CS-MARS初始化安装和快速安装
CS-MARS最大的优点之一是,无论您的技术水平如何,它都非常容易设置。初学者可以很容易地遵循本章的一步一步的过程,并在完成这些步骤后拥有一个完整配置的CS-MARS设备。实际上,无论您是系统管理员新手还是有经验的安全或网络工程师,这些步骤都是完全相同的,而且非常简单。
这本书描述了最初设置和安装CS-MARS的两种不同方法。第一种方法(在本章中介绍)涉及到将键盘和视频监视器连接到CS-MARS设备,并通过键盘直接输入完成初始设置。第二种方法在附录F“CS-MARS控制台访问”中定义。It involves connecting your PC using the asynchronous serial port of your CS-MARS device and a terminal emulator and entering the initial configuration information on your keyboard. After you have successfully configured your CS-MARS device, you can access the device using the CS-MARS web interface. This requires the Microsoft Internet Explorer v6.x application, the Adobe VGA Viewer IE plug-in, and a network connection to the CS-MARS appliance.
为部署启用CS-MARS设备需要执行的初始步骤如下:
第1步完成最初的CS-MARS配置。
第2步使用CS-MARS web界面输入系统参数。
完成初始的CS-MARS配置
在完成对CS-MARS初始配置是一个简单的九步过程。完成此过程后,您可以使用Web界面,将设备添加到CS-MARS设备数据库所需的附加步骤,并且还配置系统参数访问您的CS-MARS设备。这些步骤构成了初始配置过程:
第1步将视频和键盘连接到CS-MARS背板上。
第2步启动CS-MARS装置。
第3步使用工厂默认用户名和密码登录到CS-MARS。
步骤4更改默认的用户名和密码。
步骤5设置时区或同步到NTP服务器。
步骤6设置所需的日期。
步骤7设置所需的时间。
步骤8设置IP地址,你的CS-MARS接口。
步骤9确保CS-MARS设备与管理管理工作站之间的连接。
以下是对初始化CS-MARS设备所需执行的步骤的描述:
1 .将视频和键盘连接到CS-MARS背板-当设备关闭电源时,只需将标准的计算机显示器和视频电缆连接到CS-MARS背板上的视频。连接好视频后,只需将标准键盘和键盘线插入CS-MARS背板上的键盘端口。看到图5 - 2。
CS-MARS底板
步骤2电源的CS-MARS设备上-将CS-MARS电源电缆插入设备背板,然后插入标准110伏交流电源插座。设备上有两个开关用于供电;首先按下CS-MARS背板上的电源开关,然后取下面板,按下设备前部的电源开关。
步骤3登录到CS-MARS使用出厂默认的用户名和密码-当CS-MARS设备完成其电源循环时,会出现用户名提示。输入pnadmin用户名和密码。
步骤4更改默认的用户名和密码进入命令passwd;系统将提示您更改用户名和密码。因为CS-MARS是一个重要的设备在网络中,并已获得最安全,网络,主机和服务器设备,它的使用,这将是非常困难的猜测,如果有人获得物理或远程访问密码的最佳实践此设备。一般准则是具有更大的使用密码比包含大写字母,小写字母,数字八个字符和特殊字符。在任何情况下你的密码是可以在字典,英语或其他能找到的单词。
第5步设置时区或同步到NTP服务器-您需要做的第一步是手动设置您的CS-MARS设备所在的时区,或者将您的CS-MARS设备指向NTP服务器。如果不同步CS-MARS设备、管理工作站和报告设备之间的时间,您将面临几个潜在问题:
-管理工作站将不能连接到CS-MARS设备,因为自签名证书将过期。
- 对CS-MARS报告的日期将是不准确的。这是特别是如果你使用的是CS-MARS数据取证分析问题或者您计划在法律沉积或在审判中使用这些数据。
