 
第9章 理解Cisco安全IDS 特征 
9.1 特征定义 
9.1.1 特征实施 
9.1.2 特征结构 
9.2 特征类 
9.2.1 侦察特征 
9.2.2 信息特征 
9.2.3 访问特征 
9.2.4 拒绝服务特征 
9.3 特征种类 
9.3.1 通用
9.3.2 连接
9.3.3 字符串
9.3.4 访问控制列表 
9.4 特征紧急度 
9.4.1 低紧急度(警报级别1－2) 
9.4.2 中紧急度(警报级别3－4) 
9.4.3 高紧急度(警报级别5) 
9.5 小结 
9.6 复习题 
第10章 特征序列 
10.1 IP特征(1000系列) 
10.1.1 IP选项 
10.1.2 IP碎片
10.1.3 坏IP包 
10.2 ICMP特征(2000系列) 
10.2.1 ICMP查询消息 
10.2.2 ICMP错误消息 
10.2.3 Ping扫描
10.2.4 ICMP攻击
10.3 TCP特征(3000系列)
10.3.1 TCP数据流记录(特征3000) 
10.3.2 TCP端口扫描 
10.3.3 TCP主机扫描
10.3.4 异常TCP包
10.3.5 邮件攻击 
10.3.6 FTP攻击 
10.3.7 传统Cisco Secure IDS Web攻击
10.3.8 NetBIOS攻击 
10.3.9 SYN Flood和TCP劫持攻击 
10.3.10 TCP应用漏洞 
10.4 UDP特征(4000系列) 
10.4.1 UDP数据流记录(特征4000) 
10.4.2 UDP端口扫描 
10.4.3 UDP攻击 
10.4.4 UDP应用 
10.5 Web/HTTP特征(5000系列) 
10.6 交叉协议特征(6000系列) 
10.6.1 SATAN攻击 
10.6.2 DNS攻击 
10.6.3 RPC服务攻击 
10.6.4 Ident攻击 
10.6.5 认证失败 
10.6.6 Loki攻击
10.6.7 分布式拒绝服务攻击 
10.7 串匹配特征(8000系列) 
10.7.1 客户字符串匹配 
10.7.2 TCP应用 
10.8 违反策略特征(10000系列) 
10.9 小结 
10.10 复习题 
第五部分 CSIDS配置
第11章 CSPM内的探测器配置 
11.1 CSPM探测器配置屏幕 
11.1.1 属性配置屏幕 
11.1.20系列探测配置屏幕 
11.1.3 IDSM探测配置屏幕 
11.1.4 拦阻配置屏幕
11.1.5 过滤配置屏幕
11.1.6 日志配置屏幕 
11.1.7 高级配置屏幕 
11.1.8 命令屏幕 
11.1.9 控制屏幕 
11.1.10 策略分发点 
11.2 修改基本配置 
11.2.1 标识参数
11.2.2 内部网络
11.2.3 包捕捉设备
11.3 日志文件配置
11.3.1 让探测器产生日志文件
11.3.2 配置日志文件自动发送
11.4 修改高级配置
11.4.1 IP分片重组
11.4.2 理解TCP会话重组 
11.4.3 配置TCP会话重组 
11.4.4 附加目的地 
11.5 为探测器载入新配置 
11.5.1 存储和更新CSPM配置 
11.5.2 更新探测器配置 
11.5.3 检查探测器配置更新 
11.6 小结 
11.7 复习题 
第12章 特征和入侵检测配置
12.1 基本特征配置
12.1.1 通用栏
12.1.2 特征栏
12.1.3 查看特征设置
12.1.4 连接特征类型和端口配置
12.1.5 字符串特征配置 
12.2 特征模板 
12.2.1 什么是特征模板 
12.2.2 产生新特征模板 
12.2.3 指定探测器使用的特征模板
12.2.4 对探测器应用特征模板
12.3 特征过滤
12.3.1 设置送往控制器的最低级别
12.3.2 简单特征过滤
12.3.3 高级特征过滤
12.4 高级特征配置
12.4.1 特征调整 
12.4.2 端口映射 
12.5 创建ACL特征 
12.5.1 创建ACL特征 
12.5.2 定义SYSLOG源
12.6 小结
12.7 复习题
第13章 IP拦阻配置 
13.1 理解ACL 
13.1.1 设备管理 
13.1.2 设备管理要求 
13.1.3 IP拦阻指南 
13.1.4 路由器上的IP拦阻 
13.1.5 主拦阻探测器 
13.2 ACL放置考虑 
13.2.1 在哪里应用ACL 
13.2.2 在外部接口与内部接口上应用ACL的比较 
13.3 为IP拦阻配置探测器 
13.3.1 设置拦阻设备的属性 
13.3.2 设置从不拦阻IP地址 
13.3.3 通过主拦阻探测器进行拦阻 
13.3.4 查看被拦阻的IP地址列表 
13.3.5 查看被管理的网络设备 
13.3.6 手工拦阻一个主机或网络 
13.3.7 去掉一个被拦阻的主机或网络 
13.4 小结 
13.5 复习题 
第14章 Catalyst 6000 IDS模块配置 
14.1 了解Catalyst 6000 IDS模块 
14.1.1 关键特性 
14.1.2 特性比较 
14.1.3 Catalyst IDS特性要求 
14.1.4 MSFC与独立路由器比较 
14.2 IDSM端口和数据流 
14.2.1 端口 
14.2.2 数据流 
14.3 捕捉数据流 
14.3.1 SPAN特性 
14.3.2 VACL特性 
14.4 配置任务 
14.4.1 初试化IDSM 
14.4.2 为ID分析配置交换机 
14.4.3 检验IDSM配置 
14.4.4 将IDSM加入到CSPM 
14.5 更新IDSM组件 
14.5.1 磁盘结构 
14.5.2 更新IDSM映像 
