运行安全--防火墙与入侵检测.ppt

1,运行安全-防火墙与入侵检测,主讲人：翟健宏Email:zhaijh办公室:新技术楼509Tel防火墙与入侵检测的关系,2,一、防火墙,1防火墙的基本概念与体系结构防火墙相关技术防火墙技术的发展,3,4,1防火墙的基本概念与体系结构,1.1防火墙定义防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。一个好的防火墙具备：内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透(penetration)免疫,5,1.2防火墙与OSI/RM模型,6,1.3防火墙的概念,堡垒主机：BastionHost堡垒主机是一种配置了安全防范措施的网络的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。双宿主机：Dual-homedHost有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。,7,1.4防火墙的作用,确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案：谁在使用网络他们在网络上做什么他们什么时间使用了网络他们上网去了何处谁要上网没有成功,8,1.5防火墙的优点,防火墙是网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。控制对主机系统的访问监控和审计网络访问如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。,9,防止内部信息的外泄利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。部署网络地址翻译(NAT)机制可以缓解地址空间短缺问题，隐藏内部网络结构。,10,1.6防火墙的弱点,防火墙不能防范来自内部网络的攻击；防火墙不能有效防范感染了病毒的软件或文件的传输；防火墙不能防范不经由防火墙的攻击；,11,防火墙后门,12,1.7防火墙策略,在构筑防火墙之前,需要制定一套完整有效的安全战略网络服务访问策略一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。防火墙设计策略一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。,13,1.8防火墙的基本结构,(1)屏蔽路由器,优点：易于实现。危险区域：路由器及路由器允许访问的主机。缺点：路由器一旦被控制后很难发现，而且不能识别不同的用户。,14,（2）双重宿主主机,优点：堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。危险区域：堡垒主机。缺点：一旦入侵者侵入堡垒主机并使其只具有路由功能，则网上任何用户均可以自由访问内网。,15,(3)屏蔽主机防火墙,优点：易于实现，安全。危险区域：堡垒主机，屏蔽路由器。缺点：同双宿主机防火墙。,16,（4）屏蔽子网防火墙,在内部网络和外部网络之间建立一个被隔离的子网（周边网络。两个分组过滤路由器放在子网的两端，在子网内构成一个非军事区（DMZ）。有的DMZ中还设有一个堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。,17,(5)一个堡垒主机和一个非军事区,堡垒主机的一个网络接口接到非军事区（DMZ）另一个网络接口接到内部网络，过滤路由器的一端接到因特网，另一端接到非军事区。,18,1防火墙的基本概念与体系结构防火墙相关技术防火墙技术的发展,19,2.1防火墙的分类1)包过滤防火墙第一代也是最基本形式的防火墙。根据所建立的一套规则，检查每一个通过的网络包，或者丢弃，或者放行，称为包过滤防火墙。目的是放行正常的数据包，截住有危害的数据包。例:规则1:阻断telnet连接；规则2:允许传入Web连接；查看网络包的目的地址端口号，目的端口为23的丢弃，目的端口为80的则放行。,2防火墙相关技术,20,2)状态/动态检测防火墙,包过滤防火墙见到的每一个网络包都是孤立存在的，包中没有任何描述它在信息流中的位置的信息，该包被认为是无状态的。一个有状态包检查防火墙跟踪的不仅是包中包含的信息，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。状态/动态检测防火墙是在使用基本包过滤防火墙的通信上，跟踪通过防火墙的网络连接和包，以使用一组附加的标准，确定允许或拒绝通信。例1：对于传入的TCP包，只有它是在响应一个已建立的连接时，才会被允许通过。例2：对于传入的UDP包，若它所使用的地址和UDP包携带的协议与传出的连接请求相匹配，则该包就被允许通过。,21,3)代理防火墙,代理（Proxy）技术只允许单个或少数主机提供因特网访问服务。只有具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，使其可以完成因特网访问工作。客户与代理服务器对话，代理服务器核实客户请求，中继到真实服务器上，并将答复中继给客户。代理服务器在外部网络向内部网络中请服务时发挥了中间转接作用。内部网络只接受代服务器提出的服务请求，拒绝外部网络其他节点的直接请求。,22,4)个人防火墙,个人防火墙是一种能够保护个人计算机系统安全的软件，一般是应用程序级的。