|
本文比较深入地讨论了snort入侵检测系统(Intrusion Dection System)的体系结构和配置,我针对构建基于snort的入侵检测系统对原文作了一些改动,希望对你部署自己的snort入侵检测系统能够有所帮助:)。
简介
伴随者Internet爆炸式的发展,需要重新审视网络安全问题。防火墙作为一种解决方案得到了广泛的应用。然而这还不够,你还需要入侵检测系统的保护。
本文将讨论综合讨论当前入侵检测系统的不同体系结构。并且会重点介绍开放源码的入侵检测系统的一个安全框架以及配置。
1.使用入侵检测系统的理由
你可能会对是否需要使用入侵检测系统还有疑问,下面是使用IDS的理由,不过还需要你自己决定。:
网络庞大而复杂,并且难以监视。IDS的记录能够帮助你找出网络中潜在的安全问题。
IDS具有检验防火墙配置的能力。
事故发生后,通过IDS的事件记录可能会有助于追踪攻击者。
通过对IDS的智能化配置,你能够通过重新构造事故链,实现对异常现象的跟踪。
和防火墙不同,IDS是一种被动的保护系统,不会影响网络的数据传输。因而,大多数攻击或者企图绕过系统的攻击者无法察觉入侵检测节点的存在,你可以把这些信息不断地记录到日志中。
3.snort简介
snort是Martin Roesch等人开发的一个IDS工具,基于libpcap库。Martin Roesch本人把snort定位为一个轻量级的入侵检测系统,具有跨平台特征,并且易于配置。然而,它的易于配置特性却值得商榷,因为在1.7版中,它的配置文件语法解析有点问题。不过,在1.8版中,有了很大改进,并加入了一些新的特征。
本文不可能提供一个snort的完整参考,你可以从snort的官方站点http://www.snort.org获得需要的文档。本文将重点介绍snort-1.8的配置。
下图表示snort IDS的基本工作,下一节我将对各曾做详细介绍。
图-1.基本的snort IDS
4.snort应用示例
在这一节我将一步步地讨论snort的设置。首先,我们假想一个非常简单的网络拓扑结构:
注意:在这里我只安排了一个IDS传感器,这个IDS传感器有两个接口,不属于任何网段。人们经常在intranet和Internet之间插入一个IDS传感器,从而绕过防火墙,这是非常危险的,因为虽然有包过滤器,你的网络却有暴露到Internet的危险。IDS专家会告诉你在每个子网都安装IDS传感器。即使有防火墙,你也必须加强IDS的安全,防火墙不能保护你的IDS。在部署IDS时,需要坚持以下原则:
不能在入侵检测系统中运行daemon程序。
不能为接口分配IP地址,ifconfig eth0 up就足够了。
尽量使用单向以太网线缆。你需要自己制作这种线缆。不过,做这种线缆非常困难,可以参考Robert Graham写的sniffing FAQ
尽量取消网络驱动器发送的以太网控制帧(LLC 802.3)。不过,一些网卡不允许这么做。可以参考Ethernet-HOWTO获得不同网卡设置程序的地址,
你可能已经猜到了,snort发布包中的默认配置文件并非优化配置。因此,你需要根据自己的情况进行调节。我们开发了一个snort的配置方案。使用这个方案,只要略施小计,我们就可以处理大型的网络并且减少误否认(false negative)或者误确认(false positive)。使用这个配置,我们最后还能够校验防火墙和包过滤器的配置。
我们从定义一个你的防火墙配置的所谓port matrix开始,它能够帮助你配置入侵检测系统。这个port matrix如表-1所示:
表-1.Port Matrix
Universe : 0.0.0.0/0 : IDS-if = eth0
intranet : 172.24.0.0/16 : IDS-if = 没有连接
dmz-net : 192.168.1.0/24 : IDS-if = eth1
admin-net : 192.168.2.0/29 : IDS-if = eth2 (只用于管理))
front-zone: 194.245.91.0/24 : IDS-if = eth0
fw-if0 : 194.245.91.1/32 : IDS-if = eth0
默认机制:DENY
+------------+---------------------+----------+
| To | (A) | (B) | (C) |
| From | universe | dmz-net | fw-if0 |
+------------+----------+----------+----------+
(a) | universe | | 80/tcp | |
+------------+----------+----------+----------+
(b) | dmz-net | 53/udp | 22/tcp | |
+------------+----------+----------+----------+
(c) | fw-if0 | 80/tcp | 22/tcp | |
| | 53/udp | | |
| | 22/tcp | | |
+------------+----------+----------+----------+
