《Cisco安全入侵检测系统》PDF下载

  • 购买积分:18 如何计算积分?
  • 作  者:(美)Earl Carter著;李逢天等译
  • 出 版 社:北京:人民邮电出版社
  • 出版年份:2003
  • ISBN:711511160X
  • 页数:618 页
图书介绍:

目 录 5

第一部分网络安全介绍 5

第1章对网络安全的需要 5

1.1安全威胁 6

1.1.1无组织的威胁 7

1.1.2有组织的威胁 8

1.1.3外部威胁 8

1.2安全概念 9

1.1.4 内部威胁 9

1.3攻击的各个阶段 10

1.3.1设定攻击目标 10

1.3.2攻击前的侦察 10

1.3.3正式攻击 12

1.4攻击方法 12

1.5.1 网络资源 13

1.5网络攻击点 13

1.4.4耐心(慢)攻击 13

1.4.3 外科手术式打击(闪电攻击) 13

1.4.2系统性攻击 13

1.4.1 即兴(随机)攻击 13

1.5.2网络协议 15

1.6黑客工具与技术 16

1.6.1使用侦察工具 16

1.6.2攻击网络中的薄弱点 17

1.6.3实施拒绝服务攻击技术 19

1.6.4小结 23

1.7复习题 24

第2章Cisco安全轮图 27

2.1保护网络安全 28

2.1.1 加强认证 28

2.1.2建立安全边界 30

2.1.3 通过虚拟专用网络提供私密性 32

2.1.4漏洞修补 32

2.2.1 人工监视 34

2.2监视网络安全 34

2.2.2 自动监视 35

2.3检验网络安全 35

2.3.1 使用安全扫描器 35

2.3.2进行专业安全评估 36

2.4提升网络安全 36

2.4.1 留意安全新闻 36

2.4.4核验安全配置 37

2.4.3评估安全探测器的置放 37

2.4.2定期检查配置文件 37

2.5 小结 38

2.6复习题 39

第二部分入侵检测与CSIDS环境 43

第3章入侵检测系统 43

3.1 IDS触发器 44

3.1.1异常检测 44

3.1.2滥用检测 47

3.2.1基于主机的IDS 49

3.2 IDS监测位置 49

3.2.2基于网络的IDS 51

3.3混合特性 53

3.4小结 53

3.5复习题 54

第4章Cisco安全IDS概述 57

4.1系统功能和特性 58

4.2探测器平台和模块 61

4.2.1 4200系列探测器 62

4.2.2 Catalyst6000系列交换器的IDS模块 63

4.3控制器平台 64

4.3.1 控制器平台特性 64

4.3.2作为控制器平台的Cisco安全策略管理器 65

4.3.3 Cisco安全入侵检测控制器 66

4.3.4控制器平台特性比较 66

4.4 Cisco Secure IDS和邮局(PostOffice)协议 67

4.4.1 PostOffice协议 67

4.4.2 PostOffice特性 68

4.4.3 PostOffice标识符 70

4.4.4 PostOffice寻址方案 71

4.5 小结 72

4.6复习题 72

第三部分CSIDS安装 77

第5章Cisco安全IDS探测器部署 77

5.1 部署准备:分析网络拓扑结构 78

5.1.1 网络入口点 78

5.1.2关键网络组件 79

5.1.3远程网络 80

5.1.4网络大小和复杂度 81

5.1.5考虑安全策略限制 81

5.2进行部署:探测器安装考虑 82

5.2.1基于网络功能的探测器布放 82

5.2.2安装配置 83

5.4复习题 88

5.3小结 88

第6章Cisco安全策略管理器的安装 91

6.1 CSPM概述 91

6.1.1软件特性集 92

6.1.2部署配置 93

6.2 CSPM安装要求 94

6.2.1软件要求 94

6.2.2硬件要求 95

6.3 CSPM安装设置及选项 96

6.2.3许可证选项 96

6.3.1完成Cisco安全通信部署工作单 97

6.3.2搭建一台Windows NT4.0主机 97

6.3.3定义安装设置 97

6.3.4验证安装设置 101

6.3.5任选的TechSmith屏幕捕捉器编解码器安装 101

6.3.6 PostOffice安装 102

6.3.7完成安装程序 104

6.4.1 CSPM登录 105

6.4启动CSPM 105

6.4.2入门视频资料 106

6.5小结 108

6.6复习题 109

第7章 在CSPM内安装4200系列探测器 111

7.1 了解探测器设备 111

7.1.1 IDS-4230 112

7.1.2 IDS-4210 113

7.1.3管理访问 114

7.1.4登录帐号 115

7.2配置探测器的引导程序 116

7.2.1 sysconfig-sensor 116

7.2.2退出sysconfig-sensor 121

7.3 向CSPM控制器中添加一个探测器 121

7.3.1 启动增加探测器向导 121