它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式保护一台计算机免受攻击。通常，个人防火墙安装在计算机网络接口的较低级别上，使其可以监视传入传出网卡的所有网络通信。,23,1)静态包过滤概念根据流经该设备的数据包地址信息，决定是否允许该数据包通过。判断依据有(只考虑IP包)：数据包协议类型：TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口：FTP、HTTP、DNS等IP选项：源路由、记录路由等TCP选项：SYN、ACK、FIN、RST等其它协议选项：ICMPECHO、ICMPECHOREPLY等数据包流向：in或out数据包流经网络接口：eth0、eth1。,2.2技术原理,24,静态包过滤防火墙工作示意图,25,访问控制列表（ACL，AccessControlList）,数据包过滤规则。只有满足访问控制列表的数据包才被转发，其余数据包则被从数据流中删除。访问控制列表的配置有两种方式：限制策略。接受受信任的IP包，拒绝其他所有IP包；宽松策略。拒绝不受信任的IP包，接受其他所有IP包。,26,访问控制列表实例,访问控制列表中规则出现的顺序至关重要。,27,2)动态包过滤,概念Checkpoint一项称为“StatefulInspection”的技术；它根据数据包的头信息打开或关闭端口。当一组数据包通过打开的端口到达目的地，防火墙就关闭这些端口；可动态生成/删除规则；分析高层协议。,28,动态访问控制列表（动态包过滤技术）,配置动态访问控制列表，可以实现指定用户的IP数据流临时通过防火墙，进行会话连接，从而实现对数据包的动态过滤。当动态访问控制列表被触发后，动态访问控制列表重新配置接口上已有的访问控制列表，允许指定的用户访问指定的IP地址。在会话结束后，将接口配置恢复到原来的状态。动态包过滤技术一般结合身份认证机制实现。例如，用户首先发起一个到防火墙的标准Telnet会话，防火墙进行身份验证。如果用户通过身份验证，则激活动态访问控制列表，在防火墙开放一个数据通道，此时，用户便可以暂时通过防火墙访问内部网络目标主机。,29,动态包过滤技术实例,用户发起一个到防火墙的Telnet会话。防火墙接收到Telnet数据包分组后，打开Telnet会话，提示用户输入认证信息并对用户身份进行验证。通过身份认证后，用户退出Telnet会话，防火墙访问控制列表内创建一个临时条目。该临时条目可限制用户临时访问的网络范围。用户通过防火墙交换数据。超过预定超时时间（Timeout）后，防火墙将删除这个临时访问控制列表规则，系统管理员也可以手动删除它。,30,3)应用级网关,概念1.网关理解应用协议，可以实施更细粒度的访问控制2.对每一类应用，都需要一个专门的代理3.灵活性不够,31,32,4)电路级网关防火墙,概念拓扑结构同应用程序网关相同接收客户端连接请求，代理客户端完成网络连接在客户和服务器间中转数据通用性强,33,输入数据流输出数据流,34,5)网络地址翻译(NAT),目的解决IP地址空间不足问题向外界隐藏内部网结构方式M-1：多个内部网地址翻译到1个IP地址1-1：简单的地址翻译M-N：多个内部网地址翻译到N个IP地址池,35,静态网络地址翻译技术,如果网络地址翻译完全依赖于人工指定内部局部地址和内部全局地址之间的映射关系来运行，称之为静态网络地址翻译技术。,静态网络地址翻译地址转换原理图,36,动态网络地址翻译技术,如果NAT映射表由防火墙动态建立，对网络管理员和用户透明，则称之为动态网络地址翻译技术。网络地址翻译技术允许将多个内部IP地址映射成为一个外部IP地址。从本质上讲，网络地址映射并不是简单的IP地址之间的映射，而是网络套接字映射，网络套接字由IP地址和端口号共同组成。这种方法在节省了大量网络IP地址的同时隐藏了内部网络拓朴结构。,37,动态网络地址翻译地址转换原理图,38,1防火墙的基本概念与体系结构2防火墙相关技术3防火墙技术的发展,39,3防火墙技术的发展,3.1发展分布式防火墙应用层网关的进一步发展认证机制智能代理与其他技术的集成比如NAT、VPN(IPSec)、IDS，以及一些鉴别和访问控制技术防火墙自身的安全性和稳定性,40,3.2分布式防火墙,传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构考虑到下面几个事实个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段IPv6以及IPSec技术的发展防火墙这一概念还不能抛弃,41,思路主要工作防护工作在主机端打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外由安全策略来划分内外网具体方法：依赖于下面三点策略描述语言：说明什么连接允许，什么连接不允许一系列系统管理工具：用于将策略发布到每一主机处，以保证机构的安全IPSec技术及其他高层安全协议,42,信息出入关控制技术：思路：信息自带标识网关证：信息密级、信息源、信息允许流向、是否完整预处理+出入关检查对经由网关的信息流给出了一个一致的结构及访问控制机制。,3.3安全网关,43,1入侵检测技术（IDS）概念2IDS的分类3深入了解入侵检测技术4信号分析5snort,二、入侵检测,44,入侵检测的开山之作,1980年4月，JamesP.Anderson为美国空军做了一份题为ComputerSecurityThreatMonitoringandSurveillance（计算机安全威胁监控与监视）,指出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息预警提出了对计算机系统风险和威胁的分类方法，将威胁分为外部渗透、内部渗透和不法行为三种，提出利用审计跟踪数据监视入侵活动的思想。