WEBVTT

00:00.270 --> 00:01.103
在本课中,

00:01.103 --> 00:03.690
我们将重点关注监控和审计｡

00:03.690 --> 00:05.343
让我们先从监控开始｡ 

00:05.343 --> 00:06.930
当我们谈论监控时,

00:06.930 --> 00:11.130
安全分析师的主要工作之一就是监控网络｡

00:11.130 --> 00:12.150
我们就像侦探｡ 

00:12.150 --> 00:14.970
我们试图根除任何看起来不太正确的东西,

00:14.970 --> 00:18.180
这可以手动或通过自动化手段完成｡

00:18.180 --> 00:26.520
现在, syslog是一种协议, 用于使不同的设备和软件应用程序能够将其日志或事件记录传输到集中式服务器｡

00:26.520 --> 00:30.300
现在, 系统日志将遵循标准的客户机服务器模型｡ 

00:30.300 --> 00:35.490
这是记录网络上分布式系统事件的事实标准｡

00:35.490 --> 00:40.950
您将看到系统日志在您日常工作的许多系统中使用｡

00:40.950 --> 00:45.270
现在, 系统日志运行在大多数操作系统和大多数网络设备上｡

00:45.270 --> 00:47.310
因此, 无论您使用的是Cisco路由器,

00:47.310 --> 00:51.630
还是Windows机器或Linux服务器, 它们都可以使用系统日志｡

00:51.630 --> 00:53.490
现在, 当我们发送回这些消息时,

00:53.490 --> 00:55.920
系统日志消息是什么样子的？

00:55.920 --> 00:58.860
系统日志消息将包含几个内容｡ 

00:58.860 --> 01:01.530
它包含一个PRI代码, 这是一个优先级代码｡ 

01:01.530 --> 01:04.410
它包含一个头, 它包含一个消息部分｡ 

01:04.410 --> 01:05.610
让我们来谈谈每一个｡ 

01:05.610 --> 01:08.040
首先, 我们有这个PRI代码, 这个优先级,

01:08.040 --> 01:12.450
这将根据设施和数据的严重性级别进行计算｡

01:12.450 --> 01:13.710
接下来, 我们有一个头,

01:13.710 --> 01:17.190
头将包含事件的时间戳和主机名｡

01:17.190 --> 01:20.160
所以我们知道它是从哪里来的以及时间｡ 

01:20.160 --> 01:24.360
最后, 我们有消息部分, 它包含事件的源过程和相关内容,

01:24.360 --> 01:28.560
基本上是发生了什么数据, 你想告诉我们什么？

01:28.560 --> 01:30.570
这就是这里的信息部分的想法｡ 

01:30.570 --> 01:33.390
这是这条信息的核心｡ 

01:33.390 --> 01:34.800
现在, 当我们处理系统日志时,

01:34.800 --> 01:37.770
它在原始版本中有几个缺点｡

01:37.770 --> 01:40.230
最初的协议依赖于UDP｡ 

01:40.230 --> 01:42.990
现在, 这可能会导致拥塞网络的传输问题,

01:42.990 --> 01:45.510
因为UDP是一种火灾和遗忘协议｡

01:45.510 --> 01:48.270
它发送它, 不等待响应和确认｡

01:48.270 --> 01:50.250
所以它只是假设它到达那里｡ 

01:50.250 --> 01:51.420
如果你有一个拥挤的网络,

01:51.420 --> 01:53.051
你可以有数据被丢弃,

01:53.051 --> 01:55.500
因此你的信息不会到达日志服务器,

01:55.500 --> 01:57.630
也不会被记录｡

01:57.630 --> 02:00.930
在早期, 这可能是好的, 因为人们认为你的网络上的每个人都是值得信赖的,

02:00.930 --> 02:04.080
但现在我们不希望这样｡

02:04.080 --> 02:05.760
我们希望确保我们的数据到达那里｡ 

02:05.760 --> 02:07.920
所以我们得想个解决办法｡ 

02:07.920 --> 02:11.640
第二件事是, 没有太多的基本安全控制｡

02:11.640 --> 02:16.080
系统日志默认情况下不包含任何加密或身份验证之类的功能｡

02:16.080 --> 02:17.850
这又是另一个缺点｡ 

02:17.850 --> 02:21.750
所以在系统日志的现代实现中, 我们已经纠正了这些事情｡

02:21.750 --> 02:23.220
由于这些安全问题,

02:23.220 --> 02:27.510
我们的新系统日志实现增加了许多不同的特性和功能｡

02:27.510 --> 02:29.400
我们将在这里讨论其中的几个｡ 

02:29.400 --> 02:34.170
首先, 较新的实现使用TCP来实现一致的传输｡

02:34.170 --> 02:36.360
这样, 如果网络拥塞, 消息无法到达那里,

02:36.360 --> 02:41.220
它将一遍又一遍地重新传递它, 因为它使用TCP｡

02:41.220 --> 02:43.470
第二个改进是更新的实现,

02:43.470 --> 02:49.050
可以使用TLS或传输层安全性来加密发送到服务器的消息｡

02:49.050 --> 02:52.580
这样传输中的数据就不能被网络上的其他人读取｡

02:52.580 --> 02:57.510
它只能被发送它的端点和接收它的服务器读取｡

02:57.510 --> 02:58.343
第三件事是,

02:58.343 --> 03:04.950
