Unit入侵響應(yīng)與IDS的部署課件

1、1入侵響應(yīng)第1頁，共33頁。2響應(yīng)類型被動(dòng)響應(yīng)：只記錄問題和報(bào)告問題主動(dòng)響應(yīng)：用自動(dòng)的或用戶指定的方式，阻斷攻擊過程。第2頁，共33頁。3主動(dòng)響應(yīng)(active response)可分為三類：針對(duì)入侵者采取的措施修正系統(tǒng)收集更詳細(xì)的信息第3頁，共33頁。4針對(duì)入侵者采取的措施追蹤攻擊的發(fā)起地，并采取措施禁用入侵者的機(jī)器或網(wǎng)絡(luò)連接。其危害是：可能會(huì)使無辜的受害者遭受到新的損害。攻擊方可能假冒IP對(duì)目標(biāo)進(jìn)行攻擊可能挑起更猛烈的攻擊反擊者可能會(huì)成為刑事或民事訴訟的對(duì)象?？赡軙?huì)牽涉到法律責(zé)任和其它一些實(shí)際問題，不應(yīng)作為通用的主動(dòng)響應(yīng)方式。第4頁，共33頁。5針對(duì)入侵者采取的措施（續(xù)）正確的方式是：斷開

2、與其之間的網(wǎng)絡(luò)會(huì)話，如向攻擊方機(jī)器法送TCP的RESET包，或發(fā)送ICMP Destination Unreachable包，也可控制防火墻或網(wǎng)關(guān)去阻攔攻擊包發(fā)郵件給系統(tǒng)管理員，請(qǐng)求識(shí)別并處理問題第5頁，共33頁。6修正系統(tǒng)修正系統(tǒng)彌補(bǔ)攻擊引起的破壞（類似于生物體的免疫系統(tǒng)，可以辨識(shí)問題并將引起問題的部分隔離起來）。改變分析引擎的一些參數(shù)設(shè)置和操作方式添加規(guī)則，如提高某類攻擊的可疑級(jí)別或擴(kuò)大監(jiān)控范圍，達(dá)到在更好的粒度層次上收集信息的目的（類似于利用當(dāng)前進(jìn)程結(jié)果來調(diào)整優(yōu)化以后的進(jìn)程）第6頁，共33頁。7收集更詳細(xì)的信息可以與專用的服務(wù)器（誘騙系統(tǒng)）結(jié)合起來，如honey pots, decoys

3、或fishbowls,用來模擬關(guān)鍵系統(tǒng)的文件系統(tǒng)或其他系統(tǒng)特征，引誘攻擊者，記錄攻擊者行為，從而獲得關(guān)于攻擊者的詳細(xì)信息，作為進(jìn)一步采取法律措施的依據(jù).Decoy最早出現(xiàn)在1972年Bill Cheswick的論文中（An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied）。第7頁，共33頁。8被動(dòng)響應(yīng)(passive response)為用戶提供信息，由用戶決定接下來應(yīng)該采取什么措施。警報(bào)和通知警報(bào)顯示屏（控制臺(tái)或預(yù)定義的其他部件上）警報(bào)和警告的遠(yuǎn)程通報(bào)（移動(dòng)電話或E-mail）SNMP陷阱和插件與網(wǎng)

4、管工具一起協(xié)同工作，出現(xiàn)在網(wǎng)管控制臺(tái)上第8頁，共33頁。9入侵追蹤是主動(dòng)響應(yīng)的一部分。給定一系列主機(jī)H1,H2,Hn, 當(dāng)攻擊者順序從H1連接到H2, 稱 為一個(gè)連接鏈，追蹤的任務(wù)就是給定Hn,找出Hn-1,H1的部分或全部。目前的追蹤方法主要兩類：基于主機(jī)的和基于網(wǎng)絡(luò)的，每種又分為主動(dòng)式和被動(dòng)式第9頁，共33頁。10追蹤系統(tǒng)舉例被動(dòng)式主動(dòng)式基于主機(jī)的DIDSCaller IDCIS基于網(wǎng)絡(luò)的ThumbprintingIDIPTime-basedSWTDeviation-based第10頁，共33頁。11基于主機(jī)的追蹤體系被動(dòng)式追蹤DIDSCaller Identification Syste