CS-MARS的一个基本特性是将来自许多不同网络和安全设备的事件日志和警报关联起来。这些设备可以位于世界任何地方,任何时区。要使CS-MARS能够准确地将信息关联到公共时间源,而不考虑地理位置,您必须配置准确的日期、时间和时区。日期、时间和时区可以手动设置,但是将您的设备指向权威网络时间协议(NTP)服务器会更容易、更准确。
方法通过CLI手动设置时区时区设置命令。输入命令后,文本向导将引导您完成定义时区的过程。
6 .设定理想的日期-出于同样的原因,您需要同步时区,您还需要确保在您的CS-MARS设备上设置了正确的日期。与时区一样,可以手动设置日期,也可以使用NTP服务器同步和设置日期。使用CS-MARS CLI命令dd / mm / yyyy日期设置当前日期。
7 .设定所需时间-The相同的逻辑和的推理适用于设定所希望的时间。与时区,该时间可以手动设置或可以被同步,并使用NTP服务器设置。使用CS-MARS CLI命令时间为hh:mm:ss的设置当前时间。
第8步设置IP地址为你的CS-MARS接口-Theifconfig命令用于在CS-MARS接口上设置IP地址。这个命令使用标准的UNIXifconfig语法。在本书的示例中,我们在CS-MARS接口上使用默认IP地址。以太网0的默认IP地址是192.168.0.100,以太网1的默认IP地址是192.168.1.100。这些IP地址中的任何一个都可以用于通过管理工作站进行管理访问。
要更改您的CS-MARS接口的IP地址,使用CLI命令的ifconfig eth0的
每次IP地址更改时,CS-MARS都需要重新启动系统。
步骤9确保CS-MARS设备和管理管理工作站之间的连接您需要确保在您的CS-MARS设备和管理工作站之间具有SSL/HTTPS访问和网络连接。可以使用平命令,可以使用浏览器验证管理协议连接性并进入HTTPS://192.168.0.100(或用于CS-MARS接口的IP地址)。如果ping或浏览器访问失败,您必须与网络管理员一起确保在工作站和设备之间有路由,并且没有访问列表阻止TCP端口443或ICMP通信。
完成这些步骤后,继续到下一节添加设备和设置系统参数以激活CS-MARS设备。
使用CS-MARS Web界面输入系统参数
唯一支持的CS-MARS web界面浏览器是Internet Explorer (IE) v6.0 SP1;假设更高的版本会起作用。在使用浏览器访问您的保安设备之前,您必须作出以下更改:
关闭网页缓存-这确保当前的网页总是从CS-MARS设备返回。如果不执行此步骤,那么在更改CS-MARS配置并使用浏览器检查配置时,您可能看到的是旧数据,而不是刚刚进行的更改。
将IE配置为中等安全级别- 这使得能够通过网络接口所需的ActiveX控件和脚本。
将IE配置为媒体的隐私级别-默认情况下,这允许cookie的正确操作所需的CS-MARS web界面。
配置IE以允许从CS-MARS弹出窗口-CS-MARS使用弹出窗口显示几种不同类型的信息。没有此配置,您将无法使用CS-MARS web界面。你的系统可能有其他弹出窗口拦截器除了默认的IE拦截器;你必须确保它们都被设置为允许从CS-MARS弹出。
如果您有让您的系统上的这些变化有任何问题,请参见思科网站上的优秀详细的一步一步的描述。您可以通过浏览访问该信息http://www.cisco.com/go/mars并点击安装和升级联系;然后点击CS-MARS 4.1的链接安装和设置指南。
输入系统参数来激活您的CS-MARS设备
现在您已经有了正确的浏览器、正确的浏览器配置、到您的设备的连接以及设备的IP地址,您已经准备好进行一些基本配置并激活您的设备。
下面是激活您的CS-MARS设备的一步一步的过程。
第1步输入您的用户名和密码。所显示的屏幕图5 - 3出现了。默认的用户名和密码是pnadmin / pnadmin。
CS-MARS许可证输入面板
第2步为您的CS-MARS设备输入许可密钥。这应该与您的设备一起发货。如果未包含或您将其放错位置,请发送电子邮件至licensing@cisco.com或浏览思科的许可网站以获得许可。
你会发现,无论你选择的GUI什么选择,系统提示您输入许可证密钥。
