Cisco安全入侵检测系统
分类: 图书,计算机/网络,网络与数据通信,Cisco,
作者: (美)卡特 著,李逢天 等译
出 版 社: 人民邮电出版社
出版时间: 2003-2-1字数: 973千版次: 第1版第1次页数: 618印刷时间: 2003/02/01开本:印次:纸张: 胶版纸I S B N : 9787115111609包装: 平装编辑推荐
本书的内容基于Cisco Secure IDS课程,同时引入IDS课程以外的一些信息,是Cisco Secure IDS课程的有益参考和补充,并且可以作为Cisco Secure IDS策略管理员考试的独立学习指导。
内容简介
本书详细介绍了Cisco Secure IDS的各个方面,内容包括:网络安全介绍、入侵检测和CSIDS环境、CSIDS安装、报警管理和入侵检测特征、CSIDS配置、Cisco安全入侵检测控制器(CSIDD)、Cisco安全IDS新版本等。
本书的内容基于Cisco Secure IDS课程,同时引入IDS课程以外的一些信息,是Cisco Secure IDS课程的有益参考和补充,并且可以作为Cisco Secure IDS策略管理员考试的独立学习指导。
作者简介
Earl Carter在计算机安全领域已有6年的工作经验。在美国空军信息作战中心工作时,他就开始学习计算机安全。Earl负责美国空军网络的安全,防止网络攻击。1998年他进入Cisco开始研究NetRanger(目前为Cisco安全IDS)和NetSonar(目前为Cisco安全扫描器)。Earl用约一年的时间定了NetRanger的特征部分为NetSonar开发了相关的模块。现在,他是安全技术评估组(Security Technologies Assessment Team,STAT)成员,负责大量Cisco产品的安全评估。这些产品包括从PIX防火墙到Cisco CallManager等一系列产品。Earl具有CCNA证书并正在努力获取CCIE认证。
目录
第一部分 网络安全介绍
第1章 对网络安全的需要5
1.1 安全威胁6
1.1.1 无组织的威胁7
1.1.2有组织的威胁8
1.1.3 外部威胁8
1.1.4 内部威胁9
1.2 安全概念9
1.3 攻击的各个阶段10
1.3.1 设定攻击目标10
1.3.2 攻击前的侦察10
1.3.3 正式攻击12
1.4 攻击方法12
1.4.1 即兴(随机)攻击13
1.4.2 系统性攻击13
1.4.3 外科手术式打击(闪电攻击)13
1.4.4 耐心(慢)攻击13
1.5 网络攻击点13
1.5.1 网络资源13
1.5.2 网络协议15
1.6 黑客工具与技术16
1.6.1 使用侦察工具16
1.6.2 攻击网络中的薄弱点17
1.6.3 实施拒绝服务攻击技术19
1.6.4 小结23
1.7 复习题24
第2章 Cisco安全轮图27
2.1保护网络安全28
2.1.1加强认证28
2.1.2建立安全边界30
2.1.3通过虚拟专用网络提供私密性32
2.1.4漏洞修补32
2.2监视网络安全34
2.2.1人工监视34
2.2.2自动监视35
2.3检验网络安全35
2.3.1使用安全扫描器35
2.3.2进行专业安全评估36
2.4提升网络安全36
2.4.1留意安全新闻36
2.4.2定期检查配置文件37
2.4.3评估安全探测器的置放37
2.4.4核验安全配置37
2.5小结38
2.6复习题39
第二部分 入侵检测与CSIDS环境
第3章 入侵检测系统43
3.1IDS触发器44
3.1.1异常检测44
3.1.2滥用检测47
3.2IDS监测位置49
3.2.1基于主机的IDS49
3.2.2基于网络的IDS51
3.3混合特性53
3.4小结53
3.5复习题54
第4章 Cisco安全IDS概述57
4.1系统功能和特性58
4.2探测器平台和模块61
4.2.14200系列探测器62
4.2.2Catalyst 6000系列交换器的IDS模块63
4.3控制器平台64
4.3.1控制器平台特性64
4.3.2作为控制器平台的Cisco安全策略管理器65
4.3.3 Cisco安全入侵检测控制器66
4.3.4控制器平台特性比较66
4.4 Cisco Secure IDS和邮局(PostOffice)协议67
4.4.1 PostOffice协议67
