1
网络安全与病毒防范网络安全与病毒防范东南大学计算机系 龚俭
2003年1月
2
主要内容主要内容
网络安全规划与管理
系统安全
防火墙管理
病毒防范
入侵检测
3
网络的安全威胁网络的安全威胁
未经授权的访问非法进入
信息暴露敏感数据被访问
系统破坏因非法进入而导致系统数据或系统功能受到影响
服务失效系统因受到破坏而无法正常工作
4
网络安全网络安全
传输安全数据保密内容完整
访问安全身份认证访问控制
运行安全基础设施的可靠性安全监测
5
网络安全的实现模型网络安全的实现模型
安全服务
–定义了可向网络应用系统提供的安全功能
安全机制
–定义了实现网络安全服务所使用的可能方法
安全管理
–提供网络安全服务实施的监控手段
6
安全管理的目标安全管理的目标
可对网络和系统的安全性进行评估
确保访问控制政策的实施
了解网络的行为
了解用户的行为
保证网络和系统的可用性
7
安全管理的内容安全管理的内容
网络安全规划
安全管理机构
安全管理系统
安全管理教育
8
网络安全规划网络安全规划
安全需求分析与风险分析
子网划分与虚网划分
访问控制策略
系统的备份与恢复策略
应急事件处理规程
9
网络安全管理机构网络安全管理机构
确定网络安全负责人
配备网络安全管理员
配备系统安全管理员
建立安全事件的报告和处理渠道
–网络运行部门
– CERT
–当地公安机关的计算机监察部门
10
网络安全管理系统网络安全管理系统
网络与系统的安全性检测与分析能力
网络与系统运行日志的分析审计能力
网络安全事件的报告和及时处理能力
安全服务器
利用网络管理系统和工具软件
使用专用的独立系统
11
网络安全管理教育网络安全管理教育
签定用户守则
制定网络和机房的管理规则
培训系统管理员
普及网络文化的概念规范网络行为
建立网络安全信息的发布系统
12
安全管理的基本方法安全管理的基本方法
网络管理
访问控制
安全监测
防火墙与安全通道
身份认证
13
构建安全的网络构建安全的网络
明确安全需求
制定安全政策
在边界建立符合安全政策的防火墙体系
划分内部的安全政策域
对特定的主机节点进行加固
使用合理的访问控制政策鉴别机制和数据安全体制
建立有效的可承受的监测体制
14
明确安全需求明确安全需求
不同的网络安全需求是不同的
安全需求是建立安全政策的基础
例如校园网可以有
–保证网络的可用路由器不瘫痪邮件发送正常等等
–保证网络用户使用的可管理
–防止出现异常的流量导致异常的费用
–防止对核心服务器的攻击以保护学校的声望
–对学校某学生的机器不特别关心除非他报案
15
制定安全政策制定安全政策
根据安全需求制定安全政策
安全政策可以是形式化的也可以是口语化的
安全政策表示的是什么是允许的什么是不允许的
例如(可以不用书面定义可以包括所采用的技术手段的种类)
–在边界使用防火墙允许内部注册用户的对外访问禁止随意的对内部访问等
–内部开发网段使用SSH作为数据安全手段
–鉴别采用口令认证的方式
16
在边界建立符合安全政策的防火墙体系在边界建立符合安全政策的防火墙体系
Internet
路由器防火墙
WWW SMTP
Proxy
内部用户
DMZ
17
划分内部的安全政策域划分内部的安全政策域
例如可以划为用户上网域服务器域开发域等
Internet
路由器
WWW SMTP
内部开发区服务器域
(DMZ)
用户上网区
18
对特定的主机节点进行加固对特定的主机节点进行加固
对特殊位置的主机必须进行加固
如上例
– WWW服务器和Mail服务器
–对于内部开发服务器也需要加固
–可以制定一定的制度要求内部员工也对各自的主机进行加固
19
使用合理的访问控制鉴别机使用合理的访问控制鉴别机制和数据安全体制制和数据安全体制
建立授权访问控制的政策例如哪些人可以访问哪些信息权限如何等
选择内部或外部使用的鉴别机制例如口令机制证书LDAP NIS
选择使用或不使用数据安全体制使用哪种数据安全体制例如CA KDC如采用Kerberos(KDC)
20
建立有效的可承受的监测体制建立有效的可承受的监测体制
使用不使用安全监测系统
基于网络还是基于主机的安全监测系统
例如
–在边界上使用基于网络的入侵检测系统
–在服务器上使用基于主机的安全状态检查系统
–等等
21
网络安全规划与管理网络安全规划与管理
- 总结总结
