思科CSMARS Guide.ppt
CS-MARS GuideMornitoring Analysis Response System,Agenda,MARS定位安全管理技术的系统模型及发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,问题的提出,目前网络安全方面面临最大的问题是什么?,Visibility,管理!,针对安全事件的响应,企业网络安全首要目标:,以最佳的方式保持网络的正常运行,安全管理问题主要归结,对实时安全信息不了解,无法及时发出预警信息。,安全设备的管理往往是孤立的安全设备,缺乏整个“网络”的意识,事件发生后,无法及时确诊网络故障的原因或感染源/攻击源,网 络业务恢复时间长。,对某些特定安全事件没有适合的方法,如DDoS攻击,蠕虫病毒等。,缺乏“经验丰富”的网络安全专家去监控,分析,解决问题;成本比较高。,IT管理者的期望:,安全的网络 一个能集中管理所有产品 信息、智能化的安全管理中心,安全网络系统模型,安全的网络 是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务,安全感知和管理,具有自我防御能力的网络系统。,安全的网络安全网络管理模型,信息安全管理体系结构的改变,系统安全管理,安全设备管理,加强安全管理的需求,安全的网络安全网络管理模型安全信息管理管理中心(SMC),网络系统安全管理部件,配置定义安全策略部署安全配置校对安全配置,监控检查,校对,报告安全信息可视化显示安全威胁保存审计数据,响应自动生成消除威胁的动作和其他安全技术协同工作,分析智能化将离散数据变成有序数据查看建议配置审计,安全信息管理技术的发展,Focused on collecting and storing large quantities of event dataNormalizing&aggregating dataRapid log reading functionality,多级关联直观显示集成的事件响应管理内置的知识库风险和威胁分析评估高扩展性和冗余,SIM安全信息管理,SEMSecurity Event Management,Focused on collecting and storing large quantities of event dataNormalizing&aggregating dataRapid log reading functionalitySingle phase correlation,Syslog Collectors,STM安全威胁管理,网络拓朴识别直观显示拓朴集成的事件处理管理威胁确认威胁缓解建议提供解决方法,安全信息管理技术的发展,SIMS和STM的主要区别,中心化的Logg收集,有限的事件汇集和事件关联功能,没有网络智能的感知,只是孤立的设备信息,基本的告警信息,工作流管理和报告功能;缺乏及时性,集成网络智能,出众的事件汇总分析和关联,提供精确的安全事故告警,形象的拓扑描述攻击源和目的、路径,提供L2/L3的处理方法(IOS命令等),网络关联,感知NAT,DHCP,识别L2/L3信息,Netflow流的处理,MARS的解决之道,性/价格比低,部署成本高,需要专业的安全知识,维护工作繁琐,最低的TCO,容易部署和使用,最大化投资保护,传统SIMs的手段,较低的性能/昂贵的硬件平台,完全相关的事件处理能力 10,000 EPS 和 300,000 flows/sec的NetFlow处理能力,STM标准,大幅度精简数据:可以将数百万个安全事件缩减为数百个实际报告的网络事件。,及时制止攻击:该设备具有足够的性能和内置智能,可以在攻击导致整个网络发生中断之前发现攻击并推荐制止措施。,端到端的网络感知功能:利用各种网络设备和终端系统的所有配置信息,MARS设备可以集成NAT和MAC地址信息,以图形化的方式指出攻击者、目标和网络热点,以便采取对策。,集成化的脆弱性评估:STM设备可以确定某个可能的网络攻击是真的攻击还是误报,从而进一步减少警报数量和加快响应速度。,事件关联引擎(已经申报专利):STM设备的高性能进程间关联功能和非常灵活的规则框架有助于及时地分析和制止事件。