OpUtils提供的恶意入侵检测工具可帮助您侦测网络中未被授权的设备访问。从而发现无线/有线网中的恶意设备、接入点等。
从管理 --> 添加路由器页面,添加网络中使用的所有路由器、交换机以及网关服务器,并设置扫描计划。
若要查看交换机各端口所连设备的情况,可使用交换机端口映射工具。
若要将发现的设备自动移动到受信任的设备中,需要在设置 --> 活动目录页面添加您的活动目录域的详细信息。这样,与AD域中计算机匹配的设备将自动移动到受信任的设备中。
也可将受信任设备的MAC地址导入,这样将标记相应的设备为受信任设备。
成功扫描网络之后,可进行以下操作:
验证所发现的设备信息,将网络中允许的所有设备标记为受信任设备。一旦被标记为受信任设备,其信息再次发现时将不再显示在发现页签之下。
将未知的或者未授权设备标记为恶意入侵设备。
为访客设备设置临时允许周期。
对恶意设备所连接的交换机端口,通过阻止访问交换机端口 阻止其继续访问网络。
OpUtils会按照设置的扫描计划,定期扫描路由器,交换机和网关服务器,以发现网络中的所有设备。
所有已发现的设备都将显示在页面的已发现的 页签下。管理员必须对它们进行验证,并作必要的标记处理。以下是可进行的操作:
将系统/设备标记为访客,并为之设置有效期限
将系统/设备标记为恶意入侵设备,并对它们采取阻止端口,以防止未授权的访问
配置告警通知,以便及时得到通知。
受信任的设备就是指网络中的有效的设备。可从选定已发现的设备,并将其标记为受信任的设备。一旦标记成功,这些设备将不再显示在发现的设备的页签下,而显示在信任的设备页签下。
要将某个设备标记为受信任设备
点击恶意入侵检测页签。
选择发现的 页签,它将列出在网络中发现的所有设备。
选中那些有效的设备,点击标记为信任的。 要将所有发现的设备标记为有效设备,可直接点击全部标记为信任的链接。
已被标记为信任的设备,将移动到信任的设备页签下。您也可以将某个设备标记为访客设备,或者将 在信任的设备页签下,将某个设备标记为恶意入侵设备。
自动将发现的设备标记为受信任设备
可以通过以下两种方式,自动将发现的设备标记为受信任的设备:
- 将受信任设备的MAC地址,从CSV文件导入到本系统中。
- 选择信任的页签,点击导入MAC明细链接。
- 定位包含有MAC地址和IP地址的CSV文件,然后,点击导入按钮。
- 添加您所在的Windows活动目录的明细
- 选择信任的页签,点击添加活动目录域链接。
- 或者在管理 --> 活动目录页面,添加活动目录的域。
- 在添加域的页面中,输入域管理员的用户名、密码、域名及域控制器的信息。
- 点击添加按钮,将相应的域添加到本系统中,这样,在活动目录域中的所有计算机将自动移动到受信任设备的分类中。
对于公司的访客,当他们的设备需要访问网络时,您可能需要为其设置临时的可使用期限。这时,您可以为特定的设备设置一个有效期,在有效期内,该特定设备被视为受信任设备,可以访问网络。
临时允许设备访问网络
点击恶意入侵检测页签。
选择发现的 页签,它将列出在网络中发现的所有设备
选择必须为其设置访问权限的设备,并点击标记为访客链接。
在弹出的对话框中为其指定有效期。
这样,在有效期内,所选的设备就可以访问网络。
可根据情况,输入备注及描述,然后保存。
这样,所选设备将会移到到访客页签下。在该页签下也可以进行以下操作:
延长有效期
要将某个设备标记为恶意入侵设备
点击恶意入侵检测页签。
选择发现的 页签,它将列出在网络中发现的所有设备
选择被认为是恶意接入的设备,并点击标记为恶意入侵链接。
被标记为恶意入侵的设备将移动到恶意入侵的页签下。管理员可以进一步采取合适的动作,以保护网络的安全。如果从列表中删除恶意设备,但在后续扫描时又发现该设备,它仍将被列入到发现设备的列表中。
在恶意入侵页签下,可进行以下操作:
重要: 如果设备没有从恶意入侵列表中删除,再次发现时,它将不会列出在发现设备的列表中。
要查看交换机的明细
一个设备所连接的交换机及端口的信息,显示在发现设备列表中的交换机一栏中,交换机的信息有三种值:
交换机 IP、交换机名称、接口索引、端口及接口名称 - 它们代表对应设备的连接信息。
从 ... 学习,但没有直接连接 - 它代表该设备通讯时经由该交换机,但不是直接连接到该交换机。
未知 - 不能明确获取交换机的信息,这种情况,很可能是您没有添加所有的交换机,没有通过交换机端口映射,对其进行映射处理。或者,该设备是在扫描交换机之后才被检测。这时,可重新映射交换机端口,即可显示详细的信息。
阻止/允许某个交换机端口
选择要阻止其访问网络的恶意设备,点击阻止/允许访问交换机端口,它将弹出对话框,显示交换机的信息。
在此,提供交换机的 SNMP 写入团体字串,并点击阻止端口按钮。
阻止交换机的某个端口,对于端口的Admin状态将被设置为关闭("Down")
要取消阻止,可指定交换机的名称/IP,接口索引,SNMP写团体字串,然后点击允许端口按钮,这样,该端口的Admin状态将会更改为正常("Up")。
当检测到恶意设备或者临时设备的有效期过期时,都会产生告警。并允许通过电子邮件通知相关人员。
配置电子邮件告警
点击恶意入侵检测页签。
点击右上角的设置链接。
选择告警页签。
选择要发送告警的场景:
检测到新的系统时
有效期过期时
检测到ARP欺骗时
选择告警发送方式:电子邮件或Syslog,或者两个同时发送。
启用电子邮件通知的情况下,输入邮件接收人的邮件地址。
启用Syslog的情况下,配置Syslog接收服务器。
点击保存按钮,保存配置。
恶意入侵检测可以保存所做的变更信息,以供审计。其内容包括,每个操作的用户名、操作时间、变更(添加/修改/删除)的明细。默认情况下,变更历史会保留1个月,您可以根据需要修改保存的时间。审计明细可以以XML文件进行发布,以供日后参考。
默认情况下,审计是已启用的,您可以配置变更历史的存储周期:
点击恶意入侵检测页签。
点击右上角的设置链接。
选择审计页签。
修改保留变更历史的时间为最近的值。最长6个月。
指定发布变更历史的目录。如果希望保留变更历史保留更长时间,您可以定期备份该目录。
点击保存按钮,保存设置。