网络是不安全的但它需要安全而且也可以使其安全
网络的安全需要组织和技术两方面的措施来保证
网络的安全程度与所付出的资源代价相关
网络的安全依赖于安全教育和安全意识
22
主要内容主要内容
网络安全规划与管理
系统安全
防火墙管理
病毒防范
入侵检测
23
系统安全的主要内容系统安全的主要内容
实体安全
运行安全
信息安全
24
系统安全的主要内容系统安全的主要内容
实体安全
–环境安全
–设备安全
–媒体安全
25
系统安全的主要内容系统安全的主要内容
运行安全
–风险分析
–审计跟踪
–备份与恢复
–应急技术
26
系统安全的主要内容系统安全的主要内容
信息安全
–操作系统安全
–数据库安全
–网络安全
–计算机病毒防护
–访问控制
–数据加密鉴别
27
Unix系统安全系统安全
28
UNIX典型安全隐患典型安全隐患
RPC守护进程
– Remote Procedure Call
–威胁最大
一些应用的远程漏洞
–开放了有漏洞服务
–一些权限或者root权限
29
UNIX典型安全隐患续上典型安全隐患续上
本地漏洞
–系统用户来提升自己的系统权限
–得到了一些权限的远程攻击者扩大自己的战果
暴露系统信息
–和系统安全密切相关
–使攻击者更容易入侵系统
30
Solaris系列系列物理安全物理安全
OpenBoot安全级别
– none 不需要任何口令
– command除boot和go之外所有命令都需要口令
–除了go命令之外所有命令都需要口令
改变OpenBoot安全级别
–首先使用eeprom security-password 命令设置
OpenBoot口令然后在root登入状态使用eeprom
security-mode=command命令改变安全级别为command或在OK状态ok setenv security-
mode=command的密码保护来实现
31
Solaris系列系列
文件系统的安全文件系统的安全
SUID/SGID
–网络入侵者常用入侵入口
– SUID表示"设置用户ID" SGID表示"设置组ID”
– find / -type f \( -perm -4000 -o -perm -2000 \)
-ls
32
Solaris系列系列
文件系统的安全文件系统的安全
备份
–系统初装时的备份
–定期备份
–增量式备份(只备份改动的)
–特别备份(为某些文件备份)
–备份工具cp,tar,cpio,dump,restore
33
Solaris系列系列
文件系统的安全文件系统的安全
常见系统安全工具
– TRIPWIRE是一个文件系统完整性检查工具
– TROJAN一个可以被任何用户运行来检查特洛伊木马的perl程序
– PGP流行的邮件和文件加密程序
– LIBDES建立一个DES加密库和一个DES加密程序的工具包括一个crypt(3)的快速实现
34
Solaris系列系列
用户账号和环境的安全用户账号和环境的安全
口令管理增强方法
– 可以使用如下命令及其参数来增强对用户密码的管理
passwd -n 30 user #强迫用户每30天修改一次密码
passwd -f user #强迫用户在下一次登录时修改口令
passwd -n 2 -x 1 user #禁止用户修改口令
passwd -l user #封锁用户账号禁止登录
35
Solaris系列系列
用户账号和环境的安全用户账号和环境的安全
取消ROOT的远程登陆
–默认在/etc/default/login里加上
"CONSOLE"行在/etc/ftpusers里加上root
配置ROOT的环境
–将umask设为077或者027
–查看你的环境中路径设置情况不要有./
36
Solaris系列系列
用户账号和环境的安全用户账号和环境的安全
删除不必要的帐号
–移去或者锁定那些不是必须的帐号
–简单的办法是在/etc/shadow的password域中放上NP字符 (No Password)
取消rlogin/rsh服务
–移去/etc/hosts.equiv和/.rhosts以及各home
目录下的.rhosts
–并且在/etc/inetd.conf中把r系列服务都杀掉然后找出inetd的进程号重启它
37
Solaris系列系列
系统的启动和关闭系统的启动和关闭
更改不必要的启动文件