7.3.2输入探测器的PostOffice标识参数 122

7.3.4选择探测器版本和特征模板 123

7.3.3输入探测器对象的缺省网关 123

7.3.5检验探测器的设置 124

7.3.6将CSPM主机加入拓扑图 125

7.3.7选择策略分发点 126

7.3.8保存并更新设置 127

7.3.9将配置文件推入探测器中 127

7.3.10错误检查 128

7.4小结 129

7.5复习题 130

第8章 处理CSPM中的Cisco安全IDS警报 135

第四部分报警管理和入侵检测特征 135

8.1管理警报 136

8.1.1打开事件查看器 136

8.1.2警报域 137

8.1.3主机名解析 141

8.1.4查看上下文缓存 142

8.1.5打开NSDB 144

8.1.6理解漏洞特征信息 145

8.1.7理解相关的弱点信息 148

8.1.8删除警报 150

8.1.9挂起和恢复警报显示 151

8.2客户化事件查看器 152

8.2.1展开选中警报条目的一栏 153

8.2.2展开选中警报条目的所有栏目 153

8.2.3收缩选中警报条目的一栏 154

8.2.4收缩当前选中的栏目 154

8.2.5 改变警报扩展边界 155

8.2.6移动栏目 156

8.2.7删除栏目 156

8.2.8选择需显示的栏目 157

8.3优选设置 158

8.3.1操作 158

8.3.2单元 159

8.3.3状态事件 160

8.3.4边界 161

8.4连接状态窗格 162

8.3.5事件严重程度指示器 162

8.3.6严重程度映射 162

8.4.1 连接状态 163

8.4.2服务状态 164

8.4.3服务版本 165

8.4.4统计 166

8.4.5统计复位 167

8.5 小结 168

8.6复习题 170

第9章理解Cisco安全IDS特征 173

9.1 特征定义 173

9.1.1特征实施 174

9.1.2特征结构 174

9.2特征类 175

9.2.1侦察特征 175

9.2.4拒绝服务特征 176

9.3特征种类 176

9.2.3访问特征 176

9.2.2信息特征 176

9.3.1 通用 177

9.3.2连接 177

9.3.3字符串 177

9.3.4访问控制列表 178

9.4特征紧急度 178

9.4.3高紧急度(警报级别5) 179

9.4.2中紧急度(警报级别3-4) 179

9.4.1低紧急度(警报级别1-2) 179

9.5 小结 180

9.6复习题 181

第10章特征序列 183

10.1 IP特征(1000系列) 183

10.1.1 IP选项 184

10.1.2 IP碎片 187

10.1.3坏IP包 191

10.2.1 ICMP查询消息 192

10.2 ICMP特征(2000系列) 192

10.2.2 ICMP错误消息 195

10.2.3 Ping扫描 197

10.2.4 ICMP攻击 199

10.3 TCP特征(3000系列) 200

10.3.1 TCP数据流记录(特征3000) 201

10.3.2 TCP端口扫描 202

10.3.3 TCP主机扫描 207

10.3.4异常TCP包 210

10.3.5邮件攻击 212

10.3.6 FTP攻击 215

10.3.7传统Cisco Secure IDS Web攻击 217

10.3.8 NetBIOS攻击 226

10.3.9 SYN Flood和TCP劫持攻击 230

10.3.10 TCP应用漏洞 231

10.4 UDP特征(4000系列) 236

10.4.1 UDP数据流记录(特征4000) 236

10.4.2 UDP端口扫描 237

10.4.3 UDP攻击 238

10.4.4 UDP应用 239

10.5 Web/HTTP特征(5000系列) 241

10.6交叉协议特征(6000系列) 262

10.6.1 SATAN攻击 262

10.6.2 DNS攻击 263

10.6.3 RPC服务攻击 266

10.6.4Ident攻击 274

10.6.5认证失败 275

10.6.6 Loki攻击 277

10.6.7分布式拒绝服务攻击 278

10.7串匹配特征(8000系列) 280

10.7.1客户字符串匹配 281

10.7.2 TCP应用 281

10.8违反策略特征(10000系列) 283

10.9小结 283

10.10复习题 284

11.1 CSPM探测器配置屏幕 289

第11章CSPM内的探测器配置 289

第五部分CSIDS配置 289

11.1.1属性配置屏幕 290

11.1.2 4200系列探测配置屏幕 292

11.1.3IDSM探测配置屏幕 294

11.1.4拦阻配置屏幕 297

11.1.5过滤配置屏幕 300

11.1.6日志配置屏幕 301

11.1.7高级配置屏幕 302

11.1.8命令屏幕 304

11.1.9控制屏幕 305