,One Click Tuning(单键调节):STM设备的用户可以迅速有效地发现需要立即加以关注的实际问题,同时为提高运行效率而对系统进行必要的调整,并且不丢失任何稍后可能需要的事件数据,业界领先的STM安全威胁管理设备-思科监控分析和响应系统(MARS),利用您的现有投资来创建“普遍计算”关联来自企业各处的数据NIDS,防火墙,路由器,交换机,CSA系统记录,SNMP,RDEP,SDEE,NetFlow,终端事件记录迅速定位和抵御攻击,主要特性根据设备信息、事件和“会话”,来确定安全事件了解事件的拓扑,以便查看和重放在 L2 端口和L3检测点进行防御高效扩展,可实时使用,思科 CS-MARS工作流程,来自不同安全设备的海量安全信息进入CS-MARSCS-MARS对安全事件信息进行规则化统计CS-MARS对安全事件信息进行规格化对地址翻译信息和连接状态信息进行关联处理对安全信息进行规则关联-丢弃规则-系统预定义规则-用户自定义规则虚假错误信息分析处理对可疑主机进行弱点评估,以过滤虚假信息统计流量模型来发现异常,CS-MARS减少原始网络事件数据量和制止网络攻击的创新流程步骤1,网络上的多个设备不仅包括安全设备(防火墙和IDS),还包括网络设备(路由器和交换机)和终端系统(服务器)发送日志和网络信息,CS-MARS减少原始网络事件数据量和制止网络攻击的创新流程步骤2,进程化TM可以利用网络拓扑感知功能将多个事件汇总成端到端的进程。,CS-MARS减少原始网络事件数据量和制止网络攻击的创新流程步骤3、4,步骤3)基于进程的主动关联TM可以利用内置的和用户定义的规则,将关于多个进程的信息与获取的NetFlow数据关联到一起,以发现可能的完整网络攻击 步骤4)对于每个可能的攻击,该设备会进行自动的脆弱性扫描。,CS-MARS减少原始网络事件数据量和制止网络攻击的创新流程步骤5、6,步骤5)CS-MARS设备会将实际的攻击通知操作人员,并告知上述制止方法。精确跟踪TM可以自动搜集主机信息(准确到MAC地址级别),获得关于实际事件的完整信息。步骤6)单键调节,CS-MARS 流程典型例子,Agenda,MARS定位安全管理技术的系统模型及发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,异常监测,抑制,Commercial,MSSP/SP,审计/依从,SIMS和STM的不同定位,CiscoWorks SIMS,监控/报告,STMMonitoring Analysis Response System(MARS),Agenda,MARS定位安全管理技术的系统模型和发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,企业用户的安全管理需求,如何管理多厂商安全设备?-思科 CS-MARS 支持多厂商设备,网络Cisco IOS 11.x 和 12.x,Catalyst OS 6.xNetFlow v5/v7NAC ACS 3.xExtreme Extremeware 6.x防火墙/VPNCisco PIX 7.x,IOS Firewall,FWSM 1.x&2.2,VPN Concentrator 4.x,Cisco ASACheckPoint Firewall-1 NG FPx,VPN-1NetScreen Firewall 4.x,5.xNokia FirewallIDSCisco NIDS 3.x&4.x,5.x,IDSM 3.x,4.x,5.xEnterasys Dragon NIDS 6.xISS RealSecure Network Sensor 6.5,7.0Snort NIDS 2.xMcAfee Intrushield NIDS 1.xNetScreen IDP 2.xSymantec ManHunt 3.x,漏洞评估eEye REM 1.xFoundstone FoundScan 3.x主机安全Cisco Security Agent(CSA)4.xMcAfee Entercept 2.5,4.xISS RealSecure Host Sensor 6.5,7.0Symantec AnitVirus 9.x主机记录Windows NT,2000,2003(有代理和无代理)SolarisLinux系统记录通用设备支持应用Web 服务器(IIS,iPlanet,Apache)Oracle 9i,10i 数据库审查记录Network Appliance NetCache,Note:Visit for complete device support listinghttp:/,发生了什么安全事件?,网络上的多个设备不仅包括安全设备(防火墙和IDS),还包括网络设备(路由器和交换机)和终端系统(服务器)发送日志和网络信息。,发生了什么安全事件?-MARS从海量数据中识别风险,Events Raw messages(e.g.IDS&Firewall logs)sent to the CS-MARS by the Reporting DevicesSessions A series of events that share a common end to end(5-tuples)information:Destination/Source IP,Destination/Source Port and ProtocolIncidents A series of sessions that matched a defined rule,发生了什么安全事件?