– /etc/rc2.d /etc/rc3.d中S开头的文件
–移除/etc/init.d相关文件
– /var/adm/messages中观察启动的情况
– ps -elf的输出中加以检查
38
Solaris系列系列
系统的启动和关闭系统的启动和关闭
取消NFS服务
rpcbind中的安全问题
– rpcbind是允许rpc请求和rpc服务之间相互连接的程序
–可以通过一些安全工具来确定rpc服务是否会影响到你系统的安全性
in.finger的安全问题
–用nobody来运行它 不用root
39
Solaris系列系列
cron 和和
at
cron和Tripwire
– Tripwire应该配置成定期检查下面文件和目录
/etc/cron.d
/etc/default
/var/cron
/var/spool/cron
/etc/cron.d/cron.allow
/etc/cron.d/at.allow
/etc/cron.d/at.deny
40
Solaris系列系列
系统日志系统日志
UNIX日志系统简介
– /var/adm
–不同用户下各自的日志文件
创建所有重要的日志文件的硬拷贝
–日志是最后一道防范措施
–硬拷贝例如把日志打印出来
41
Solaris系列系列
系统补丁系统补丁
任何复杂系统都存在安全漏洞
SUN公司提供了系统的补丁
应用程序的补丁
参考相关手册学习补丁的安装方法
42
UNIX的日常管理的日常管理
原则
–管理员必须对主机全权管理
必须是管理员管理
管理员必须管理
–管理员必须定期审计主机
–系统软件的安装必须进行授权
–超级用户的控制
原则上只有管理员和备份管理员有超级用户口令
超户的扩散必须有足够的理由
43
UNIX的日常管理的日常管理
日常审计
–系统进程检查
–系统服务端口检查
–系统日志检查
针对性审计
–怀疑发生攻击后对系统进行针对性审计
–针对具体怀疑情况具体操作
44
UNIX常用工具介绍常用工具介绍
系统审计工具
– cops
– tara
– tiger
扫描工具
– SATAN/SAINT
– NMAP
– NESSUS
– ISS(Internet Security Scanner)
45
UNIX常用工具介绍常用工具介绍
日志审计工具
– Logcheck
– Swatch
– ……
报文获取工具
– tcpdump
– snoop
46
Linux系列系列
与Solaris系列类似
参见参考文献
47
入侵后的处理入侵后的处理
48
当发现异常时的处理方法当发现异常时的处理方法
尽量保护现场并尽快通知相关的部门
–公安部门
–安全响应组
–上级网络管理部门
–等等
根据后面的建议加以认真的检查和处理
49
入侵后的处理入侵后的处理
处理事故之前
–记录下恢复过程中采取的所有步骤
夺回控制权
–将遭受入侵的系统从网络上断开
–复制遭受入侵系统的镜象
–夺回控制权不适用于全部情况 lock in/lock out
50
入侵后的处理入侵后的处理
分析入侵
–查看系统软件和配置文件的更改
–查看数据的更改
–查看入侵者留下的工具和数据
–检查日志文件
–查看是否有sniffer
–检查网络中的其他系统
–检查与遭受入侵系统有关或受到影响的远程主机
51
系统软件和配置文件的更改系统软件和配置文件的更改
校验所有的系统二进制和配置文件
操作系统的内核本身也可能被更改因此建议从一个可信内核启动并且使用一个干净工具来分析入侵活动
需要检查的内容
–木马程序
–配置文件
52
查看数据的更改查看数据的更改
查看数据的更改
– Web页面
– ftp文挡
–用户主目录中的文件
–系统上的其他数据文件
53
入侵者留下的工具和数据入侵者留下的工具和数据
查看入侵者留下的工具和数据
– Network Sniffers
– Trojan Horse Programs
– Backdoors
– Vulnerability Exploits
– Other Intruder Tools
发起大范围探测其他站点的工具
发起拒绝服务攻击的工具
使用计算机和网络资源的工具
54
检查日志文件检查日志文件
NT IIS的日志文件
– c:\winnt\system32\logfiles
UNIX的日志文件
– messages
– xferlog
