入侵檢測(cè)復(fù)習(xí)重點(diǎn)
入侵:是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作。
入侵檢測(cè):是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。
入侵檢測(cè)系統(tǒng):所有能夠執(zhí)行入侵檢測(cè)任務(wù)和功能的系統(tǒng),其中包括軟件系統(tǒng)及軟、硬件結(jié)合。
入侵檢測(cè)功能:監(jiān)控(用戶(hù)和系統(tǒng)的活動(dòng))、審計(jì)(系統(tǒng)的配置和弱點(diǎn))、評(píng)估(關(guān)鍵系統(tǒng)的數(shù)據(jù)文件完整性)、識(shí)別(攻擊的活動(dòng)模式)、統(tǒng)計(jì)分析(對(duì)活動(dòng)進(jìn)行)
簡(jiǎn)述P2DR模型在信息安全的地位(作用)
P:policy策略P:protection防護(hù)D:detection檢測(cè)R:response響應(yīng)。在整體策略控制下,在綜合應(yīng)用各種防護(hù)工具的同時(shí),利用檢測(cè)工具了解、評(píng)估系統(tǒng)通過(guò)應(yīng)用適當(dāng)響應(yīng)而改善系統(tǒng)的防護(hù)措施,從而實(shí)現(xiàn)動(dòng)態(tài)安全模型。
攻擊的流程
目標(biāo)探測(cè)與收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固并擴(kuò)大戰(zhàn)果清除日志入侵檢測(cè)流程
數(shù)據(jù)收集數(shù)據(jù)分析(分析、處理)數(shù)據(jù)響應(yīng)
數(shù)據(jù)源來(lái)自哪里?(分類(lèi)方法)審計(jì)記錄、系統(tǒng)日志、應(yīng)用程序日志、網(wǎng)絡(luò)數(shù)據(jù)、其它收集數(shù)據(jù)的原則
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的若干個(gè)不同的關(guān)鍵點(diǎn)(不同的網(wǎng)段或不同主機(jī))來(lái)手機(jī)信息。要保證數(shù)據(jù)的正確性和可靠性。
原因:可擴(kuò)大范圍、不一致原則。按相應(yīng)發(fā)生的時(shí)間,相應(yīng)策略的制定有哪些?類(lèi)型有哪些?
策略:緊急行動(dòng)、及時(shí)行動(dòng)、本地的長(zhǎng)期行動(dòng)、全局的長(zhǎng)期行動(dòng)
類(lèi)型:主動(dòng)響應(yīng)(反攻擊、修正系統(tǒng)環(huán)境、收集信息、欺騙網(wǎng));被動(dòng)響應(yīng)(報(bào)警、記錄)入侵檢測(cè)系統(tǒng)的部署主機(jī):關(guān)鍵主機(jī)
網(wǎng)絡(luò):DMI區(qū)、隔離區(qū)、外網(wǎng)入口、內(nèi)網(wǎng)主干、關(guān)鍵子網(wǎng)
屬于預(yù)處理功能的有:格式轉(zhuǎn)換、映射、過(guò)濾
獲取數(shù)據(jù)、審計(jì)數(shù)據(jù)為什么要進(jìn)行預(yù)處理?
格式轉(zhuǎn)換:來(lái)源冗雜,預(yù)處理后利于移植
映射和過(guò)濾:剔除冗雜、無(wú)用的事件記錄
入侵檢測(cè)專(zhuān)家系統(tǒng)原理
在知識(shí)庫(kù)的基礎(chǔ)上,根據(jù)已獲得的事實(shí)和已知規(guī)則進(jìn)行推導(dǎo),并得出結(jié)論。
在狀態(tài)轉(zhuǎn)移分析技術(shù)中,采用(狀態(tài)轉(zhuǎn)移圖)來(lái)表示一個(gè)具體的入侵攻擊過(guò)程。狀態(tài)轉(zhuǎn)移圖由兩個(gè)基本組建構(gòu)成:(標(biāo)識(shí)系統(tǒng)狀態(tài)的結(jié)點(diǎn))和(表示特征行為的弧線(xiàn))。狀態(tài)轉(zhuǎn)移分析原理
將攻擊者的入侵行為描繪為一系列的特征操作及其所引起的一系列系統(tǒng)狀態(tài)轉(zhuǎn)換過(guò)程,從而使得目標(biāo)系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到所期望的危害狀態(tài)。
完整性檢查的基本思想H(file)=標(biāo)識(shí)(old)H(file)=標(biāo)識(shí)(new)
標(biāo)識(shí)(old)與標(biāo)識(shí)(new)compareH()代表單項(xiàng)消息摘要計(jì)算函數(shù)。系統(tǒng)配置分析技術(shù)的基本原理
首先,一次成功的入侵活動(dòng)可能會(huì)在系統(tǒng)從留下痕跡,這可以通過(guò)檢查系統(tǒng)當(dāng)前狀態(tài)來(lái)發(fā)現(xiàn);其次系統(tǒng)管理員和用戶(hù)經(jīng)常會(huì)錯(cuò)誤地配置系統(tǒng),已給攻擊者可乘之機(jī)。
簡(jiǎn)述交換網(wǎng)絡(luò)下的數(shù)據(jù)檢測(cè)方法將包捕獲程序設(shè)置在官網(wǎng)或代理服務(wù)器上;
交換機(jī)端口映射;ARP;
IDS連接在網(wǎng)絡(luò)流量通常最大上、下行端口上。簡(jiǎn)述包捕獲機(jī)制BPF的原理