第3步输入许可密钥后,CS-MARS会显示一个屏幕,用于输入设备的初始配置。
显示的屏幕包含要输入的单元格(参见图5 - 4)。
-第二个CS-MARS接口的IP地址
——默认网关
——邮件网关
- DNS地址信息
步骤4为每个字段输入所需的值。
CS-MARS基本配置面板
步骤5确保包含DNS地址。CS-MARS设备生成包含源和目标IP地址的报告。只要您定义了DNS服务器,CS-MARS设备就会解析这些名称。如果没有定义DNS服务器,则必须手动解析地址,这将严重影响分析过程的速度和准确性。
步骤6您可以灵活地使用CS-MARS设备的接口。CS-MARS接口提供的基本功能是数据采集和设备管理。这些接口可以用于上述任何一种目的。例如,可以使用一个接口进行设备管理或事件收集,或者同时使用两个接口。还可以选择一个接口用于数据收集,另一个接口用于设备管理。
步骤7在生成警报或报告时,CS-MARS使用邮件信息向特定邮件地址发送警报或报告,因此适当填充该字段非常重要。
步骤8输入数据后,单击更新按钮在页面底部。这会将数据发送到设备并保存配置。
CS-MARS报告设备设置
现在已经为CS-MARS配置了基本参数并连接到设备,接下来必须添加将与CS-MARS设备通信的设备。本节概述如何设置报告设备。有关如何配置报表设备的详细信息,请参阅思科安全MARS本地控制器的用户指南。本文件位于思科网站:http://www.cisco.com/go/mars。点击产品文献、支持和文档的链接。
CS-MARS支持三种主要类型的设备:
基于硬件的安全设备-这些设备是传统的网络和安全设备,如路由器、交换机、安全设备、防火墙、web代理和入侵预防设备。
基于软件的安全设备- 软件设备是在主机或服务器上运行的应用程序。这些措施包括Apache Web服务器,IIS服务器或其它基于软件的网络和安全服务。
ON-DEMAND安全服务-这些是由供应商使用中央安全操作中心或管理中心提供的基于订阅的服务。
添加设备
两种方法用于输入装置信息转换为CS-MARS:
手册设备条目
逗号分隔变量(CSV)种子文件导入
手册设备条目
设备输入的第一种方法是手动方法。使用此函数,可以将所有已知设备输入到CS-MARS中,使CS-MARS能够将它们的信息用于日志集成、日志关联和拓扑发现。要求您为每个设备输入以下信息。然而,这个列表并不是绝对的。例如,在某些情况下,您不能输入SNMP-RO信息;在其他情况下,您可能无法输入用户名和密码。别担心这个。输入你能输入的信息,CS-MARS将使用从你提供的信息中收集到的任何信息。
以下是您可以使用设备添加到CS-MARS的一般信息列表。但是请注意,大多数设备只需要该信息的一个子集CS-MARS开始通信。
设备名称(必需)
访问IP地址(用于Telnet、SNMP或SSH访问设备的IP;需要)
报告数据的来源IP地址;需要)
访问类型(的Telnet,SSH,FTP)
用户名
密码
启用密码
配置路径
文件名
SNMP-RO团体字符串
监控资源使用情况
接口的IP地址和子网(需要的路径计算只)
如果设备没有进入CS-MARS或CS-MARS,器具进行分类配置不当并报告它接收作为任何数据“未知报告设备”,并从这些装置中的数据未在CS-MARS用于攻击分析。
CS-MARS更令人印象深刻的特性之一是,当你进入你的网络和安全设备的信息,CS-MARS使用这些信息来访问这些设备,分析了设备配置,分析界面参数,并分析路线和内容可寻址存储器(CAM)表来确定你的网络拓扑。这将在第4章“CS-MARS技术和理论”中详细讨论。
在您的CS-MARS设备上手动添加设备时,需要执行以下步骤。
第1步在CS-MARS GUI,导航到面板添加装置:管理员>安全监测信息。图盘中是用于添加网络设备的启动面板。
添加设备面板
访问此面板后,单击添加按钮,进入一个新的设备。图5 - 6出现了。
CS-MARS设备配置面板
第2步你必须从…中选择设备类型下拉列表。这些是具有CS-MARS支持的报告特性的默认设备。图5 - 7显示这些设备,并按基于hw的安全设备、基于sw的安全设备和按需的安全设备对它们进行分类。
CS-MARS设备下拉菜单
