Unit6入侵響應(yīng)與IDS的部署

入侵檢測及掃描技術(shù)——入侵響應(yīng)與IDS的部署1入侵響應(yīng)2響應(yīng)類型被動響應(yīng)：只記錄問題和報告問題主動響應(yīng)：用自動的或用戶指定的方式，阻斷攻擊過程。3主動響應(yīng)(activeresponse)可分為三類：針對入侵者采取的措施修正系統(tǒng)收集更詳細(xì)的信息4針對入侵者采取的措施追蹤攻擊的發(fā)起地，并采取措施禁用入侵者的機(jī)器或網(wǎng)絡(luò)連接。其危害是：可能會使無辜的受害者遭受到新的損害。攻擊方可能假冒IP對目標(biāo)進(jìn)行攻擊可能挑起更猛烈的攻擊反擊者可能會成為刑事或民事訴訟的對象?？赡軙可娴椒韶?zé)任和其它一些實際問題，不應(yīng)作為通用的主動響應(yīng)方式。5針對入侵者采取的措施（續(xù)）正確的方式是：斷開與其之間的網(wǎng)絡(luò)會話，如向攻擊方機(jī)器法送TCP的RESET包，或發(fā)送ICMPDestinationUnreachable包，也可控制防火墻或網(wǎng)關(guān)去阻攔攻擊包發(fā)郵件給系統(tǒng)管理員，請求識別并處理問題6被動響應(yīng)(passiveresponse)為用戶提供信息，由用戶決定接下來應(yīng)該采取什么措施。警報和通知警報顯示屏（控制臺或預(yù)定義的其他部件上）警報和警告的遠(yuǎn)程通報（移動電話或E-mail）SNMP陷阱和插件與網(wǎng)管工具一起協(xié)同工作，出現(xiàn)在網(wǎng)管控制臺上9入侵追蹤是主動響應(yīng)的一部分。給定一系列主機(jī)H1,H2,…Hn,當(dāng)攻擊者順序從H1連接到H2,稱<H1,H2,..Hn>為一個連接鏈，追蹤的任務(wù)就是給定Hn,找出Hn-1,…H1的部分或全部。目前的追蹤方法主要兩類：基于主機(jī)的和基于網(wǎng)絡(luò)的，每種又分為主動式和被動式10追蹤系統(tǒng)舉例被動式主動式基于主機(jī)的DIDSCallerIDCIS基于網(wǎng)絡(luò)的ThumbprintingIDIPTime-basedSWTDeviation-based11基于主機(jī)的追蹤體系被動式追蹤DIDSCallerIdentificationSystem（CIS）主動式追蹤C(jī)allerID問題：必須信任追蹤系統(tǒng)中的每個節(jié)點；要求大規(guī)模地部署，因此在Internet上難以實現(xiàn)。12基于網(wǎng)絡(luò)的追蹤體系基于網(wǎng)絡(luò)本身的特性進(jìn)行追蹤，不要求每個節(jié)點的參與，也不基于對每個節(jié)點的信任被動式追蹤ThumprintTime-basedDeviation-based主動式追蹤：涉及信息隱形技術(shù)，保密研究13聯(lián)動響應(yīng)是一種主動響應(yīng)方式，它是指當(dāng)IDS檢測到需要阻斷的入侵行為時，立即迅速啟動聯(lián)動機(jī)制，自動通知防火墻或其它安全控制設(shè)備對攻擊源進(jìn)行封堵，達(dá)到整體安全控制的效果。比如：與防火墻聯(lián)動，封堵源自外部網(wǎng)絡(luò)的攻擊；與網(wǎng)絡(luò)管理系統(tǒng)聯(lián)動，封掉被攻擊者利用的網(wǎng)絡(luò)設(shè)備和主機(jī)；與操作系統(tǒng)聯(lián)動，封掉有惡意的用戶賬號。14聯(lián)動響應(yīng)舉例例1：攻擊者A向防火墻內(nèi)的主機(jī)B實施TCPSYN-Flooding攻擊。A假冒一個不存在主機(jī)C的地址向B發(fā)送SYN包，B向C回應(yīng)SYN-ACK包。但由于C并不存在，所以不會給B發(fā)送確認(rèn)包，那么B上的這個半連接就一直處于等待狀態(tài)。A連續(xù)向B發(fā)送SYN包，由于B的連接請求隊列長度有限，當(dāng)這個隊列變滿后，新的連接請求就無法進(jìn)來，除非隊列中的半連接因超時被復(fù)位。IDS對一段時間內(nèi)的半連接數(shù)量進(jìn)行記錄，當(dāng)單位時間內(nèi)的TCP半連接數(shù)量超過一定閾值，則向防火墻發(fā)送命令，重新設(shè)置超時時間，即將超時時間設(shè)置為更短的t，若在時間t內(nèi)沒有ACK確認(rèn)包或RST包發(fā)給B，則防火墻向B發(fā)RST包來復(fù)位該半連接。15主動響應(yīng)存在的問題

