| 破解入侵防护系统(IPS)迷雾 (2) |
|
|
|
作者:佚名 文章来源:不详 点击数: 更新时间:2006-12-5 18:29:08  |
破解入侵防护系统(IPS)迷雾 (2)
破解入侵防护系统(IPS)迷雾 (2) 破解二 细看“误报与漏报”
对于“误报”、“漏报”的问题,用户的看法是,由于IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大。不过TippingPoint中国区业务总监贾泉海表示,各大IPS厂商研发的主要精力都在于此,产品的检测精度在2年内已经有了质的提升。
目前,在Hi-End级IPS厂家中流行的检测技术有两个方向:一种是TippingPoint提出的并行处理检测;另一种是McAfee提出的协议重组分析(Radware、Juniper、ISS等主流厂家皆有类似技术 )。
所谓并行处理检测是指,所有流经IPS的数据包,都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个,为了提高效率,FPGA采用并行处理的方式,实现在一个时钟周期内,完成对数据包实现所有过滤器遍历。无疑,这样可以极大地提升IPS的处理速度,但必须实现FPGA的并行化。
而协议重组分析是指,所有流经IPS的数据包,首先经过硬件级别的预处理,这个预处理过程主要完成对数据包的重组,以便IPS能够看清楚具体的应用协议。在此基础上,IPS根据不同应用协议的特征与攻击方式,将重组后的包进行筛选,将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选,可疑数据量大大减少,因此可以大幅度减少IPS处理的工作量,同时降低误报率,当然这个预处理的过程将会是重中之重。
McAfee安全顾问陈纲表示,无论采用那种实现方法,获得的效果是类似的。但用户需要关注的是,由于攻击方式的不断增长,过滤器或者特征库会不断增加,因此如果把所有的检测项目都启用,会给IPS性能造成极大挑战,也没有必要。
Juniper技术经理徐洪涛指出,合理的做法是,用户应该根据自己网络的状态,根据系统的寿命,来评估自己日常应用的攻击风险,选择适合自己的检测项目。
对于漏报,TippingPoint网络技术顾问李臻表示目前的主要问题有两点,一是因为过滤器编写粗糙造成的,例如仅仅是简单的根据特征字符串检索,就难以防御变种攻击
二是在某些繁忙时段,大量深度检测造成IPS设备的处理能力濒临极限,易造成系统混乱,形成漏报或误报。
另外,对于用户关心较多的防御DoS攻击的问题,当前主流IPS厂家的做法分为两类(以SYN flood为例):
第一类是采用SYN Proxy(也可以采用SYN Cookie)的方式。在这种方式中,IPS设备中会设置一个SYN Proxy做代理,当外来的TCP SYN需要和企业Web服务器(或者数据库服务器)建立连接的时候,IPS中的SYN Proxy会首先和外来TCP SYN建立连接,同时发送SYN ack帧。如果是真实的外部用户访问,则会回复一个Ack响应帧。当SYN Proxy收到响应后,就会认为三次握手成功,同时把连接中继给企业的Web服务器;但如果是SYN flood攻击的半开连接,由于没有响应回复,就会被TCP Reset。如果攻击者利用大面积僵尸网络发起攻击,则会存在大量的真实连接,这就要求IPS必须分配给SYN Proxy或SYN Cookie功能模块的处理资源足够多(不可能无限大)。
二、信息篡改保护
信息篡改破坏了信息的完整性,是入侵者攻击目的的一种。信息篡改主要有两种形式:信息传输中的篡改和信息存储时的篡改。信息传输中的篡改主要发生在在线的交易过程中对交易信息的篡改,将导致交易双方的严重经济损失;网络设备控制信息的篡改,可能导致网络工作异常、甚至导致信息传输途径的更改以至于失密。这种攻击行为的防范主要依靠信息交换双方对信息的加密和数字签名以及强验证方式来实现。信息存储时的篡改是最为常见的攻击方式,往往表现在对关键业务服务器上数据的更改,导致业务无法正常运行;对一些关键文件的篡改,比如针对网站主页的篡改,会导致被攻击者形象的损失和潜在的经济损失。
比如一家在线交易单位如果网页被篡改,其后果可能会导致大量客户的流失,即使入侵行为没有危及到关键的交易数据。另外一种最具威胁的攻击手段是对可执行程序的篡改。入侵者通过对系统原有的可执行文件的篡改能够达到很多破坏目的。比如通过非法修改证券交易系统或者银行业务系统的程序以获取暴利;通过篡改某些关键应用程序导致系统无法正常运行。但是最常见的篡改目的是:通过篡改一些管理员或者用户经常使用的应用程序,使其在运行的时候除了执行正常的操作之外,同时运行一个入侵者放置的木马程序。这样,对管理员或者用户来说好像系统运行一切正常,但是却在不知不觉中运行了木马程序,导致后门洞开。这种入侵的后果是非常严重的,将可能导致严重的信息泄密。
主机入侵防御系统的解决方法就是从根本入手,大大细化了对资源的控制粒度。不管是UNIX还是Windows服务器操作系统,对文件和目录的安全许可权限都是非常有限的。但是通过主机入侵防御系统就能够使文件和目录的许可控制大大增强。如图所示,许可类型除了读、写、执行外,还额外添加了删除、重命名、模式更改、属主更改、时间更新、ACL更改、创建、更改目录等8项许可,为管理员提供了充分的授权空间,能够按照最贴切的方式对各个账户进行资源的授权,防止授权过大造成的内部安全隐患。同时,同样一个账户采用不同的应用程序访问资源也有可能获得不同级别的访问许可,这给某些行业的特殊需求提供了极大的便利。
