网络安全监控实战

译者序

序

前言

第一部分　准备开始

第1章　网络安全监控基本原理 2

1.1　NSM简介 3

1.1.1　NSM阻止入侵吗 3

1.1.2　NSM和持续监控的区别 6

1.1.3　NSM与其他方法相比如何呢 7

1.1.4　NSM为什么有效 8

1.1.5　如何配置NSM 8

1.1.6　NSM何时无效 10

1.1.7　NSM合法吗 10

1.1.8　在NSM作业期间如何保护用户隐私 11

1.2　一个简单的NSM测试 11

1.3　NSM数据的范围 12

1.3.1　完整内容数据 13

1.3.2　提取的内容数据 15

1.3.3　会话数据 17

1.3.4　事务数据 18

1.3.5　统计数据 19

1.3.6　元数据 21

1.3.7　警报数据 23

1.4　所有这些数据的关键是什么 25

1.5　NSM的缺点 26

1.6　在哪购买NSM 26

1.7　到哪里寻求支持或更多信息 27

1.8　结论 27

第2章　收集网络流量：访问、存储和管理 28

2.1　试验性NSM系统的网络示例 28

2.1.1　简单网络中的网络流 29

2.1.2　NSM的潜在位置 32

2.2　IP地址与网络地址转换 33

2.2.1　网络块 33

2.2.2　IP地址分配 34

2.2.3　地址转换 34

2.3　选择实现网络可见性的最佳位置 37

2.3.1　观察DMZ网络流量的位置 37

2.3.2　观察无线网络和内网流量的位置 37

2.4　对流量的物理访问 39

2.4.1　用交换机实现流量监控 39

2.4.2　使用网络窃听器 40

2.4.3　直接在客户端或服务器上捕获流量 40

2.5　选择NSM平台 41

2.6　10条NSM平台管理建议 42

2.7　结论 43

第二部分　SO部署

第3章　单机NSM部署与安装 46

3.1　单机或服务器加传感器 46

3.2　选择如何将SO代码安装到硬件上 49

3.3　安装单机系统 50

3.3.1　将SO安装到硬盘上 50

3.3.2　配置SO软件 53

3.3.3　选择管理接口 55

3.3.4　安装NSM软件组件 56

3.3.5　检查安装 59

3.4　结论 61

第4章　分布式部署 62

4.1　使用SO的.iso映像安装SO服务器 62

4.1.1　关于SO服务器的一些考虑 63

4.1.2　创建SO服务器 63

4.1.3　配置SO服务器 64

4.2　使用SO的.iso映像安装SO传感器 66

4.2.1　配置SO传感器 66

4.2.2　完成配置 68

4.2.3　验证传感器正在工作 68

4.2.4　验证autossh隧道正在工作 69

4.3　使用PPA创建SO服务器 69

4.3.1　安装Ubuntu服务器作为SO服务器操作系统 70

4.3.2　选择静态IP地址 71

4.3.3　更新软件 73

4.3.4　通过PPA配置SO服务器 74

4.4　使用PPA创建SO传感器 75

4.4.1　安装Ubuntu服务器作为SO传感器操作系统 75

4.4.2　将系统配置为传感器 77

4.4.3　运行设置向导 78

4.5　结论 81

第5章　SO平台的日常管理 82

5.1　及时更新SO 82

5.1.1　通过GUI更新 82

5.1.2　通过命令行更新 83

5.2　限制对SO的访问 84

5.2.1　通过SOCKS代理连接 85

5.2.2　改变防火墙策略 86

5.3　管理SO数据存储 87

5.3.1　管理传感器存储 88

5.3.2　检查数据库驱动器的使用 88

5.3.3　管理Sguil数据库 89

5.3.4　跟踪磁盘使用 89

5.4　结论 90

第三部分　工具

第6章　命令行下的数据包分析工具 92

6.1　SO工具种类 92

6.1.1　SO数据表示工具 92

6.1.2　SO数据收集工具 93

6.1.3　SO数据传送工具 93

6.2　运行Tcpdump 94

6.2.1　用Tcpdump显示、写入和读取流量 95

6.2.2　使用Tcpdump过滤器 97

6.2.3　从Tcpdump输出中提取细节 99

6.2.4　用Tcpdump研究完整内容数据 99

6.3　使用Dumpcap和Tshark 100