14.6 故障排除 
14.6.1 IDSM状态LED 
14.6.2 Catalyst交换机命令 
14.6.3 IDSM命令 
14.7 小结 
14.8 复习题 
第六部分 Cisco安全入侵检测控制器(CSIDD)
第15章 Cisco安全ID控制器的安装 
15.1 控制器软件安装 
15.1.1 运行安装脚本 
15.1.2 设置netrangr密码 
15.1.3 配置控制器标识参数 
15.1.4 建立初始配置文件 
15.1.5 重启系统 
15.2 启动控制器 
15.2.1 检验后台守护进程是否在运行 
15.2.2 启动HP OpenView 
15.2.3 初始化HP OpenView NNM环境 
15.2.4 HP OpenView导航按钮
15.3 探测器配置
15.3.1 运行sysconfig-sensor
15.3.2 增加一个新初始化后的探测器
15.3.3 完成探测器配置 
15.4 小结 
15.5 复习题 
第16章 配置文件管理工具(nrConfigure)
16.1 使用nrConfigure
16.1.1 如何使用nrConfigure
16.1.2 如何启动nrConfigure
16.1.3 nrConfigure屏幕特性
16.1.4 设置HTML浏览器
16.1.5 隐藏状态行
16.2 增加主机向导中的主机类型
16.2.1 新安装的探测器
16.2.2 用于警报转发的从控制器
16.2.3 先前配置的探测器 
16.3 连接至先前配置的探测器 
16.3.1 “Add Host Initial”窗口 
16.3.2 输入探测器标识设置 
16.3.3 选择主机类型 
16.3.4 “Add Host Wizard Finished”窗口 
16.4 验证探测器已被加入到nrConfigure中 
16.5 验证探测器已被加入到Cisco安全IDS子图 
16.6 删除探测器 
16.7 删除探测器图标 
16.8 使用配置库
16.8.1 打开配置库
16.8.2 使用配置库
16.8.3 关闭配置库
16.9 小结
16.10 复习题
第17章 Cisco IOS防火墙入侵检测系统 
17.1 Cisco IOS防火墙IDS和入侵检测 
17.1.1 企业用户 
17.1.2 服务提供商 
17.1.3 中小企业 
17.2 支持的路由器平台 
17.3 部署问题 
17.3.1 内存使用和性能影响 
17.3.2 特征覆盖范围 
17.3.3 特征更新 
17.4 特征 
17.4.1 特征实施
17.4.2 响应选项
17.5 配置任务
17.5.1 在路由器上初始化Cisco安全IOS防火墙IDS
17.5.2 配置、关闭或排除特征
17.5.3 建立和应用审计规则 
17.5.4 核验配置
17.5.5 将Cisco IOS防火墙IDS加入到控制器配置中
17.6 小结
17.7 复习题
第七部分 Cisco安全IDS的新版本
第18章 计划的Cisco安全IDS增强特性
18.1 版本3.0 
18.1.1 安装和配置增强 
18.1.2 特征增强 
18.1.3 规避增强 
18.2 版本4.0 
18.2.1 安装和配置增强 
18.2.2 特征增强 
18.2.3 拦阻增强 
18.3 探测器增强 
18.3.1 探测器设备 
18.3.2 Catalyst 6000家族IDSM 
18.3.3 吉比特IDSM 
18.3.4 探测器设备管理器(SDM) 
18.4 Cisco安全IDS用户定义特征 
18.4.1 特征引擎 
18.4.2 主特征参数 
18.4.3 引擎特别参数 
18.4.4 用户定义特征示例 
18.5 小结 
第八部分 附录
附录A 配置入侵检测：案例研究 
A.1 使用Cisco IOS Firewall IDS 
A.1.1 限制 
A.1.2 所需设备 
A.1.3 网络框图 
A.1.4 通用设置 
A.1.5 常见问题和解决技巧 
A.2 发送系统日志数据至Cisco Secure IDS探测器 
A.2.1 限制 
A.2.2 所需设备 
A.2.3 网络框图 
A.2.4 通用设置 
A.2.5 常见问题和解决技巧 
A.3 用Cisco Secure IDS探测器管理路由器 
A.3.1 事先应考虑的限制 
A.3.2 所需设备 
A.3.3 网络框图 
A.3.4 通用设置 
A.3.5 常见问题和解决技巧 
A.4 Cisco Secure IDS分层控制器体系 
A.4.1 报警延迟限制 
A.4.2 所需设备 
A.4.3 网络框图 
A.4.4 通用设置 
A.4.5 常见问题和解决技巧 
A.5 在同一底盘上建立多个IDSM
A.5.1 每个IDSM的100-Mbit/s带宽限制
A.5.2 所需设备
A.5.3 网络框图
A.5.4 VACL定义
A.5.5 通用设置
附录B Cisco Secure IDS体系结构
B.1 Cisco Secure IDS软件体系结构
B.1.1 探测器体系结构
B.1.2 CSPM控制器体系结构
B.2 Cisco Secure IDS通信 
B.3 Cisco Secure IDS命令 
B.3.1 nrstart 
B.3.2 nrstop 
B.3.3 nrconns 
B.3.4 nrstatus 
B.3.5 nrvers 
B.4 Cisco Secure IDS目录结构 
B.4.1 Cisco Secure IDS安装目录 
B.4.2 bin 目录 
B.4.3 etc目录 
B.4.4 var目录 
B.5 Cisco Secure IDS配置文件 
B.5.1 什么是配置文件?
