恶意入侵检测

OpUtils提供的恶意入侵检测工具可帮助您侦测网络中未被授权的设备访问。从而发现无线/有线网中的恶意设备、接入点等。

• 配置恶意入侵检测工具

• 发现的设备

• 受信任的设备

• 访客设备

• 恶意设备

• 阻止/允许访问交换机端口

• 配置告警通知

• 恶意入侵检测的审计

配置恶意入侵检测工具

1. 从管理 --> 添加路由器页面，添加网络中使用的所有路由器、交换机以及网关服务器，并设置扫描计划。

2. 若要查看交换机各端口所连设备的情况，可使用交换机端口映射工具。

3. 若要将发现的设备自动移动到受信任的设备中，需要在设置 --> 活动目录页面添加您的活动目录域的详细信息。这样，与AD域中计算机匹配的设备将自动移动到受信任的设备中。

4. 也可将受信任设备的MAC地址导入，这样将标记相应的设备为受信任设备。

成功扫描网络之后，可进行以下操作：

• 验证所发现的设备信息，将网络中允许的所有设备标记为受信任设备。一旦被标记为受信任设备，其信息再次发现时将不再显示在发现页签之下。

• 将未知的或者未授权设备标记为恶意入侵设备。

• 为访客设备设置临时允许周期。

• 对恶意设备所连接的交换机端口，通过阻止访问交换机端口 阻止其继续访问网络。

返回顶部

发现的设备

OpUtils会按照设置的扫描计划，定期扫描路由器，交换机和网关服务器，以发现网络中的所有设备。

所有已发现的设备都将显示在页面的已发现的 页签下。管理员必须对它们进行验证，并作必要的标记处理。以下是可进行的操作：

• 将系统/设备标记为信任的

• 将系统/设备标记为访客，并为之设置有效期限

• 将系统/设备标记为恶意入侵设备，并对它们采取阻止端口，以防止未授权的访问

• 配置告警通知，以便及时得到通知。

返回顶部

受信任的设备

受信任的设备就是指网络中的有效的设备。可从选定已发现的设备，并将其标记为受信任的设备。一旦标记成功，这些设备将不再显示在发现的设备的页签下，而显示在信任的设备页签下。

要将某个设备标记为受信任设备

1. 点击恶意入侵检测页签。

2. 选择发现的 页签，它将列出在网络中发现的所有设备。

3. 选中那些有效的设备，点击标记为信任的。 要将所有发现的设备标记为有效设备，可直接点击全部标记为信任的链接。

已被标记为信任的设备，将移动到信任的设备页签下。您也可以将某个设备标记为访客设备，或者将 在信任的设备页签下，将某个设备标记为恶意入侵设备。

自动将发现的设备标记为受信任设备

可以通过以下两种方式，自动将发现的设备标记为受信任的设备：

• 将受信任设备的MAC地址，从CSV文件导入到本系统中。
1. 选择信任的页签，点击导入MAC明细链接。
2. 定位包含有MAC地址和IP地址的CSV文件，然后，点击导入按钮。
   
• 添加您所在的Windows活动目录的明细
1.  选择信任的页签，点击添加活动目录域链接。
2. 或者在管理 --> 活动目录页面，添加活动目录的域。
3. 在添加域的页面中，输入域管理员的用户名、密码、域名及域控制器的信息。
4. 点击添加按钮，将相应的域添加到本系统中，这样，在活动目录域中的所有计算机将自动移动到受信任设备的分类中。

返回顶部

访客设备

对于公司的访客，当他们的设备需要访问网络时，您可能需要为其设置临时的可使用期限。这时，您可以为特定的设备设置一个有效期，在有效期内，该特定设备被视为受信任设备，可以访问网络。