BPF主要由兩大部分組成:網(wǎng)絡(luò)分接頭(TAP)和數(shù)據(jù)包過(guò)濾器。網(wǎng)絡(luò)分接頭從網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序處收集數(shù)據(jù)包復(fù)制,并傳遞給正在捕獲數(shù)據(jù)包的應(yīng)用程序。過(guò)濾器決定某一數(shù)據(jù)包是被接收或者拒絕,以及如果被接收,數(shù)據(jù)包的哪些部分會(huì)被復(fù)制給應(yīng)用程序。
簡(jiǎn)述協(xié)議分析技術(shù)的原理
協(xié)議分析的功能是辨別數(shù)據(jù)包協(xié)議類(lèi)型以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包。它將輸入數(shù)據(jù)包視為具有嚴(yán)格定義格式的數(shù)據(jù)流,并將輸入數(shù)據(jù)包按照各層協(xié)議報(bào)文封裝的反向順序,層層解析出來(lái)。如果當(dāng)前所檢查的某個(gè)協(xié)議字段里,包含了非期望的不合理賦值,則系統(tǒng)認(rèn)為當(dāng)前數(shù)據(jù)包為非法網(wǎng)絡(luò)流量。DIDS
以網(wǎng)絡(luò)數(shù)據(jù)包和主機(jī)審計(jì)數(shù)據(jù)作為數(shù)據(jù)來(lái)源。屬于采用多種信息輸入元的入侵檢測(cè)技術(shù)。
目標(biāo)環(huán)境是一組以太局域網(wǎng)連接起來(lái)的主機(jī),且這些主機(jī)系統(tǒng)都滿(mǎn)足C2等級(jí)的安全審計(jì)功能要求。
任務(wù)是監(jiān)控網(wǎng)絡(luò)中個(gè)主機(jī)的安全狀態(tài),同時(shí)檢測(cè)針對(duì)局域網(wǎng)本身的攻擊行為。
包括三類(lèi)組件:主機(jī)監(jiān)控器、局域網(wǎng)監(jiān)控器、中央控制臺(tái)
主機(jī)監(jiān)控器首先從主機(jī)系統(tǒng)中讀取C2審計(jì)數(shù)據(jù)文件,獲取審計(jì)記錄,然后將這些審計(jì)記錄映射到DIDS系統(tǒng)定義的規(guī)范格式HAR上。之后,將這些冗余格式的記錄進(jìn)行必要的過(guò)濾操作以去除冗余后,再進(jìn)行各種分析檢測(cè)工作,生成不同的異常事件報(bào)告,交由主機(jī)代理發(fā)送到中央控制臺(tái)。
而LEG組件沒(méi)有現(xiàn)成的審計(jì)記錄可用,因此,LEG組件必須從當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包中構(gòu)建所需的網(wǎng)絡(luò)審計(jì)記錄NAR。LEG組件主要審計(jì)主機(jī)之間的連接、所訪問(wèn)的服務(wù)類(lèi)型以及每個(gè)連接的數(shù)據(jù)流量情況。同時(shí),LEG還建立和維護(hù)當(dāng)前網(wǎng)絡(luò)行為的正常模型,并檢測(cè)當(dāng)前網(wǎng)絡(luò)使用情況與正常模型的偏離情況。
控制臺(tái)的專(zhuān)家系統(tǒng),在收集來(lái)自各個(gè)監(jiān)控器事件記錄的基礎(chǔ)上,執(zhí)行關(guān)聯(lián)分析和安全狀態(tài)評(píng)估的任務(wù)。專(zhuān)家系統(tǒng)的核心部分是用于進(jìn)行推理工作的規(guī)則庫(kù),DIDS專(zhuān)家系統(tǒng)用Prolog語(yǔ)言編寫(xiě)所有檢測(cè)規(guī)則。
用戶(hù)接口主要任務(wù)是以友好的方式適時(shí)地提供用戶(hù)關(guān)心的系統(tǒng)信息,包括實(shí)時(shí)的異常事件顯示、整個(gè)系統(tǒng)的安全狀態(tài)信息等;同時(shí),它還提供用戶(hù)進(jìn)行特定控制和查詢(xún)功能的接口,如查詢(xún)某條檢測(cè)規(guī)則的狀態(tài)等。DIDS中央控制臺(tái)組建能夠解決兩個(gè)關(guān)鍵的問(wèn)題:
網(wǎng)絡(luò)環(huán)境下對(duì)特定用戶(hù)和系統(tǒng)對(duì)象的追蹤問(wèn)題。
不同層次的入侵?jǐn)?shù)據(jù)抽象問(wèn)題。發(fā)展前景
首先,入侵檢測(cè)系統(tǒng)將不斷提高自己的性能,包括:大幅度降低虛警概念、提高檢測(cè)變異攻擊行為和協(xié)同攻擊的能力、與網(wǎng)路管理系統(tǒng)更好的集成、更好的支持法律訴訟,以及提供更容易操作的用戶(hù)界面等。
其次,入侵檢測(cè)將更重視分布式環(huán)境下的架構(gòu)設(shè)計(jì)問(wèn)題,重視解決分布式環(huán)境下所遇到的特定問(wèn)題,如自主代理的管理、不同數(shù)據(jù)源的關(guān)聯(lián)分析、安全響應(yīng)問(wèn)題等。
另外,入侵檢測(cè)系統(tǒng)將從更多類(lèi)型的數(shù)據(jù)源獲取所需信息,來(lái)幫助提供檢測(cè)能力以及冗余保護(hù)機(jī)制。同時(shí),入侵檢測(cè)的標(biāo)準(zhǔn)化工作將會(huì)取得長(zhǎng)足進(jìn)步,確立統(tǒng)一的交互操作標(biāo)準(zhǔn)。最后,入侵檢測(cè)技術(shù)將更多地與其他各種技術(shù)無(wú)縫集成在一起,并不斷演化發(fā)展,最終形成新的技術(shù)類(lèi)型。GrIDS是基于圖標(biāo)的入侵檢測(cè)系統(tǒng)。是為大規(guī)模網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的入侵檢測(cè)模型。對(duì)被保護(hù)的大型組織網(wǎng)絡(luò)環(huán)境進(jìn)行不同等級(jí)的分解形成不同層次的管理域。GrIDS把目標(biāo)環(huán)境中的各種報(bào)告事件和網(wǎng)絡(luò)流量信息匯集成圖標(biāo)的形式,然后在更高等級(jí)上把這些圖表匯集成更為簡(jiǎn)要的形式。GrIDS在不同抽象層次上進(jìn)行分析檢測(cè)工作,以發(fā)現(xiàn)不同層次上的入侵行為。