B.5.2 入侵检测
B.5.3 设备管理和拦阻令牌 
B.5.4 控制器和警报转发 
B.5.5 日志和日志设置 
B.5.6 FTP传送和FTP传送令牌 
B.6通信 
B.6.1 故障管理 
B.6.2 Cisco Secure IDS组织
B.6.3 Cisco Secure IDS主机
B.6.4 Cisco Secure IDS路由
B.6.5 Cisco Secure IDS目的地
B.6.6 Cisco Secure IDS授权主机
B.6.7 Cisco Secure IDS服务
B.6.8 Cisco Secure IDS应用
附录C Cisco Secure IDS Director基本故障排除
C.1 控制器问题
C.1.1 控制器不运行
C.1.2 控制器运行 
C.2 探测器问题
C.2.1 启动和停止Cisco安全守护进程的问题
C.2.2 探测器连接问题
C.3 Oracle数据库问题
C.3.1 不能确定Oracle是否已安装
C.3.2 不能确定Oracle是否在运行
C.3.3 Oracle安装程序不安装Oracle
C.3.4 找不到SQLPlus或SQLDR
C.3.5 SQLPlus不运行
C.3.6 Oracle不可用
C.3.7 LD_LIBRARY_PATH环境变量没有正确设置
C.3.8 Oracle认证连接失败
C.3.9 Oracle返回用户/密码错误信息
C.4 数据管理包问题
C.4.1 SQL查询语句不显示数据
C.4.2 SQL查询语句不正确显示数据
C.4.3 未发送邮件通知
C.4.4 数据库装载程序失败
C.5 nrConfigure问题
C.5.1 nrConfigure启动问题
C.5.2 HP-UX性能问题
C.6 在线帮助和NSDB
附录D Cisco Secure IDS 日志文件 
D.1 日志级别 
D.2 日志文件命名习惯 
D.2.1 IP日志文件 
D.2.2 Cisco Secure IDS日志文件 
D.2.3 服务错误日志文件
D.3日志文件位置
D.4关闭活动文件
D.5 归档日志文件
D.6 事件记录域
D.6.1 警报事件记录
D.6.2 命令日志记录域
附录E 高级技巧
E.1 改正不能嗅探的探测器
E.1.1 检验攻击情形的紧急程度
E.1.2 检查packetd进程
E.1.3 验证监视接口是否真能观测到网络通信流
E.1.4 检查日志文件以判断事件是否被探测到 
E.1.5 确认控制器和探测器能相互通信 
E.1.6 检查探测器的/usr/nr/etc/destinations文件以确认smid是一个定义了的目的地?
E.1.7 检查smid是否在控制器上运行着
E.1.8 在控制器和探测器上检查错误日志
E.1.9 呼叫Cisco技术帮助中心
E.2使用探测器串口作为控制台访问端口 
E.2.1 root登录限制
E.2.2 电缆要求
E.2.3 连接笔记本电脑至探测器 
E.2.4 配置超级终端(HyperTerminal)或其他通信软件包 
E.3 排除伪警报 
E.3.1 CSPM特征过滤 
E.3.2 Cisco Secure ID控制器特征调整 
附录F Cisco Secure IDS特征结构和实施 
附录G Cisco Secure IDS特征和推荐的报警级别
G.1 通用特征 
G.2 连接特征 
G.3 字符串特征 
G.4 ACL特征
附录H Cisco IOS防火墙IDS特征列表 
H.1 信息特征 
H.2 攻击特征 
附录I Cisco安全通信部署工作表 
附录J 术语
附录K 复习题答案 
K.1 第1章答案 
K.2 第2章答案 
K.3 第3章答案 
K.4 第4章答案 
K.5 第5章答案 
K.6 第6章答案
K.7 第7章答案
K.8 第8章答案
K.9 第9章答案
K.10 第10章答案
K.11 第11章答案 
K.12 第12章答案 
K.13 第13章答案 
K.14 第14章答案 
K.15 第15章答案 
K.16 第16章答案
K.17 第17章答案