6.3.1　运行Tshark 101

6.3.2　运行Dumpcap 101

6.3.3　使用Tshark分析Dumpcap捕获的流量 102

6.3.4　对Tshark使用显示过滤器 103

6.3.5　Tshark显示过滤器应用示例 105

6.4　运行Argus和Ra客户端 106

6.4.1　停止及启动Argus 106

6.4.2　Argus文件格式 107

6.4.3　研究Argus数据 107

6.5　结论 110

第7章　图形化数据包分析工具 111

7.1　使用Wireshark 111

7.1.1　运行Wireshark 111

7.1.2　在Wireshark中查看数据包捕获 112

7.1.3　修改默认的Wireshark布局 112

7.1.4　Wireshark一些有益的特性 115

7.2　使用Xplico 121

7.2.1　运行Xplico 122

7.2.2　创建Xplico实例和会话 123

7.2.3　处理网络流量 123

7.2.4　检查解码的流量 124

7.2.5　获取元数据和汇总流量 126

7.3　使用NetworkMiner检查内容 127

7.3.1　运行NetworkMiner 127

7.3.2　收集和组织流量细节 128

7.3.3　描绘内容 130

7.4　结论 131

第8章　NSM控制台 132

8.1　以NSM为中心查看网络流量 132

8.2　使用Sguil 133

8.2.1　运行Sguil 134

8.2.2　Sguil的6个关键功能 135

8.3　使用Squert 144

8.4　使用Snorby 145

8.5　使用ELSA 148

8.6　结论 151

第四部分　NSM实践

第9章　NSM操作 154

9.1　企业安全周期 154

9.1.1　规划阶段 155

9.1.2　抵抗阶段 155

9.1.3　检测和响应阶段 155

9.2　收集、分析、升级和解决 156

9.2.1　收集 156

9.2.2　分析 159

9.2.3　升级 162

9.2.4　解决 164

9.3　补救 167

9.3.1　使用NSM改进安全 167

9.3.2　创建CIRT 168

9.4　结论 169

第10章　服务器端攻击 170

10.1　服务器端攻击的定义 170

10.2　服务器端攻击实战 171

10.2.1　启动Sguil 172

10.2.2　从Sguil查询会话数据 173

10.2.3　再谈警报数据 176

10.2.4　使用Tshark检查完整内容数据 178

10.2.5　理解后门 180

10.2.6　入侵者做了什么 181

10.2.7　入侵者还做了什么 184

10.3　浏览会话数据 185

10.3.1　搜索Bro DNS日志 186

10.3.2　搜索Bro SSH日志 187

10.3.3　搜索Bro FTP日志 188

10.3.4　解码遭窃的敏感数据 190

10.3.5　提取被盗的归档 191

10.4　后退一步 192

10.4.1　阶段1总结 192

10.4.2　阶段2总结 192

10.4.3　后续步骤 193

10.5　结论 193

第11章　客户端攻击 194

11.1　客户端攻击的定义 194

11.2　客户端攻击实战 195

11.2.1　获取用户的事件报告 196

11.2.2　使用ELSA开始分析 197

11.2.3　查找丢失的流量 201

11.3　分析Bro dns.log文件 202

11.4　检查目的端口 204

11.5　研究命令控制通道 206

11.5.1　初始访问 207

11.5.2　改善shell 211

11.5.3　总结阶段1 212

11.5.4　转向另一个受害者 212

11.5.5　安装隐秘隧道 213

11.5.6　枚举受害者 214

11.5.7　总结阶段2 215

11.6　结论 215

第12章　扩展SO 217

12.1　使用Bro跟踪可执行文件 217

12.1.1　用Bro计算下载的可执行文件的散列 217

12.1.2　向VirusTotal提交散列 218

12.2　使用Bro从流量中提取二进制程序 219

12.2.1　配置Bro从流量中提取二进制程序 220

