《SVN网络诱捕系统用户手册.docx》由会员分享,可在线阅读,更多相关《SVN网络诱捕系统用户手册.docx(24页珍藏版)》请在三一办公上搜索。
1、网络诱捕系统用户手册Version 1.0关于本手册版权声明上海沪景信息科技有限公司版权所有,保留一切权利。本文件中出现的任何文字叙述、文件格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海沪景信息科技有限公司所有,受到有关产权及版权法保护。非经本公司书面许可,任何单位和个人不得擅自拷贝、传播、复制、泄露本文档的全部或部分内容。信息更新 本手册仅用于为最终用户提供信息,并且上海沪景信息科技有限公司可以随时更改或撤回。如需要获取最新手册,请联系上海沪景信息科技有限公司技术支持部。目录1、前言3*文档范围3*读者对象3* 缩写和术语32、产品安装及配置3* 将网络诱捕系统接入网络3*
2、 ANT设备安装4* 日志、服务器仿真、镜像数据存储模块安装4* ANT配置5* ANT 网管5* 配置管理员新增及登录6* 服务资源配置7* 服务器资源7* 虚拟地址池8* 虚拟化策略8* 服务器网管策略9* 允许所有用户网管9* 允许部分用户网管10* 服务器ACL10* 允许与所有服务器建立连接10* 允许与部分服务器建立连接10* 策略统计11* 日志模块配置11* 远程镜像配置11* 镜像配置12* 日志模块配置13* 日志模块网管13* 设备配置14* 抓包配置14* 固定组合抓包15* 自由组合抓包15* 攻击信息查看15* 首页15* 攻击记录16* 攻击IP统计16* 目标端
3、口统计17* 会话日志17* ARP日志18* ICMP日志18* 服务器仿真模块配置193 缺省参数和安全特性20* 网络20* 用户20* 端口21* 安全特性21* 透明无IP地址设备21* 完备的系统日志211、前言本手册适用于WEB方式管理的网络诱捕系统,本手册主要面向管理员、市场支持人员介绍如何配置和管理“网络诱捕系统”。本手册对产品的功能特性进行了说明,对安装使用环境提出要求,为您正确使用“网络诱捕系统”提供便利。u *文档范围文档包括系统介绍部分u 文档包括系统运行环境介绍u 文档包括常用操作说明介绍u *读者对象实施工程师u 技术支持工程师u 测试工程师u 客户处技术负责人与
4、网络管理员u * 缩写和术语管理机:用于通过WEB及后台的方式对网络诱捕系统进行配置等操作2、产品安装及配置* 将网络诱捕系统接入网络网络诱捕系统通常由ANT设备(诱导模块)及日志模块、服务器仿真模块、镜像数据存储模块组成。自主研制的FPGA架构诱捕器ANT为硬件产品,用于在网络中放置虚拟IP,诱惑病毒扫描及攻击,同时将流量转发到服务器仿真模块中。日志模块为软件,安装于Linux系统上,用于分析攻击流量并将结果展现在WEB页面上。服务器仿真模块为虚拟机,安装于Linux系统上,用于响应攻击者的攻击流。镜像数据存储模块,用于存储网络中的攻击数据,可提供深度的网络攻击内容分析。* ANT设备安装在
5、ANT前面板上有三种网络接口,分别标识由“Console”和“MGT”,业务口。Console 口与MGT口用于与管理机进行信息交互。业务口用于诱捕及转发网络中流量。根据三种接口的不同功能,将其接入网络。通常情况下,网络诱捕系统旁挂在用户的网络中,通常与用户的交换机进行连接。网络诱捕系统可旁挂的位置,可以分为两种:一种旁挂在用户网络的接入交换机上,另一种则是旁挂在用户网络的汇聚层交换机上。用户可根据自身网络特性选取正确的旁挂位置,将网络诱捕系统接入到网络中。简单的ANT接入图,如下所示:* 日志、服务器仿真、镜像数据存储模块安装 为了保证日志模块、镜像数据存储模块的安全,建议在实际部署的过程中
6、,将三个模块分别部署在不同的机器上,在此称之为分开部署方式。此种部署方式的优点在于当服务器仿真模块被攻陷时,攻击者将无法通过服务器仿真模块对日志及镜像数据存储模块进行破坏。它的缺点在于硬件成本增加,需要三个不同的机器。另外一种部署方式,将日志、服务器仿真、镜像数据存储模块都部署在同一台机器上,称之为集中部署方式。此种部署方式的优缺点与分开部署方式刚好相反。用户可根据自身的需求,选择不同的部署方式。简单的日志、服务器仿真、镜像数据存储模块部署方式,如下所示:* ANT配置* ANT 网管ANT可以使用HTTPS方式对设备进行WEB网管。HTTPS有较好的安全性。下面是ANT的WEB网管。在管理机
