Juniper IDP模块配置手册及实例.docx
《Juniper IDP模块配置手册及实例.docx》由会员分享,可在线阅读,更多相关《Juniper IDP模块配置手册及实例.docx(24页珍藏版)》请在冰豆网上搜索。
JuniperIDP模块配置手册及实例
JUNIPERIDP配置手册
作者
版本
日期
科科
V1.1
2008-12-30
1、IDP的初始化设置3
IDPsensor的初始化设置3
IDP模块的安装方法13
2、IDP的策略配置14
在NSM中寻找IDP设备和模块14
配置IDP的策略17
IDP配置实例21
IDP特征库的升级24
查看IDPsensor的状态24
1、IDP的初始化设置
IDPsensor的初始化设置
加电以后,sensro开始启动,过了几分钟,设备就会启动完毕。
用网线连接电脑和sensor的MGT接口,默认的IP地址是192.168.1.1,通过https:
//192.168.1.1/登录sensor的ACM管理界面。
默认的用户名和密码分别是root和abc123。
采用ACM方式配置,并修改IDPsensor的工作模式等IDPsensor设置,登录进去以后会显示以下的界面,点击ACM可以开始配置IDPsensor;
1.1.1、修改root和admin的密码,在使用NSM寻找sensor的时候需要使用。
(NSM服务器查找IDPsensor的时候会查询admin用户名,admin密码和root密码)
1.1.2、修改设备的名字和域名,
1.1.3、修改IDP的部署模式,可以根据实际情况选择相应的工作模式,如sniffor,bridge,transparent等,若选择transparent模式,可以选择bypass功能(限电口,IDP800和IDP8200有光纤BYPASS模块)。
PS:
BYPASS功能是指在IDP掉电或出现问题后,IDP的两个接口是直通的状态,BYPASS切换一半需要5秒左右,设备不同时间会不一样
1.1.4、配置IDP的HA模式,若IDP都有自带的HA专用接口。
1.1.5、配置网络接口,若修改工作模式,则需要重启IDP才可以生效。
1.1.6、选择多个虚拟路由器(可选),若配置IDP的工作模式的时候选择了transparent模式,可能需要选择是否启动多个虚拟路由器,每两个接口属于一个虚拟路由器
1.1.7、修改管理口的IP地址和管理口的网关,供NSM服务器和客户端远程连接使用,
1.1.8、配置那些接口处于工作模式的状态下,以transparent为例,其他界面不同,但比较类似
1.1.9、配置IDPMGT接口的静态路由和缺省网关(透明模式)
输入缺省网关并选择对应的接口,若IDP为透明模式,则只需要做一个管理接口的网关即可;若为路由模式则需要在相应的接口做相应的网关
1.1.10、DNS设置,设置IDP是否自动查询相关的域名,IDP特征库的升级是通过NSM服务器完成因此在配置NSM服务器时必须设置对应的DNS服务器,而IDPsensor则可以不设置;
1.1.11、设置IDP的时间区域
建议在中国选择上海的时间,(PS:
这里没有北京时间)
1.1.12、设置时间服务器NTP
1.1.13、设置外置的Radius服务器,用户认证的时候使用
1.1.14、SNMP设置,设置对应的SNMP服务器IP地址和端口号
1.1.15、设置IDP的SSH访问,此功能必须开放,NSM服务器在查找IDPsensor的时候,首先是通过SSH获取IDP的SSHkey;
1.1.16、配置NSM服务器的IP地址和一次性密码,DeviceID可以不填写,Primarynetscreen-SecurityManagerIP必须设置,通讯端口默认是7803,一次性密码(OTP)可以不设置。
NSM服务器查找IDP时使用了SSHKEY代替了OTP,因此可以不设置。
1.1.17、ACM配置,此处提示是否每次启动IDP管理的时候是否使用ACM模式
以上配置完以后会出现汇总界面,并可以点击save&apply。
IDP会进行进程重启和修改自身的配置,需要几分钟的时间,如果修改了管理口的IP地址,还需要更改自身电脑的IP就可以重新连接
IDP模块的安装方法
Netscreen-ISG系列的防火墙的IDP模块安装,不需要进行上述的设置。
但该模块的设置都是通过NSM进行。
IP地址和路由都是依赖防火墙的路由和IP地址设置(注,IDP模块不支持sniffor模式)
安装步骤:
(以NS-ISG-2000为例)
1.拆开防火墙NS-ISG-2000的机箱,在插槽的最后一个模块可以找到管理模块。
FanCard
2.管理模块上有两条内存,每条512M。
将此内存拆下,然后将NS-ISG-1000-IKT所带的内存,每条1GB。
将内存装上,NS-ISG-2000的内存即为2G,(增加了内存的ISG系列防火墙并发会话数会增加一倍)
3.将NS-ISG-SEC模块插入到机箱的其中一个插槽(不需要占用接口模块的槽位)
4.将NS-ISG-2000的版本升级到带IDP功能的版本(如nsISG2000.5.4.0-IDP1.r9.0)
5.将NS-ISG-SEC的序列号和NS-ISG-2000-IKT的认证码进行绑定生成license,将此license导入防火墙中,重启防火墙。
此时防火墙会提示SCIO和SCTOP进行已经启动,设备的硬件安装已经完成。
2、IDP的策略配置
在NSM中寻找IDP设备和模块
NSM做为控制端,负责对IDP进行配置和收集IDP的日志等,有以下的几个功能(NSM安装步骤另外写):
1、IDP的策略是通过NSM服务器上传到IDPsensor中;