主要設(shè)計(jì)目標(biāo):能夠檢測(cè)到大規(guī)模網(wǎng)絡(luò)環(huán)境下所發(fā)生的攻擊類(lèi)型,例如端口掃描、跨域的協(xié)同攻擊以及蠕蟲(chóng)攻擊等。
AAFID是基于自主代理的分布式入侵檢測(cè)架構(gòu)。CIDF
DARPA提出的建議是公公入侵檢測(cè)框架(CIDF),最早由加州大學(xué)戴維斯分校計(jì)算機(jī)安全實(shí)驗(yàn)室主持起草,并由1997年初正式提出。CIDF所做的工作主要包括4部分:CIDF的體系結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言和應(yīng)用編程接口API。
CIDF在IDES和NIDES系統(tǒng)的基礎(chǔ)上提出了一個(gè)通用模型,將入侵檢測(cè)系統(tǒng)分為4個(gè)基本組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)。前三個(gè)通常以應(yīng)用程序的形式出現(xiàn),而事件數(shù)據(jù)庫(kù)則往往采用文件或數(shù)據(jù)流的形式。IDS廠商數(shù)據(jù)收集組件、數(shù)據(jù)分析組件和控制臺(tái)代替前三者。
CIDF模型將IDS需要分析的數(shù)據(jù)統(tǒng)稱(chēng)為事件(Event),它既可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以使從系統(tǒng)日志或其它途徑得到的信息。以上CIDF模型中的4個(gè)組件代表的都是邏輯實(shí)體,其中的任何一個(gè)組件可能是某臺(tái)計(jì)算機(jī)上的一個(gè)進(jìn)程甚至線(xiàn)程,也可能是多個(gè)計(jì)算機(jī)上的多個(gè)進(jìn)程,它們之間采用統(tǒng)一入侵檢測(cè)對(duì)象(GIDO)格式進(jìn)行數(shù)據(jù)交換。GIDO是對(duì)事件進(jìn)行編碼的標(biāo)準(zhǔn)通用格式(由CIDF描述語(yǔ)言CISL定義),GIDO數(shù)據(jù)流可以是發(fā)生在系統(tǒng)中的審計(jì)事件,也可以是對(duì)審計(jì)事件的分析結(jié)果。事件產(chǎn)生器的任務(wù)是從入侵檢測(cè)系統(tǒng)之外的計(jì)算環(huán)境中收集事件,并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其它組件。
事件分析器負(fù)責(zé)分析從其他組件收到的GIDO,并將產(chǎn)生的分析結(jié)果傳送給其它組件。分析器。分析器可以是一個(gè)基于統(tǒng)計(jì)模型的工具,檢查現(xiàn)在的事件是否滿(mǎn)足先前所建立的正常事件模型;也可以是一個(gè)特征檢測(cè)工具,用于在當(dāng)前事件序列中檢查是否存在已知的濫用攻擊特征;此外,事件分析器還可以是一個(gè)關(guān)聯(lián)分析器,觀察不同事件之間的關(guān)系,并將關(guān)聯(lián)事件進(jìn)行匯聚處理,以利于以后進(jìn)一步分析。
事件數(shù)據(jù)庫(kù)用于存儲(chǔ)GIDO,以備系統(tǒng)需要的時(shí)候使用。
響應(yīng)單元負(fù)責(zé)處理接收到的GIDO,并據(jù)此采取相應(yīng)的措施,如殺死相關(guān)進(jìn)程、復(fù)位網(wǎng)絡(luò)會(huì)話(huà)連接,以及修改文件權(quán)限等。
系統(tǒng)設(shè)計(jì)的生命周期
需求定義:設(shè)計(jì)者需要定義入侵檢測(cè)的各個(gè)目標(biāo)并建立目標(biāo)之間的優(yōu)先級(jí)需求定義。
功能定義:進(jìn)一步將這些需求定義細(xì)化為系統(tǒng)中明確的功能定義?梢圆捎酶鞣N模型描述語(yǔ)言來(lái)定義系統(tǒng)所要完成的各個(gè)具體功能及其之間的接口規(guī)范等。
原型實(shí)現(xiàn):涉及具體的開(kāi)發(fā)過(guò)程來(lái)驗(yàn)證系統(tǒng)設(shè)計(jì)的正確性和可行性。用戶(hù)反饋:上述生命周期過(guò)程并非靜止不動(dòng)的步驟過(guò)程,整個(gè)周期過(guò)程是螺旋式上升過(guò)程。前一周期原型實(shí)現(xiàn)階段后,經(jīng)過(guò)一個(gè)用戶(hù)反饋環(huán)節(jié)后,再次進(jìn)入下一個(gè)周期過(guò)程中的需求定義環(huán)節(jié)。在新需求定義階段,將根據(jù)用戶(hù)的需求反饋意見(jiàn),再次更改原有的需求定義和分析規(guī)范,形成新的需求定義文檔,從而推動(dòng)下一個(gè)設(shè)計(jì)周期過(guò)程。如此循環(huán)反復(fù),直至滿(mǎn)足設(shè)定的要求。
響應(yīng)組件的設(shè)計(jì)
1用戶(hù)的需求問(wèn)題(安全管理員、系統(tǒng)管理員、安全調(diào)查員)2操作環(huán)境特點(diǎn)
3響應(yīng)信號(hào)的表現(xiàn)形式因環(huán)境不同而不同
4性能要求