– utmp
– wtmp
55
查看是否有网络查看是否有网络
sniffer
入侵者可以在UNIX系统上暗地里安装一个网络监视程序,通常称为sniffer(or packet sniffer)
用于捕获用户账号和密码信息
在UNIX上网卡会进入promisc状态或debug状态可以使用的命令有
– ifconfig
– ifstatus
– cpm
56
检查网络中的其他系统检查网络中的其他系统
在要检查的系统中应该包括与被入侵系统有网络服务(NFS或NIS)联系的系统
或者通过某种信任方式(hosts.equiv/.rhosts
或者Kerberos服务器)联系的系统
以及有其它较密切联系的系统
甚至可能完全无关的系统
57
检查与遭受入侵系统有关或受检查与遭受入侵系统有关或受到影响的远程主机到影响的远程主机
在很多入侵事件中与被入侵主机有连接的主机(不论是上游或下游主机)本身就是入侵的牺牲品因此及时鉴别和通知另外的潜在受害站点是非常重要的
在许多情况下需要利用响应组或政府相关部门的力量进行协同处理
58
入侵后的处理入侵后的处理
从入侵中恢复
–安装操作系统的一个干净版本
–禁用不需要的服务
–安装厂商提供的所有安全补丁
–咨询AusCERT和外部安全公告
–咨询CERT 公告总结厂商公告
–小心使用备份中的数据
–更改密码
59
入侵后的处理入侵后的处理
重新连上因特网
更新安全策略
–记下从这次入侵学到的教训
–计算本次入侵事件的损失
–汇总安全策略的所有改变
60
事故处理对管理员的要求事故处理对管理员的要求
保持敏感对任何异常都不放过例如
–系统异常变慢
–无法登录
–系统区出现未知的进程
–出现运行事件特别长的进程
–等等
坚持学习任何管理员都不可能通晓一切需要知道的安全知识
61
主要内容主要内容
网络安全规划与管理
系统安全
防火墙管理
病毒防范
入侵检测
62
防火墙的定义防火墙的定义
防火墙是网络之间一种特殊的访问控制设施用于隔离Internet的某一部分限制这部分与Internet其它部分的之间数据的流动
filterfilter
内部网外部网
63
IP级防火墙级防火墙
通常实现在路由器中
内外主机之间IP报文直接交互
透明方便性
粒度不够
常用内部网外部网过滤路由器防火墙主机A
主机B
64
应用级防火墙应用级防火墙
防火墙通常是一台双穴主机
针对某一应用
代理客户和代理服务器
内外交互不直接
鉴别日志和审计
粒度控制
效率低外部网应用级防火墙内部网主机B
主机A
65
链路级防火墙链路级防火墙
工作原理和组成结构和应用级防火墙相似
不针对专门协议
使用通用的TCP/UDP连接服务
客户端和防火墙只在IP层建立连接不建立TCP连接
– SOCKS
– VPN
66
IP级防火墙的配置级防火墙的配置
分析报文头
按规则决定是否进行转发
67
68
69
70
71
72
访问控制表分类访问控制表分类
IP标准表测试条件:
源地址
通配符
IP扩展表测试条件
源和目的地址
指定TCP/IP族协议
目的地址
通配符
73
74
75
76
77
标准的访问表配置标准的访问表配置
access-list-number 指出入口属于那一个表从1到99
的一个数字
permit | deny 指出这个入口是否允许或拒绝从指定地址来的信息量
source 指出源IP地址
source-mask 指明地址域中的那些位需要匹配 如果某个位为1表明这位不需要匹配 如果某个位为0则表明这一位需要严格地匹配
in | out指将该ACL应用于入流量还是出流量
78
79
80
81
access-list access-list-number {permit|deny} protocol
source source-mask destination destination-mask
[operator operand] [established]
ip access-group access-list-number {in|out}
82
扩展的访问表配置扩展的访问表配置
access-list-number 用一个从100到199的数字来表示一个表
permit | deny 指出这个入口允许还是拒绝某特定地址
Protocol IP,TCP,UDP,ICMP,GRE,IGRP.
