-
MARS
实施配置指南
MARS
实施配置指南
思科系统(中国)网络技术有限公司
2006
思科系统(中国)网络技术有限公司
第
1
页共
54
页
MARS
实施配置指南
目录
1
2
3
4
MARS
功能概述
........
..................................................
.........................................
4
网络拓扑图
.................................................
..................................................
.........
4
MARS
初始化配置
.......
..................................................
......................................
5
MARS
功能简介及配置
.....
..................................................
................................
6
4.1
4.2
4.3
4.4
4.5
5
MARS
拓朴自动发现
......
..................................................
...........................
8
添加安全设备
................................................ ..............................................
1
0
配置
N
etflow
信息
...................
..................................................
.................
1
3
创建自定义规则
............................
..................................................
............
1
4
创
建自定义报告
.................................
..................................................
.......
1
6
MARS
管理
..........
..................................................
.............................................
1
9
5.1
5.2
5.3
拓朴结构及设备查看
.......................................
...........................................
1
9
系统统计信息
< br>............................................... ...............................................
2
1
安全事件操作
< br>............................................... ...............................................
2
2
查看
Incident .................
..................................................
....................
2
2
攻击分析
............................
..................................................
................
2
5
< br>攻击缓解
................................
..................................................
............
2
7
5.3.1
5.3.2
5.3.3
5.4
6
常用报表查看
............................................ ..................................................
2
8
MARS
的报表功能
.......
..................................................
....................................
3
1
6.1
MARS
实用报表示例
......
..................................................
.........................
3
1
自定报告清单
......................
..................................................
..............
3
1
最多报告事件设备统计
............................
..........................................
3
3
6.1.1
6.1.2
思科系统(中国)网络技术有限公司
第
2
页共
54
页
MARS
实施配置指南
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
6.1.8
6.1.9
6.1.10
6.1.11
6.2
最大命中规则
统计
.....................................
.........................................
3
3
DoS
事件报告
.........
..................................................
..........................
3
5
过去
1
天最大访问目的
IP
端口报告
...............................
.................
3
6
过去
7
天最大被拒绝源
IP<
/p>
报告
...............
.........................................
3
6
过去
7
天
DoS
攻击报告
............................................... .....................
3
7
过去
7
天最大连接数网络报告
..............................................
............
3
8
过
去
7
天最多病毒源报告
.......
..................................................
.........
4
0
过去
30
天最多
P2P
主机报告
..................................
.........................
4
0
过去
60
天入侵报告
< br>............................................... .............................
4
1
MARS
对富士康部分园区的安全分析
..................................................
...
4
2
防火墙相关分析
..........................................
........................................
4
2
IPS
相关分析
.
....................................
..................................................
4
3
其他安全问题分析
.............................................
.................................
4
4
6.2.1
6.2.2
6.2.3
7
MARS
测试总结
........
..................................................
.......................................
4
4
7.1
7.2
7.3
总体评价
............................................ .................................................. ........
4
4
Netfl
ow
信息的分析功能对未知攻击发现的作用
...................................
4
5
MARS
的设计和部署建议
....
..................................................
...................
4
6
8
MARS
系统配置备份
.....
..................................................
.................................
4
8
思科系统(中国)网络技术有限公司
第
3
页共
54
页
MARS
实施配置指南
1
MARS
功能概述
< br>CISCO
安全监控分析和响应系统
(CS-
MARS),
简单的说
CS-MARS
的功能
就是可以接受各种设备的事件和数据
,
进行事件分析
.
汇总、然后根据需要生成相
关的报告结果
.
