Rogue Detection Tool恶意入侵检测 Rogue Detection Tool - Available in OpUtils Professional Edition


OpUtils提供的恶意入侵检测工具可帮助您侦测网络中未被授权的设备访问。从而发现无线/有线网中的恶意设备、接入点等。

配置恶意入侵检测工具

  1. 从管理 --> 添加路由器页面,添加网络中使用的所有路由器、交换机以及网关服务器,并设置扫描计划。

  2. 若要查看交换机各端口所连设备的情况,可使用交换机端口映射工具。

  3. 若要将发现的设备自动移动到受信任的设备中,需要在设置 --> 活动目录页面添加您的活动目录域的详细信息。这样,与AD域中计算机匹配的设备将自动移动到受信任的设备中。

  4. 也可将受信任设备的MAC地址导入,这样将标记相应的设备为受信任设备。

成功扫描网络之后,可进行以下操作:

返回顶部

发现的设备

OpUtils会按照设置的扫描计划,定期扫描路由器,交换机和网关服务器,以发现网络中的所有设备。

 

所有已发现的设备都将显示在页面的已发现的 页签下。管理员必须对它们进行验证,并作必要的标记处理。以下是可进行的操作:

返回顶部

受信任的设备

受信任的设备就是指网络中的有效的设备。可从选定已发现的设备,并将其标记为受信任的设备。一旦标记成功,这些设备将不再显示在发现的设备的页签下,而显示在信任的设备页签下。

要将某个设备标记为受信任设备

  1. 点击恶意入侵检测页签。

  2. 选择发现的 页签,它将列出在网络中发现的所有设备。

  3. 选中那些有效的设备,点击标记为信任的。 要将所有发现的设备标记为有效设备,可直接点击全部标记为信任的链接。

已被标记为信任的设备,将移动到信任的设备页签下。您也可以将某个设备标记为访客设备,或者将 在信任的设备页签下,将某个设备标记为恶意入侵设备。

 

自动将发现的设备标记为受信任设备

可以通过以下两种方式,自动将发现的设备标记为受信任的设备:

 

返回顶部

访客设备

对于公司的访客,当他们的设备需要访问网络时,您可能需要为其设置临时的可使用期限。这时,您可以为特定的设备设置一个有效期,在有效期内,该特定设备被视为受信任设备,可以访问网络。

临时允许设备访问网络

  1. 点击恶意入侵检测页签。

  2. 选择发现的 页签,它将列出在网络中发现的所有设备

  3. 选择必须为其设置访问权限的设备,并点击标记为访客链接。

  4. 在弹出的对话框中为其指定有效期。

  5. 这样,在有效期内,所选的设备就可以访问网络。

  6. 可根据情况,输入备注及描述,然后保存。

  7. 这样,所选设备将会移到到访客页签下。在该页签下也可以进行以下操作:

    1. 将设备标记为受信任设备

    2. 延长有效期

    3. 阻止/允许访问交换机端口

    4. 标记为恶意入侵设备

返回顶部

恶意入侵设备

要将某个设备标记为恶意入侵设备

  1. 点击恶意入侵检测页签。

  2. 选择发现的 页签,它将列出在网络中发现的所有设备

  3. 选择被认为是恶意接入的设备,并点击标记为恶意入侵链接。

被标记为恶意入侵的设备将移动到恶意入侵的页签下。管理员可以进一步采取合适的动作,以保护网络的安全。如果从列表中删除恶意设备,但在后续扫描时又发现该设备,它仍将被列入到发现设备的列表中。

在恶意入侵页签下,可进行以下操作:

  1. 标记为受信任设备

  2. 标记为访客设备

  3. 阻止/允许访问交换机端口

重要: 如果设备没有从恶意入侵列表中删除,再次发现时,它将不会列出在发现设备的列表中。

返回顶部

阻止/允许访问交换机端口

要查看交换机的明细

一个设备所连接的交换机及端口的信息,显示在发现设备列表中的交换机一栏中,交换机的信息有三种值:

  1. 交换机 IP、交换机名称、接口索引、端口及接口名称 - 它们代表对应设备的连接信息。

  2. 从 ... 学习,但没有直接连接 - 它代表该设备通讯时经由该交换机,但不是直接连接到该交换机。

  3. 未知 - 不能明确获取交换机的信息,这种情况,很可能是您没有添加所有的交换机,没有通过交换机端口映射,对其进行映射处理。或者,该设备是在扫描交换机之后才被检测。这时,可重新映射交换机端口,即可显示详细的信息。

阻止/允许某个交换机端口

  1. 选择要阻止其访问网络的恶意设备,点击阻止/允许访问交换机端口,它将弹出对话框,显示交换机的信息。

  2. 在此,提供交换机的 SNMP 写入团体字串,并点击阻止端口按钮。

阻止交换机的某个端口,对于端口的Admin状态将被设置为关闭("Down")

 

要取消阻止,可指定交换机的名称/IP,接口索引,SNMP写团体字串,然后点击允许端口按钮,这样,该端口的Admin状态将会更改为正常("Up")。

返回顶部

配置告警通知

当检测到恶意设备或者临时设备的有效期过期时,都会产生告警。并允许通过电子邮件通知相关人员。

配置电子邮件告警

  1. 点击恶意入侵检测页签。

  2. 点击右上角的设置链接。

  3. 选择告警页签。

  4. 选择要发送告警的场景:

    1. 检测到新的系统时

    2. 有效期过期时

    3. 检测到ARP欺骗时

  5. 选择告警发送方式:电子邮件或Syslog,或者两个同时发送。

  6. 启用电子邮件通知的情况下,输入邮件接收人的邮件地址。

  7. 启用Syslog的情况下,配置Syslog接收服务器。

  8. 点击保存按钮,保存配置。

返回顶部

 

恶意入侵检测的审计

恶意入侵检测可以保存所做的变更信息,以供审计。其内容包括,每个操作的用户名、操作时间、变更(添加/修改/删除)的明细。默认情况下,变更历史会保留1个月,您可以根据需要修改保存的时间。审计明细可以以XML文件进行发布,以供日后参考。

 

默认情况下,审计是已启用的,您可以配置变更历史的存储周期:

 


相关工具:Ping, MAC地址解析器, MAC地址扫描, 进程扫描, 交换机端口映射

Copyright © 2004-2012, ZOHO Corp. All Rights Reserved.
ManageEngine