-集成自动脆弱性扫描工具,对于每个可能的攻击,进行自动的脆弱性扫描检查攻击是否成功到达目标目标是否的确可能遭受攻击自动脆弱性扫描会使用关于终端系统的信息发现误报,制定规则以减少将来对可能攻击的分析和处理。CS-MARS integrates with 3rd party VA(Foundstone and eEye)vendors to perform the analysis.,Event,Incident,Rule匹配检查,利用网络拓扑发现同一个进程的不同事件和流程MARS采用专利算法,利用拓扑知识和设备配置信息,将不同设备产生事件关联到同一个进程,创造出整个攻击环境 利用网络拓扑减少误报识别同一个进程的事件,分析攻击从源到目的地的拓扑路径,发现某个攻击是否的确到达了预定的目的地 利用网络拓扑发现最理想的防御点通过分析从攻击者到预定目的地的路径,将距离攻击者最近的设备定为最理想的防御点 利用网络拓扑发现攻击路径和网络热点利用网络拓扑提高证据分析能力通过识别NAT地址解析和攻击者MAC地址提供大大增强的证据分析能力,哪儿发生了安全事件?-MARS拥有端到端的网络拓扑感知能力,高效能进程化和基于进程的主动关联,哪儿发生了安全事件?-MARS自动识别攻击路径/攻击源/攻击目标,SureVector 分析方法显示准确的攻击路径通过下拉菜单,可以查询全部的事件和原始事件数据对异常现象和攻击行为找出真实的源泉更加全面和准确,1.Host A Port Scans Target X2.Host A Buffer Overflow Attacks XWhere X is behind NAT device andWhere X is Vulnerable to attack3.Target X executes PasswordAttacks Target Y locateddownstream from NAT Device,防火墙,攻击路径显示,事件攻击拓朴显示,如何处理安全事件?-MARS可以给出对安全事件的建议方法,路由器上的缓解建议,交换机上的缓解建议,在加入网络之后,MARS会用几天时间适应网络使用模式。随后切换到检测模式,查找重要的异常行为,例如当前值比标准偏差高出两到三倍的情况。PN MARS可以精确地监控网络使用情况,跟踪在每天的每个小时中发现的数据流和交换分组的TOP(主机、端口)组合信息(数量可设置)。智能采集系统动态地存储异常行为的整个NetFlow记录(主机,端口),轻松地获知安全事件的整个环境,例如受感染的源、目的地端口等。所提供的内置规则可以自动地将异常行为与网络IDS系统所报告的攻击关联到一起。即使没有安装一个网络IDS系统,一个遭受某种未知攻击的主机也可能会表现出上述异常行为,从而被MARS轻松发现。,如何发现异常现象?-MARS接受Netflow并给出异常现象报警,在CS-MARS上启动Netflow,MARS基于硬件一体化结构基于图形界面的配置/部署,可以在很短时间内完成实施简单的二层部署结构无需agent代理对不同的网络规模,有相应的设备类型性价比好,很适合企业用户,是否简单易用?-MARS易于使用,MARS满足企业用户的安全管理需求,Agenda,MARS定位安全管理技术的系统模型和发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,产品总结:CS-MARS 主要组件,智能网络拓扑发现事件进程化管理风险关联分析流量异常分析误报分析响应与缓解脆弱性评估报表,CS-MARS的技术特点及优势,更高的功能,更低的价格TCO,支持多种主流网络安全设备,最大化投资保护大幅度精简数据及时制止攻击端到端的网络感知功能(AutoMitigateTM)集成化的脆弱性评估(SureVectorTM)事件关联引擎(ContextCorrelationTM 已经申报专利)性能优化和扩展 快速的在线处理 超过10,000 EPS 的全功能处理 高容量的RAID存储,持续的NFS归档 全局控制器支持分布式的CS-MARS管理,Agenda,MARS定位安全管理技术的系统模型和发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,MARS全线产品信息,CS-MARS 20R 投入4-5万元人民币就搭建一套图形化安全管理和攻击监控系统,MARS如何选择型号?,MARS有Local Controller 20,50,100E,100,200和Global Controller,如何选择?Global Controller是在有多个Local Controller,需要统一管理时才需要对于Local Controller的型号选择主要是计算EPS(event/per second),利用CISCO公司内部的计算EPS的工具。