5響應(yīng)部件的本身也是攻擊者的目標(biāo)所在,攻擊的方法可能包括艦艇可能的響應(yīng)通信信道、拒絕服務(wù)攻擊以及切斷相應(yīng)報(bào)警通道等。
6響應(yīng)部件還必須能夠管理從分析組件中發(fā)出的警報(bào)信息。
7響應(yīng)部件中一般都應(yīng)該包含對(duì)檢測(cè)結(jié)果的存檔和報(bào)告功能,F(xiàn)有入侵檢測(cè)技術(shù)的局限性
就網(wǎng)絡(luò)入侵檢測(cè)而言,目前面臨的主要問(wèn)題包括:
1高速網(wǎng)絡(luò)環(huán)境下的檢測(cè)問(wèn)題(網(wǎng)絡(luò)帶寬增長(zhǎng)速度>計(jì)算能力的提高速度,聲稱(chēng)**MHz,實(shí)際需要測(cè)量)2交換式網(wǎng)絡(luò)環(huán)境下的檢測(cè)問(wèn)題(傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)無(wú)法監(jiān)控,需添加額外硬件,帶來(lái)性能和通用性的實(shí)際問(wèn)題。)
3加密問(wèn)題(大多網(wǎng)絡(luò)入檢技術(shù)需通過(guò)對(duì)數(shù)據(jù)包載荷中的特定特征字符串進(jìn)行分析匹配,才能發(fā)現(xiàn)入侵活動(dòng)。如對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)加密,則影響入檢)
現(xiàn)有的入侵檢測(cè)還存在若干通用性的問(wèn)題
1虛假警報(bào)問(wèn)題(狼來(lái)了)
2可擴(kuò)展性問(wèn)題(時(shí)間“慢攻擊”;空間“分布式”大型網(wǎng)絡(luò)設(shè)施,如時(shí)間同步、數(shù)據(jù)簡(jiǎn)化)3管理問(wèn)題(網(wǎng)絡(luò)管理系統(tǒng)集成問(wèn)題;如何管理入侵檢測(cè)系統(tǒng)內(nèi)部可能存在的大量部件)
4支持法律訴訟(法律不完善,如何修改系統(tǒng)設(shè)計(jì)滿(mǎn)足取證、訴訟要求)5互操作性問(wèn)題(各入檢系統(tǒng)遵循統(tǒng)一的數(shù)據(jù)交換格式和傳輸協(xié)議,從而方便地共享信息,更好協(xié)同工作)操作系統(tǒng)的分類(lèi)準(zhǔn)確性、從HIDS基于主主機(jī)的審計(jì)機(jī)的入侵檢測(cè)記錄和日志文件中獲得按信息可移植性、源分類(lèi)NIDS基于網(wǎng)透明、不易絡(luò)的入侵檢測(cè)被攻擊、影響性能混合誤報(bào)率低漏報(bào)誤用率高,匹配特按檢測(cè)征庫(kù)方法分基于正常行類(lèi)異常為的歷史統(tǒng)計(jì)誤高漏低聯(lián)機(jī)實(shí)時(shí)按時(shí)效性分類(lèi)脫機(jī)非實(shí)時(shí)
數(shù)據(jù)挖掘與入侵檢測(cè)技術(shù)
如上圖所示,數(shù)據(jù)挖掘流程中,原始審計(jì)數(shù)據(jù)(RawAuditData)首先被處理成為ASCII碼形式標(biāo)識(shí)的網(wǎng)絡(luò)數(shù)據(jù)包信息(NetworkPackets)或是主機(jī)事件數(shù)據(jù)(HostEvents),接著這些數(shù)據(jù)信息進(jìn)一步被轉(zhuǎn)換成為面向網(wǎng)絡(luò)連接的記錄(ConnectionRecords)或是面向主機(jī)會(huì)話(huà)的記錄數(shù)據(jù)(HostSessionRecords)。這些記錄中包含許多連接/會(huì)話(huà)特征。然后,將數(shù)據(jù)挖掘的算法應(yīng)用到這些連接記錄上,并計(jì)算出有用的數(shù)據(jù)模式(Patterns)。接著,對(duì)這些數(shù)據(jù)進(jìn)行分析,之后用來(lái)幫助提取連接記錄中的其它有用特征(Features)。最后,在確定了記錄數(shù)據(jù)的特征集合后,應(yīng)用數(shù)據(jù)挖掘中的分類(lèi)算法,生成最終的檢測(cè)模型(Models)。整個(gè)數(shù)據(jù)挖掘在入侵檢測(cè)應(yīng)用流程中反復(fù)進(jìn)行。
擴(kuò)展閱讀:入侵檢測(cè)與防火墻試卷復(fù)習(xí)題
防火墻部分
1、防火墻的配置中的三個(gè)基本原則
(1)簡(jiǎn)單實(shí)用:對(duì)防火墻環(huán)境設(shè)計(jì)來(lái)講,首要的就是越簡(jiǎn)單越好。其實(shí)這也是任何事物的基本原則。越簡(jiǎn)單的實(shí)現(xiàn)方式,越容易理解和使用。而且是設(shè)計(jì)越簡(jiǎn)單,越不容易出錯(cuò),防火墻的安全功能越容易得到保證,管理也越可靠和簡(jiǎn)便。
(2)全面深入:?jiǎn)我坏姆烙胧┦请y以保障系統(tǒng)的安全的,只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中,我們不要停留在幾個(gè)表面的防火墻語(yǔ)句上,而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系,盡量使各方面的配置相互加強(qiáng),從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面:一方面體現(xiàn)在防火墻系統(tǒng)的部署上,多層次的防火墻部署體系,即采用集互聯(lián)網(wǎng)邊界防火墻、部門(mén)邊界防火墻和主機(jī)防火墻于一體的層次防御;另一方面將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。