4.4.2 PostOffice特性68
4.4.3 PostOffice标识符70
4.4.4 PostOffice寻址方案71
4.5小结72
4.6复习题72
第三部分 CSIDS安装
第5章 Cisco安全IDS探测器部署77
5.1部署准备:分析网络拓扑结构78
5.1.1网络入口点78
5.1.2关键网络组件79
5.1.3远程网络80
5.1.4网络大小和复杂度81
5.1.5考虑安全策略限制81
5.2进行部署:探测器安装考虑82
5.2.1基于网络功能的探测器布放82
5.2.2安装配置83
5.3小结88
5.4复习题88
第6章 Cisco安全策略管理器的安装91
6.1CSPM概述91
6.1.1 软件特性集92
6.1.2 部署配置93
6.2 CSPM安装要求94
6.2.1 软件要求94
6.2.2 硬件要求95
6.2.3 许可证选项96
6.3CSPM安装设置及选项96
6.3.1 完成Cisco安全通信部署工作单97
6.3.2 搭建一台Windows NT 4.0主机97
6.3.3 定义安装设置97
6.3.4 验证安装设置101
6.3.5 任选的TechSmith屏幕捕捉器编解码器安装101
6.3.6 PostOffice安装102
6.3.7 完成安装程序104
6.4启动CSPM105
6.4.1 CSPM登录105
6.4.2 入门视频资料106
6.5小结108
6.6复习题109
第7章 在CSPM内安装 4200系列探测器111
7.1 了解探测器设备111
7.1.1 IDS-4230112
7.1.2 IDS-4210113
7.1.3 管理访问114
7.1.4 登录帐号115
7.2 配置探测器的引导程序116
7.2.1 sysconfig-sensor116
7.2.2 退出sysconfig-sensor121
7.3 向CSPM控制器中添加一个探测器121
7.3.1 启动增加探测器向导121
7.3.2 输入探测器的PostOffice标识参数122
7.3.3 输入探测器对象的缺省网关123
7.3.4 选择探测器版本和特征模板123
7.3.5 检验探测器的设置124
7.3.6 将CSPM主机加入拓扑图125
7.3.7 选择策略分发点126
7.3.8 保存并更新设置127
7.3.9 将配置文件推入探测器中127
7.3.10 错误检查128
7.4 小结129
7.5 复习题130
第四部分 报警管理和入侵检测特征
第8章 处理CSPM中的 Cisco安全IDS警报135
8.1 管理警报136
8.1.1 打开事件查看器136
8.1.2 警报域137
8.1.3 主机名解析141
8.1.4 查看上下文缓存142
8.1.5 打开NSDB144
8.1.6 理解漏洞特征信息145
8.1.7 理解相关的弱点信息148
8.1.8 删除警报150
8.1.9 挂起和恢复警报显示151
8.2 客户化事件查看器152
8.2.1 展开选中警报条目的一栏153
8.2.2 展开选中警报条目的所有栏目153
8.2.3 收缩选中警报条目的一栏154
8.2.4 收缩当前选中的栏目154
8.2.5 改变警报扩展边界155
8.2.6 移动栏目156
8.2.7 删除栏目156
8.2.8 选择需显示的栏目157
8.3 优选设置158
8.3.1 操作158
8.3.2 单元159
8.3.3 状态事件160
8.3.4 边界161
8.3.5 事件严重程度指示器162
8.3.6 严重程度映射162
8.4 连接状态窗格162
8.4.1 连接状态163
8.4.2 服务状态164
8.4.3 服务版本165
8.4.4 统计166
8.4.5 统计复位167
8.5 小结168
8.6 复习题170
第9章 理解Cisco安全IDS 特征173
9.1 特征定义173
9.1.1 特征实施174
9.1.2 特征结构174
9.2 特征类175
9.2.1 侦察特征175
9.2.2 信息特征176
9.2.3 访问特征176
9.2.4 拒绝服务特征176
9.3 特征种类176
9.3.1 通用177
9.3.2 连接177
9.3.3 字符串177
9.3.4 访问控制列表178
9.4 特征紧急度178
9.4.1 低紧急度(警报级别1-2)179
9.4.2 中紧急度(警报级别3-4)179