7、上,启动IE,在地址栏中输入 *,打开登录页面。在登录页面输入管理员帐号和密码,出厂默认管理员账号为“admin”,密码为“NTc2010”。页面登录成功:* 配置管理员新增及登录ANT出厂时,没有创建具有配置管理员权限的用户。管理员若需要对设备配置进行修改,需要手动添加具有配置管理员权限的用户。使用admin 用户登录ANT设备后,点击“系统管理员”进入系统管理员页面点击新增按钮,新增配置管理员,再输入用户名及密码使用配置管理员登录ANT配置管理员登录成功* 服务资源配置服务资源指服务器仿真模块所开放的端口。用于诱捕网络中的异常流量。单击系统设置服务资源菜单项,进入到服务资源配置页面。该页面
8、可以查看现有的服务资源配置。单击新增按钮,可新增服务资源配置。* 服务器资源服务器资源是日志模块、服务器仿真模块的信息。包括名称、IP、VLAN、MAC、连接的物理端口等信息。单击系统配置服务器资源菜单项,进入到服务器资源页面。单击新增按钮,可新增服务器资源。* 虚拟地址池虚拟地址池是用户网络中可用的虚拟IP的集合。单击系统配置虚拟地址池菜单项,进入到虚拟地址池页面。单击新增按钮,可新增虚拟地址池。* 虚拟化策略虚拟化策略能够将服务器仿真模块开放的服务映射不同虚拟IP上。映射后的IP并不存在,当网络中的攻击者访问虚拟IP的端口时,诱捕系统会将流量导向服务器仿真模块。同时ANT会将攻击流量的信息
9、发送到日志模块,记录攻击流量信息。在菜单栏中单击网络虚拟化虚拟化策略,进入到虚拟化策略配置页面。该页面可以查看已配置的虚拟化策略单击新增按钮,新增虚拟化策略单击删除所有按钮,可删除所有虚拟化策略。单击对应虚拟化策略的修改超链,可对相应虚拟化策略进行修改。单击对应虚拟化策略删除超链,可删除相应的虚拟化策略。* 服务器网管策略ANT设备默认情况下,禁止局域网中除攻击流量之外的其他流量被转发到日志及服务器仿真模块。但为了满足用户对日志及服务器仿真模块的网管需求,ANT允许用户配置服务器网管策略,允许部分用户或者所有用户对日志及服务器仿真模块的网管。* 允许所有用户网管在菜单栏中单击网络虚拟化服务器网
10、管策略,进入到服务器网管策略页面单击新增按钮,新增所有用户网管策略* 允许部分用户网管单击新增按钮,新增部分用户网管策略* 服务器ACLANT设备默认情况下,禁止日志模块、服务器仿真模块主动与外网建立连接。在特殊情况下,用户会允许日志模块、服务器仿真与外网的部分或者所有服务器建立连接。ANT允许用户配置服务器ACL,允许日志模块、服务器仿真与外网的部分或者所有服务器建立连接。* 允许与所有服务器建立连接在菜单栏中单击网络虚拟化服务器ACL,进入到服务器ACL页面单击新增按钮,允许与所有服务器建立连接* 允许与部分服务器建立连接单击新增按钮,新增部分用户网管策略* 策略统计策略统计主要用于查看虚
11、拟化策略、服务器网管策略及服务器ACL的匹配情况。策略统计可以查看到虚拟化策略、服务器网管策略及服务器ACL的包数量。在菜单栏中单击网络虚拟化策略统计,进入到策略统计页面。该页面可以查看策略的统计情况。* 报表中心配置系统配置报表中心配置页面用于配置日志模块的IP及端口等信息。只有配置正确的日志模块地址,才能保证日志模块正确记录攻击流信息。* 远程镜像配置网络配置远程镜像配置页面用于指定攻击流量远程镜像时的外层IP封装信息。* 镜像配置在菜单栏中单击系统维护镜像镜像类型,进入到镜像类型配置页面。在页面中选择相应的单选按钮,如全部,再点击确定在菜单栏中单击系统维护镜像输入镜像,进入配置页面配置网
12、络侧接口(与用户交换机相连的接口)的输入镜像,并点击确定在菜单栏中单击系统维护镜像输出镜像,进入配置页面配置网络侧接口(与用户交换机相连的接口)的输出镜像,并点击确定* 日志模块配置* 日志模块网管日志模块安装成功后,需要在接口配置IP才能网管。首先,修改日志模块网管的IP地址为172.16.5.213(用户环境可以自行配置其他IP)。如下图所示:日志模块可以使用HTTPS方式进行WEB网管。下面是日志模块的网管。在管理机上,启动IE,在地址栏中输入 *,打开登录页面。在登录页面输入管理员帐号和密码,出厂默认管理员账号为“admin”,密码为“admin”登录成功* 设备配置日志模块必须指定A