临时允许设备访问网络

1. 点击恶意入侵检测页签。

2. 选择发现的 页签，它将列出在网络中发现的所有设备

3. 选择必须为其设置访问权限的设备，并点击标记为访客链接。

4. 在弹出的对话框中为其指定有效期。

5. 这样，在有效期内，所选的设备就可以访问网络。

6. 可根据情况，输入备注及描述，然后保存。

7. 这样，所选设备将会移到到访客页签下。在该页签下也可以进行以下操作：

   1. 将设备标记为受信任设备

   2. 延长有效期

   3. 阻止/允许访问交换机端口

   4. 标记为恶意入侵设备

返回顶部

恶意入侵设备

要将某个设备标记为恶意入侵设备

1. 点击恶意入侵检测页签。

2. 选择发现的 页签，它将列出在网络中发现的所有设备

3. 选择被认为是恶意接入的设备，并点击标记为恶意入侵链接。

被标记为恶意入侵的设备将移动到恶意入侵的页签下。管理员可以进一步采取合适的动作，以保护网络的安全。如果从列表中删除恶意设备，但在后续扫描时又发现该设备，它仍将被列入到发现设备的列表中。

在恶意入侵页签下，可进行以下操作：

1. 标记为受信任设备

2. 标记为访客设备

3. 阻止/允许访问交换机端口

重要: 如果设备没有从恶意入侵列表中删除，再次发现时，它将不会列出在发现设备的列表中。

返回顶部

阻止/允许访问交换机端口

要查看交换机的明细

一个设备所连接的交换机及端口的信息，显示在发现设备列表中的交换机一栏中，交换机的信息有三种值：

1. 交换机 IP、交换机名称、接口索引、端口及接口名称 - 它们代表对应设备的连接信息。

2. 从 ... 学习，但没有直接连接 - 它代表该设备通讯时经由该交换机，但不是直接连接到该交换机。

3. 未知 - 不能明确获取交换机的信息，这种情况，很可能是您没有添加所有的交换机，没有通过交换机端口映射，对其进行映射处理。或者，该设备是在扫描交换机之后才被检测。这时，可重新映射交换机端口，即可显示详细的信息。

阻止/允许某个交换机端口

1. 选择要阻止其访问网络的恶意设备，点击阻止/允许访问交换机端口，它将弹出对话框，显示交换机的信息。

2. 在此，提供交换机的 SNMP 写入团体字串，并点击阻止端口按钮。

阻止交换机的某个端口，对于端口的Admin状态将被设置为关闭（"Down"）

 

要取消阻止，可指定交换机的名称/IP，接口索引，SNMP写团体字串，然后点击允许端口按钮，这样，该端口的Admin状态将会更改为正常（"Up"）。

返回顶部

配置告警通知

当检测到恶意设备或者临时设备的有效期过期时，都会产生告警。并允许通过电子邮件通知相关人员。

配置电子邮件告警

1. 点击恶意入侵检测页签。

2. 点击右上角的设置链接。

3. 选择告警页签。

4. 选择要发送告警的场景：

   1. 检测到新的系统时

   2. 有效期过期时

   3. 检测到ARP欺骗时

5. 选择告警发送方式：电子邮件或Syslog，或者两个同时发送。

6. 启用电子邮件通知的情况下，输入邮件接收人的邮件地址。

7. 启用Syslog的情况下，配置Syslog接收服务器。

8. 点击保存按钮，保存配置。

返回顶部

恶意入侵检测的审计

恶意入侵检测可以保存所做的变更信息，以供审计。其内容包括，每个操作的用户名、操作时间、变更（添加/修改/删除）的明细。默认情况下，变更历史会保留1个月，您可以根据需要修改保存的时间。审计明细可以以XML文件进行发布，以供日后参考。

默认情况下，审计是已启用的，您可以配置变更历史的存储周期：

• 点击恶意入侵检测页签。

• 点击右上角的设置链接。

• 选择审计页签。

• 修改保留变更历史的时间为最近的值。最长6个月。

• 指定发布变更历史的目录。如果希望保留变更历史保留更长时间，您可以定期备份该目录。

• 点击保存按钮，保存设置。