有了文件许可的细化控制能够极大地减少由于授权原因造成的信息篡改事件。但是为了彻底杜绝对关键信息的篡改,主机入侵防御系统还提供了数字签名的功能,能够对普通文件、数据文件以及可执行文件特别是入侵者攻击的首要目标--UNIX中的suid和sgid类型的程序进行完整性校验。如果普通文件和数据文件发生了意外更改,主机入侵防御系统将会报警;如果可执行文件发生了意外更改,主机入侵防御系统将会自动拒绝这个可执行文件的执行,并且同时报警。这样,即使非法入侵者对目标文件进行了篡改,其目的也很难得逞。当然,如果实现利用主机入侵防御系统的文件保护功能对这些关键的文件进行了保护,入侵者是无法达到非法篡改的目的的。
三、木马后门防范
特洛伊木马(以下简称木马),英文叫做"Trojan horse",其名称取自古希腊的特洛伊木马攻城故事,相信大家都已经耳熟能详了。正是这种古老的攻城方式却成为了现在令人色变的网络入侵方式。
首先,主机入侵防御系统具有的程序访问控制列表(PACL)功能使得同样一个用户访问同样的资源的时候,如果采用不同的应用程序访问,将会得到不同的权限。也就是说,对于一些重要的资源,我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限,只允许已知的合法的应用程序访问这些资源。这样,即使入侵者在被攻击的服务器上运行了木马程序,但是木马程序需要窃取关键信息的时候必须要经过主机入侵防御系统的安全验证。由于PACL中没有定义木马程序的访问权限,按照默认权限是不能够访问的,由此就起到了对木马信息窃取的防范。
二、信息篡改保护
信息篡改破坏了信息的完整性,是入侵者攻击目的的一种。信息篡改主要有两种形式:信息传输中的篡改和信息存储时的篡改。信息传输中的篡改主要发生在在线的交易过程中对交易信息的篡改,将导致交易双方的严重经济损失;网络设备控制信息的篡改,可能导致网络工作异常、甚至导致信息传输途径的更改以至于失密。这种攻击行为的防范主要依靠信息交换双方对信息的加密和数字签名以及强验证方式来实现。信息存储时的篡改是最为常见的攻击方式,往往表现在对关键业务服务器上数据的更改,导致业务无法正常运行;对一些关键文件的篡改,比如针对网站主页的篡改,会导致被攻击者形象的损失和潜在的经济损失。
比如一家在线交易单位如果网页被篡改,其后果可能会导致大量客户的流失,即使入侵行为没有危及到关键的交易数据。另外一种最具威胁的攻击手段是对可执行程序的篡改。入侵者通过对系统原有的可执行文件的篡改能够达到很多破坏目的。比如通过非法修改证券交易系统或者银行业务系统的程序以获取暴利;通过篡改某些关键应用程序导致系统无法正常运行。但是最常见的篡改目的是:通过篡改一些管理员或者用户经常使用的应用程序,使其在运行的时候除了执行正常的操作之外,同时运行一个入侵者放置的木马程序。这样,对管理员或者用户来说好像系统运行一切正常,但是却在不知不觉中运行了木马程序,导致后门洞开。这种入侵的后果是非常严重的,将可能导致严重的信息泄密。
主机入侵防御系统的解决方法就是从根本入手,大大细化了对资源的控制粒度。不管是UNIX还是Windows服务器操作系统,对文件和目录的安全许可权限都是非常有限的。但是通过主机入侵防御系统就能够使文件和目录的许可控制大大增强。如图所示,许可类型除了读、写、执行外,还额外添加了删除、重命名、模式更改、属主更改、时间更新、ACL更改、创建、更改目录等8项许可,为管理员提供了充分的授权空间,能够按照最贴切的方式对各个账户进行资源的授权,防止授权过大造成的内部安全隐患。同时,同样一个账户采用不同的应用程序访问资源也有可能获得不同级别的访问许可,这给某些行业的特殊需求提供了极大的便利。
有了文件许可的细化控制能够极大地减少由于授权原因造成的信息篡改事件。但是为了彻底杜绝对关键信息的篡改,主机入侵防御系统还提供了数字签名的功能,能够对普通文件、数据文件以及可执行文件特别是入侵者攻击的首要目标--UNIX中的suid和sgid类型的程序进行完整性校验。如果普通文件和数据文件发生了意外更改,主机入侵防御系统将会报警;如果可执行文件发生了意外更改,主机入侵防御系统将会自动拒绝这个可执行文件的执行,并且同时报警。这样,即使非法入侵者对目标文件进行了篡改,其目的也很难得逞。当然,如果实现利用主机入侵防御系统的文件保护功能对这些关键的文件进行了保护,入侵者是无法达到非法篡改的目的的。
三、木马后门防范
特洛伊木马(以下简称木马),英文叫做"Trojan horse",其名称取自古希腊的特洛伊木马攻城故事,相信大家都已经耳熟能详了。正是这种古老的攻城方式却成为了现在令人色变的网络入侵方式。
首先,主机入侵防御系统具有的程序访问控制列表(PACL)功能使得同样一个用户访问同样的资源的时候,如果采用不同的应用程序访问,将会得到不同的权限。也就是说,对于一些重要的资源,我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限,只允许已知的合法的应用程序访问这些资源。这样,即使入侵者在被攻击的服务器上运行了木马程序,但是木马程序需要窃取关键信息的时候必须要经过主机入侵防御系统的安全验证。由于PACL中没有定义木马程序的访问权限,按照默认权限是不能够访问的,由此就起到了对木马信息窃取的防范。
|
| 文章录入:bolang 责任编辑:bolang |
|
上一篇文章: 主机入侵防御系统的实际应用 (2)
下一篇文章: 局域网巧妙设置 共享屏蔽任我行 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