(3).內(nèi)外兼顧:防火墻的一個(gè)特點(diǎn)是防外不防內(nèi),其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中,80%以上的威脅都來(lái)自?xún)?nèi)部,所以我們要樹(shù)立防內(nèi)的觀念,從根本上改變過(guò)去那種防外不防內(nèi)的傳統(tǒng)觀念。對(duì)內(nèi)部威脅可以采取其它安全措施,比如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念,最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來(lái)說(shuō),要做到這一點(diǎn)比較困難。
2、防火墻的具體配置步驟
1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上。
2.打開(kāi)PIX防火電源,讓系統(tǒng)加電初始化,然后開(kāi)啟與防火墻連接的主機(jī)。3.運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端(HyperTerminal)程序(通常在"附件"程序組中)。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣,參見(jiàn)本教程前面有關(guān)介紹。
4.當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示"pixfirewall>"的提示符,這就證明防火墻已啟動(dòng)成功,所進(jìn)入的是防火墻用戶(hù)模式?梢赃M(jìn)行進(jìn)一步的配置了。5.輸入命令:enable,進(jìn)入特權(quán)用戶(hù)模式,此時(shí)系統(tǒng)提示為:pixfirewall#。6.輸入命令:configureterminal,進(jìn)入全局配置模式,對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。(1).首先配置防火墻的網(wǎng)卡參數(shù)(以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例)
Interfaceethernet0auto#0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡,"auto"選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類(lèi)型
Interfaceethernet1auto
(2).配置防火墻內(nèi)、外部網(wǎng)卡的IP地址
IPaddressinsideip_addressnetmask#Inside代表內(nèi)部網(wǎng)卡IPaddressoutsideip_addressnetmask#outside代表外部網(wǎng)卡(3).指定外部網(wǎng)卡的IP地址范圍:global1ip_address-ip_address(4).指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址nat1ip_addressnetmask(5).配置某些控制選項(xiàng):
conduitglobal_ipport[-port]protocolforeign_ip[netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是連接協(xié)議,比如:TCP、UDP等;foreign_ip:表示可訪問(wèn)的global_ip外部IP地址;netmask:為可選項(xiàng),代表要控制的子網(wǎng)掩碼。
7.配置保存:wrmem8.退出當(dāng)前模式
9.查看當(dāng)前用戶(hù)模式下的所有可用命令:show,在相應(yīng)用戶(hù)模式下鍵入這個(gè)命令后,即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。
10.查看端口狀態(tài):showinterface,這個(gè)命令需在特權(quán)用戶(hù)模式下執(zhí)行,執(zhí)行后即顯示出防火墻所有接口配置情況。
11.查看靜態(tài)地址映射:showstatic,這個(gè)命令也須在特權(quán)用戶(hù)模式下執(zhí)行,執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。3、配置訪問(wèn)列表
所用配置命令為:access-list,合格格式比較復(fù)雜。
它是防火墻的主要配置部分,上述格式中帶"[]"部分是可選項(xiàng),listnumber參數(shù)是規(guī)則號(hào),標(biāo)準(zhǔn)規(guī)則號(hào)(listnumber1)是1~99之間的整數(shù),而擴(kuò)展規(guī)則號(hào)(listnumber2)是100~199之間的整數(shù)。它主要是通過(guò)訪問(wèn)權(quán)限"permit"和"deny"來(lái)指定的,網(wǎng)絡(luò)協(xié)議一般有IPTCPUDPICMP等等。如只允許訪問(wèn)通過(guò)防火墻對(duì)主機(jī):220.154.20.254進(jìn)行www訪問(wèn)。其中的100表示訪問(wèn)規(guī)則號(hào),根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來(lái)確定,不能與原來(lái)規(guī)則的重復(fù),也必須是正整數(shù)。
