IDS 入侵防御检测 - 副本.doc

实验名称 IDS 入侵防御检测。 二 实验目的 学习IDS 相关配置，加深对IDS的深刻理解。 三 背景描述 某用户恶意攻击某 SERVER，IDS 检测非法攻击，上报并显示风险事件。 四 需求分析 需求：某用户恶意攻击某 SERVER，IDS 检测攻击并上报风险事件。 五 实验拓扑 PC1（攻击源）：192.168.1.2； PC2（被攻击）：192.168.1.253； IDS的MGT口：192.168.1.5； 其中交换机的2 端口作为镜像端口接IDS的MON口。 六 实验设备 设备 型号 数量 锐捷VPN 设备 RG-WALL IDS 100 1 台 锐捷交换机设备 1 台 Windows 系统的PC 机 2 台 直连线 2 根 交叉线 2 根 七 预备知识 1、网络基础知识、网络安全基础知识； 2、IDS 的基本内容、其工作模式； 八 实验原理 IDS通过内嵌的签名代码检测网络攻击。 九 实验步骤 第一步 准备好 PC1 和PC2 后，先在PC1和 PC2 上 安装 RG-IDS控制器、事件收集器管理软件。 第二步 搭建图示实验拓扑，然后配置 PC1、PC2、以及交换机。 PC1连交换机的4口，ip地址：192.168.1.2/24； PC2连交换机的3口，ip地址:192.168.1.253/24； IDS的MGT口连交换机的 1口,ip地址：192.168.1.5/24； IDS的MON口连交换机的2口； 第三步 配置交换机的端口镜像功能 登陆交换机 打开cmd，输入telnet 192.168.254.1。先输入enable，再使用用户名student，密码student登陆，如图： 指定PC1连接的端口0/1为源端口(也叫被监控口) 如果存在以配置好的镜像端口，则清除：no monitor session 1; 配置pc机所对应的端口。 第四步 开启 IDS 事件收集服务、安全事件相应服务，如图： 需要为IDS数据管理服务配置服务器地址，即：192.168.1.253。如图： 第五步 用管理控制台连接 EC（初始账号、密码均为：Admin） 第六步 选择添加用户，添加一个用户，并给予全部权限，如图： 第七步 添加 Sensor(传感器)组件，添加传感器组件时需要输入传感器名称、传感器管理地址、 通信密钥 （和 Sensor 本身保持一致），输入完对应内容后，先测试事件收集器和 Sensor的连通性，如连通正常，再添加 Sensor 组件。 进行连接测试： 第八步 应用策略，右键点击 sensor，选择应用策略选项。 本次实验使用ping攻击，所以打开icmp选项，选中pingofdeath项，重新设置MAX_ICMP_SIZE的值，如图： 打开组件标签，选中sensor，右键选择应用策略，应用策略zhang。 第九步 攻击源发起攻击。 第十步 IDS检测攻击，并在控制台上显示攻击事件。 第 7 页 共 9 页