搜索
09年04月IPS基础知识请求报文,以判断目标机是否开启了445端口目标网络开启了445端口,且存在漏洞向开启了445端口的目标机B发送溢出报文,如果B没打相关补丁,溢出成功,蠕虫获得B的系统权限目标机被蠕虫控制蠕虫控制目标机B:1、指使B通过FTP从攻击机上下载蠕虫程序;2、指使B运行下载的蠕虫程序。目标机蠕虫成为攻击机利用目标机B:1、向新受害者发起攻击,最终形成规模攻击2、将真正攻击者隐藏,增加追查难度。新的受害者1.扫描,发现目标机2.向目标机发送溢出报文,控制目标机3.获取目标机控制权4.目标机发攻击主要内容IPS/IDS发展IPS功能和核心技术IPS选择IPS部署产品定义IDS定义:IntrusionDetectionSystem,入侵检测系统IDS的两个关键特征:实现应用层威胁识别,提供对网络数据的“监视”功能旁路部署,与防火墙配合实现安全防范IPS定义:IntrusionPreventionSystem,入侵防御系统IPS的两个关键特征:深入七层的数据流攻击特征检测(可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等)在线部署,实时阻断攻击应用层L4:传输层L3:网络层L2:链路层L1:物理层路由器防火墙TCP/IP协议栈网络接口操作系统Web服务架构Web应用架构应用风险越高越迫切需要被保护应用层数据会话标识HTTP请求/响应TCP连接IP报文以太网报文二进制比特流网线IPS/IDS产品定位技术发展历程1987198819901995•Denning在博士论文中提出了一个抽象的入侵检测专家系统模型,第一次提出把入侵检测作为解决计算机系统安全问题的手段•Morris蠕虫事件使得Internet约5天无法正常使用,该事件导致了许多IDS系统的开发研制。•美国军方、美国国家计算机安全中心均开发了主机型IDS。•1990年,Heberlein提出基于网络的IDS:NSM(网络安全监视),用来检测所监视的广域网的网络流量中的可疑行为。•IDS从尝试性、研究性,开始走向市场化。200320001998•IPS在国外成为入侵防御产品的主流,美国军方等均使用IPS。•国际著名咨询机构Gartner副总裁RichardStiennon发表:IDSisdead。•美国安全厂商(非IDS厂商)提出IPS概念,并发布IPS产品。•随后,国外安全厂商纷纷推出IPS。•MartinRoesch发布了开源IDS:Snort。2007•中国银行、证券、农信等金融机构纷纷开始部署IPS设备在网络环境中,FW、IPS一前一后部署,形成纵深的立体防御。项目防火墙IPS网络层次L3-L4L4-L7主要功能安全区域划分、VPN入侵防御、网络滥用控制、DDoS防范部署方式在线部署(透明、路由)在线透明部署安全业务安全域划分、访问控制、NAT、VPN具有一定攻击防范实时防御的攻击包括:针对系统漏洞的攻击、蠕虫、木马、病毒、SQL注入、跨站脚本、协议异常、DDoS、扫描、网络滥用流量等持续更新机制无攻击特征库更新机制攻击特征库定期更新,以抵御不断更新的攻击手法,并防护不断出现的系统漏洞IPS与防火墙的比较部署方式旁路部署在线部署对网络设备要求依赖于网络设备的流量镜像不依赖网络设备响应方式主要是告警主要是阻断加告警,也可设置为仅告警实现思路粗放检测、粗放告警精确检测、实时阻断硬件架构X86架构多核架构,配合专有ASIC芯片检测引擎单一检测机制多重检测机制可靠性机制低,旁路部署,可靠性要求低很高由于IDS与生俱来的缺陷,IPS必将全面取代IDS。DPtechIPS2000可以同时支持IPS/IDS。IPS与IDS的比较•防火墙主要提供安全区域隔离、访问控制和VPN功能,不能有效检测并阻断夹杂在正常流量中的应用层攻击代码•IDS由于旁路部署,侧重安全状态监控,需要和防火墙联动才能抵御威胁,适合于“事后审计”,无法满足实时安全防护•IPS在线部署,主动防御,实时阻断攻击攻击、病毒等威胁正常报文P2P、IM等应用IPS与IDS产品对比图示是当前应用安全发展趋势反客为主,被动防御变为主动防御,效果显著,轻松解决安全问题范围扩大,不仅关注外部的黑客,也关注内部的员工应用深层安全,攻击、病毒、木马界限趋于模糊,已经融为一体,需要综合防护IDS向IPS发展成为必然!主要内容IPS/IDS发展IPS功能和核心技术IPS选择IPS部署基本功能高可靠性•在线部署无故障管理功能•安全策略•攻击事件管理等业务功能•入侵检测和防护•病毒防护•带宽管理业务功能:入侵检测和防护检测方法1.基于攻击工具、或漏洞利用的特征进行检测。2.基于协议交互的异常进行检测。3.基于流量统计的异常进行检测。4.其他检测方法:各种事件智能关联分析、主动扫描检测、网络行为自学习、流量基线自学习、模糊检测、蜜罐法、抽样检测、反向认证。报文处理方式1.报文正规化。2.IP重组。3.TCP流恢复。4.TCP会话状态跟踪。5.协议解码。6.基于应用层协议的状态跟踪7.专有硬件加速。8.可信报文处理。9.加密报文处理。