4、地址轉(zhuǎn)換(NAT)
防火墻的NAT配置與路由器的NAT配置基本一樣,首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組,接著定義內(nèi)部網(wǎng)段。
定義供NAT轉(zhuǎn)換的內(nèi)部地址組的命令是nat,它的格式為:nat[(if_name)]nat_idlocal_ip[netmask[max_conns[em_limit]]],其中if_name為接口名;nat_id參數(shù)代表內(nèi)部地址組號(hào);而local_ip為本地網(wǎng)絡(luò)地址;netmask為子網(wǎng)掩碼;max_conns為此接口上所允許的最大TCP連接數(shù),默認(rèn)為"0",表示不限制連接;em_limit為允許從此端口發(fā)出的連接數(shù),默認(rèn)也為"0",即不限制。
表示把所有網(wǎng)絡(luò)地址為10.1.6.0,子網(wǎng)掩碼為255.255.255.0的主機(jī)地址定義為1號(hào)NAT地址組。
隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池,它所用的命令為global,基本命令格式為:
global[(if_name)]nat_idglobal_ip[netmask[max_conns[em_limit]]],各參數(shù)解釋同上。如:
global(outside)1175.1.1.3-175.1.1.64netmask255.255.255.0
將上述nat命令所定的內(nèi)部IP地址組轉(zhuǎn)換成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子網(wǎng)掩耳盜鈴碼為255.255.255.0。
入侵檢測(cè)部分
1、RG-IDS帳戶(hù)管理
(1)原理用戶(hù)管理承擔(dān)著系統(tǒng)認(rèn)證中心的角色。用戶(hù)登錄時(shí)認(rèn)證中心對(duì)用戶(hù)名、密碼做認(rèn)證,如果有綁定設(shè)置則根據(jù)其綁定方式(靜態(tài)綁定、動(dòng)態(tài)綁定)對(duì)用戶(hù)做綁定處理。此外,在認(rèn)證登錄用戶(hù)時(shí),如果某個(gè)用戶(hù)從相同的IP(隱含的動(dòng)態(tài)綁定)重復(fù)多次登錄嘗試,則將該用戶(hù)視為可疑用戶(hù),認(rèn)證中心會(huì)將該用戶(hù)鎖定,同時(shí)發(fā)送審計(jì)事件通知用戶(hù)管理員(觸發(fā)鎖定的登錄嘗試次數(shù)可以用戶(hù)管理員在創(chuàng)建時(shí)指定)。用戶(hù)管理還具有添加、刪除用戶(hù)和修改用戶(hù)信息,并且可以為不同的用戶(hù)分配權(quán)限。不同角色的用戶(hù)具有不同的權(quán)限,每一種用戶(hù)都不能越權(quán)操作。(2)實(shí)驗(yàn)步驟
第一步:用戶(hù)管理員登錄
使用的默認(rèn)的“Admin”帳號(hào)登錄系統(tǒng)(默認(rèn)安裝時(shí)用戶(hù)“Admin”的密碼為“Admin”,強(qiáng)烈建議用戶(hù)管理員第一次登錄后修改該密碼)。第二步:用戶(hù)查看
查看用戶(hù)列表里各用戶(hù)的狀態(tài)。第三步:新建一個(gè)用戶(hù)
在“用戶(hù)屬性配置“窗口添加該用戶(hù)的基本信息以及給該用戶(hù)分配權(quán)限。第四步:驗(yàn)證該用戶(hù)
用新建的用戶(hù)登錄系統(tǒng)。第五步:驗(yàn)證管理權(quán)限
用戶(hù)可以查看本系統(tǒng)的策略。
2、RG-IDS策略管理
(1)原理傳感器使用策略來(lái)控制其所監(jiān)測(cè)的內(nèi)容,并對(duì)監(jiān)測(cè)到的事件作出響應(yīng)。您可以使用系統(tǒng)管理平臺(tái)所附帶的預(yù)定義策略,也可以從預(yù)定義策略派生新的策略。預(yù)定義策略分別側(cè)重于用戶(hù)所關(guān)心的各種層面,用戶(hù)可選擇適合自己的預(yù)定義策略直接應(yīng)用?紤]到用戶(hù)的不同需求,系統(tǒng)管理平臺(tái)提供了用戶(hù)自定義策略的功能。用戶(hù)可以從預(yù)定義策略派生新的策略并且對(duì)新策略進(jìn)行編輯,用戶(hù)還可對(duì)其關(guān)心的部分攻擊簽名進(jìn)行微調(diào),以便更符合用戶(hù)的需要。
在策略管理中,用戶(hù)需要配置安全事件的響應(yīng)方式。這些響應(yīng)方式包括Console顯示、WriteDB、SNMPTrap、E-mail、OPSEC以及用戶(hù)自定義響應(yīng)。其中除Console顯示和WriteDB不需要配置,其他響應(yīng)方式均需要做相應(yīng)的配置工作(2)實(shí)驗(yàn)步驟
第一步:策略編輯界面瀏覽
點(diǎn)擊主界面上的“策略”按鈕,切換到策略編輯器界面,策略編輯器的窗口分為四個(gè)區(qū)域。通過(guò)“策略編輯器”窗口,可以新建、派生、修改、刪除、查看、導(dǎo)入和導(dǎo)出策略。第二步:派生新策略
在策略模板區(qū)域選中一個(gè)預(yù)定義策略AttackDetector,右鍵單擊該策略,在出現(xiàn)的菜單中選擇“派生策略”。第三步:策略編輯
策略中可以選擇用戶(hù)所關(guān)注的事件簽名進(jìn)行檢測(cè),編輯策略的步驟如下:
1)點(diǎn)擊一個(gè)自定義策略。