,45,Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作。,1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了一套网络入侵检测系统（NetworkSecurityMonitor）。,从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展,概念的诞生：,46,1入侵检测技术（IDS）概念,1.1定义入侵检测是通过从计算机网络或系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中“是否有违反安全策略的行为和遭到入侵“的迹象的一种安全技术。,47,入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应，提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击外部攻击和误操作的实时保护。入侵检测也是保障系统动态安全的核心技术之一。,48,1.2实时监控非法入侵的过程示意图,报警日志记录,攻击检测,记录入侵过程,重新配置防火墙路由器,内部入侵,入侵检测,记录,终止入侵,49,1.3IDS通常执行以下任务,监视分析用户及系统活动系统构造和弱点的审计识别反映已知进攻的活动模式并报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理，并识别用户违反安全策略的行为,50,1.4传统安全防范技术的不足,传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。,51,1.5入侵检测系统术语,警报IDS向系统操作人员发出入侵正在发生或正在尝试进行的消息。异常用一段时间建立一个主机或者网络活动的轮廓。当一个用户行为或者网络行为与此轮廓距离超过某一个值的时候，需要发出警报，此行为称之为异常,52,网络入侵特征数据库将网络入侵行为抽象成特定的字符集和，通过与网络上或主机上的行为向匹配，发现可能的网络入侵。是基于误用检测系统的重要组成部分。构造数据包不遵循通常的数据包结构，通过构造自己的数据包，进行数据包欺骗，或者是接受者无法处理这样的数据包,53,自动响应一些IDS能够对攻击做出防御性反应重新配置路由器或者防火墙，拒绝来自相同地址的流量发送reset包切断连接攻击者可以通过信任地址实施攻击，引起设备重新配置，达到拒绝服务攻击的目的,54,漏报误报防火墙蜜罐（Honeypot）模拟存在漏洞的系统，为攻击者提供攻击目标。其在网络中没有任何用途，因此任何连接都是可能的攻击。诱惑攻击者在上面浪费时间，延缓对真正目标的攻击,55,安全策略事先定义的正式的文档声明，定义哪些服务可以通过被监控的网段，以支持组织的安全需求。它包括（但不仅限于）哪些主机不允许外部网络访问感应器入侵检测构件，从数据源搜集数据。数据搜集的频率由具体提供的IDS决定,56,1入侵检测技术（IDS）概念2IDS的分类3深入了解入侵检测技术4信号分析5snort,57,2IDS的分类,IDS一般从实现方式上分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。不管使用哪一种工作方式，都用不同的方式使用了上述两种分析技术，都需要查找攻击签名（AttackSignature）。所谓攻击签名就是用一种特定的方式来表示已知的攻击方式。,58,基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信，一旦检测到攻击，IDS应答模块通过通知报警以及中断连接等方式，来对攻击作出反应。,59,管理/配置,入侵分析引擎器,网络安全数据库,嗅探器具,嗅探器具,分析结果,基于网络的入侵检测系统模型,2.1基于网络的IDS,60,基于网络的入侵检测系统的主要优点有：成本低攻击者转移证据很困难实时检测和应答，一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此，能够更快地作出反应，从而将入侵活动对系统的破坏减到最低。能够检测未成功的攻击企图操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源，而基于主机的系统需要特定的操作系统，才能发挥作用。,61,攻击模式库,入侵检测器,应急措施,配置系统库,数据采集,安全控制,系统,审计记录/协议数据等,系统操作,简单的入侵检测示意图,2.2基于主机的IDS,62,基于主机的IDS一般监视WindowsNT上的系统事件安全日志，以及UNIX环境中的syslog文件，一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名作比较，以发现它们是否匹配，如果匹配的话，检测系统就向管理员发出入侵报警，并且发出采取相应的行动。基于主机的IDS的主要优势有：(1)非常适用于加密和交换环境(2)接近实时的检测和应答(3)不需要额外的硬件,63,2.3两种入侵检测技术的比较,如果攻击不经过网络，基于网络的IDS无法检测到，只能通过使用基于主机的IDS来检测。