5、m（CIS）主動(dòng)式追蹤C(jī)aller ID問題：必須信任追蹤系統(tǒng)中的每個(gè)節(jié)點(diǎn)；要求大規(guī)模地部署，因此在Internet上難以實(shí)現(xiàn)。第11頁，共33頁。12基于網(wǎng)絡(luò)的追蹤體系基于網(wǎng)絡(luò)本身的特性進(jìn)行追蹤，不要求每個(gè)節(jié)點(diǎn)的參與，也不基于對(duì)每個(gè)節(jié)點(diǎn)的信任被動(dòng)式追蹤ThumprintTime-basedDeviation-based主動(dòng)式追蹤：涉及信息隱形技術(shù)，保密研究第12頁，共33頁。13聯(lián)動(dòng)響應(yīng)是一種主動(dòng)響應(yīng)方式，它是指當(dāng)IDS檢測(cè)到需要阻斷的入侵行為時(shí)，立即迅速啟動(dòng)聯(lián)動(dòng)機(jī)制，自動(dòng)通知防火墻或其它安全控制設(shè)備對(duì)攻擊源進(jìn)行封堵，達(dá)到整體安全控制的效果。比如：與防火墻聯(lián)動(dòng)，封堵源自外部網(wǎng)絡(luò)的攻擊；與網(wǎng)絡(luò)

6、管理系統(tǒng)聯(lián)動(dòng)，封掉被攻擊者利用的網(wǎng)絡(luò)設(shè)備和主機(jī)；與操作系統(tǒng)聯(lián)動(dòng)，封掉有惡意的用戶賬號(hào)。第13頁，共33頁。14聯(lián)動(dòng)響應(yīng)舉例例1：攻擊者A向防火墻內(nèi)的主機(jī)B實(shí)施TCP SYN-Flooding攻擊。A假冒一個(gè)不存在主機(jī)C的地址向B發(fā)送SYN包，B向C回應(yīng)SYN-ACK包。但由于C并不存在，所以不會(huì)給B發(fā)送確認(rèn)包，那么B上的這個(gè)半連接就一直處于等待狀態(tài)。A連續(xù)向B發(fā)送SYN包，由于B的連接請(qǐng)求隊(duì)列長度有限，當(dāng)這個(gè)隊(duì)列變滿后，新的連接請(qǐng)求就無法進(jìn)來，除非隊(duì)列中的半連接因超時(shí)被復(fù)位。IDS對(duì)一段時(shí)間內(nèi)的半連接數(shù)量進(jìn)行記錄，當(dāng)單位時(shí)間內(nèi)的TCP半連接數(shù)量超過一定閾值，則向防火墻發(fā)送命令，重新設(shè)置超時(shí)時(shí)間

7、，即將超時(shí)時(shí)間設(shè)置為更短的t，若在時(shí)間t內(nèi)沒有ACK確認(rèn)包或RST包發(fā)給B，則防火墻向B發(fā)RST包來復(fù)位該半連接。 第14頁，共33頁。15主動(dòng)響應(yīng)存在的問題 IP 地址欺騙和誤報(bào)警可能引起的錯(cuò)誤：既然入侵檢測(cè)系統(tǒng)有產(chǎn)生誤報(bào)警的問題，我們就有可能錯(cuò)誤地針對(duì)一個(gè)從未攻擊我們的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行響應(yīng)。如果攻擊者判定我們的系統(tǒng)有自動(dòng)響應(yīng)，他可能會(huì)利用這一點(diǎn)來針對(duì)我們。 如：攻擊者可從某公司的合作伙伴/客戶/供應(yīng)商的地址發(fā)出虛假攻擊，使得防火墻把一個(gè)公司與另一個(gè)公司隔離開，這樣兩者之間就有了不能逾越的隔離界限。 第15頁，共33頁。16入侵響應(yīng)小結(jié)入侵響應(yīng)應(yīng)該與安全策略相協(xié)調(diào)。如在安全防護(hù)策略中規(guī)以定一怎樣

8、的措施來對(duì)檢測(cè)到的入侵行為作出響應(yīng)。按照措施的時(shí)間和緊急程度分為：即時(shí)措施：入侵發(fā)生時(shí)及時(shí)措施：入侵被完全檢測(cè)出來時(shí)本地長期措施：處于本地安全的長期考慮全局長期措施：對(duì)社會(huì)安全狀況很重要第16頁，共33頁。17IDS的部署和應(yīng)用第17頁，共33頁。18網(wǎng)絡(luò)檢測(cè)器的位置對(duì)于主機(jī)型IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測(cè)的主機(jī)上?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)需要有檢測(cè)器才能工作。如果檢測(cè)器放的位置不正確，入侵檢測(cè)系統(tǒng)也無法工作在最佳狀態(tài)。一般說來檢測(cè)器放在防火墻附近比較好。放在防火墻之外檢測(cè)器在防火墻內(nèi)防火墻內(nèi)外都有檢測(cè)器檢測(cè)器的其他位置第18頁，共33頁。19檢測(cè)器部署示意圖Internet部署二部署三