11.1.10策略分发点 306

11.2修改基本配置 306

11.2.1标识参数 307

11.2.2内部网络 308

11.2.3包捕捉设备 309

11.3日志文件配置 309

11.3.1让探测器产生日志文件 309

11.3.2 配置日志文件自动发送 310

11.4修改高级配置 311

11.4.1 IP分片重组 311

11.4.2理解TCP会话重组 312

11.4.3配置TCP会话重组 312

11.4.4附加目的地 313

11.5为探测器载入新配置 313

11.6 小结 314

11.5.3检查探测器配置更新 314

11.5.2更新探测器配置 314

11.5.1存储和更新CSPM配置 314

11.7复习题 315

第12章特征和入侵检测配置 317

12.1基本特征配置 318

12.1.1通用栏 318

12.1.2特征栏 319

12.1.3查看特征设置 319

12.1.4连接特征类型和端口配置 322

12.1.5字符串特征配置 324

12.2特征模板 325

12.2.1什么是特征模板 325

12.2.2产生新特征模板 326

12.2.3指定探测器使用的特征模板 327

12.2.4对探测器应用特征模板 328

12.3特征过滤 328

12.3.1 设置送往控制器的最低级别 329

12.3.2简单特征过滤 329

12.3.3高级特征过滤 331

12.4高级特征配置 333

12.4.1特征调整 334

12.4.2端口映射 335

12.5创建ACL特征 336

12.5.1创建ACL特征 336

12.5.2定义SYSLOG源 337

12.6小结 338

12.7复习题 338

第13章IP拦阻配置 341

13.1 理解ACL 342

13.1.1设备管理 343

13.1.2设备管理要求 343

13.1.3 IP拦阻指南 343

13.1.4路由器上的IP拦阻 345

13.1.5主拦阻探测器 346

13.2 ACL放置考虑 347

13.2.1 在哪里应用ACL 348

13.2.2 在外部接口与内部接口上应用ACL的比较 349

13.3为IP拦阻配置探测器 349

13.3.1 设置拦阻设备的属性 349

13.3.2 设置从不拦阻IP地址 352

13.3.3通过主拦阻探测器进行拦阻 352

13.3.4查看被拦阻的IP地址列表 353

13.3.5查看被管理的网络设备 355

13.3.6手工拦阻一个主机或网络 355

13.3.7去掉一个被拦阻的主机或网络 356

13.4小结 357

13.5复习题 358

第14章Catalyst 6000 IDS模块配置 361

14.1 了解Catalyst 6000 IDS模块 361

14.1.1关键特性 362

14.1.2特性比较 362

14.1.3 CatalystIDS特性要求 363

14.2.1端口 364

14.2 IDSM端口和数据流 364

14.1.4 MSFC与独立路由器比较 364

14.2.2数据流 365

14.3捕捉数据流 366

14.3.1 SPAN特性 366

14.3.2 VACL特性 367

14.4配置任务 368

14.4.1初试化IDSM 368

14.4.2为ID分析配置交换机 370

14.4.3检验IDSM配置 375

14.4.4将IDSM加入到CSPM 378

14.5更新IDSM组件 379

14.5.1磁盘结构 379

14.5.2更新IDSM映像 380

14.6故障排除 382

14.6.1 IDSM状态LED 382

14.6.2 Catalyst交换机命令 383

14.6.3 IDSM命令 384

14.7小结 385

14.8复习题 386

第六部分Cisco安全入侵检测控制器(CSIDD) 391

第15章Cisco安全ID控制器的安装 391

15.1控制器软件安装 391

15.1.1运行安装脚本 392

15.1.2设置netrangr密码 392

15.1.3配置控制器标识参数 393

15.1.5重启系统 394

15.1.4建立初始配置文件 394

15.2启动控制器 395

15.2.1检验后台守护进程是否在运行 395

15.2.2启动HP OpenView 396

15.2.3初始化HP OpenView NNM环境 396

15.2.4 HP OpenView导航按钮 397

15.3探测器配置 398

15.3.1运行sysconfig-sensor 398

15.3.2增加一个新初始化后的探测器 399

15.3.3完成探测器配置 404

15.4小结 404

15.5复习题 405

第16章配置文件管理工具(nrConfigure) 407

16.1 使用nrConfigure 408

16.1.1如何使用nrConfigure 408

16.1.2如何启动nrConfigure 408

16.1.3 nrConfigure屏幕特性 409

