【强叔侃墙第二季】05 网络威胁迷人眼,明察秋毫防入侵---IPS特性原理

[复制链接]
发表于 : 2015-8-6 09:47:55 最新回复:2019-08-28 13:56:02
14414 14
强叔侃墙
强叔侃墙 官方号

网络江湖凶险莫测,明枪暗箭防不胜防。木马、蠕虫、僵尸网络、间谍软件,以及溢出攻击、注入攻击等多种攻击方式,都在威胁着网络安全。另外,操作系统、应用程序不断爆出安全漏洞,已知安全漏洞造成的危害难以应对,未知安全漏洞带来的隐患如芒在背。

面对如此状况,NGFW提供了入侵防御(Intrusion Prevention System)特性,全方位防御各种攻击行为凭一己之力保一方安全。本篇我们介绍IPS特性,先来了解IPS的基本概念和实现原理。

IPS和IDS

提到IPS,就不能回避另一个概念,入侵检测系统IDS(Intrusion Detection System)。IDS与IPS虽然只有一字之差,但两者功能区别很大。

IDS的主要作用是监控网络状况,发现入侵行为并记录事件,但是不会对入侵行为采取动作,是一种侧重于风险管理的安全机制。通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现入侵行为后通知防火墙进行阻断。

【强叔侃墙第二季】05 网络威胁迷人眼,明察秋毫防入侵---IPS特性原理-1252025-1

 

IPS是入侵防御系统的简称,从字面意思来看,这一概念包括两个部分的含义:发现入侵行为,阻断入侵行为。与IDS不同的是,IPS会实时阻断入侵行为,是一种侧重于风险控制的安全机制。

【强叔侃墙第二季】05 网络威胁迷人眼,明察秋毫防入侵---IPS特性原理-1252025-2

 

本篇重点介绍NGFW上的IPS特性,关注如何防御入侵行为。在只需要入侵检测的场景中,我们也可以将NGFW配置成IDS设备,只检测入侵行为。

防御入侵的前提是要先识别入侵行为,网络中的报文多种多样,如何发现隐藏于其中的入侵行为呢?与反病毒特性相似,IPS也采用了特征对比的方式,通过签名来判断入侵行为。

签名

签名用来描述网络入侵行为的特征,IPS通过比较报文特征和签名来检测和防御入侵行为。除了特征之外,签名中还包含处理动作,以及一些必要的信息,下面给出了一个典型的签名:

【强叔侃墙第二季】05 网络威胁迷人眼,明察秋毫防入侵---IPS特性原理-1252025-3

 

该签名描述了针对IE浏览器漏洞的攻击行为,签名中的信息含义如下表所示。

字段

含义

基本信息

ID

用来标识一个签名。

对象

用来描述攻击行为所针对目标的角色,包括:

  • 服务端:表示攻击行为是针对服务器发起的。
  • 客户端:表示攻击行为是针对客户端发起的。

严重性

用来描述攻击后果的严重性,分为高、中、低三种。

严重性越高,说明攻击产生的后果越严重。

操作系统

用来描述攻击行为所针对的操作系统。

协议

用来描述攻击行为使用的协议类型。

威胁类别

用来描述攻击行为的类别,包括木马、蠕虫、注入攻击、溢出攻击等。

动作

用来描述IPS对命中签名的报文的处理动作,包括:

  • 放行:允许通过,不会记录日志。
  • 告警:允许通过,但会记录日志。
  •  阻断:丢弃报文,并记录日志。

描述

该攻击行为的简要介绍。

影响

该攻击行为可能造成的后果。

对策

针对该攻击行为应该采取的防范措施,例如安装补丁、升级软件版本等。

参考信息

该攻击行为的CVE名称以及其它相关信息。

 

上面我们以一个签名为例介绍了签名中的信息含义,实际上,NGFW提供了IPS特征库(签名库),里面包含了针对各种已知攻击行为的签名信息。由于这些签名都是事先定义好的,可以直接使用,所以叫做预定义签名。网络攻击层出不穷,为了识别出新的攻击行为,必须定期更新IPS特征库,才能够更好地防御攻击行为,保证网络安全。