eth0: [Aa-Ca] and [Aa-Ac] -> /opt/ids/etc/snort.d/eth0/policyrules/pass.rules
eth0: [Ac-Cc] and [Ca-Cc] -> /opt/ids/etc/snort.d/eth0/policyrules/pass.rules
eth1: [Ab-Cb] and [Ba-Bc] -> /opt/ids/etc/snort.d/eth1/policyrules/pass.rules
eth2: 这是管理网络,不必在这个接口上嗅探。
为了帮助理解,我们举例说明。例如:允许tcp intranet 1024:65535 -> 0.0.0.0/0 80方向的报文通过。确切一点说是:允许tcp fw-if0 1024:65535 -> 0.0.0.0/0 80方向的报文通过。这是因为来自intranet的连接经过IP地址伪装(masquerade)获得了防火墙外部接口的IP地址。此外,,tcp Universe 1024:65535 -> dmz-net 80方向的报文也是允许通过的。
如图2所示,在我们的网络上,有一个IDS记录网络数据。以后,我将深入解释这种部署的隐患和问题。现在,我们来看入侵检测系统的配置。为此,我编写了一个脚本,它可以很好地帮助你做一些准备工作。当然,你可以选择自己的配置。
列表-1.预处理脚本
然后,你只要把snort源代码包中的或者从http://www.snort.org得到的规则集复制到/opt/ids/etc/snort.d/idrules目录下就可以了。
下面,我们需要设置配置文件ids.conf。列表-2是eth0接口配置文件的内容,以/opt/ids/etc/snort.d/eth0/ids.conf命名。重复使用以下命令可以为其它的网络接口产生ids.conf配置文件:
sed -e 's/eth0/eth1/g' /opt/ids/etc/snort.d/eth0/ids.conf >/opt/ids/etc/snort.d/eth1/ids.conf
表-2.ids.conf文件的内容
下面我们对这个配置文件做一些解释。config指令(第6-10行)可以设置一些你需要的选项,而不必通过难以使用的命令行来设置。例如:config show_year将代替snort的-y命令行选项。
ids.conf文件的下一个片段是ruletypes(14-30行)。在这一片段中,你可以定义新的规则类型和新规则类型的新特征。例如:你可以定义一个类型mtype,使snort不但使用tcpdump的格式记录日志,而且还要把报警信息发给syslog。定义一个好的规则类型需要一些技巧,你可能需要阅读snort用户手册(从1.8版开始,源代码包中附带了snort的主要编写者Martin Roesch撰写的snort用户手册)获得更多信息。在这个文件中,我们加入了新的规则类型以提高报警的准确性,并且定义了一个规则类型规则链,对这个规则连做顺序处理,从而减少误报警的发生。然而,你需要注意在一个规则类型中处理顺序并没有给出。以上文件的配置顺序尽量按照图-1中的层次来划分。
下面我们看一下各个规则类型的排序:
config order: drop activation dynamic alert pass info deny
drop
丢弃规则主要用于消除alert规则造成的误确认(false positive)。下面你将看到我们为防火墙策略强制规则(firewall policy enforcement)配置了pass规则。设想,如果有一个来自HP-UX系统的icmp echo_request的申请,你接受了这个申请,并把它传递给了防火墙。我们把它放到了port matrix中,然后把它加入到了pass规则中。由于某些原因,被某条报警规则命中,snort就会认为这是一种攻击,接着把这些东西记录到日志文件中,而这些你都已经知道了。这就是误确认(false positive),因为你想让这种报文通过防火墙。因此,你需要把这个策略规则放到drop规则中,这样snort就把这些报警做丢弃处理了。如果我们信任某些报文,而不想对其进行监视,也可以使用drop规则。但是,应该清楚使用drop规则的同时,你也为攻击者提供了潜在的伪装机会。因而,通常情况下,drop.rules文件是空的。下两种规则类型(activation和dynamic)我们没有用过。它们的基本思想是通过某种模式匹配动态激活某些规则。
alert
报警规则规则在图-1中处于第三层。这些规则就是/opt/ids/etc/snort.d/idrules/目录下的文件中定义的攻击特征码检测规则。例如/opt/ids/etc/snort.d/idrules/web-cgi.rules文件中的:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-CGI w3-msql solaris x86 access"; flags: A+; uricontent: "/bin/shA-cA/usr/openwin"; nocase;reference:cve,CVE-1999-0276; reference:arachnids,211;classtype:attempted-recon;)