12.2.2　收集流量来测试Bro 221

12.2.3　测试Bro：从HTTP流量中提取二进制程序 222

12.2.4　研究从HTTP中提取的二进制程序 224

12.2.5　测试Bro：从FTP流量中提取二进制程序 224

12.2.6　研究从FTP中提取的二进制程序 226

12.2.7　向VirusTotal提交散列和二进制程序 226

12.2.8　重启Bro 228

12.3　使用APT1情报 230

12.3.1　使用APT1模块 230

12.3.2　安装APT1模块 232

12.3.3　生成流量来测试APT1模块 232

12.3.4　测试APT1模块 233

12.4　报告恶意二进制程序的下载 235

12.4.1　使用Team Cymru的Malware Hash Registry 235

12.4.2　MHR和SO：默认有效 236

12.4.3　MHR和SO与恶意程序下载 237

12.4.4　识别二进制程序 238

12.5　结论 240

第13章　代理与校验和 241

13.1　代理 241

13.1.1　代理与可见性 242

13.1.2　处理生产网络中的代理 245

13.2　校验和 246

13.2.1　好的校验和 246

13.2.2　坏的校验和 246

13.2.3　使用Tshark识别好的和坏的校验和 247

13.2.4　坏的校验和如何产生 249

13.2.5　Bro与坏的校验和 249

13.2.6　设置Bro忽略坏的校验和 251

13.3　结论 253

第14章　总论 254

14.1　云计算 254

14.1.1　云计算的挑战 255

14.1.2　云计算的好处 256

14.2　工作流、度量与协作 257

14.2.1　工作流和度量 257

14.2.2　协作 258

14.3　结论 259

附录　SO脚本与配置 260

全球顶端安全公司FireEye（火眼）首席安全战略官、网络安全公司Mandiant首席安全官撰写，深入解读网络安全监控的核心思想、工具和很好实践，从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击，详细讲解网络安全监控（NSM）主流工具的使用。
　　全书分为四部分，共14章：第1部分（第1～2章）系统讲述了NSM的基本原理以及如何部署传感器以应对各种挑战；第二部分（第3～5章）讲解SO在硬件上的安装与配置，SO的单机与分布式环境的安装与部署，以及SO平台的运行维护；第三部分（第6～8章）主要介绍NSM工具链的应用，涵盖命令行和图形化的数据包分析工具（发现问题），以及NSM控制台（启动检测和响应流程）；第四部分（第9～14章）为实战部分，讲解如何建立有效的NSM团队，发现并制止服务器端和客户端的攻击，利用Bro来扩展SO成果，代理与校验和的识别和利用，NSM在云和协作环境下应用的新思想。
　　网络安全并不简单是坚不可摧的防御墙——志坚意决的攻击者终将突破传统的防御手段。网络安全监控（NSM）整合了最有效的计算机安全策略——收集并分析数据，以助你检测和响应入侵。
　　在本书中，火眼公司首席安全战略官、Mandiant首席安全官Richard Bejtlich向你展示了如何使用NSM在网络周围增添一个坚固的保护层，而无须先验知识。为避免使用“过高”或“不灵活”的解决方案，他使用开源软件和中立厂商的工具教你部署、创建及运行NSM。
　　通过阅读本书，你将会学到：
　　如何确定在哪里部署NSM平台，并根据受监控的网络进行调整。
　　如何部署单机或分布式NSM设备。
　　如何使用命令行和图形化包分析工具及NSM控制台。
　　如何从服务器端和客户端入侵截获网络证据。
　　如何将威胁情报整合到NSM软件来识别高级对手。
　　没有百分之百安全的方式能将攻击者阻止在你的网络之外，但是当他们侵入时，你需要有所准备。本书展示了如何构建一张安全之网，来检测、牵制并控制他们。攻击不可避免，但丢失敏感数据的情况则不应当发生。

全球顶端安全公司FireEye首席安全战略官、Mandiant公司首席安全官撰写，深入解读网络安全监控的核心思想、工具和很好实践。
　　从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击，系统且全面地讲解网络安全监控的主流工具，帮助你有效检测和响应网络入侵。