IP地址欺騙和誤報警可能引起的錯誤：既然入侵檢測系統(tǒng)有產(chǎn)生誤報警的問題，我們就有可能錯誤地針對一個從未攻擊我們的網(wǎng)絡(luò)節(jié)點進(jìn)行響應(yīng)。如果攻擊者判定我們的系統(tǒng)有自動響應(yīng)，他可能會利用這一點來針對我們。如：攻擊者可從某公司的合作伙伴/客戶/供應(yīng)商的地址發(fā)出虛假攻擊，使得防火墻把一個公司與另一個公司隔離開，這樣兩者之間就有了不能逾越的隔離界限。16入侵響應(yīng)小結(jié)入侵響應(yīng)應(yīng)該與安全策略相協(xié)調(diào)。如在安全防護(hù)策略中規(guī)以定一怎樣的措施來對檢測到的入侵行為作出響應(yīng)。按照措施的時間和緊急程度分為：即時措施：入侵發(fā)生時及時措施：入侵被完全檢測出來時本地長期措施：處于本地安全的長期考慮全局長期措施：對社會安全狀況很重要17IDS的部署和應(yīng)用18網(wǎng)絡(luò)檢測器的位置對于主機(jī)型IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測的主機(jī)上?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有檢測器才能工作。如果檢測器放的位置不正確，入侵檢測系統(tǒng)也無法工作在最佳狀態(tài)。一般說來檢測器放在防火墻附近比較好。放在防火墻之外檢測器在防火墻內(nèi)防火墻內(nèi)外都有檢測器檢測器的其他位置19檢測器部署示意圖Internet部署二部署三部署四部署一20檢測器放在邊界防火墻之內(nèi)放置于防火墻的DMZ區(qū)域可以查看受保護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點21檢測器放在邊界防火墻之外放置于路由器和邊界防火墻之間可以審計所有來自Internet上面對保護(hù)網(wǎng)絡(luò)的攻擊數(shù)目可以審計所有來自Internet上面對保護(hù)網(wǎng)絡(luò)的攻擊類型22檢測器放在主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測黑客攻擊的可能性可通過授權(quán)用戶的權(quán)利邊界來發(fā)現(xiàn)未授權(quán)用戶的行為23放在安全級別高的子網(wǎng)對非常重要的系統(tǒng)和資源的入侵檢測24共享媒介上檢測器的部署HUBIDSSensorMonitoredServersConsole25交換環(huán)境檢測器的部署SwitchIDSSensorMonitoredServersConsole通過端口鏡像實現(xiàn)（SPAN/PortMonitor）26隱蔽模式下檢測器的部署SwitchIDSSensorMonitoredServersConsole不設(shè)IP27基于主機(jī)IDS的典型配置防火墻路由器DNSServer被保護(hù)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)管理控制臺28基于網(wǎng)絡(luò)IDS的典型配置DNSServerNIDS控制管理器被保護(hù)的內(nèi)部網(wǎng)絡(luò)NIDS探測器29應(yīng)用于交換機(jī)環(huán)境時的問題由于交換機(jī)不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個sniffer來監(jiān)聽整個子網(wǎng)的辦法不再可行?？山鉀Q的辦法有：

1．交換機(jī)的核心芯片上一般有一個用于調(diào)試的端口（spanport），任何其他端口的進(jìn)出信息都可從此得到。如果交換機(jī)廠商把此端口開放出來，用戶可將IDS系統(tǒng)接到此端口上。優(yōu)點：無需改變IDS體系結(jié)構(gòu)。缺點：采用此端口會降低交換機(jī)性能。30應(yīng)用于交換機(jī)環(huán)境時的問題(續(xù))2．把入侵檢測系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。優(yōu)點：可得到幾乎所有關(guān)鍵數(shù)據(jù)。缺點：必須與其他廠商緊密合作，且會降低網(wǎng)絡(luò)性能。3.采用分接器（Tap），將其接在所有要監(jiān)測的線路上。

優(yōu)點：在不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。缺點：必須購買額外的設(shè)備(Tap)；若所保護(hù)的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。4．使用具有網(wǎng)絡(luò)接口檢測功能的主機(jī)代理。31IDS在安全體系結(jié)構(gòu)中的層次第一種觀點：檢測應(yīng)該處在和保護(hù)基本不交叉的一個獨立的層次上，這種類型的IDS容易實現(xiàn)。優(yōu)點：由于和OS無關(guān)，所以可靠性好缺點：信息不能共享，加重了IDS的負(fù)擔(dān)，理解可能會有誤差。第二種觀點：檢測應(yīng)該與保護(hù)緊密結(jié)合。強(qiáng)調(diào)與OS的結(jié)合，IDS常以內(nèi)核補(bǔ)丁或驅(qū)動程序的形式出現(xiàn)。優(yōu)點：檢測準(zhǔn)確缺點：難以實現(xiàn)，運行在內(nèi)核中，影響系統(tǒng)的效率32IDS體系結(jié)構(gòu)應(yīng)該具有的特征類似于免疫系統(tǒng)對病原體的檢測分層保護(hù)：