2)點(diǎn)擊“編輯鎖定”以確保其他人不能同時(shí)更改策略。3)在攻擊簽名窗口展開(kāi)攻擊簽名。4)“選中”或“取消選中”攻擊簽名。5)為攻擊簽名選擇響應(yīng)方式。6)點(diǎn)擊“保存策略”。
第四步:策略鎖定和解除策略鎖定
鎖定策略時(shí),在策略管理窗口點(diǎn)擊快捷按鈕“編輯鎖定”,策略管理窗口被鎖定。當(dāng)多用戶(hù)同時(shí)登錄控制臺(tái)時(shí),當(dāng)前用戶(hù)可以編輯策略,其他用戶(hù)不能修改。
接觸策略鎖定時(shí),在策略管理窗口點(diǎn)擊快捷按鈕“解除鎖定”,編輯權(quán)限被釋放,當(dāng)多用戶(hù)同時(shí)登錄控制臺(tái)時(shí),允許其他某個(gè)用戶(hù)編輯策略。第五步:導(dǎo)出策略
右鍵點(diǎn)擊一個(gè)策略,選擇“導(dǎo)出策略”。第六步:導(dǎo)入策略
右鍵點(diǎn)擊某個(gè)策略,選擇“導(dǎo)入策略”。第七步:策略應(yīng)用
打開(kāi)“組件”,在EC引擎上點(diǎn)擊右鍵,選擇“應(yīng)用策略”。
3、配置交換機(jī)端口鏡像
(1)原理交換機(jī)的端口鏡像特性可以允許管理員對(duì)網(wǎng)絡(luò)中的特定流量進(jìn)行鏡像分析。即在交換機(jī)上,對(duì)特定流量進(jìn)行復(fù)制并發(fā)送到指定端口。
(2)實(shí)驗(yàn)步驟
第一步:定義需要鏡像的特定流量第二步:配置鏡像流量的流出端口第三步:驗(yàn)證測(cè)試
4、端口掃描攻擊檢測(cè)
(1)原理端口掃描向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包,并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析響應(yīng)來(lái)判斷服務(wù)端口是打開(kāi)還是關(guān)閉,就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過(guò)捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來(lái)監(jiān)視本地主機(jī)的運(yùn)行情況,它僅能對(duì)接收到的數(shù)據(jù)進(jìn)行分析,幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn),而不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。
端口掃描技術(shù)行為作為惡意攻擊的前奏,嚴(yán)重威脅用戶(hù)的網(wǎng)絡(luò),RG-IDS通過(guò)掃描的行為特征準(zhǔn)確的識(shí)別出惡意的掃描行為,并及時(shí)通知管理員。
本實(shí)驗(yàn)通過(guò)攻擊者常用的portscan12端口掃描工具進(jìn)行端口掃描攻擊,檢驗(yàn)RG-IDS對(duì)端口掃描攻擊的檢測(cè)能力。(2)實(shí)驗(yàn)步驟第一步:策略編輯
點(diǎn)擊主界面上的“策略”按鈕,切換到策略編輯器界面,從現(xiàn)有的策略模板中生成一個(gè)新的策略。新的策略中選擇“tcp:portscan”簽名,并將策略下發(fā)到引擎。第二步:實(shí)施攻擊
啟動(dòng)端口掃描攻擊程序。第三步:查看警報(bào)
進(jìn)入RG-IDS控制臺(tái),通過(guò)“安全事件”組件,查看IDS檢測(cè)的安全事件信息
5、DoS攻擊檢測(cè)
(1)原理WebDoS主要是用來(lái)攻擊Web頁(yè)面。攻擊者向目標(biāo)主機(jī)上開(kāi)銷(xiāo)比較大的CGI頁(yè)面發(fā)起HTTP請(qǐng)求,造成目標(biāo)主機(jī)拒絕服務(wù)。攻擊者模擬多個(gè)用戶(hù)(多少線(xiàn)程就是多少用戶(hù))不停地進(jìn)行訪問(wèn),訪問(wèn)那些需要大量數(shù)據(jù)操作,即需要消耗大量CPU資源的頁(yè)面。這種攻擊和正常的Web訪問(wèn)很類(lèi)似,因此攻擊者可以很好地隱藏自己,也可以繞開(kāi)防火墻。
WebCC攻擊方法較為簡(jiǎn)單,易被黑客所掌握。因此此類(lèi)攻擊嚴(yán)重威脅用戶(hù)的正常的Web資源,RG-IDS通過(guò)行為特征準(zhǔn)確地識(shí)別出惡意的行為,并及時(shí)產(chǎn)生告警。(2)實(shí)驗(yàn)步驟
第一步:搭建Web服務(wù)器
將Webserverv12.exe工具拷貝到被攻擊機(jī)172.16.5.125中,并運(yùn)行該軟件,使被攻擊機(jī)不用做任何配置即可當(dāng)做一臺(tái)簡(jiǎn)易的Web服務(wù)器。第二步:策略編輯
點(diǎn)擊主界面上的“策略”按鈕,切換到策略編輯器界面,從現(xiàn)有的策略模板中生成一個(gè)新的策略。新的策略中選擇“”下的“Webcc”簽名,設(shè)置該簽名的參數(shù):WebHOST為“172.16.5.125”,保存策略,并將策略應(yīng)用到引擎設(shè)備上。第三步:實(shí)施攻擊
在MS-DoS下運(yùn)行Webcc.exe文件,啟動(dòng)WebCC攻擊程序。命令格式為:“Webcc要攻擊的Web服務(wù)器地址要刷新的Web頁(yè)的路徑要攻擊的Web服務(wù)器端口”。第四步:查看警報(bào)
進(jìn)入RG-IDS控制臺(tái),通過(guò)“安全事件”組件,查看IDS檢測(cè)的安全事件信息,
6、密碼策略審計(jì)
(1)原理密碼攻擊是駭客攻擊時(shí)最常用到的方式之一,利用密碼的猜測(cè)、暴力破解等方法來(lái)掌握關(guān)鍵帳號(hào)的密碼,已達(dá)到控制遠(yuǎn)程機(jī)器的目的。
