【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置

[复制链接]
发表于 : 2015-8-11 09:59:35 最新回复:2019-08-16 09:32:46
10635 21
强叔侃墙
强叔侃墙 官方号

介绍IPS特性的配置之前,强叔必须先提醒一点,IPS的配置不是一件“一劳永逸”的事情,其防御效果也不能一蹴而就。网络中的威胁是千变万化的,完成IPS初始配置后,还要持续不断地调整和维护IPS配置,增强防御效果。

下面给出了部署IPS特性后的通用调测思路。IPS配置完成后,通过监控攻击行为、分析威胁日志等手段,发现防御策略不合理的地方,进而对IPS配置做出调整,如修改签名过滤器、升级IPS特征库,必要的时候还可以使用例外签名和自定义签名。 

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-1

 

入侵和防御之间的战斗是长期的过程,网络管理员不能懈怠,必须密切关注网络安全形势,监控和分析网络中的入侵行为,不断调整和优化IPS防御策略,这样才能在最大程度上保证网络的安全性。

IPS与周边特性逻辑关系

IPS特性的配置涉及多个功能模块,需要这些模块之间相互配合协作,如下图所示。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-2

 

IPS特性的主体配置是入侵防御配置文件和安全策略。入侵防御配置文件中定义了签名过滤器和例外签名;安全策略中定义了匹配条件(对哪些流量进行IPS检测)、动作(必须为允许),然后引用入侵防御配置文件。其它几个功能模块的作用如下:

A 升级特征库可以识别出更多的入侵行为,升级特征库只会更新预定义签名,不会影响自定义签名。关于特征库升级的内容我们将在后续的贴子中介绍。

B 配置自定义签名,弥补预定义签名未及时更新而导致的无法识别和防御某些攻击行为的问题,增强网络安全性。

C 在入侵防御配置文件中开启抓包功能后,可以在威胁日志中下载包含入侵特征的数据包,进一步分析该入侵行为。

D 查看威胁日志,获取签名ID加入到例外签名中,后续命中该签名的入侵行为,将会按照例外签名中的动作进行处理。

Web配置界面展示

下面给出了入侵防御配置文件的Web配置界面(以USG6000 V100R001C30SPC100版本为例),并对界面上的配置项进行简要解释。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-3

 

入侵防御配置文件的配置界面分为3个区域,1是基本配置区域,在该区域中设置入侵防御配置文件的名称和描述,以及开启抓包功能;2是签名过滤器配置区域,在该区域中可以创建多个签名过滤器,匹配时NGFW会依次查找签名过滤器,当报文命中某个签名过滤器中的签名时,就会对报文执行该签名过滤器的动作;3是例外签名配置区域,在该区域中添加例外签名并设置动作。

IPS配置实例

下面我们进入实战部分,来看两个具体的配置实例。配置之前,必须保证IPS特征库已经成功加载,同时建议将IPS特征库升级至最新的版本。

使用预定义签名防御针对IE浏览器的攻击行为

如下图所示,NGFW位于PC和Web服务器之间,PC上安装了Windows操作系统,并且使用IE浏览器访问Web服务器。Windows操作系统本身不是很安全,使用IE浏览器访问Web服务器就更容易遭到攻击。因此在NGFW上配置IPS功能,保护PC免受来自网络的攻击行为。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-4

 

配置如下入侵防御配置文件,通过对象和操作系统这两个属性来筛选出适用的签名,然后在安全策略中引用该配置文件。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-5

 

入侵防御配置文件创建或修改后,必须在Web界面上执行“提交”操作才能生效。提交过程所需时间较长,请耐心等待,建议完成所有入侵防御配置文件的配置后再统一进行提交。

完成上述配置后,我们使用“Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-1815)”这个针对Windows操作系统上IE浏览器的漏洞来验证防御效果,该漏洞的签名已经包含在预定义签名中,签名的缺省动作为告警。

首先,我们将利用该漏洞的恶意代码制作成HTML文件,放置于Web服务器上,这样就相当于将这台Web服务器模拟成Internet上恶意的Web服务器。然后在PC上使用IE浏览器访问含有恶意代码的Web页面,可以正常访问。

接下来我们在NGFW上查看威胁日志,可以看到相应的日志信息。由于该签名的动作是告警,所以NGFW没有阻断报文,只是记录日志,符合预期结果。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-6

 

上述配置的命令行脚本如下:
#
profile type ips name protect_pc
 signature-set name windows
  os windows
  target client
  severity low medium high
  protocol all
  category all
#
security-policy 
 rule name policy_ips
  source-zone trust
  destination-zone untrust
  source-address 192.168.0.0 mask 255.255.255.0
  profile ips protect_pc
  action permit
#

使用自定义签名防御针对Web服务器的注入攻击行为

如下图所示,某企业内网中部署了Web服务器供Internet上的用户访问。Web服务器上提供了论坛功能,用来发布产品消息,与用户、合作伙伴在线交流。NGFW位于内网服务器和Internet之间,NGFW上运行IPS功能,保护Web服务器的安全。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-7

