Unit入侵响应与IDS的部署课件

1、1入侵响应第1页，共33页。2响应类型被动响应：只记录问题和报告问题主动响应：用自动的或用户指定的方式，阻断攻击过程。第2页，共33页。3主动响应(active response)可分为三类：针对入侵者采取的措施修正系统收集更详细的信息第3页，共33页。4针对入侵者采取的措施追踪攻击的发起地，并采取措施禁用入侵者的机器或网络连接。其危害是：可能会使无辜的受害者遭受到新的损害。攻击方可能假冒IP对目标进行攻击可能挑起更猛烈的攻击反击者可能会成为刑事或民事诉讼的对象。可能会牵涉到法律责任和其它一些实际问题，不应作为通用的主动响应方式。第4页，共33页。5针对入侵者采取的措施（续）正确的方式是：断开

2、与其之间的网络会话，如向攻击方机器法送TCP的RESET包，或发送ICMP Destination Unreachable包，也可控制防火墙或网关去阻拦攻击包发邮件给系统管理员，请求识别并处理问题第5页，共33页。6修正系统修正系统弥补攻击引起的破坏（类似于生物体的免疫系统，可以辨识问题并将引起问题的部分隔离起来）。改变分析引擎的一些参数设置和操作方式添加规则，如提高某类攻击的可疑级别或扩大监控范围，达到在更好的粒度层次上收集信息的目的（类似于利用当前进程结果来调整优化以后的进程）第6页，共33页。7收集更详细的信息可以与专用的服务器（诱骗系统）结合起来，如honey pots, decoys

3、或fishbowls,用来模拟关键系统的文件系统或其他系统特征，引诱攻击者，记录攻击者行为，从而获得关于攻击者的详细信息，作为进一步采取法律措施的依据.Decoy最早出现在1972年Bill Cheswick的论文中（An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied）。第7页，共33页。8被动响应(passive response)为用户提供信息，由用户决定接下来应该采取什么措施。警报和通知警报显示屏（控制台或预定义的其他部件上）警报和警告的远程通报（移动电话或E-mail）SNMP陷阱和插件与网

4、管工具一起协同工作，出现在网管控制台上第8页，共33页。9入侵追踪是主动响应的一部分。给定一系列主机H1,H2,Hn, 当攻击者顺序从H1连接到H2, 称 为一个连接链，追踪的任务就是给定Hn,找出Hn-1,H1的部分或全部。目前的追踪方法主要两类：基于主机的和基于网络的，每种又分为主动式和被动式第9页，共33页。10追踪系统举例被动式主动式基于主机的DIDSCaller IDCIS基于网络的ThumbprintingIDIPTime-basedSWTDeviation-based第10页，共33页。11基于主机的追踪体系被动式追踪DIDSCaller Identification Syste

5、m（CIS）主动式追踪Caller ID问题：必须信任追踪系统中的每个节点；要求大规模地部署，因此在Internet上难以实现。第11页，共33页。12基于网络的追踪体系基于网络本身的特性进行追踪，不要求每个节点的参与，也不基于对每个节点的信任被动式追踪ThumprintTime-basedDeviation-based主动式追踪：涉及信息隐形技术，保密研究第12页，共33页。13联动响应是一种主动响应方式，它是指当IDS检测到需要阻断的入侵行为时，立即迅速启动联动机制，自动通知防火墙或其它安全控制设备对攻击源进行封堵，达到整体安全控制的效果。比如：与防火墙联动，封堵源自外部网络的攻击；与网络

6、管理系统联动，封掉被攻击者利用的网络设备和主机；与操作系统联动，封掉有恶意的用户账号。第13页，共33页。14联动响应举例例1：攻击者A向防火墙内的主机B实施TCP SYN-Flooding攻击。A假冒一个不存在主机C的地址向B发送SYN包，B向C回应SYN-ACK包。但由于C并不存在，所以不会给B发送确认包，那么B上的这个半连接就一直处于等待状态。A连续向B发送SYN包，由于B的连接请求队列长度有限，当这个队列变满后，新的连接请求就无法进来，除非队列中的半连接因超时被复位。IDS对一段时间内的半连接数量进行记录，当单位时间内的TCP半连接数量超过一定阈值，则向防火墙发送命令，重新设置超时时间