2、IDP日志也是通过NSM服务器进行保存安装了NSM的postgresql数据库中
3、IDP的当前运行状态也会自动送到NSM服务器上
配置IDPsensor的第一步是去NSM的DeviceManager→SecurityDeivce中。
点击“+”添加设备模板。
并选择“Device”。
(NSM服务器安装过程见《NSM安装手册(DC版)》)
在DeviceName中输入设备模板的名字,在Color选择模板图标的颜色(名字和图标颜色只用于表示设备,没有实际意义)。
如果IDP已经配置好,则选择“deviceisreachable(i.e.staticIPaddress)”。
并点击下一步
输入IDPsensor的IP地址,admin用户名,密码和root的密码。
若设备是ISG+IDP。
则输入的admin用户名和密码均使用防火墙的用户名和密码。
在ConnectToDeviceWith中选择使用什么协议和设备进行通讯,默认为SSHv2。
IDP和NSM通信的第二阶段则是通过DevSvr进程的7803端口通信
点击下一步以后NSM服务器的DevSvr进程会按照实际情况去寻找设备。
找到设备以后,模板还没有设备的配置,只有设备的序列号等信息,因此需要在“Device→Configuration→ImportDeviceConfig”中导入现有设备的配置,则可以看到当前被导入设备的状态,序列号,软件版本等信息;或在新增的设备上双击鼠标左键,NSM服务器会自动运行ImportDeviceConfig;
配置IDP的策略
IDP的策略配置是最为关键和要消耗较多的时间,IDP的策略包括以下几种
1、IDP:
入侵检测和保护的策略,主要针对来自应用层的攻击行为。
包括两种检查机制signature和anomaly
2、Synprotector:
syn泛滥保护策略,主要是针对通过IDP设备的SYN泛滥攻击
3、Trafficanomaly:
流量异常策略,主要是针对通过IDP的端口扫描
4、Exempt:
5、Backdoor:
6、Honeypot:
新建策略的时候是新建一整套的策略,具体的防护策略则在新建的策略里面添加
在“PolicyManager→SecurityPolicies”中点击右键,并选择NewPolicy
输入名字和描述,并点击下一步
选择CreatenewPolicyfor。
新建一套策略模板
如果设备是防火墙ISG+IDP,则选择firewall/vpnDevice。
如果设备是单独的IDP设备则选择StandAloneIDPDevcies。
再次点击next以后选择安装到那台设备,可以暂时不选择,再点击next。
完成策略的模板设置。
若新建的是防火墙策略,则只出现防火墙部分,要增加IDP策略的时候则需要在‘+’那里选择addIDPRulebase。
点击增加以后会出现一套IDPRULEBASE。
(其余honeypot,backdoor也是一样的设置)
在source框中点击右键可以选择对应的地址,在attacks框中可以攻击特征库。
此时策略处于模板的形式,还没有安装到指定的设备上。
在“InstallOn”下面的“any”上点击右键,选择“SelectTarget”。
选择需要将此策略安装到指定的设备上。
策略新建完成以后需要进行保存。
保存好以后,选择“Device→Configuration→updateDeviceConfig”对该设备的配置进行升级。
IDP配置实例
1、IDP的入侵保护策略配置实例
本次配置的采用状态签名和协议异常的全部特征库,针对Metasploit发起的攻击进行检测,主要是针对IIS和SMB协议的攻击,配置图如下所示:
本次因为两边的特征库不重叠,也就是策略1和策略2所引用的特征库都不一样,所以不需要选择TerminateMatch。
如果是新手配置IDP,action可以配置recommand,可以对威胁等级较高的攻击进行dropconnect或droppacket。
通过MetaSploit进行攻击发现有以下的条目
经过检查发现被攻击的机器没有启动IIS,所以发送过去的80端口的请求,均被客户端发送RST数据包终结请求。
在客户端安装了IIS以后,再次进行攻击就由于有IIS的响应而产生了对应的LOG,如下所示:
攻击已经被发现,但本次由于是测试IDP对攻击的检查力度,所以action都是accept
2、IDP防网络扫描配置实例
本次测试IDP的防扫描功能用的是NMAP工具,命令如下所示:
nmap–sSX.X.X.X
IDP的配置如下:
Trafficanomalies选择detect,severity选择default,缺省是critical的等级
在进行端口扫描以后出现以下的LOG日志信息
3、IDP防SYN配置实例
本次测试IDP的防SYN攻击功能采用的是HPING产生的SYNFLOOD攻击,命令如下所示
hpingx.x.x.x-pport-iu1000-S
而IDP的配置如下所示:
MODE的模式采用了passive模式。
在syn泛滥的时候在达到一定程度的时候自动block其他的synflood流量。
采用hping以后产生了如下的告警信息:
IDP特征库的升级
选择“Tools→View/UpdateNSMAttackDatabase”可以对特征库进行升级
查看IDPsensor的状态
点击“RealtimeMonitor→DeviceMonitor”可以查看处于NSM管理下的设备的状态,包括,型号,软件版本,状态等信息
查看DevSvr和GuiSvr进程的状态,包括进程所使用的硬盘情况,内存情况和状态等信息
查看DevSvr和GuiSvr的配置和端口号等信息,其中包括服务进程的名字,NSM的IP地址,通讯端口好等