9.4.3 高紧急度(警报级别5)179
9.5 小结180
9.6 复习题181
第10章 特征序列183
10.1IP特征(1000系列)183
10.1.1 IP选项184
10.1.2 IP碎片187
10.1.3 坏IP包191
10.2 ICMP特征(2000系列)192
10.2.1 ICMP查询消息192
10.2.2 ICMP错误消息195
10.2.3 Ping扫描197
10.2.4 ICMP攻击199
10.3 TCP特征(3000系列)200
10.3.1 TCP数据流记录(特征3000)201
10.3.2 TCP端口扫描202
10.3.3 TCP主机扫描207
10.3.4 异常TCP包210
10.3.5 邮件攻击212
10.3.6 FTP攻击215
10.3.7 传统Cisco Secure IDS Web攻击217
10.3.8 NetBIOS攻击226
10.3.9 SYN Flood和TCP劫持攻击230
10.3.10 TCP应用漏洞231
10.4 UDP特征(4000系列)236
10.4.1 UDP数据流记录(特征4000)236
10.4.2 UDP端口扫描237
10.4.3 UDP攻击238
10.4.4 UDP应用239
10.5 Web/HTTP特征(5000系列)241
10.6 交叉协议特征(6000系列)262
10.6.1 SATAN攻击262
10.6.2 DNS攻击263
10.6.3 RPC服务攻击266
10.6.4 Ident攻击274
10.6.5 认证失败275
10.6.6 Loki攻击277
10.6.7 分布式拒绝服务攻击278
10.7 串匹配特征(8000系列)280
10.7.1 客户字符串匹配281
10.7.2 TCP应用281
10.8 违反策略特征(10000系列)283
10.9 小结283
10.10 复习题284
第五部分 CSIDS配置
第11章 CSPM内的探测器配置289
11.1CSPM探测器配置屏幕289
11.1.1属性配置屏幕290
11.1.24200系列探测配置屏幕292
11.1.3IDSM探测配置屏幕294
11.1.4 拦阻配置屏幕297
11.1.5过滤配置屏幕300
11.1.6日志配置屏幕301
11.1.7高级配置屏幕302
11.1.8命令屏幕304
11.1.9控制屏幕305
11.1.10策略分发点306
11.2修改基本配置306
11.2.1标识参数307
11.2.2 内部网络308
11.2.3包捕捉设备309
11.3日志文件配置309
11.3.1让探测器产生日志文件309
11.3.2 配置日志文件自动发送310
11.4修改高级配置311
11.4.1IP分片重组311
11.4.2理解TCP会话重组312
11.4.3配置TCP会话重组312
11.4.4附加目的地313
11.5为探测器载入新配置313
11.5.1存储和更新CSPM配置314
11.5.2更新探测器配置314
11.5.3检查探测器配置更新314
11.6 小结314
11.7复习题315
第12章 特征和入侵检测配置317
12.1基本特征配置318
12.1.1通用栏318
12.1.2特征栏319
12.1.3查看特征设置319
12.1.4连接特征类型和端口配置322
12.1.5字符串特征配置324
12.2特征模板325
12.2.1 什么是特征模板325
12.2.2产生新特征模板326
12.2.3 指定探测器使用的特征模板327
12.2.4对探测器应用特征模板328
12.3特征过滤328
12.3.1设置送往控制器的最低级别329
12.3.2 简单特征过滤329
12.3.3高级特征过滤331
12.4高级特征配置333
12.4.1特征调整334
12.4.2端口映射335
12.5创建ACL特征336
12.5.1创建ACL特征336
12.5.2 定义SYSLOG源337
12.6小结338
12.7 复习题338
第13章 IP拦阻配置341
13.1理解ACL342
13.1.1设备管理343
13.1.2设备管理要求343
13.1.3IP拦阻指南343
13.1.4 路由器上的IP拦阻345
13.1.5 主拦阻探测器346
13.2 ACL放置考虑347