源和目的 指出源和目的的IP地址
源掩码和目标掩码 通配符掩码0表示必须匹配的的位
1表示不需要匹配的位
操作符和操作数 lt,gt,eq,neq 小于大于,等于,不等于和一个端口号
established 如果数据包使用一个已建连接例如具有
ACK位 组便可允许TCP信息量通过
83
84
85
主要内容主要内容
网络安全规划与管理
系统安全
防火墙管理
病毒防范
入侵检测
86
蠕虫病毒蠕虫病毒
Virus,can not spreads under its own
power
Worms,an automated intrusion agents
蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序
87
病毒特征病毒特征
传染性
隐蔽性
潜伏性
破坏性
不可预见性
88
病毒危害病毒危害
攻击系统数据区
攻击文件
攻击内存
干扰系统运行
降低系统效率
攻击磁盘
扰乱屏幕显示
键盘
喇叭
攻击CMOS
干扰打印机病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量
89
病毒发展病毒发展
DOS引导阶段
DOS可执行阶段
伴随批次型阶段
幽灵多形阶段
生成器变体机阶段
网络蠕虫阶段
视窗阶段
宏病毒阶段
互连网阶段
Java邮件炸弹阶段
90
病毒分类病毒分类
传染方式
–引导型病毒
–文件型病毒
–混合型病毒
破坏性
–良性病毒
–恶性病毒
连接方式
–源码型病毒
–入侵型病毒
–操作系统型病毒
–外壳型病毒
宏病毒
91
病毒组成分析病毒组成分析虽然病毒在实现技巧上有很大的区别但其主要结构是类似的
引导部分将病毒主体加载到内存为传染部分做准备
传染部分将病毒代码复制到传染目标上去
表现部分大部分的病毒都是有一定条件才会触发其表现部分的如时钟计数器等根据编制者的不同目的而千差万别
92
病毒传播方式病毒传播方式
文件
邮件
93
蠕虫理论蠕虫理论
侦察(Reconnaissance)
特定的攻击(Specific attack)
命令接口(A command interface)
通信(Communications)
智能(Intelligence)
未使用的攻击(Unused attack)
94
蠕虫理论蠕虫理论
(续续
)
Reconnaissance
–主动方式
扫描
–被动方式
OS fingerprinting
流量分析
Specific Attack
–利用的漏洞
Buffer overflow,cgi-
bin,etc
Trojan horse
–两类
本地
远程
95
蠕虫理论蠕虫理论
(续续
)
Common interface
–接受指令
攻击者
其他蠕虫
Communication
–信息传输
–交互协议
Intelligence
–其他蠕虫节点信息
–感染系统信息
Unused attack
–未利用到的功能
96
当前蠕虫缺陷当前蠕虫缺陷
Limited Capabilities
–扩张能力有限
–侦察能力有限
Growth Rated and Traffic
–爆发时网络流量急剧增加
97
当前蠕虫缺陷当前蠕虫缺陷
(续续
)
Network Structure
–尽力向多个系统渗透
–没有方向控制
Intelligence Database
–信息存放地点
Mail box
Chat room
A simple packet to a particular IP
–易于被阻塞
98
案例分析案例分析
Morris Worm
– Reconnaissance,scanning and trusted host analysis
– Specific attack,sendmail attack; finger daemon
buffer overflow attack; Dictionary and username
information attacks on passwords
– Intelligence database,the newly acquired node
sending a one byte packet to a certain IP (In fact,it
is a superficies.)