以达到识别和消除网络攻击。
132.147.160.30
2
网络拓扑图
说明:现网设备及信息源包括:标准路由器、交换机、防火墙
;
IOS NETFLOW
、
IPS
4250
、
SYSLOG
服务器等。部
署
MARS
目的:为了抵御未来网络混合式攻
< br>击,尤其是面向应用层的攻击,单一的防火墙进行的单边防御
< br>已经不能满足需
求,因此将所有现网设备日志等信息全部交给
MARS
进行汇总、分析,并且最
终由
MARS
提供攻击缓解建议。即:
MARS
实现普遍计算,实现思科网络设备
及安全设备之间的横向联动,打造自防御网络
自适应安全。
思科系统(中国)网络技术有限公司
第
4
页共
54
页
MARS
实施配置指南
3
MARS
初始化配置
注意事项:
MARS
有两个物理接口(
Eth0
和
Eth1
)
,其中
Eth0
用于搜集网
络设备的日志信息,
Eth1
用于带外管理使用。两个接口不允许配置在同一个网
段。
1
、连接
MARS
网口至相应的交换机端口。
2
、启动
MARS
,直至弹出登陆界面。利用缺省用户名
密码登陆系统
(
pnadmin/pnadmin
)
3
< br>、配置
MARS
接口
IP
地址掩码以及缺省网关。并且检查配置结果。注意配
置接口的之后
MARS
需要重启生效。
思科系统(中国)网络技术有限公司
第
5
页共<
/p>
54
页
MARS
实施配置指南
4
、
配置<
/p>
MARS
时区、时间、日期等信息,注意配置完毕需要重启
MARS
。
4 <
/p>
MARS
功能
简介及
配置
通过访问
MARS
Eth0
接口,
https://192.168.15.248
登進
MARS
之后(缺
省用户名密码
pnadmin/pnadmin
)
,
点进
ADMIN
页面。
注意:提前安装软件
SVGView
以便可以观看全部
MARS
提供的全部报表
图。
思科系统(中国)网络技术有限公司
第
6
页共<
/p>
54
页
MARS
实施配置指南
键入授权
KEY
信息
思科系统(中国)网络技术有限公司
第
7
页共<
/p>
54
页
MARS
实施配置指南
4.1
MARS
拓朴自动发现
1
、点
Community String and Networks
选项,填入要发现的拓扑
IP
网
段和
Community stri
ng
之后,按
ADD
,填完相关
IP
网段之后,按
Submit
。
(图
2.1
)
图
2.1
输入网络设备的
Community
属性
2
、按
Back
返回主菜单按
Vaild Network(
< br>选择有效的发现网络
)
,
填入有
效的发现网络之后,
按
ADD
,
单击
Discover now
进行设备发现,
最
后按
Submit
完成配置。<
/p>
(图
2.2
)
图
2.2
输入有效网络
思科系统(中国)网络技术有限公司
第
8
页共
54
页
MARS
实施配置指南
3
、配置定时发现设备。选择
ADMIN
-》
Toplogy/Monit
ored Device
Update Scheduler
-》选择
default Discovery Group
->edit (
选择定时
发现的时间段和发现的有效网段
)
。完成后,按
Run now
。
(图
2.3
)
图
2.3
输入定时发现网络设备参数
4
、返回
Admin >Vaild network
按一下
Discover now
,发现完成后按
click here
。
(结果如图
2.4
)
图
2.4
发现结果
5
、检查新发现的设备列表。选择
Admin
-》
Security Monitor Devices
,
可以看到发现的设备清单。
(图
2.5
)
思科系统(中国)网络技术有限公司
第
9
页共
54
页
MARS
实施配置指南
图
2.4
发
现的可管理安全设备
4.2
添加安全设备
1.
点击
A
DMIN-
》
Security Monitor Devic
es
,
添加需要增加管理的设备。
一个
添加设备的范例如图
2.5
所示:
思科系统(中国)网络技术有限公司
第
10
页共
5
4
页
MARS
实施配置指南
图
2.5
添加安全设备范例:
ASA
2.
在添加安全设备时,
MARS
上需要添加设备的软件版本要与设备的
版
本一致,
而且被管理的设备的软件版本需要满足
MARS
的需求
(软
件版本请查阅
MARS
的
Release Notes
< br>)
。为了让
MARS
了解网络详
细拓扑,
需要把每台要加入的设备的
login password ,enable password
和
snmp community
配置
对。填完之后,按
Discovery
,此时设备已
经添加完毕。
(图
2.6
为已管理安全设备清单)
注:如果添加设备不成功,
MARS
会提供添加设备错误的原因,可根据原
因改正。
注意:
PIX 7.X
最新版本需要键入命令:
1
、启用
SYSLOG
采集
logging enable
logging
timestamp
logging monitor debugging
logging buffered debugging
思科系统(中国)网络技术有限公司
第
11
页共
5
4
页
MARS
实施配置指南
logging trap warnings
logging history warnings
logging host inside 192.168.15.248
format emblem
2
、配置
SNMP
相应参数
snmp-
server host inside 192.168.15.248 poll community
cisco
no snmp-server location
no snmp-server contact
snmp-
server community cisco
图
2.6
已管理安全设备清单
3.