13、NT的IP地址,才能解析ANT发送的攻击流量信息。在设备管理设备采集配置页面,点击新增,添加ANT信息。添加ANT信息* 抓包配置系统设置网络配置 抓包 页面用于配置及查看接口抓包信息。查看已有抓包文件* 固定组合抓包固定组合抓包方式只支持IP+端口的过滤的方式。当IP及端口配置为固定IP及端口时,表示只抓取此IP的固定端口的流量,其他流量将不会被抓取。配置完成后,需要保存配置,否则设备重启后,抓包程序将停止工作。* 自由组合抓包固定组合抓包方式支持灵活的包过滤方式。该组合方式支持Tcpdump 程序的所有正确过滤条件,可实现灵活的过滤抓包。配置完成后,需要保存配置,否则设备重启后,抓包程序将
14、停止工作。* 攻击信息查看* 首页用户可以在首页查看最新24小时攻击IP,攻击端口,攻击记录前十* 攻击记录用户可以在攻击统计攻击记录页面查看所有攻击流信息,默认情况下页面只显示最近24小时之内的统计。用户可在查询页面输入条件进行查询* 攻击IP统计用户可以在攻击统计攻击IP统计页面查看所有攻击者的IP信息,默认情况下页面只显示最近24小时之内的统计。用户可在查询页面输入条件进行查询* 目标端口统计用户可以在攻击统计目标端口统计页面查看所有被攻击端口的信息,默认情况下页面只显示最近24小时之内的统计。用户可在查询页面输入条件进行查询* 会话日志用户可以在行为日志会话日志页面查看所有经过ANT设
15、备的会话信息,包括正常转发及丢弃会话的信息,默认情况下页面只显示最近24小时之内的统计。用户可在查询页面输入条件进行查询* ARP日志用户可以在行为日志ARP日志页面查看所有用户到虚拟IP的ARP请求日志,默认情况下页面只显示最近24小时之内的统计。用户可在查询页面输入条件进行查询* ICMP日志用户可以在行为日志ICMP日志页面查看所有经过ANT设备的ICMP日志,包括正常转发及丢弃的ICMP会话,默认情况下页面只显示最近24小时之内的统计。用户可在查询页面输入条件进行查询* 服务器仿真模块配置服务器仿真模块安装完毕后,需要在后台对该模块进行配置。首先在服务器后台上执行cd /home/ho
16、neypot 命令,进入honeypot目录。使用vagrant halt 命令,关闭已经打开的仿真服务器。使用 vagrant destroy 命令,删除掉原有的仿真服务器。根据需要修改配置文件Vagrantfile,使用vi Vagrantfile 将ifconfig eth1命令的IP地址及掩码,修改为对应的IP及掩码,再把默认网关修改为对应的网关。同时需要配置正确的桥接端口。然后输入:wq 保存文件并退出编辑。 执行vagrant up 命令,开启新的仿真服务器。执行vagrant ssh 命令,进入到仿真服务器,使用ifconfig 命令确认IP地址配置正确。使用ip route命令
17、确认网关配置正确。输入exit 可通出仿真服务器,回到服务器上。使用cd /home 命令,进入/home 目录,vi honeypotstart.sh ,将文件中的Sleep 120 秒,改成10秒,然后输入esc :wq 命令保存文件并退出。完成以上步骤后,服务器仿真模块已可以正常使用了。当设备重启或是重新开机时,服务器仿真模块的启动比服务器启动需要多花1分半钟左右。 3 缺省参数和安全特性* 网络ANT默认IP:MGT:192.168.0.2/24Lpbk0:10.10.10.1/24* 用户ANT 默认用户:超级管理员,用户名:admin,密码:NTc2010观察员,用户名:guest,密码:NTc2010日志模块默认用户:管理员,用户名:admin,密码:admin* 端口ANT 使用以下端口进行网管:TCP 8888,TCP 2222日志模块使用以下端口进行网管:TCP 443,TCP 22服务器仿真模块开放以下端口:TCP 21,22,25,110,143,139,3306,995,993,445, UDP 68* 安全特性* 透明无IP地址设备ANT的业务口无IP地址,攻击者无法通过业务口对ANT进行扫描和攻击。用户对ANT的访问通过带外方式进行。* 完备的系统日志ANT及日志模块保存了用户对设备的所有操作的日志,在系统出现问题时,可以通过日志寻找问题的原因。