较新的实现也使用MD5和SHA1来提供身份验证和完整性｡

03:04.950 --> 03:10.080
通过这种方式, 消息可以在通过网络时具有消息身份验证和完整性,

03:10.080 --> 03:12.930
以确保它们不会被其他任何人弄乱｡

03:12.930 --> 03:14.730
再一次, 还有很多其他的功能｡ 

03:14.730 --> 03:21.900
我并没有过多地关注这一集, 因为我们真正关心的三大问题是我们已经转向TCP以实现一致的交付｡

03:21.900 --> 03:23.910
我们已经转向TLS进行加密,

03:23.910 --> 03:28.050
并开始使用MD5和SHA1进行身份验证和完整性｡

03:28.050 --> 03:30.090
现在, 这个较新版本的服务器通常被称为sysystem-ng,

03:30.090 --> 03:35.490
即syslog next generation或rsyslog｡

03:35.490 --> 03:37.470
关于syslog, 我想提的最后一件事是,

03:37.470 --> 03:40.560
syslog通常意味着三件事｡

03:40.560 --> 03:43.380
它可以参考我们发送数据的协议｡ 

03:43.380 --> 03:46.410
它可以像在系统日志服务器中那样引用服务器,

03:46.410 --> 03:50.430
也可以像在系统日志数据中那样引用日志条目本身｡

03:50.430 --> 03:51.990
人们通常只会说系统日志, 他们指的是所有三个,

03:51.990 --> 03:55.470
或者这三个中的任何一个, 这取决于上下文｡

03:55.470 --> 03:56.700
因此, 当您听到业内人士谈论SNMP时,

03:56.700 --> 04:03.810
请务必小心, 以确保您了解他们谈论的三个SNMP中的哪一个是我们的下一个｡

04:03.810 --> 04:06.900
SNMP是简单网络管理协议｡ 

04:06.900 --> 04:12.000
它是一种TCP协议, 有助于监控网络连接的设备和计算机｡

04:12.000 --> 04:14.520
SNMP被广泛应用于网络管理和监控系统中,

04:14.520 --> 04:18.840
在管理和监控的概念中得到了广泛的应用｡

04:18.840 --> 04:21.870
SNMP分为三个部分｡ 

04:21.870 --> 04:26.370
有被管理的设备､ 代理和网络管理系统本身｡

04:26.370 --> 04:28.020
我们谈论托管设备｡ 

04:28.020 --> 04:34.380
这是通过网络管理系统使用代理进行监控的计算机和其他网络连接设备｡

04:34.380 --> 04:37.560
代理是加载到托管设备上的软件｡ 

04:37.560 --> 04:42.510
这使我们能够将信息重定向到将要进行监控的网络管理系统｡

04:42.510 --> 04:47.100
网络管理系统（NMS）是在一个或多个服务器上运行的软件,

04:47.100 --> 04:52.230
它控制对网络上所有网络连接设备和计算机的监控｡

04:52.230 --> 04:58.080
SNMP是一种粘合剂, 使用SNMP协议使这三者相互通信｡

04:58.080 --> 05:00.570
那么, 在网络内部, 这一切看起来是什么样的呢？

05:00.570 --> 05:03.180
在屏幕上, 你可以看到一个简单的图表｡ 

05:03.180 --> 05:05.910
左边是我们的网络管理站或NMS,

05:05.910 --> 05:09.000
它是我们网络管理系统的一部分｡

05:09.000 --> 05:10.830
这将充当我们的管理器,

05:10.830 --> 05:12.630
它将发送和接收消息到网络上的所有受管理设备,

05:12.630 --> 05:15.060
您的路由器, 交换机和服务器,

05:15.060 --> 05:17.850
对吗？

05:17.850 --> 05:19.290
现在, 当它需要信息时,

05:19.290 --> 05:20.860
它将发送一个get请求,

05:20.860 --> 05:25.890
然后这些设备将使用set请求发回信息｡

05:25.890 --> 05:27.960
现在还有一种叫做陷阱请求的东西,

05:27.960 --> 05:34.440
它将从那些管理设备接收未经请求的信息, 这些管理设备只是定期发送所需的信息｡

05:34.440 --> 05:38.070
因此, 当您使用SNMP进行所有这些网络管理时,

05:38.070 --> 05:40.620
您有两个选项可以发送数据｡

05:40.620 --> 05:42.690
你可以通过你正在使用的网络发送,

05:42.690 --> 05:46.830
这被称为带内通信, 或者你可以带外发送｡

05:46.830 --> 05:47.940
现在, 当您进行带内传输时,

05:47.940 --> 05:54.120
这意味着您将通过承载公司信息和正常数据的同一网络发送此管理数据｡

05:54.120 --> 05:57.600
这更便宜, 更容易, 但它不太安全｡ 

05:57.600 --> 05:58.710
现在为了更安全,

05:58.710 --> 06:00.930
您应该创建带外网络｡

06:00.930 --> 06:02.760
这是一个辅助网络, 所有管理都在这里进行,

06:02.760 --> 06:10.050
但您仍然拥有一个主要的带内网络, 用户将获得的所有数据都将在这里进行｡

06:10.050 --> 06:11.610
管理应始终在带外网络上进行,

06:11.610 --> 06:18.993
因为它提高了安全性, 并将管理功能从用户可以触摸或看到的地方带走｡