基于网络的IDS通过检查所有的包首标header来进行检测，而基于主机的IDS并不查看包首标，许多基于IP的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时的包首标才能识别。基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别，而基于主机的系统无法看到负载，因此，也无法识别嵌入式的负载攻击。,64,2.4两种类型IDS的结合,在新一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。利用最新的可适应网络安全技术和P2DR（PolicyProtectionDetectionResponse）安全模型，可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术从理论的分析方式上，可分为两种相异的分析技术。(1)异常发现技术(2)模式发现技术目前，IDS主要以模式发现技术为主并结合异常发现技术。,65,1入侵检测技术（IDS）概念2IDS的分类3深入了解入侵检测技术4信号分析5snort,66,3信息收集,一个成功的入侵检测系统不但可使系统管理员时刻了解网络系统，包括程序文件和硬件设备等的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是它应该管理配置简单，从而使非专业人员非常容易地获得网络安全，而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变，入侵检测系统在发现入侵后会及时作出响应，包括切断网络连接、记录事件和报警等。,67,入侵检测的第一步是信息收集，收集内容包括系统网络数据及用户活动的状态和行为，而且，需要在计算机网络系统中的若干不同关键点、不同网段和不同主机上收集信息。这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但是从几个信息源的不一致性看来却是可疑行为或入侵的最好标识。,68,入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序库和其它工具，黑客对系统的修改可能使系统功能失常，并看起来跟正常的一样，例如unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件，这就需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。,69,入侵检测利用的信息一般来自以下四个方面：系统和网络日志文件；目录和文件中的不期望的改变；程序执行中的不期望行为；物理形式的入侵信息。,70,1入侵检测技术（IDS）概念2IDS的分类3深入了解入侵检测技术4信号分析5snort,71,4信号分析,对收集到的有关系统网络数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析，其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。,72,4.1模式匹配,特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。其检测方法上与计算机病毒的检测方式类似。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高，但是该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。,73,4.2统计分析,基于统计分析检测主要是通过统计模型对审计事件的数量、间隔时间、资源消耗情况等统计量进行统计,如果出现异常,即报警。统计分析模型操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标根据经验值或一段时间内的统计平均得到。举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击。方差模型：计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；多元模型：操作模型的扩展，通过同时分析多个参数实现检测；马尔柯夫过程模型：将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，统计状态转移概率；当一个事件发生时，状态矩阵的该转移概率较小则可能是异常事件；时间序列分析：将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。,74,4.3完整性分析,完整性分析：主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的被特络伊化的应用程序方面是特别有效的。当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其次，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。,75,安全性从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。问题做一次完整的文件完整性检查是一个非常耗时的工作，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