在本章中,您将学习需要配置的基本步骤和部署CS-MARS平台。讨论的主题包括以下:
在你的网络中部署CS-MARS
CS-MARS初始设置和快速安装
CS-MARS报告设备安装
创建用户和组
配置NetFlow和漏洞扫描
配置CS-MARS系统维护
配置系统参数
在前面的章节中,你学到了安全威胁缓解(STM)和安全信息管理(SIM)之间的差异。了解在你的环境中部署STM的优点,你现在通过必要的高层次的系统参数,使CS-MARS作为STM系统进行初始配置和设置的步骤走。
本章讨论了部署CS-MARS的第一步,即确定它在网络中的安全位置。它解释了如何配置网络通信和警报通知所需的信息,并包含了如何使用CS-MARS web界面添加将向CS-MARS设备报告的设备的说明。您将学习如何添加用户和组来管理您的CS-MARS设备,以及如何使用NetFlow和配置漏洞扫描,这将显著提高攻击识别的准确性。最后,您将了解系统维护任务以及如何配置系统参数。
应用本章中的信息后,你将有一个全面运作的CS-MARS STM设备。
在你的网络中部署CS-MARS
你开始配置你的CS-MARS设备之前,你需要做的,其中CS-MARS应该放在网络中的关键决策。这一决定是为您的网络的安全性和数据准备,并从CS-MARS设备的安全性非常重要。你的CS-MARS设备的数据和CS-MARS设备本身是谁想要危害你的网络攻击者的主要目标。
如果黑客能够访问进出您的CS-MARS设备的数据流,那么他们能够收集到的一些信息包括以下内容:
IP地址
设备名称
源和目标对
攻击信息
漏洞信息
操作系统信息
在CS-MARS盒本身将是一个首要目标,因为如果攻击者能够访问中,他们可能会改变政策和隐藏的攻击,他们可能会发动针对您的重要资产。
由于此设备及其数据的重要性,您不希望将其放置在容易受到攻击的地方,或者攻击者可能运行网络嗅探器并获取有关您的网络的信息的地方。
网络布局
通常要放置CS-MARS在你的网络的一部分,其中普通用户用不上。这些网络被称为出带外网络。相反,在带内网络是网络,其中用户,语音和视频数据的位置。相对于外的带外(OOB)网络,带网络被认为是不安全的。带网络很容易受到多种类型的通过该攻击者可以获得的装置和增益的杠杆控制的网络或网络上的嗅探流量在攻击其他装置的攻击;然后,攻击者可能会学到重要的信息,如设备配置,IP地址,用户名或密码。由于出带外网络没有用户的工作站,它们被认为是更安全的。当然,所有这些信息假定当管理员建立的带内和带外网络中,交换机和路由器,用正确的命令配置使网络之间的攻击者无法“跳”。
由于出带外网络被认为是更安全,我们建议您将您的CS-MARS设备和所有其他的安全管理设备,如密码服务器,系统日志服务器,网络时间协议(NTP)服务器和域名服务在这些网络中(DNS)服务器。图5 - 1显示了在OOB网络中常见的部件的一个非常简单的图示。
用于管理设备的OOB网络是一个“理想”的最佳实践,有时这是不可能实现,因为距离的限制,接口的限制,以及其他各种因素的他们。在最好的,如果你需要将用户的网络管理的关键设备,你应该尝试是从来源和目的地为这些设备的流量进行加密。作为替代方案,如果管理交通需要穿越你的带内网络,你应该始终保持防火墙和入侵防御设备的组合,保护用户网络的管理设备。
底线是,根据网络的设置方式,CS-MARS应该部署在最安全的区域。表5-1列出了从最安全到最不安全的网络类型,并解释了每个区域的假定安全级别。
管理网络
表5-1CS-MARS的网络布局
网络连接类型 |
描述 |
OOB管理网段 |
这是你的CS-MARS设备的首选网络段。应该有除由安全管理员无用户访问。确保所有的开关都锁定,以防止第2次的攻击,并且没有打开的端口,黑客可以在连接PC。 |
带内加密 |
您应该将CS-MARS在带网络只有当你可以加密所有数据将和来自CS-MARS设备的到来。这保证了即使攻击者访问你带网络,他们不能盗取网络和攻击数据通过这个网络去。另外,还要确保所有的开关都锁定,以防止第2次的攻击,并且没有打开的交换机端口,其中一个攻击者可以连接一台PC。在这个网络方案的最大风险,是指攻击者可以猜测的对家电的CS-MARS设备,并尝试蛮力密码攻击的IP地址。如果你有相同的网络管理接口上的IPS设备,你将能够识别并减轻这些类型的攻击。 |
带内设备保护 |
如果不能对进出CS-MARS设备的数据进行加密,那么应该在CS-MARS盒和用户网络之间安装防火墙和网络入侵预防(IPS)设备。攻击者应该忙得不可开交,因为他们需要弄清楚如何在这些设备到位的情况下直接攻击该设备。 |
带内 |
不推荐使用此场景,应该不惜一切代价避免。这使攻击者随意尝试嗅探数据离开网络,并试图以家电管理权限。 |
CS-MARS安全性加强
前面的“网络布局”一节详细介绍了应该如何将CS-MARS作为关键的安全网络组件对待,并确保在网络中正确部署它。你不应该被吓倒;好消息是,在安装CS-MARS时,除了管理用户名和密码之外,这是惟一需要担心的任务。通常,在业务或企业网络中部署主机、服务器、网络或安全设备时,需要在使用新设备之前完成几个任务。以下是一系列典型的安全最佳实践,取决于设备的类型:
应用当前的操作系统补丁
应用当前应用程序补丁
分析配置和删除可能被恶意网络活动所利用不需要的服务
关闭或安全设备保护的纯文本服务
正确应用限制连接到网络内部的访问控制列表
启用审计功能
按照操作系统供应商的建议,应用注册表和文件共享安全性
从主要供应商安装防病毒软件
安装主机或服务器入侵防御
在CS-MARS平台上,开发人员已经为您完成了这些任务,或者通过设计完成,或者根据您在添加设备或设置全局参数时提供给CS-MARS设备的输入完成。
在CS-MARS设备是建立在Red Hat Linux操作系统已经被大量修改和增强安全性的CS-MARS开发。正因为如此,你将永远不会需要安装典型的操作系统组件或应用程序补丁。这种类型的维护是很常见的是安装在关闭的现成的操作系统(OS),安全软件等厂商。然而,思科已经向它的客户,如果安全漏洞在任何设备,包括CS-MARS的发现,它会立即提供一个补丁,以防止可能利用此漏洞的恶意软件。但是,应该指出的是,在写这本书,思科和盔甲护身已经运CS-MARS为三年以上,且无漏洞已经确定了这款产品。
其他主要的任务,你需要做的,如果你购买了一个现成的,现成的安全产品,商用操作系统上运行是关闭未使用的网络服务,如超文本传输协议(HTTP),简单邮件传输协议(SMTP),文件传输协议(FTP)和Internet控制消息协议(ICMP)。虽然不可能关闭所有的网络服务安装在一个现成的,现成的操作系统在安全设备上,CS-MARS无论是开发商已关闭不必要的服务,永远不会安装它们,或者已经修改已启用的服务消除已知的漏洞。在一些情况下,例如SMTP,开发商实现的协议仅允许通过CS-MARS所需的骨架的要求。
底线是你需要做最少的工作,以确保你的CS-MARS设备;大多数这些类型的任务已经由CS-MARS开发人员为您完成,或者是因为CS-MARS的架构。
表5-2列出了典型的网络和主机的硬任务,并说明如何CS-MARS要么做这些任务,你或消除的必要性,您要执行的任务。
除了传统的安全硬化任务,如前面提到的,CS-MARS增加了强化功能所必需的CS-MARS功能的协议的。
表5-2安全性加强任务
需要安全性加强任务 |
硬化达标 |
用户交互 |
应用当前操作系统的热修复 |
因为CS-MARS是在一个特殊的开发者版本的Red Hat Linux操作系统的编写,不需要操作系统修补程序。 |
您不需要采取任何行动,除非思科发布安全警报与此设备的软件补丁。 |
应用当前应用程序补丁 |
因为CS-MARS是在一个特殊的开发者版本的Red Hat Linux操作系统编写的,不需要应用程序补丁。 |
不需要采取任何行动上的一部分。 |
分析配置和删除可能被恶意网络活动所利用不需要的服务 |
CS-MARS开发商从来没有安装不需要的服务,他们修改现有服务,以减少或消除漏洞,攻击者可以利用的可能性。 |
不需要采取任何行动上的一部分。 |
哈登或删除明文服务,安全设备 |
CS-MARS使用的明文协议是Telnet和syslog。需要这些明文协议来支持大多数安全和网络设备使用的现有遗留报告和管理应用程序。 |
正如上一节的建议,如果你使用的是明文协议,您应该隔离你的CS-MARS设备的出带外网络,或者如果它遍历用户网络加密的明文数据。 |
正确地应用访问控制列表限制连接到您的安全设备 |
CS-MARS只与添加到其设备数据库中的设备通信,因此不需要访问控制列表。 |
不需要采取任何行动上的一部分。 |
打开审计功能 |
在CS-MARS设备中,默认情况下打开了完整的设备审计特性。 |
不需要采取任何行动上的一部分。 |
按照操作系统供应商的建议,应用注册表和文件共享安全性 |
CS-MARS开发人员编写的操作系统和CS-MARS的应用程序,这样一个注册表,因为我们知道它,不需要和文件共享不存在。 |
不需要采取任何行动上的一部分。 |
安装杀毒软件 |
由于CS-MARS是一种经过强化的操作系统,具有用于入站和出站连接的IP表,因此病毒爆发的概率非常低。 |
不需要采取任何行动上的一部分。 |
安装主机或服务器入侵防御 |
因为CS-MARS是硬化操作系统严格控制其操作环境和控制与代码可被执行的应用程序,利用的概率是非常低的。 |
您不需要采取任何行动,除非思科发布安全警报与此设备的软件补丁。 |
协议安全加固
CS-MARS在四个方面采用了附加协议安全性强化:
在强制执行协议的方向控制,它需要使用IP表家电
只允许本地协议访问
选择性地允许协议访问使用设备认证机制
沙盒您的计算机的命令行执行和内部数据库
强制方向控制在一些协议,这通常是双向的,CS-MARS,确保了入站流量不被接受。SNMP是这样的一个例子。CS-MARS使用SNMP高严重性事件的情况下,通知预定的用户,但SNMP对CS-MARS设备不接受入站流量;因此,SNMP服务器不能从外部利用。