计算MARS数据保存力,在知道EPS值和MARS型号的前提下,计算需要保存多长时间的数据,则需要多少的存储空间,利用CISCO公司内部的计算EPS的工具。,与Arcsight的比较,Arcsight优点提供中文界面基于软件,较为灵活支持Role Base的界面基于数据库,提供向外的报告,Arcsight弱点不支持拓扑发现不支持异常监控不支持防护方法建议安装很复杂价格高,性价比差,国内其他类似厂商及其他竞争对手比较,安氏,绿盟,启明星辰,联想等,主要提供SOC安全运营中心解决方案,提供中文的界面相比MARS系统复杂,无法提供基于网络拓扑的识别,攻击防护建议,流量异常监控等,价格高,维护复杂国内公司的SOC安全解决方案的核心部件数据关联处理,还是依靠国外公司:安氏采用E-security,有的公司采用 Arcsight,有的采用韩国的产品,MARS的二层部署模式,交换机,VPN,路由器,无线,Sw2,交换机/NIDS,应用,=主机IDS,记录HIDSAV,记录HIDSAV,商用,内部,输入,管理网络,外部,DBMS,URL/AV 过滤器,输出,Mail GW,FW/NAT,AAA,Web,内部,MARS成功案例,目前国内成功案例,Agenda,MARS定位安全管理技术的发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,MARS的设计和部署总结建议,如果MARS只单纯用于网络和安全设备的管理,以一个大型园区为例有如下设备:防火墙:10台IPS:2台路由器:20台三层交换机:20台二层交换机:100台各种设备每秒钟产生的事件数为:防火墙:100 大量的访问产生大量的日志;IPS:100 通常在网络关键点,流量较大,安全事件较多;路由器:50 启动Netflow的情况下,事件较多;三层交换机:100 启动Netflow以后,内网互访的流量导致事件较多;二层交换机:1 不启动Netflow,事件较少。,MARS的设计和部署总结建议,1、因此,整个园区网每秒钟发生的事件数量为:10*100+2*100+20*50+20*100+100*1=4300 因此建议使用处理能力达到5000EPS的MARS 100作为园区网的LC使用。2、由于MARS对被管理设备的版本要求比较高,所以建议Cisco的设备都升级到较高的版本(如IOS升级到12.2或以上,PIX使用6.3以上版本,ASA使用7.0以上版本,IPS使用5.0以上版本)。,Agenda,MARS定位安全管理技术的发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,MARS 拓扑自动发现,配置MARS管理IP地址,通过https:/X.X.X.X 登進MARS之后(缺省用户名密码pnadmin/pnadmin),点进ADMIN页面。点 Community String and Networks 选项,填入要发现的拓扑IP 网段和Community string之后,按ADD,填完相关IP网段之后,按Submit。,MARS 拓扑自动发现,配置定时发现设备。选择 ADMINToplogy/Monitored Device Update Scheduler 选择default Discovery Group-edit(选择定时发现的时间段和发现的有效网段)。完成后,按Run now。,MARS 拓扑自动发现,检查新发现的设备列表。选择AdminSecurity Monitor Devices,可以看到发现的设备清单。,MARS 手动添加安全设备,点击ADMIN-Security Monitor Devices,添加需要增加管理的设备。一个添加设备.在添加安全设备时,MARS上需要添加设备的软件版本要与设备的版本一致,而且被管理的设备的软件版本需要满足MARS的需求(软件版本请查阅MARS的Release Notes)。为了让MARS了解网络详细拓扑,需要把每台要加入的设备的 login password,enable password 和snmp community配置对。填完之后,按Discovery,此时设备已经添加完毕。,MARS 手动添加安全设备,要使CS-MARS收集的安全设备的数据,还必须都将安全设备的日志信息发给CS-MARS。因为每种安全设备的日志设置不完全一样,这里以PIX的设置为例说明:logging enablelogging trap warningslogging history notificationslogging host X.X.X.X,MARS 配置Netflow信息采集,配置MARS的Netflow配置。