使用预定义签名可以识别出绝大部分的攻击行为并进行防御,可以满足一般场景中的安全需求,但是明枪易躲暗箭难防,还是有一些预定义签名覆盖不到的情况。例如,针对某个漏洞的攻击行为已经出现,但是IPS特征库中还没有更新相应的签名;安全厂商还未知晓的零日漏洞(0Day),其漏洞信息和利用方法就已经在黑客圈里传播。这两种情况都是因为IPS特征库中没有相应的预定义签名来识别攻击行为,所以IPS无法防范此类攻击行为。

为此,NGFW提供了自定义签名,弥补预定义签名未及时更新而导致的无法识别和防御上述攻击行为的问题。使用自定义签名来临时防御这些利用未知漏洞进行攻击的行为,待升级IPS特征库后,再使用IPS特征库中相应的预定义签名来防御。

自定义签名需要手工定义攻击行为的特征,对网络管理员技能要求很高。比如针对0Day漏洞,管理员需要了解漏洞的原理和利用方法,掌握攻击报文的特征,才能够精确地配置自定义签名。如果配置不当会导致签名无效,无法防御攻击行为,甚至影响正常业务。因此,一般情况下不建议配置自定义签名

自定义签名的配置过程也比较复杂,需要配置的内容很多,自定义签名中包含的配置项如下图所示。

【强叔侃墙第二季】05 网络威胁迷人眼,明察秋毫防入侵---IPS特性原理-1252025-4

 

自定义签名中可以配置多条规则,规则之间是“或(OR)”的关系,只要报文命中其中一条规则便命中了此签名。规则中可以配置多条检查项,检查项之间是“与(AND)”的关系,只有报文命中所有检查项时,才算是命中了此规则。下面给出了自定义签名中几个关键配置项的介绍。

配置项

说明

协议

自定义签名的协议,用来描述承载攻击报文的协议类型。

此处的协议类型的选择将会影响检查项中字段的取值。

检测范围

规则的检测范围,包括:

  • 报文:对单个报文进行逐包检测。
  • 消息:基于一个完整的消息进行检测。
  • 流:基于整条数据流进行检测。只对承载于TCP协议的应用层协议有效。

按顺序检测

按照先后顺序依次匹配各检查项,只有按照顺序命中了所有检查项,才算是命中了规则;否则将会按照随机顺序匹配检查项,只要命中了所有检查项,就算是命中了规则。

一般情况下不建议配置该项,因为按顺序检测的匹配方式更严格,有可能导致有些网络威胁被误放行。

操作符

操作符,包括匹配、大于、小于、等于或不等于“字段”的值。

字段

待检测的字段,取值与上面所选择的协议类型相关。

待检测字段的值。

当操作符为“匹配”时,可使用正则表达式和转义字符来描述攻击报文的特征,关于正则表达式和转义字符的详细介绍请参考NGFW的产品文档,这里不再赘述。

 

签名过滤器和例外签名

IPS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。

签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。

IPS特征库中预定义签名的动作无法修改,不能按需调整,考虑到各种例外情况,NGFW提供了例外签名功能。例外签名的优先级高于签名过滤器,使用例外签名可以为特定的签名单独设置动作。例如,发现某些正常的业务报文命中签名被误阻断,可以将该签名加入到例外签名中,然后调整动作为放行。

了解签名过滤器和例外签名的概念之后,下面我们来看看IPS特性的内部处理流程。

【强叔侃墙第二季】05 网络威胁迷人眼,明察秋毫防入侵---IPS特性原理-1252025-5

 

处理流程的简要介绍如下:
1、NGFW会首先进行IP分片报文重组以及TCP流重组,可以有效检测出逃避入侵防御检测的攻击行为。经过应用协议识别后,各种应用的流量已经被识别出来,然后NGFW对流量进行IPS检测,将报文特征与IPS特征库中的签名进行匹配。
2、报文命中签名后,NGFW首先会判断该签名是否属于例外签名,如果属于例外签名,执行例外签名的动作;否则进入下一环节处理。
3、接下来,NGFW判断该签名是否属于签名过滤器,如果属于签名过滤器,执行签名过滤器的动作(当签名过滤器的动作为“采用签名的缺省动作”时,如果报文命中了多个签名,以最严格的动作为准);否则进入下一环节处理。
4、如果报文命中的签名既不属于例外签名也不属于签名过滤器,则不会进行IPS处理,直接放行。