– Command interface,absent
– Communication,minimal
– Unused attack,if target is a VAX,the Sun specific
attacks are unused
99
案例分析案例分析
(续续
)
CUC
– Reconnaissance capabilities,a simple scanner to test
whether a system is running sadmind
– Specific attack capabilities,sadmind buffer
overflow attack module
– Command interface,getting perl interpreter from a
ftp server(limited)
– Communication Capabilities,absent
– Intelligence Capabilities,store child worm nodes
information locally
– Unused Attack Capabilities,if target is Linux,
SunOS specific attacks are unused
100
案例分析案例分析
(续续
)
CUC
原始攻击者
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0i0
FTP
第一级受害者第二级受害者第二级受害者第二级受害者NT web server NT web server NT web server
101
常见蠕虫病毒常见蠕虫病毒病毒危害利用安全漏洞传播途径蠕虫病毒名称网络繁殖删除文件导致系统瘫痪
Outlook自动预览功能
Email,文件共享传播
HappyTime
(欢乐时光)
蠕虫病毒加重了网络的通信负担,
常常造成网络瘫痪
IIS安全漏洞
IIS安全漏洞
CodeRed(
红色代码)
蠕虫病毒网络拥塞甚至瘫痪
IIS安全漏洞
Email IIS
安全漏洞
Nimda(尼姆达)蠕虫病毒
102
一般病毒防范一般病毒防范
检查
–系统效率CPU内存
–进程
–注册表
–系统文件审计
定期更新病毒库并杀毒
103
蠕虫病毒防范蠕虫病毒防范
多阶层Multi-tier的防御战略
–网关
–服务器
–客户端
104
网关防范网关防范
防火墙的过滤政策
路由器源路由控制
IDS响应系统
105
服务器防范服务器防范
安全补丁
安全策略
安全审计
安全漏洞检查
106
客户端防范客户端防范
安全教育是第一位的
永远不要打开一个来历不明或可疑的邮件附件
首次安装防病毒软件要对PC实施完全扫描
不要从不可靠的途径下载软件
使用可替代的文件格式这主要用于防范宏病毒
安装客户端防火墙及过滤
不要用共用软盘安装或拷贝软件
107
杀毒工具杀毒工具
Norton
KILL系列
KV系列
VRV
瑞星RAV
金山
PC-cillin
108
主要内容主要内容
网络安全规划与管理
系统安全
防火墙管理
病毒防范
入侵检测
109
入侵检测系统的类型入侵检测系统的类型
实时日志监测器
–记录日志条目中的特殊事件
–近似于实时响应
实时网络传输监测器
–记录网络传输中的特殊事件
–实时响应
事后的日志分析器
–检查事先建立的日志信息
–不能够实时响应
110
入侵检测系统的使用入侵检测系统的使用
2攻击识别
2事件响应
2政策检验
2政策加强
111
入侵检测系统的响应入侵检测系统的响应
被动响应,不直接的针对入侵者采取行动
主动响应,直接保护被入侵的目标采取行动
112
建立建立
IDS政策政策
确定 IDS的目标
选择检测什么
选择响应方式
设置阈值
实现政策
113
确定确定
IDS的目标的目标
一些可能的目标包括
–检测攻击
–防御攻击
–检测政策的违反
–增强使用政策
–增强连接政策
–证据收集
114
选择检测什么选择检测什么
选择检测什么直接决定于IDS的目标
选择检测什么将决定IDS(或IDS的sensor)
放置的位置
检查存在的政策和使用模式
115
选择检测什么选择检测什么
(举例举例
)