请注意,这是在这个下拉列表支持的设备不仅是思科的设备,但设备从最流行的安全厂商。第6章,“报告和缓解设备配置,”有支持的设备和供应商的完整列表。以下是第三方的部分清单厂商是CS-MARS支持:
- 思科系统
——极端的系统
——防火墙
- Network Appliance公司
——国际空间站
——Qualsys
第3步在本章的示例中,添加一个思科入侵防御5.0设备。
选择从Cisco IPS 5.x的设备类型下拉菜单。您将看到添加ips5的面板。中所示的x装置图5 - 8。注意,由于并非所有设备都具有相同的配置特征和报表格式,因此根据所选设备的不同,此屏幕可能会有所不同。
IPS设备输入面板
步骤4您必须填写以下信息才能使该设备成为CS-MARS报告设备:
- - - - - -设备名称-这是已配置IPS CLI或IPS web接口作为此设备的设备名的名称。
- - - - - -知识产权报告-这是该设备管理接口的IP地址。确保此接口可路由到CS-MARS设备。在本例中,IPS设备的地址是192.168.0.222。
- - - - - -登录-这是IPS设备的管理用户名。
- - - - - -密码-这是IPS设备的管理密码。
- - - - - -港口-Unless IPS设备上以其它方式配置,这个值应始终为443。
- - - - - -监控资源使用情况选择是的如果您希望CS-MARS在此设备使用过多硬件资源时报告。
- - - - - -监控网络-此选择告诉CS-MARS此设备将发送此表中定义子网成员的IP地址的警报信息。重要的是在这些字段中放置适当的信息,因为CS-MARS使用这些数据进行路径计算和警报数据。最佳实践是进入精确这个IPS设备监视的网络内部的子网。不要汇总这些条目!如果在“选择网络”下拉列表中没有出现所有子网,则可以使用“定义网络选择”手动将它们放入。在本例中,被监视的网络是192.168.0.0/24和192.168.1.0/24。
还必须确保在IPS设备上,CS-MARS设备的地址包含在IPS的“允许”访问列表中。第6章将深入讨论铯-火星访问的准备设备。
步骤5完成此配置面板后,必须单击测试连接按钮。您将看到一个屏幕,显示此设备的发现正在进行中。如果发现失败,将出现Internet Explorer弹出屏幕。如果成功,Internet Explorer会弹出一个屏幕,显示“发现完成”。
步骤6发现该设备后,必须单击提交按钮将IPS设备添加到您的设备清单。
步骤7将设备添加到设备列表后,需要激活工作。选择激活按钮,在CS-MARS窗口的右上角。
激活是在CS-MARS的世界很重要。当您通过Web界面的改变,更改被写入CS-MARS数据库,但直到它们被激活不生效。激活是通过选择简单地实现激活按钮。
激活后,你的CS-MARS屏幕看起来像图5 - 9。
CS-MARS添加了设备列表
还可以通过导航到拓扑页面并验证IPS设备的图标已添加到摘要页面来确认CS-MARS识别了您的设备,如图5 - 10。您的拓扑结构应该表现出你的CS-MARS设备,被显示为第2个交换机两个子网,和IPS你刚才装设备。在该配置中,IPS设备的地址是192.168.1.222。这两个子网192.168.0.0 192.168.1.0,并显示为,因为该接口的IP地址的连接路由到CS-MARS设备和IPS设备显示有两个原因这些地址:的管理界面IPS盒子网192.168.0.0,而当我们添加的设备,我们告诉CS-MARS的IPS设备监控192.168.0.0 192.168.1.0和。
CS-MARS网络拓扑显示
这个使用SSL的示例只是向CS-MARS添加设备的许多不同方法之一。SNMP很重要,不应该被忽略。CS-MARS广泛使用来自SNMP设备数据库的信息来发现网络拓扑,并将其作为一种更改配置以减少攻击的方法。发现和缓解将在第4章中深入讨论。
这些Cisco设备通过CS-MARS设备提供SNMP支持:
思科自适应安全设备
思科IOS路由器,版本12.2或更高
思科PIX防火墙
思科交换机/卡托催化剂
思科交换机/ IOS催化剂
思科虚拟专用网络(VPN)集中器,版本4.03和更高
CSV文件导入
从上一节,其中介绍了如何手动添加设备,你可能已经注意到,添加设备是容易的,但,这将是非常耗时添加多台设备。如果你有20台或更多设备的企业,你需要添加到CS-MARS数据库,它可能是有意义的使用CSV文件导入,其目的是增加多台设备。