选择AdminNetflow Configuration,配置Netflow使用的UDP端口,并加入需要分析的Netflow报告的网络,不指定加入则分析所有网络。,MARS 配置Netflow信息采集,配置网络设备的Netflow。以路由器为例,需要作如下配置:ip flow-export version 5ip flow-export source FastEthernet 0/1ip flow-export x.x.x.MARS 地址interface FastEthernet0/1ip flow ingressip flow egress,Agenda,MARS定位安全管理技术的发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,MARS 拓朴结构及设备查看,MARS通过对所有被管理安全设备的分析,可以生成完整的网络拓扑图。进入 Summary 页面,在Hotspot Graph 面板按 full topo graph 就可以看到整体的拓朴结构。可以通过右键操作,放大和缩少这个拓扑图。图中所画的云是被管理安全设备接口直连的网段。,MARS 拓朴结构及设备查看,每个图标代表一种安全设备,以下是MARS的图标示例:,MARS 拓朴结构及设备查看,通过点击相应的图标,可以查看对应设备的信息。设备信息能够提供设备型号,名称,软件版本,接口的MAC地址等信息。,MARS 系统统计信息,MARS可以实时地显示系统的统计信息,如收到的安全事件数量,分别属于什么等级(高、中、低),收到的session数量,收到的Netflow事件数量,以及进行关联后,信息的压缩比率等。,MARS 安全事件操作 查看Incident,MARS具有丰富详尽的安全事件查看功能,管理员能够通过MARS的界面即使地获得网络当前发生的事件。在summary页面中,可以点击查看攻击事件的整个拓扑。,MARS 安全事件操作 查看Incident,点击Incidents 页面,该页面已列出近来发生incident 清单。,MARS 安全事件操作 查看Incident,选中相应的Incident ID 之后,按view,就可以查看事件详细信息,比如下图就是一个完整的蠕虫攻击的实例,可以看到一个安全事件是由分析多个攻击session而得出来的。,MARS 安全事件操作 查看Incident,选中相应的Incident ID 之后,按view,下图是一个ICMP Flood攻讦的部分内容示例。,MARS 攻击分析,MARS可以实现具体攻击的分析,通过对某个安全事件的查看,就能得到攻击的类型,源、目标和攻击跳板的信息。以下就是MARS生成的一个具体攻击的攻击拓扑图。,MARS 攻击分析,MARS可以实现具体攻击的分析,通过对某个安全事件的查看,就能得到攻击的类型,源、目标和攻击跳板的信息。以下就是MARS生成的一个具体攻击的攻击拓扑图。下图列出了一个安全事件的攻击拓扑图,图中显示攻击源,攻击目标,攻击的session号,当选择某个session号时,会弹出小窗口,显示此session的详细信息。,MARS 攻击缓解,MARS有攻击缓解的功能,即针对某个攻击,它能够向管理员提出第三层的攻击缓解建议,让管理员手动实施;或者向管理员提出第二层的攻击缓解建议,并可以选择手动实施或自动实施。在详细攻击事件信息图中,选择Collapse选项,就可以看到攻击还击标志(红色),点击白色拓扑标志之后,就可查看到攻击事件路径图。,MARS 攻击缓解,点击红色缓解标记之后,MARS就会提出针对这个攻击的相应缓解建议。第二层的缓解建议可以通过点击 Push键应用到设备上。,Agenda,MARS定位安全管理技术的发展趋势CS-MARS市场定位CS-MARS如何满足用户的需求CS-MARS的技术特点及优势CS-MARS产品介绍MARS的设计和部署总结CS-MARS Security Solution部署步骤Demo展示 MARS 功能简介及配置 MARS 管理 MARS 报表功能,MARS 报表举例 最多报告事件设备统计,按照报告事件数量的多少对所有的被管理设备进行排序。管理员通过这个报表可以了解在网络中的哪里产生最多的事件,那些设备报告的事件最多。,MARS 报表举例 最大命中规则统计,按命中的安全规则数进行排序的统计。管理员通过这个报表可以知道系统中发生最多的问题在哪里。,MARS 报表举例 DoS事件报告,显示DoS攻击的统计。通过这个报表,可以了解过去一段时间里,发生了何种DoS攻击,数量分别是多少。,MARS 报表举例 过去1天最大访问目的IP端口报告,显示了过去一天内,对目的IP端口访问的排序。从图中可以发现,对445端口的访问在某个时段有突发性的增长,而且占了所有端口的70%以上,说明在这个时段肯定发生了蠕虫爆发,管理员通过这个报表就可以循序渐进地找到问题点,进行系统优化。,