配置被管理安全设备
要使
CS-MARS
收集的安全设备的
数据,还必须都将安全设备的日志信息
发给
CS-MARS
。因为每种安全设备的日志设置不完全一样,这里以
PIX
的设
置为例说明:
logging enable
logging trap
warnings
logging history notifications
logging host campus 10.191.130.180
思科系统(中国)网络技术有限公司
第
12
页共
54
页
MARS
实施配置指南
4.3
配置
Netflow
信息
当需要分析
Ne
tflow
信息时,还应为
MARS
配
置
Netflow
。
1.
配置
M
ARS
的
Netflow
配置。
选择
Admin
-》
Netflow Configuration
,
配置
Netflow
使用的
UDP
< br>端口,并加入需要分析的
Netflow
报告的
网络,不指定加入则分析所有网络。
(图
2.7
)
图
2.7
配置
MA
RS
的
Netflow
2.
配置网络设备的
Netflow
。以
Cisco
2600
为例,需要作如下配置:
ip flow-export version 5
ip
flow-export source FastEthernet 0/1
interface FastEthernet0/1
ip
flow ingress
ip flow egress
思科系统(中国)网络技术有限公司
第
13
页共
5
4
页
MARS
实施配置指南
4.4
创建自定义规则
除了
MARS
提供的安全规则以外,还可以通过自定义规则的方式增加客户
化的安全规则,
用于特定环境或特定要求之下的事件分析。
自定义规则可以通过
修改系统规则或增加规则的方式创建:
< br>
1.
通过修改
system
rule
生成。首先找到作为生成基础的
System rul
e
,
选上,
然后按
Duplicate
,
然后对
ru
le
中的配置作相应的调整或增减。
(图
2.8
)
图
2.8
修改
system
rule
生成新规则
2.
创建
新规则。进入
RULE
页面,按
ADD
创建规则,进入规则命名
页面(图
2.
9
)
,规则命名完之后,按
NEXT<
/p>
到规则格式页面,根据
MARS
提示,到
达某一参数时,选择你需要的参数值填入参数框里
(图
2.10
)
,填完所有参数,到达确认框,按
Y
ES
应用(图
2.11
)
。
思科系统(中国)网络技术有限公司
第
14
页共
5
4
页
MARS
实施配置指南
图
2.9
增
加新规则
图
2.10
配置新规则参数
图
2.1
1
确认新规则
3.
激活
规则和去激活规则。规则建立后无法删除,当不需要使用某规
则时,可以通过去激活实现
。只要把
ACTIVE
规则勾上,按
change
status
就可将
规则处于非激活状态。
(图
2.12
)
思科系统(中国)网络技术有限公司
第
15
页共
54
页
MARS
实施配置指南
图
2.12
规则的激活状态
4.5
创建自定义报告
MARS
除了提供大量预定制报表以外,还允许管理员自己定义报表,以下
做
IPS
十大类型事件报告为例,介绍如何创建自定义报告。
1.
点
QUERY/REPORTS
页面,
在
QUERY
页面的
SELECT REPORT
对
话框中选择
top event t
ypes
。
(图
2.13
)
< br>图
2.13
定制报表
2.
单击
DEVICE
选项框,选择此报表所包含的设备信息,如
IPS4240-TEST
,按一下
,再选择
ANY
,按
REMOVE
,全部
设备选择完毕后
A
PPLY
。
(图
2.14
)
思科系统(中国)网络技术有限公司
第
16
页共
5
4
页
MARS
实施配置指南
图
2.14
输入报表条件:选择设备
3.
选择收集汇总事件的时间段,然
后按
APPL
Y
。
(图
2.15
)
图
2.15
输入报表条件:选择时间段
4.
回到主界面,
< br>选择
Submit
。
(图
2.16
)
,
此时会
出现两个选项
SUBMIT
INLINE
,即在线生成报表,或者
SUBMIT BATCH
,即生
成报表,
并保存成一个记录,方便查看。
(图
< br>2.17
)
思科系统(中国)网络技术有限公司
第
17
页共
5
4
页
MARS
实施配置指南
图
2.16
提交报表
图
2.17
报表方式选择
5.