必须以特定的格式创建CSV文件,以便CS-MARS能够正确地将信息用于其预期目的。每个条目包含相同的信息图5 - 6说明了这一点。
一个CSV文件的详细格式记录在思科安全MARS本地控制器用户指南,可以在思科网站上找到http://www.cisco.com/go/mars。按照直到你的链接,产品资料,支持和文档找出标题文档思科安全监控、分析和响应系统安装和设置指南,4.1版。在该文件中,搜索字符串“添加使用的种子文件的多个设备。”
在使用所有设备和适当的访问信息创建CSV文件之后,必须将该文件导入到CS-MARS中。
使用CSV设备导入文件(种子文件)
首先,为需要添加到CS-MARS的每个设备创建一个条目。这个文件称为种子文件。
对于每一个设备和CSV种子文件格式的信息被列在附录C,“CS-MARS补充剂”。
下面是一个种子文件示例,可用于将一个PIX防火墙、两个NetScreen设备和两个IOS设备导入CS-MARS。
192.168.10.1,,,照片、TELNET,思科,,,,,,,,,,,24.3.24.100,,,防火墙,SSH,防火墙,ns3146wsdf,,,,,,,,,,,, 192.168.10.2,,,防火墙,SSH,防火墙,tt160p91,,,,,,,,,,,, 50.1.1.200、、、IOS、TELNET、Qa $ 1 * 5英尺,gt * j15美元,,,,,,,,,,10.10.10.1、、、IOS、TELNET、telnetpass123,,,,,,,,,,
在本例中,为了简单起见,我们添加了一个PIX 7.0防火墙,并在种子文件中使用以下信息。
PIX7X 192.168.0.150,,,, ssh, sshuser, cisco123,思科
第1步创建种子文件后,您需要再次导航到管理员>安全监测信息面板。这一次,不是添加设备,而是单击从种子文件加载按钮。浏览器弹出提示您输入种子文件的FTP位置。第5 - 11图显示此示例使用的提示和值。
CS-MARS种子导入配置面板
第2步种子文件已经提交之后,CS-MARS自动发现在你的种子文件,并通知您使用浏览器弹出时,设备已被发现的设备。
第3步然后,您必须导航回上一个屏幕并单击激活按钮。
步骤4然后,与手动添加设备时一样,转到Summary页面并查看拓扑图以查看您的设备。
创建用户和组
为部署准备CS-MARS设备的下一步是创建允许与CS-MARS设备交互的用户和组。
您可以创建四种类型的用户来管理您的CS-MARS环境:
管理
安全分析师
通知只
操作符
每个用户类型都有一组特定的函数,可以在CS-MARS设备上执行。
管理- 这是一个超级用户的等价物。管理员帐户对CS-MARS设备的完全控制。该pnadmin帐户的唯一帐户可以通过SSH访问CS-MARS的CLI操作。
安全分析师-该用户可以访问CS-MARS web界面和CLI的所有区域,除了管理配置面板。
通知只-这些帐户可以接收电子邮件或报告生成的CS-MARS。这些用户只能查看与他们收到的通知相关的报告数据。
操作符操作员可以访问CS-MARS设备GUI,但以只读模式。这种类型的用户不能对系统进行更改。
以下步骤描述了如何将用户添加到CS-MARS。
第1步首先,您必须导航到管理>用户管理。如果使用默认安装,则创建的惟一用户是pnadmin用户,标记为Administrator (pnadmin)。
第2步您设置帐户之前,你需要确定每个用户需要访问的CS-MARS设备,然后什么功能用户的需求来进行。通过那你输入的每个用户管理>用户管理配置面板并将它们与相应的组相关联。
CS-MARS允许您为每个用户输入大量的信息数据。应该将尽可能输入所有数据视为最佳实践。在许多行业中,法规要求您这样做,但如果您需要在威胁响应过程中联系CS-MARS用户,这也可以节省大量时间。
配置NetFlow和漏洞扫描
在这一点上,你的CS-MARS设备是能够接受和分析日志和安全警报,但增加了NetFlow和漏洞扫描,你的CS-MARS设备将成为一个更强大的安全解决方案。
添加的NetFlow使CS-MARS识别异常流量和基线网络行为。