16.1.4设置HTML浏览器 409

16.1.5隐藏状态行 410

16.2增加主机向导中的主机类型 411

16.2.1新安装的探测器 411

16.2.2用于警报转发的从控制器 411

16.2.3先前配置的探测器 412

16.3连接至先前配置的探测器 412

16.3.1“Add Host Initial”窗口 412

16.3.2输入探测器标识设置 413

16.3.4“Add Host Wizard Finished”窗口 414

16.3.3选择主机类型 414

16.4验证探测器已被加入到nrConfigure中 415

16.5验证探测器已被加入到Cisco安全IDS子图 415

16.6删除探测器 415

16.7删除探测器图标 416

16.8使用配置库 417

16.8.1打开配置库 417

16.8.2使用配置库 417

16.9 小结 420

16.8.3关闭配置库 420

16.10复习题 421

第17章Cisco IOS防火墙入侵检测系统 423

17.1 Cisco IOS防火墙IDS和入侵检测 424

17.1.1企业用户 425

17.1.2服务提供商 425

17.1.3中小企业 425

17.2支持的路由器平台 425

17.3部署问题 426

17.3.1 内存使用和性能影响 426

17.3.2特征覆盖范围 426

17.3.3特征更新 426

17.4特征 426

17.4.1特征实施 427

17.4.2响应选项 427

17.5配置任务 427

17.5.1在路由器上初始化Cisco安全IOS防火墙IDS 428

17.5.2配置、关闭或排除特征 432

17.5.3建立和应用审计规则 435

17.5.4核验配置 438

17.5.5将Cisco IOS防火墙IDS加入到控制器配置中 441

17.6小结 443

17.7复习题 444

第七部分Cisco安全IDS的新版本 449

第18章计划的Cisco安全IDS增强特性 449

18.1版本3.0 450

18.1.1安装和配置增强 450

18.1.2特征增强 451

18.1.3规避增强 453

18.2版本4.0 454

18.2.1 安装和配置增强 454

18.2.2特征增强 456

18.2.3拦阻增强 457

18.3.1探测器设备 458

18.3.2 Catalyst 6000家族IDSM 458

18.3探测器增强 458

18.3.3吉比特IDSM 459

18.3.4探测器设备管理器(SDM) 460

18.4 Cisco安全IDS用户定义特征 460

18.4.1特征引擎 460

18.4.2主特征参数 461

18.4.3引擎特别参数 462

18.4.4用户定义特征示例 462

18.5小结 464

第八部分附录 469

附录A配置入侵检测: 案例研究 469

A.1 使用Cisco IOS FirewallIDS 469

A.1.1 限制 470

A.1.2所需设备 470

A.1.3网络框图 470

A.1.4通用设置 470

A.1.5 常见问题和解决技巧 473

A.2.1 限制 478

A.2发送系统日志数据至Cisco Secure IDS探测器 478

A.2.2所需设备 479

A.2.3 网络框图 479

A.2.4通用设置 479

A.2.5常见问题和解决技巧 482

A.3用Cisco Secure IDS探测器管理路由器 483

A.3.1 事先应考虑的限制 484

A.3.2所需设备 484

A.3.3 网络框图 484

A.3.4通用设置 485

A.3.5 常见问题和解决技巧 490

A.4 Cisco Secure IDS分层控制器体系 492

A.4.1报警延迟限制 493

A.4.2所需设备 493

A.4.3 网络框图 493

A.4.4通用设置 493

A.4.5 常见问题和解决技巧 496

A.5在同一底盘上建立多个IDSM 499

A.5.1 每个IDSM的100-Mbit/s带宽限制 499

A.5.2所需设备 499

A.5.3 网络框图 499

A.5.4 VACL定义 500

A.5.5通用设置 500

附录B Cisco Secure IDS体系结构 507

B.1 Cisco Secure IDS软件体系结构 507

B.1.1探测器体系结构 508

B.1.2 CSPM控制器体系结构 509

B.2 Cisco Secure IDS通信 512

B.3 Cisco Secure IDS命令 512

B.3.1 nrstart 512

B.3.2 nrstop 513

B.3.3 nrconns 513

B.3.4 nrstatus 513

B.4 Cisco Secure IDS目录结构 514

B.3.5 nrvers 514

B.4.1 Cisco Secure IDS安装目录 515

B.4.2 bin目录 515