网络中心想要发现内部网络上所以未授权的邮件服务器WEB服务器和DNS服务器
将一个IDS放置在校园网的边界上配置为检测所有到TCP25口80口和UDP53
口的报文
116
选择响应方式选择响应方式
选择响应方式也直接取决于IDS的目标
决定谁有授权根据IDS的数据进行处理动作
主动响应还是被动响应
Automatic (被人工控制的被过程管理的处理)还是Automated (机器独立处理)
117
选择响应方式选择响应方式
(举例举例
)
网络中心想要发现内部网络上所以未授权的邮件服务器WEB服务器和DNS服务器
将一个IDS放置在校园网的边界上配置为检测所有到TCP25口80口和UDP53
口的报文
管理员修改防火墙的配置中断外部到非授权的服务器的连接
118
漏报和误报漏报和误报
误报(false positive)
漏报(false negative)
119
设置阈值设置阈值
阈值增强了IDS过滤误报的有效性
阈值决定于触发响应动作的事件数目
阈值决定于本地处理 (例如单一主机)还是全局处理(例如整个网络)
120
设置阈值设置阈值
(举例举例
1)
Internet Explorer当获取Web主页时会最多并发建立32个连接
IDS基于半开连接数目决定SYN FLOOD
攻击的判定
如果在一个有大量Web用户的网络或者网络连接速度很慢的网络上则对于SYN FLOOD攻击的阈值必须设定得比较高
121
设置阈值设置阈值
(举例举例
2)
一些网络管理系统使用ping操作 (ICMP
Echo Request)作为管理工具之一
大量的ICMP响应 (ICMP Echo Response)
将被视为 SMURF攻击
如果使用的网络管理系统采用了ping作为工具决定则SMURF攻击时对ICMP响应的数目最好设置的较大
122
设置阈值设置阈值
(举例举例
3)
一般的当用户被强制修改口令后口令键入错误的次数会上升
如果你的IDS系统将用户错误的口令键入视作攻击企图的话
那么在每次口令修改周期后最好提高用户错误的口令键入次数的阈值
123
实现安全政策实现安全政策
实现安全政策不是,program the IDS
with the new policy and turn it on!”
在任何响应被使用前使用新政策的系统必须被完整的测试过
初始测试不能使用任何主动响应
124
实现安全政策实现安全政策
(举例举例
)
某单位安装了基于网络的IDS并没有进行任何自定义
IDS使用了安装时的缺省政策通过网络连接的个数确定攻击
两周后日志文件有900页!
125
入侵检测系统举例入侵检测系统举例
监视Internet入口
服务器保护
事件响应
126
监视监视
Internet入口入口
系统目标系统用户可以访问某些站点以外的所有其它站点系统外部用户只能够访问内部的
WWW SMTP服务器
监视器的位置防火墙内外各一个实时网络传输监视器设一个Proxy作为日志分析器
监视内容网络传输监视器忽略向外的主要服务和向内的WWW SMTP流量捕捉其它流量日志分析器捕捉非法站点
响应记录日志网络传输的监视器还可以切断连接或重配防火墙日志分析器也可以通知用户
127
监视监视
Internet入口入口
Internet
路由器网络监视器防火墙
WWW SMTP
Proxy
日志分析器内部用户
128
服务器保护服务器保护
系统目标保护内部网络的服务器防止内部攻击仅允许HTTP访问
监视器的位置在服务器网段设置一个实时网络传输监视器
监视内容记录所有网络流量在HTTP流量中分析攻击特征其它流量均记录
响应记录所有非HTTP流量的日志切断
HTTP攻击的连接也可以重新进行网络路由等配置
129
服务器保护服务器保护
Internet
路由器网络监视器防火墙各种服务器
130
事件响应事件响应
系统目标对入侵自动响应尽量获取攻击的信息系统中有一个陷井
监视器的位置在网络的入口设置一个实时网络传输监视器在陷井中设置一个实时日志监视器
监视内容网络传输监视器记录所有网络流量分析攻击特征日志记录器记录陷井中的日志
响应记录攻击模式的流量把攻击引向陷井并且通知管理员
131
事件响应事件响应
Internet
路由器网络监视器防火墙陷井服务器陷井的日志监视器
132
谢谢谢谢