13.2.1在哪里应用ACL348
13.2.2在外部接口与内部接口上应用ACL的比较349
13.3为IP拦阻配置探测器349
13.3.1设置拦阻设备的属性349
13.3.2 设置从不拦阻IP地址352
13.3.3通过主拦阻探测器进行拦阻352
13.3.4查看被拦阻的IP地址列表353
13.3.5 查看被管理的网络设备355
13.3.6手工拦阻一个主机或网络355
13.3.7去掉一个被拦阻的主机或网络356
13.4小结357
13.5复习题358
第14章 Catalyst 6000 IDS 模块配置361
14.1了解Catalyst 6000 IDS模块361
14.1.1关键特性362
14.1.2特性比较362
14.1.3Catalyst IDS特性要求363
14.1.4MSFC与独立路由器比较364
14.2IDSM端口和数据流364
14.2.1 端口364
14.2.2数据流365
14.3捕捉数据流366
14.3.1SPAN特性366
14.3.2 VACL特性367
14.4配置任务368
14.4.1初试化IDSM368
14.4.2为ID分析配置交换机370
14.4.3 检验IDSM配置375
14.4.4将IDSM加入到CSPM378
14.5更新IDSM组件379
14.5.1磁盘结构379
14.5.2更新IDSM映像380
14.6故障排除382
14.6.1IDSM状态LED382
14.6.2 Catalyst交换机命令383
14.6.3 IDSM命令384
14.7小结385
14.8 复习题386
第六部分 Cisco安全入侵检测控制器(CSIDD)
第15章 Cisco安全ID控制器的安装391
第16章 配置文件管理工具(nrConfigure)407
第17章 Cisco IOS防火墙入侵检测系统423
第七部分 Cisco安全IDS的新版本
第18章 计划的Cisco安全 IDS增强特性449
第八部分 附录
附录A 配置入侵检测: 案例研究469
A.1使用Cisco IOS Firewall IDS469
A.1.1限制470
A.1.2所需设备470
A.1.3网络框图470
A.1.4通用设置470
A.1.5常见问题和解决技巧473
A.2发送系统日志数据至Cisco Secure IDS探测器478
A.2.1限制478
A.2.2所需设备479
A.2.3网络框图479
A.2.4通用设置479
A.2.5常见问题和解决技巧482
A.3用Cisco Secure IDS探测器管理路由器483
A.3.1事先应考虑的限制484
A.3.2所需设备484
A.3.3网络框图484
A.3.4通用设置485
A.3.5常见问题和解决技巧490
A.4Cisco Secure IDS分层控制器体系492
A.4.1报警延迟限制493
A.4.2所需设备493
A.4.3网络框图493
A.4.4通用设置493
A.4.5常见问题和解决技巧496
A.5在同一底盘上建立多个IDSM499
A.5.1每个IDSM的100-Mbit/s带宽限制499
A.5.2所需设备499
A.5.3网络框图499
A.5.4VACL定义500
A.5.5通用设置500
附录B Cisco Secure IDS 体系结构507
B.1Cisco Secure IDS 软件体系结构507
B.1.1探测器体系结构508
B.1.2 CSPM控制器体系结构509
B.2 Cisco Secure IDS通信512
B.3 Cisco Secure IDS命令512
B.3.1 nrstart512
B.3.2 nrstop513
B.3.3 nrconns513
B.3.4 nrstatus513
B.3.5 nrvers514
B.4 Cisco Secure IDS目录结构514
B.4.1 Cisco Secure IDS安装目录515
B.4.2 bin 目录515
B.4.3 etc目录515
B.4.4 var目录516
B.5 Cisco Secure IDS配置文件516
B.5.1 什么是配置文件?517
B.5.2 入侵检测517
B.5.3 设备管理和拦阻令牌523
B.5.4 控制器和警报转发524
B.5.5 日志和日志设置525
B.5.6 FTP传送和FTP传送令牌526
B.6通信526