9、部署四部署一第19頁，共33頁。20檢測(cè)器放在邊界防火墻之內(nèi)放置于防火墻的DMZ區(qū)域可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點(diǎn)第20頁，共33頁。21檢測(cè)器放在邊界防火墻之外放置于路由器和邊界防火墻之間可以審計(jì)所有來自Internet上面對(duì)保護(hù)網(wǎng)絡(luò)的攻擊數(shù)目可以審計(jì)所有來自Internet上面對(duì)保護(hù)網(wǎng)絡(luò)的攻擊類型第21頁，共33頁。22檢測(cè)器放在主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能性可通過授權(quán)用戶的權(quán)利邊界來發(fā)現(xiàn)未授權(quán)用戶的行為第22頁，共33頁。23放在安全級(jí)別高的子網(wǎng)對(duì)非常重要的系統(tǒng)和資源的入侵檢測(cè)第23頁，共3

10、3頁。24共享媒介上檢測(cè)器的部署HUBIDS SensorMonitored ServersConsole第24頁，共33頁。25交換環(huán)境檢測(cè)器的部署SwitchIDS SensorMonitored ServersConsole通過端口鏡像實(shí)現(xiàn)（SPAN / Port Monitor）第25頁，共33頁。26隱蔽模式下檢測(cè)器的部署SwitchIDS SensorMonitored ServersConsole不設(shè)IP第26頁，共33頁。27基于主機(jī)IDS的典型配置防火墻路由器DNS Server被保護(hù)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)管理控制臺(tái)第27頁，共33頁。28基于網(wǎng)絡(luò)IDS的典型配置DNS Server

11、NIDS控制管理器被保護(hù)的內(nèi)部網(wǎng)絡(luò)NIDS探測(cè)器第28頁，共33頁。29應(yīng)用于交換機(jī)環(huán)境時(shí)的問題由于交換機(jī)不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個(gè)sniffer來監(jiān)聽整個(gè)子網(wǎng)的辦法不再可行?？山鉀Q的辦法有： 1交換機(jī)的核心芯片上一般有一個(gè)用于調(diào)試的端口（span port），任何其他端口的進(jìn)出信息都可從此得到。如果交換機(jī)廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。優(yōu)點(diǎn)：無需改變IDS體系結(jié)構(gòu)。缺點(diǎn)：采用此端口會(huì)降低交換機(jī)性能。第29頁，共33頁。30應(yīng)用于交換機(jī)環(huán)境時(shí)的問題(續(xù))2把入侵檢測(cè)系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。優(yōu)點(diǎn)：可得到幾乎所有關(guān)鍵數(shù)據(jù)。缺點(diǎn)：必須與

12、其他廠商緊密合作，且會(huì)降低網(wǎng)絡(luò)性能。3. 采用分接器（Tap），將其接在所有要監(jiān)測(cè)的線路上。 優(yōu)點(diǎn)：在不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。缺點(diǎn)：必須購買額外的設(shè)備(Tap)；若所保護(hù)的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。4使用具有網(wǎng)絡(luò)接口檢測(cè)功能的主機(jī)代理。第30頁，共33頁。31IDS在安全體系結(jié)構(gòu)中的層次第一種觀點(diǎn)：檢測(cè)應(yīng)該處在和保護(hù)基本不交叉的一個(gè)獨(dú)立的層次上，這種類型的IDS容易實(shí)現(xiàn)。優(yōu)點(diǎn)：由于和OS 無關(guān)，所以可靠性好缺點(diǎn)：信息不能共享，加重了IDS的負(fù)擔(dān)，理解可能會(huì)有誤差。第二種觀點(diǎn)：檢測(cè)應(yīng)該與保護(hù)緊密結(jié)合。強(qiáng)調(diào)與OS的結(jié)合，IDS常以內(nèi)核補(bǔ)丁或驅(qū)動(dòng)程序的形式出現(xiàn)。優(yōu)點(diǎn)：檢測(cè)準(zhǔn)確缺點(diǎn)：難以實(shí)現(xiàn)，運(yùn)行在內(nèi)核中，影響系統(tǒng)的效率第31頁，共33頁。32IDS體系結(jié)構(gòu)應(yīng)該具有的特征類似于免疫系