签名的信息很多,我们往往不知道根据什么条件来筛选,针对这个问题,NGFW提供了几个典型入侵防御场景适用的签名过滤器。这些签名过滤器已经集成到缺省的入侵防御配置文件中,可以在安全策略中直接引用。这几个缺省入侵防御配置文件的介绍如下表所示。

配置文件名称

协议

动作

应用场景

web_server

DNS

HTTP

FTP

采用签名的动作

防御针对Web服务器的攻击

file_server

DNS协议

网络文件类协议

采用签名的动作

防御针对文件服务器的攻击

dns_server

DNS协议

采用签名的动作

防御针对DNS服务器的攻击

mail_server

DNS协议

邮件类协议

采用签名的动作

防御针对邮件服务器的攻击

inside_firewall

TelnetTFTP之外的协议

采用签名的动作

网络中还部署了其它防火墙,NGFW位于该防火墙防护范围之内

outside_firewall

全部

采用签名的动作

网络中还部署了其它防火墙,NGFW位于该防火墙防护范围之外

dmz

NetBIOSNFSSMBTelnetTFTP之外的协议

采用签名的动作

防御针对DMZ区域的攻击

ids

全部

告警

NGFW以旁路方式接入网络,作为IDS设备使用,只检测入侵行为

default

全部

采用签名的动作

NGFW以直路方式接入网络,作为IPS设备使用

 

最后,我们来对比一下IPS特性和上一篇介绍过的反病毒特性。两者都是基于特征检测方式,检测效果依赖于特征库的更新。IPS特性关注所有协议,侧重于报文内容级别的检测;反病毒特性针对特定协议(FTP/HTTP/SMTP/POP3/IMAP/NFS/SMB),侧重文件级别的检测。单就病毒检测这一块来说,两者功能有重叠,IPS特性中也包括病毒检测,但是检测力度和支持情况不如反病毒特性。IPS特性和反病毒特征是相互补充的关系,不存在取代关系。

至此,IPS特性的实现原理部分介绍完毕,下一篇我们将介绍IPS特性的配置,同时会给出使用预定义签名和自定义签名防御入侵行为的配置实例。

 

 

返回至汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

oyc
oyc 发表于 2019-5-4 00:21
肥肠好,感谢强大大  
跳转到指定楼层
员Lemon
员Lemon  专家 发表于 2015-8-6 11:44:51 已赞(0) 赞(0)

好资料。。
  • x
  • 常规:

点评 回复

happy_genius
happy_genius   发表于 2015-8-6 15:36:45 已赞(0) 赞(0)

写的太棒了,好好学习中!

  • x
  • 常规:

点评 回复

kmyd
kmyd  大师 发表于 2015-8-6 16:02:56 已赞(0) 赞(0)

好资料,感谢强叔

  • x
  • 常规:

点评 回复

xutong-2014
xutong-2014  新锐 发表于 2015-11-19 17:18:47 已赞(0) 赞(0)

感谢强叔!

  • x
  • 常规:

点评 回复

黄诗海
黄诗海   发表于 2016-4-11 16:49:54 已赞(0) 赞(0)

对于自定义签名,有没有比较详细的说明可以查阅。

  • x
  • 常规:

点评 回复

li yue
li yue   发表于 2016-4-11 17:09:31 已赞(0) 赞(0)

学习了,谢谢

  • x
  • 常规:

点评 回复

技术强者
技术强者   发表于 2016-4-11 21:39:51 已赞(0) 赞(0)

学习了,非常好
  • x
  • 常规:

点评 回复

爱在离别时
爱在离别时  精英 发表于 2015-12-30 22:38:16 已赞(0) 赞(0)

感谢分享。

  • x
  • 常规:

点评 回复

fangzhe412
fangzhe412   发表于 2016-1-6 13:17:43 已赞(0) 赞(0)

不错的介绍、赞一个

  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录