【SMP/ESS】SMP与NIDS联动功能异常

发布时间：2013-11-23

点击量：3591

1、故障现象
SMP和NIDS联动出现异常，现象包括：
    现象1）SMP无法收到NIDS发送的攻击事件；
    现象2）发起攻击事件的攻击人无法定位或未被SMP处理；
    现象3）定位到攻击发起者，但SMP没有对其进行处理；

2、故障可能原因
    1）SMP未正确的添加IDS设备，或参数配置错误；
    2）NIDS参数配置错误；
    3）NIDS监听服务端口被占用
    5）发起攻击的攻击人不是认证用户；
    6）攻击事件管理的处理模板未定义或没有达到攻击频率的处理要求；

3、故障处理流程

4、故障处理步骤

步骤1 检查SMP的NIDS添加情况和参数配置

首先确认SMP中已经开启了NIDS联动功能，并正确的添加了IDS设备，步骤如下：

1. 在SMP管理界面中，依次打开“NIDS联动”-“全局参数配置”，在全局参数配置中勾选“开启NIDS联动”确认开启了NIDS联动功能；

2. 确认已经在SMP中添加入侵检测系统，在SMP管理界面中，依次打开“NIDS联动”-“入侵检测系统”，需要注意的是，入侵检测系统的IP是IDS管理控制台的IP，而不是IDS硬件设备的IP，同时需保证入侵检测系统公共名和IDS控制台端配置的一致。

、

步骤2 检查IDS的参数配置

完成IDS初始化配置，并在IDS控制台中正确的添加了IDS传感器，确保IDS控制台能接收到安全事件后，请检查IDS和SMP配置的参数。（IDS配置请参考IDS、SMP联动配置案例）

1. IDS管理台配置中，如下图所示，右击“packages”>单击“事件响应整体配置”，在打开的界面勾选“SNMP”选项，然后单击“确定”如下图：

2. 单击“响应参数配置”>“编辑锁定”配置“SNMP Trap”的参数，如下图：

服务器：输入SMP服务器的IP地址
Community：需要与SMP组件中“入侵检测系统”的“入侵检测系统公共名”参数配置一致

步骤3 检查NIDS监听服务端口是否被占用

SMP监听IDS入侵检测系统发送的安全事件使用UDP162端口，需要确保端口未被占用；

1. 打开SMP服务管理器，查看NIDS事件接受服务启动是否成功（监听端口：162）

2. 如果服务没有启动成功，请使用aport.exe软件查看端口被哪个程序占用，关闭该程序后重启SMP服务。

步骤4 检查攻击源是不是认证用户

如果发起攻击的攻击源不是SMP的认证用户，则SMP无法对该攻击源进行处理。

1. 首先确认SMP和IDS联动已经成功，能够在SMP的攻击事件库中看到IDS上报的攻击事件信息；

2. 在SMP的“日志分析”-“攻击事件处理日志”的日志内容中搜索未被处理的攻击源IP。

3. 在SMP的上网历史记录中通过该IP进行查找，如果无法找到该攻击源IP，说明使用此IP发起攻击的PC不是认证用户，所以SMP无法对其进行处理；

步骤5 检查攻击事件模板配置

SMP攻击事件默认采用攻击频率处理模式，如果未到达相应的攻击次数，发起网络攻击的用户并不会被处理。

1. SMP的攻击频率处理中，通过攻击次数来判别对攻击者采用何种攻击事件处理模板，只有攻击次数达到相应的攻击事件级别时，才会触发对应的攻击事件处理模板；

2. 如果需要针对某个高危攻击事件进行独立处理，则需要在SMP中进行配置，步骤如下：

1）在SMP管理界面依次打开“NIDS联动”-“攻击事件处理模板”-点击“添加”，添加一个新的攻击事件处理模板。

2）依次添加模板名称-处理模式-告警信息后，点击添加；

3）在SMP管理界面，依次点击“攻击事件库”-找到需要独立处理的攻击事件并点击修改。

4）选择使用“应用攻击事件处理模板”的方式，同时选择刚添加的高危事件处理模板；

5）如果以上步骤配置完毕后，NIDS联动功能依然异常，请进入步骤6；

步骤6 收集信息后，请联系4008111000协助处理

拨打4008111000协助处理前，请确认以下内容：
1、已严格按照软件操作手册、测试手册进行配置；（确保没有配置错误）
2、客户端能够通过1x认证，并且SMP服务器和客户端之间的网络通信正常；
并收集如下信息：
1 ) 详细的故障描述和排错过程中的截图和报文；
2 ) 远程访问方式及其账号信息。（如具备远程条件）
3、通过debugtool工具导出的调试信息文件:
1). 请在浏览器输入：http://1.1.1.1:8080/smp/debugtool.jsp（将1.1.1.1替换为SMP真实IP），并勾选“开启攻击事件联动调试”和“开启攻击事件处理调试”开关后，点击最下方的“修改”按钮，开启debug调试开关。