7、，即将超时时间设置为更短的t，若在时间t内没有ACK确认包或RST包发给B，则防火墙向B发RST包来复位该半连接。 第14页，共33页。15主动响应存在的问题 IP 地址欺骗和误报警可能引起的错误：既然入侵检测系统有产生误报警的问题，我们就有可能错误地针对一个从未攻击我们的网络节点进行响应。如果攻击者判定我们的系统有自动响应，他可能会利用这一点来针对我们。 如：攻击者可从某公司的合作伙伴/客户/供应商的地址发出虚假攻击，使得防火墙把一个公司与另一个公司隔离开，这样两者之间就有了不能逾越的隔离界限。 第15页，共33页。16入侵响应小结入侵响应应该与安全策略相协调。如在安全防护策略中规以定一怎样

8、的措施来对检测到的入侵行为作出响应。按照措施的时间和紧急程度分为：即时措施：入侵发生时及时措施：入侵被完全检测出来时本地长期措施：处于本地安全的长期考虑全局长期措施：对社会安全状况很重要第16页，共33页。17IDS的部署和应用第17页，共33页。18网络检测器的位置对于主机型IDS，其数据采集部分当然位于其所监测的主机上。基于网络的入侵检测系统需要有检测器才能工作。如果检测器放的位置不正确，入侵检测系统也无法工作在最佳状态。一般说来检测器放在防火墙附近比较好。放在防火墙之外检测器在防火墙内防火墙内外都有检测器检测器的其他位置第18页，共33页。19检测器部署示意图Internet部署二部署三

9、部署四部署一第19页，共33页。20检测器放在边界防火墙之内放置于防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点第20页，共33页。21检测器放在边界防火墙之外放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型第21页，共33页。22检测器放在主要的网络中枢监控大量的网络数据，可提高检测黑客攻击的可能性可通过授权用户的权利边界来发现未授权用户的行为第22页，共33页。23放在安全级别高的子网对非常重要的系统和资源的入侵检测第23页，共3

10、3页。24共享媒介上检测器的部署HUBIDS SensorMonitored ServersConsole第24页，共33页。25交换环境检测器的部署SwitchIDS SensorMonitored ServersConsole通过端口镜像实现（SPAN / Port Monitor）第25页，共33页。26隐蔽模式下检测器的部署SwitchIDS SensorMonitored ServersConsole不设IP第26页，共33页。27基于主机IDS的典型配置防火墙路由器DNS Server被保护的内部网络系统管理控制台第27页，共33页。28基于网络IDS的典型配置DNS Server

11、NIDS控制管理器被保护的内部网络NIDS探测器第28页，共33页。29应用于交换机环境时的问题由于交换机不采用共享媒质的办法，传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有： 1交换机的核心芯片上一般有一个用于调试的端口（span port），任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来，用户可将IDS系统接到此端口上。优点：无需改变IDS体系结构。缺点：采用此端口会降低交换机性能。第29页，共33页。30应用于交换机环境时的问题(续)2把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。优点：可得到几乎所有关键数据。缺点：必须与

12、其他厂商紧密合作，且会降低网络性能。3. 采用分接器（Tap），将其接在所有要监测的线路上。 优点：在不降低网络性能的前提下收集了所需的信息。缺点：必须购买额外的设备(Tap)；若所保护的资源众多，IDS必须配备众多网络接口。4使用具有网络接口检测功能的主机代理。第30页，共33页。31IDS在安全体系结构中的层次第一种观点：检测应该处在和保护基本不交叉的一个独立的层次上，这种类型的IDS容易实现。优点：由于和OS 无关，所以可靠性好缺点：信息不能共享，加重了IDS的负担，理解可能会有误差。第二种观点：检测应该与保护紧密结合。强调与OS的结合，IDS常以内核补丁或驱动程序的形式出现。优点：检测准确缺点：难以实现，运行在内核中，影响系统的效率第31页，共33页。32IDS体系结构应该具有的特征类似于免疫系