报表生成后,将出线在报表页面的
user report
中,
MARS
将按配置
生成报告。用户可以看到每一个报告的完成状态和完成时间,也可
以随时指示
MARS
再次生成报告。
当报告的
STATUS
到达
100%
时,
可以按
VIEW RESULTS
查看报告。
(图
2.18
)
思科系统(中国)网络技术有限公司
第
18
页共
54
页
MARS
实施配置指南
图
2.18
报表状态
5
MARS
管理
5.1
拓朴结构
及设备查看
MARS
通过对所有被管理安全设备的分析,可以生成完整的网络拓扑图。
进入
Summary
页面,
在
Hotspot Graph
面板按
full topo graph
就可以看到整体
的拓朴结构。
(图
3.1
)
思科系统(中国)网络技术有限公司
第
19
页共
5
4
页
MARS
实施配置指南
图
3.1
整
网拓扑图
可以通过右键操作,放大
和缩少这个拓扑图。上图中所画的云是被管理安
全设备接口直连的网段。
每个图标代表一种安全设备,以下是
MARS
的图标示例:
Table 16-1 Icons and States in Topology
Compromised
Clouds
Firewall
Reporting
Host
Healthy
Attacker
(已经危及安全)
Compromised and
Attacking
Host
IDS
思科系统(中国)网络技术有限公司
第
20
页共
5
4
页
MARS
实施配置指南
Network
Router
Switch
通过点击相应的图标,可以查看对
应设备的信息。
(图
3.2
)
图
3.2
设备信息<
/p>
设备信息能够提供设备型号,名称,
软件版本,接口的
MAC
地址等信息。
5.2
系统统计信息
MARS
可以实时地显示系统的统计信息,如收到的安全事件数量,分别属<
/p>
于什么等级(高、中、低)
,收到的
se
ssion
数量,收到的
Netflow
事件数量,以
及进行关联后,信息的压缩比率等。
(图
3.3
)
思科系统(中国)网络技术有限公司
第
21
页共
5
4
页
MARS
实施配置指南
图
3.3
系
统统计信息
5.3
安全
事件
操作
MARS
具有丰富详尽的安全事件查看功能,
< br>管理员能够通过
MARS
的界面
即使地获得网络当前发生的事件。
5.3.1
查看
Incident
在
summary
页面中,可以点击查看攻击事件的整个拓扑。
(图
3.4
)
思科系统(中国)网络技术有限公司
第
22
页共
5
4
页
MARS
实施配置指南
图
3.4
攻
击拓扑
点击
Incidents
页面,该页面已列出近来发生
incident
清单。
(图
3.5
)
图
3.5
安全事件(
Incident
)清单
选中相应的
Incident ID
之后,按
view
,就可以查看事件详细信息,比如
下图就是一个完整的蠕虫攻击的实例,可以看到一个安全事件是由分析多个攻
击
session
而得出来的。
(图
3.6
)
思科系统(中国)网络技术有限公司
第
23
页共
5
4
页
MARS
实施配置指南
思科系统(中国)网络技术有限公司
第
24
页共
54
页
MARS
实施配置指南
图
3.6
蠕虫攻击实例
下图是一个
ICMP Flood<
/p>
攻讦的部分内容示例。
(图
3.7
)
图
3.7 ICMP
Flood
攻击事件信息片断
5.3.2
攻击分析
MARS
可以实现具体攻击的分析,通过对某个安全事件的查看,就能得到<
/p>
攻击的类型,源、目标和攻击跳板的信息。以下就是
MARS
生成的一个具体攻
击的攻击拓扑图。
(图<
/p>
3.8
)
思科系统(中国)网络技术有限公司
第
25
页共
5
4
页
MARS
实施配置指南
图
3.8
攻
击拓扑图及选中
session
信息
上图列出了一个安全事件的攻击拓扑图,图中显示攻击源,攻
击目标,攻
击的
session
号,当
选择某个
session
号时,会弹出小窗口,显示此
session
的详
细信息。
< br>
而下图(图
3.9
)则单独列
出了
Nachi
蠕虫攻击的细节。
图
3.9
蠕
虫攻击细节
思科系统(中国)网络技术有限公司
第
26
页共
5
4
页
MARS
实施配置指南
5.3.3
攻击缓解
MARS
有攻击缓解的功能,即针对某个攻击,它能够向管理员提出第三层<
/p>
的攻击缓解建议,让管理员手动实施;或者向管理员提出第二层的攻击缓解建
议,并可以选择手动实施或自动实施。
在详细攻击
事件信息图中,选择
Collapse
选项,就可以看到攻击还
击标志
(红色)
,
点击白色拓扑标志之
后,
就可查看到攻击事件路径图。
(图
3.10
)
图
3.10
攻击事件路径图
点击红色缓解标记之后,
MARS
就会提出针
对这个攻击的相应缓解建议。
(图
3.11
)
图
3.11
攻击缓解建议
思科系统(中国)网络技术有限公司
第
27
页共
5
4
页
-
-
-
-
-
-
-
-
-
上一篇:快消品行业术语(行话)解析
下一篇:武侠经典对白(BL向)