B.6.1 故障管理526
B.6.2 Cisco Secure IDS组织528
B.6.3 Cisco Secure IDS主机528
B.6.4 Cisco Secure IDS路由528
B.6.5 Cisco Secure IDS目的地529
B.6.6 Cisco Secure IDS授权主机530
B.6.7 Cisco Secure IDS 服务530
B.6.8 Cisco Secure IDS 应用531
附录C Cisco Secure IDS Director基本故障排除533
C.1控制器问题533
C.1.1控制器不运行533
C.1.2控制器运行536
C.2 探测器问题537
C.2.1启动和停止Cisco安全守护进程的问题537
C.2.2探测器连接问题537
C.3 Oracle数据库问题538
C.3.1不能确定Oracle是否已安装538
C.3.2不能确定Oracle是否在运行538
C.3.3Oracle安装程序不安装Oracle539
C.3.4找不到SQLPlus或SQLDR539
C.3.5SQLPlus不运行539
C.3.6Oracle不可用539
C.3.7LD_LIBRARY_PATH环境变量没有正确设置540
C.3.8Oracle认证连接失败540
C.3.9Oracle返回用户/密码错误信息541
C.4 数据管理包问题541
C.4.1 SQL查询语句不显示数据541
C.4.2 SQL查询语句不正确显示数据541
C.4.3未发送邮件通知541
C.4.4数据库装载程序失败542
C.5 nrConfigure问题542
C.5.1nrConfigure启动问题542
C.5.2HP-UX性能问题542
C.6 在线帮助和NSDB543
附录D Cisco Secure IDS 日志文件545
D.1日志级别545
D.2 日志文件命名习惯546
D.2.1IP日志文件546
D.2.2Cisco Secure IDS日志文件546
D.2.3服务错误日志文件547
D.3日志文件位置547
D.4关闭活动文件547
D.5 归档日志文件548
D.6 事件记录域548
D.6.1 警报事件记录548
D.6.2命令日志记录域550
附录E 高级技巧553
E.1改正不能嗅探的探测器553
E.1.1检验攻击情形的紧急程度554
E.1.2检查packetd进程554
E.1.3验证监视接口是否真能观测到网络通信流555
E.1.4检查日志文件以判断事件是否被探测到556
E.1.5确认控制器和探测器能相互通信556
E.1.6检查探测器的/usr/nr/etc/destinations文件以确认smid是一个定义了的目的地
557
E.1.7检查smid是否在控制器上运行着558
E.1.8在控制器和探测器上检查错误日志559
E.1.9呼叫Cisco技术帮助中心560
E.2使用探测器串口作为控制台访问端口561
E.2.1 root登录限制561
E.2.2电缆要求561
E.2.3连接笔记本电脑至探测器562
E.2.4配置超级终端(HyperTerminal)或其他通信软件包562
E.3 排除伪警报562
E.3.1 CSPM特征过滤562
E.3.2 Cisco Secure ID控制器特征调整563
附录F Cisco Secure IDS特征结构和实施567
附录G Cisco Secure IDS特征和推荐的报警级别577
G.1 通用特征578
G.2 连接特征585
G.3 字符串特征586
G.4 ACL特征587
附录H Cisco IOS防火墙IDS特征列表589
H.1 信息特征590
H.2 攻击特征591
附录I Cisco安全通信部署工作表593
附录J 术语597
附录K 复习题答案603
K.1 第1章答案603
K.2 第2章答案604
K.3 第3章答案604
K.4 第4章答案605
K.5 第5章答案606
K.6 第6章答案607
K.7 第7章答案608
K.8 第8章答案609
K.9 第9章答案610
K.10 第10章答案611
K.11 第11章答案612
K.12 第12章答案613
K.13 第13章答案614
K.14 第14章答案615
K.15 第15章答案616
K.16 第16章答案617
K.17 第17章答案617
媒体评论