防范此種攻擊最常用的方法是保障密碼的強(qiáng)度,即對(duì)帳號(hào)所使用的密碼長(zhǎng)度、復(fù)雜度(使用大小寫(xiě)、字母、數(shù)字、非標(biāo)準(zhǔn)字符等進(jìn)行組合)進(jìn)行強(qiáng)制性要求。
本實(shí)驗(yàn)通過(guò)模擬某FTP服務(wù)器登錄帳號(hào)密碼使用簡(jiǎn)單密碼,IDS將及時(shí)產(chǎn)生告警。(2)實(shí)驗(yàn)步驟第一步:策略編輯
點(diǎn)擊主界面上的“策略”按鈕,切換到策略編輯器界面,從現(xiàn)有的策略模板中生成一個(gè)新的策略。
第二步:使用弱密碼進(jìn)行登錄
在FTP服務(wù)器上建立帳戶(hù)“test01”、“test02”,密碼分別是“123456”和“test02”。在FTP客戶(hù)端機(jī)器上分別使用帳戶(hù)“test01”、“test02”進(jìn)行登錄。第三步:查看警報(bào)
進(jìn)入RG-IDS控制臺(tái),通過(guò)“安全事件”組件,查看IDS檢測(cè)的安全事件信息,如下圖第四步:修改策略
在RG-IDS控制臺(tái)中修改策略參數(shù),將“ALERTPASSWORDS”的值修改為“1”,保存并應(yīng)用策略到IDS當(dāng)中。
第五步:重新登錄FTP服務(wù)器
重復(fù)第二、三步驟,觀察報(bào)警詳細(xì)信息的差異,告警信息中將顯示出不安全的密碼。
7、IIS服務(wù)漏洞攻擊檢測(cè)
(1)原理IIS(InternetInformationService)可以讓有條件的用戶(hù)輕易地建立一個(gè)本地化的網(wǎng)站服務(wù)器,同時(shí)提供HTTP訪問(wèn)、文件傳輸(FTP)服務(wù)以及郵件服務(wù)等。
但是IIS服務(wù)漏洞或缺口層出不窮,黑客不僅僅可以利用其漏洞停滯計(jì)算機(jī)的對(duì)外網(wǎng)絡(luò)服務(wù),更可修改其中的主頁(yè)內(nèi)容,甚至利用其漏洞進(jìn)入到計(jì)算機(jī)內(nèi)部,刪改主機(jī)上的文件。以“擴(kuò)展UNICODE目錄遍歷漏洞”為例,黑客就可以利用工具軟件(如:IISCracker)進(jìn)入到計(jì)算機(jī)內(nèi)部。通過(guò)“IISCracker”入侵成功后,可以查看對(duì)方主機(jī)上的文件,通過(guò)遠(yuǎn)程控制入侵,黑客擁有對(duì)主機(jī)上的主頁(yè)和文件進(jìn)行竊取、修改和刪除等權(quán)限。
本實(shí)驗(yàn)通過(guò)“IISCracker”工具攻擊開(kāi)放IIS服務(wù)的Web服務(wù)器,并獲得權(quán)限。RG-IDS能及時(shí)準(zhǔn)確地檢測(cè)出該類(lèi)攻擊,并將警告上報(bào)控制臺(tái)。(2)實(shí)驗(yàn)步驟
第一步:使用Windows的IIS組件搭建Web服務(wù)器
第二步:策略編輯
點(diǎn)擊主界面上的“策略”按鈕,切換到策略編輯器界面,從現(xiàn)有的策略模板中生成一個(gè)新的策略。
第二步:實(shí)施攻擊
啟動(dòng)IIS攻擊程序第四步:查看警報(bào)
進(jìn)入RG-IDS控制臺(tái),通過(guò)“安全事件”組件,查看IDS檢測(cè)的安全事件信息
7、緩沖區(qū)溢出攻擊檢測(cè)
(1)原理Win32.Sasser.A是一個(gè)通過(guò)Windows201*、WindowsXP和WindowsServer201*的系統(tǒng)漏洞(MS04-011)傳播的蠕蟲(chóng)病毒,病毒文件長(zhǎng)度為15872字節(jié)。遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以SYSTEM權(quán)限在系統(tǒng)上執(zhí)行任意指令,利用這個(gè)漏洞最有名的攻擊就是“震蕩波”病毒。微軟的Server服務(wù)中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼,這是一個(gè)比較嚴(yán)重的漏洞,從Windows201*SP4到WindowsXPSP2再到Windows201*SP1,還有64位操作系統(tǒng),無(wú)一幸免。這個(gè)漏洞的最著名的利用就是“魔波”(MS06-040)蠕蟲(chóng)病毒。
RG-IDS通過(guò)檢測(cè)該溢出攻擊發(fā)生時(shí)的網(wǎng)絡(luò)行為特征(基于客戶(hù)系統(tǒng)已存在的漏洞)。
(2)實(shí)驗(yàn)步驟第一步:策略編輯
點(diǎn)擊主界面上的“策略”按鈕,切換到策略編輯器界面,從現(xiàn)有的策略模板中生成一個(gè)新的策略。
第二步:實(shí)施攻擊
1、MS04-011
選擇開(kāi)始菜單-metasploit3-metasploit3GUI,打開(kāi)metasploit程序。2、MS06-040
依次選擇exploits-windows-smb,在下面的漏洞列表中雙擊ms06_040_netapi。第三步:查看警報(bào)
進(jìn)入RG-IDS控制臺(tái),通過(guò)“安全事件”組件,查看IDS檢測(cè)的安全事件信息
友情提示:本文中關(guān)于《入侵檢測(cè)復(fù)習(xí)重點(diǎn)》給出的范例僅供您參考拓展思維使用,入侵檢測(cè)復(fù)習(xí)重點(diǎn):該篇文章建議您自主創(chuàng)作。
來(lái)源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問(wèn)題,請(qǐng)聯(lián)系我們及時(shí)刪除。