 

企业的网络管理员对Web服务器进行安全检查时,发现论坛的SQL数据库中多出了几个可疑的管理员账号,论坛数据时常会被修改。管理员查阅了论坛厂商的安全公告,没有发现漏洞信息,将IPS特征库升级至最近版本后,还是存在攻击行为。由此判断,Web服务器上的论坛程序很有可能遭到了利用零日漏洞(0Day)的攻击。

为了保证Web服务器的安全性又不影响业务正常运行,管理员决定分析攻击特征,使用自定义签名来防御攻击行为。管理员在Web服务器上进行抓包,经过一段时间的抓包后,发现如下可疑访问:

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-8

 

分析抓包信息可知,该报文是典型的SQL注入攻击报文。由于论坛的login.asp页面存在缺陷,攻击者可以在访问请求中插入SQL语句并在数据库中执行,绕过论坛的安全检查。这两条exec语句用来创建一个新的SQL数据库管理员账号并提升权限。

获得攻击行为的特征之后,就可以创建自定义签名了,首先配置自定义签名的基本特征。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-9

 

然后配置自定义签名规则。规则中配置了一条检查项,匹配HTTP协议的URI字段,值为“login.asp\?id=\d+;exec”,其中id=后面使用了正则表达式,表示匹配任意整数值。该检查项的作用是匹配HTTP请求中针对login.asp页面的exec注入攻击,只要URI中包含该值,就会命中此检查项。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-10

 

自定义签名创建或修改后,必须在Web界面上执行“提交”操作才能生效。提交过程所需时间较长,请耐心等待,建议完成所有自定义签名的配置后再统一进行提交。

接下来检查新创建的自定义签名是否包含在签名过滤器中。本实例使用default配置文件(对应default签名过滤器),在default配置文件的“查看签名过滤结果”提示框中输入自定义签名的名称,可以查询到结果,说明该自定义签名已经包含在default签名过滤器中。如果使用了其他的配置文件,也可以使用该方法进行查询,保证自定义签名包含在签名过滤器中。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-11

 

完成上述配置后,如果攻击者再次对论坛进行SQL注入攻击,就会被NGFW阻断,并生成日志信息,而正常的访问不会受到影响。

【强叔侃墙第二季】06 网络威胁迷人眼,明察秋毫防入侵---IPS特性配置-1256715-12

 

上述配置的命令行脚本如下:

ips signature-id 1
 name Anti_SQL_Injection
 protocol HTTP
 target server
 action block
  rule name rule1
   condition 1 field HTTP.URI operate pmatch value login.asp\?id=\d+;exec
#
security-policy 
 rule name policy_ips
  source-zone untrust
  destination-zone trust
  destination-address 192.168.0.0 mask 255.255.255.0
  profile ips default
  action permit
#

这里给出的自定义签名中检查项的内容比较简单,仅仅是为了说明自定义签名的配置思路,并没有太多的实用价值。在实际网络环境中使用自定义签名时,还需仔细分析攻击特征,精确配置检查项,反复调测,以免影响正常业务。

 

 

 

返回至汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
Wayne
Wayne  版主 发表于 2015-8-11 10:45:58 已赞(0) 赞(0)

多谢分享 一如既往的好

  • x
  • 常规:

点评 回复

Ted1989
Ted1989   发表于 2015-8-11 12:45:00 已赞(0) 赞(0)

占不到一楼,占二楼,哈哈,下下周考面试,希望一次PASS啦

  • x
  • 常规:

点评 回复

wangqiuxinyi
wangqiuxinyi   发表于 2015-8-11 14:47:59 已赞(0) 赞(0)

多谢分享 一如既往的好

  • x
  • 常规:

点评 回复

liuyang.liuyang
liuyang.liuyang   发表于 2015-8-11 16:26:28 已赞(0) 赞(0)

经典,谢谢分享了。

  • x
  • 常规:

点评 回复

jiangdong9512
jiangdong9512   发表于 2015-8-12 17:13:44 已赞(0) 赞(0)

谢谢分享!

  • x
  • 常规:

点评 回复

tianfang
tianfang   发表于 2015-8-12 19:30:12 已赞(0) 赞(0)

经典资料,学习了。

  • x
  • 常规:

点评 回复

kaixiao
kaixiao   发表于 2015-9-12 17:05:02 已赞(0) 赞(0)

支持强叔!

  • x
  • 常规:

点评 回复

虎
  发表于 2015-8-24 16:36:38 已赞(0) 赞(0)

谢谢分享。
  • x
  • 常规:

点评 回复

Demon.Huang
Demon.Huang  导师 发表于 2015-11-19 12:28:39 已赞(0) 赞(0)

login.asp\?id=\d+;exec

这个值是怎么来的?貌似与报文的有点不同?能解释下么?

  • x
  • 常规:

点评 回复

123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录