威胁的识别和检测是IPS最基本功能,目标:零漏报、零误报、检测未知网络攻击和未知网络滥用业务功能:DDoS防御能力DNS/SMTP/多种机制综合实现DDoS攻击防御通过SynCookie机制防范SynFlood攻击。通过限制单个源地址的每秒连接数来防范CPSFlood攻击。通过流量阈值模型、反向认证等方式来防范UDPFlood、ICMPFlood、HTTPGetFlood、DNSFlood等DDoS攻击通过特征检测防范常用DDoS攻击工具Internet业务功能:针对Web应用的安全防范防范利用Web应用的OS、Web服务、PHP/ASP、数据库等软件系统漏洞的攻击防范利用Web页面程序数据库查询漏洞的SQL注入攻击防范利用Web页面程序HTML输入漏洞的XSS攻击防范对Web网站的大流量DDoS攻击业务功能:防病毒功能HTTP,FTPWebBrowsingSMTP,POP3E-Mail内部网络DPtechIPS防火墙Internet防病毒功能:支持对HTTP、FTP、SMTP和POP3协议识别,并对协议的负载进行病毒检测提供专业的病毒样本特征和及时升级服务提供允许、阻断、重定向等灵活的防病毒策略,满足各种用户的需要网游完全阻断精确检测和控制BT、电驴、QQ、MSN、PPLive等近百种P2P/IM应用可针对网络游戏、炒股软件等应用进行精确识别和控制提供丰富的控制手段,满足管理的个性化需求业务功能:检测并限制网络滥用安全团队持续对安全攻防和安全热点的跟踪研究。2.以较高的频率根据研究结果定期开发出IPS特征库。3.IPS特征库发布制度和自动分发机制。4.定期发布相关的安全公告。5.兼容权威漏洞库。其他IPS相关的服务1.IPS部署管理服务,以使用户在特定的网络环境中获得最佳的设备功能和性能。2.IPS产品相关的认证培训。3.风险评估、安全咨询、与IPS相关的安全解决方案。4.应急响应、追踪攻击源。如何保障对最新威胁的防护,是IPS产品的核心竞争力目标:防范零日攻击或未知攻击、切实帮用户解决问题业务功能:持续的升级服务能力管理功能:策略和事件管理安全策略管理1.出厂缺省安全策略。2.安全策略定制。3.逻辑IPS单元的定义。4.安全策略下发到特定的逻辑IPS单元。5.特征规则的详细描述。6.特征库的手动、自动升级机制7.特征规则分类方式。8.自定义特征规则。9.典型安全策略模板。攻击事件管理1.攻击事件的存储策略。2.攻击事件查询。3.攻击事件备份、导出等。4.攻击事件与特征规则的关联5.攻击事件统计分析、图形化报表。6.内置报表类型。7.自定义报表类型。8.报表导出格式。9.报表的自动化定时生成。IPS最终使用,需要产品易用性和可审计性强目标:安全策略定制简单、攻击事件呈现直观热插拨,双电源支持支持二层回退功能内置的高可用性(二层回退)借助于掉电保护模块,可保证IPS掉电时,网络依然畅通。内置掉电保护模块(内置优势:微秒级切换时间)掉电保护模块PFC(PowerFreeConnector)检测引擎正常模式检测引擎二层交换模式PFC主机网络流量USB供电DPtechIPS交换机交换机高可靠性:二层回退和掉电保护主要内容IPS/IDS发展IPS功能和核心技术IPS选择IPS部署选择的“五指”理论拇指•拇指是手掌中最基本支撑点,与此类似,针对攻击的检测也是网络入侵防御系统的核心•攻击检测应该具备很低的漏报率(放过真正已发生的攻击而不是告警)和误报率(把正常的网络活动认为攻击)食指•食指是我们日常使用最多的手指,是完成各类动作的关键。IPS是否具备丰富的功能和食指一样,对产品的应用有着关键意义•IPS作为在线部署、主动防御的产品,最大的功能是提供深度的访问控制,更多安全功能,这里有两个关键:一是检测流量类型的多少,二是访问控制的细粒度,三是病毒防护。中指•中指是手掌中最长的手指,也是相对最有力的部分,我们在日常行为中行动的基础。而性能指标也是IPS产品能够完成功能的必要条件。•IPS必须具有良好的性能,提供很强的分析处理能力,保证不会对合法流量进行拦截,从而保证网络的高可用性无名指•良好的部署能力是适应多种用户环境的重要指标,这与人的无名指对于手掌的作用有很大的相似性小指•虽然小指不是使用最多的部分,但是其存在能够帮助手掌完成很多复杂的动作•IPS的管理功能也是如此,良好的管理功能能够有效降低客户维护安全产品的成本,对于大型网络环境则更为重要选择的“五指”理论IPS选择的3种指标:•1.整机吞吐量:指IPS在安全检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量IPS对报文的处理能力。•2.误报率和漏报率:对应用层协议和各种漏洞的识别指标,误报率是将合法报文错误判断为攻击比例,漏报率是没有攻击报文比例。•3.特征库服务升级频率:对最新协议和漏洞的及时支持,保障设备可以对威胁的阻断。主要内容IPS/IDS发展IPS功能和核心技术IPS选择IPS部署的部署位置、IPS的安全策略安全等级安全域与其说IPS组网,不如说找到IPS的部署位置边界,放在防火墙后面,可以抵御来自Inter