snort的模式匹配引擎会对报文进行模式匹配,如果命中就会产生报警,写到syslog和tcpdump格式的文件中。
pass
放行规则位于图-1的第四层。在上面我们实现了port matrix,我们把放行规则叫作策略强制(Policy Enforcement)。这些策略是根据port matrix实现的防火墙规则。如果我们在放行规则之后的日志文件中发现报警信息,那就说明或者这些信息是误确认(false positive),或者是我们的防火墙配置错误。我们可以检查防火墙前后日志文件,如果它们有差别,我们就需要重新检查网络的配置。
info
这个规则类型(第26-30)用来定义snort的输出插件。我们需要tcpdump格式的日志输出,以后我们可以使用tcpdump提取信息。我们使用这些主要为了分析不允许通过的数据。例如:一个配置错误的WindowsNT系统发出bootpc请求,显然这不是攻击,但是会打乱拒绝(deny)规则的输出文件。此外,使用inofinfo规则类型,我们可以减少由于某些日志信息造成的错误解释。
deny
我们使用拒绝规则把没有匹配而防火墙又不允许通过的报文记录到日志文件。这是图-1的第五层。这个规则类型对于减少误确认(false positive)至关重要。我们可以通过它检查通过防火墙的数据是否是我们希望的。如果不是,拒绝规则就会记录这些数据。拒绝规则如下:
deny ip any any -> any any
注意:ip协议类型是snort-1.8版褂梅植际絀DS日志主机表示双向的意思,但是规则中却没有TCP标志。eth0的第一条规则表示:
pass tcp $Universe 1024: -> $DMZ 80 (TCP state flags: ALL) 和
pass tcp $DMZ 80 -> $Universe (TCP state flags: ALL)
你当然不希望这样,而且,如果你希望减少漏报的发生,就必须把它分成三条规则:
pass tcp $Universe 1024: -> $DMZ 80
pass tcp $DMZ 80 -> $Universe (flags: SA)
pass tcp $DMZ 80 -> $Universe (flags: FURPA)
这种设置就比使用一条双向的放行规则好一些。我们不希望从DMZ(非军事区)向外发起连接。
4.1 修改syslog-ng的配置文件
syslog-ng是一个新的日志软件,是传统的syslogd的一个替代产品,比syslogd具有更多的特征,你可以从http://www.balabit.hu/products/syslog-ng/获得其源代码。因为我们可能会使用tcp协议记录日志并且需要在日志文件中保留产生报警的系统的名字,所以我们选择syslog-ng。下面是一个其配置:
列表-3.入侵检测系统的syslog-ng配置文件
同时,我们还需要设置中心日志主机(loghost)的syslog-ng的配置文件:
列表-4.中心日志主机的syslog-ng配置
到此为止,所有的基本配置已经完成。下面我们就可以以精灵模式启动snort在后台运行了:
snort -D -i eth0 -c /opt/ids/etc/snort.d/eth0/ids.conf -l /opt/ids/var/log/ids/eth0
snort -D -i eth1 -c /opt/ids/etc/snort.d/eth1/ids.conf -l /opt/ids/var/log/ids/eth1
最后,我们测试一下我们的配置,你可以使用nmap进行扫描或者连接到WEB服务器发出一个GET请求,触发某条规则引起报警:
echo -e "/bin/shA-cA/usr/openwin" | netcat your_web server 80
如果列表-2的http_decode预处理模块生效,下面的连接将引起报警:
echo -e "%2fbin%2fsh%41-c%41/usr%2fopenwin" | netcat your_web server 80
5.入侵检测系统的问题
使用入侵检测系统后,你的日志文件将充满扫描企图、误报警以及其它其它无法预测的数据。你应该避免入侵检测系统的一些潜在问题:
速度问题。一个过载的入侵检测系统会导致错误的报警和非正常的模式检测。
TCP/IP协议栈和目标系统的不同会暴露出一些经常忽视的问题。重叠碎片(overlapping fragments)就是一个例子。不同大小的碎片不按照顺序重复到达目标系统就会发生重叠碎片攻击。问题可能是进入的碎片包含目标系统已经受到的数据造成的。一些系统会用新的数据覆盖就的数据,而另一些系统却相反。解决方法是IDS具有重新组装碎片的能力。
Insertion and evasion攻击。如果一个攻击者直到IDS产生某种攻击报警的特征码,他就会努力避免引起IDS系统报警。例如:他不发送如下攻击指令:GET /bin/shA-cA/usr/openwin HTTP/1.0
而是使用下面的指令代替:
GET %2fbin%2fsh%41-c%41/usr%2fopenwin HTTP/1.0
就可能逃过IDS的检测。
翻译后记:
由于水平所限,可能对原文的某些地方无法准确理解,造成一些错误,请原谅。:)
原文出自http://www.unixreview.com
|