B.4.3 etc目录 515

B.4.4 var目录 516

B.5 Cisco Secure IDS配置文件 516

B.5.1什么是配置文件? 517

B.5.2入侵检测 517

B.5.3设备管理和拦阻令牌 523

B.5.4控制器和警报转发 524

B.5.5 日志和日志设置 525

B.5.6 FTP传送和FTP传送令牌 526

B.6 通信 526

B.6.1 故障管理 526

B.6.2 Cisco Secure IDS组织 528

B.6.3 Cisco Secure IDS主机 528

B.6.4 Cisco Secure IDS路由 528

B.6.5 Cisco Secure IDS目的地 529

B.6.6 Cisco Secure IDS授权主机 530

B.6.7 Cisco Secure IDS服务 530

B.6.8 Cisco Secure IDS应用 531

附录C Cisco Secure IDS Director基本故障排除 533

C.1控制器问题 533

C.1.1控制器不运行 533

C.1.2控制器运行 536

C.2.2探测器连接问题 537

C.2.1 启动和停止Cisco安全守护进程的问题 537

C.2探测器问题 537

C.3 Oracle数据库问题 538

C.3.1不能确定Oracle是否已安装 538

C.3.2不能确定Oracle是否在运行 538

C.3.3 Oracle安装程序不安装Oracle 539

C.3.4找不到SQLPlus或SQLDR 539

C.3.5 SQLPlus不运行 539

C.3.6 Oracle不可用 539

C.3.8 Oracle认证连接失败 540

C.3.7 LD LIBRARY_PATH环境变量没有正确设置 540

C.3.9 Oracle返回用户/密码错误信息 541

C.4数据管理包问题 541

C.4.1 SQL查询语句不显示数据 541

C.4.2 SQL查询语句不正确显示数据 541

C.4.3未发送邮件通知 541

C.5.2 HP-UX性能问题 542

C.5.1 nrConfigure启动问题 542

C.5 nrConfigure问题 542

C.4.4数据库装载程序失败 542

C.6在线帮助和NSDB 543

附录D Cisco Secure IDS 日志文件 545

D.1 日志级别 545

D.2 日志文件命名习惯 546

D.2.1 IP日志文件 546

D.2.2 Cisco Secure IDS日志文件 546

D.4 关闭活动文件 547

D.3 日志文件位置 547

D.2.3服务错误日志文件 547

D.5归档日志文件 548

D.6事件记录域 548

D.6.1警报事件记录 548

D.6.2命令日志记录域 550

附录E高级技巧 553

E.1 改正不能嗅探的探测器 553

E.1.2检查packetd进程 554

E.1.1检验攻击情形的紧急程度 554

E.1.3验证监视接口是否真能观测到网络通信流 555

E.1.4检查日志文件以判断事件是否被探测到 556

E.1.5确认控制器和探测器能相互通信 556

E.1.6检查探测器的/usr/nr/etc/destinations文件以确认smid是一个定义了的目的地 557

E.1.7检查smid是否在控制器上运行着 558

E.1.8在控制器和探测器上检查错误日志 559

E.1.9呼叫Cisco技术帮助中心 560

E.2.2电缆要求 561

E.2.1 root登录限制 561

E.2 使用探测器串口作为控制台访问端口 561

E.2.3连接笔记本电脑至探测器 562

E.2.4配置超级终端(HyperTerminal)或其他通信软件包 562

E.3排除伪警报 562

E.3.1 CSPM特征过滤 562

E.3.2 Cisco Secure ID控制器特征调整 563

附录F Cisco Secure IDS特征结构和实施 567

附录G Cisco Secure IDS特征和推荐的报警级别 577

G.1通用特征 578

G.2连接特征 585

G.3字符串特征 586

G.4 ACL特征 587

附录H CiscoIOS防火墙IDS特征列表 589

H.1信息特征 590

H.2攻击特征 591

附录I Cisco安全通信部署工作表 593

附录J术语 597

K.1 第1章答案 603

附录K复习题答案 603

K.2 第2章答案 604

K.3 第3章答案 604

K.4 第4章答案 605

K.5 第5章答案 606

K.6 第6章答案 607

K.7 第7章答案 608

K.8 第8章答案 609

K.9 第9章答案 610

K.10第10章答案 611

K.11第11章答案 612

K.12第12章答案 613

K.13第13章答案 614

K.14第14章答案 615

K.15第15章答案 616

K.16第16章答案 617

K.17第17章答案 617