入侵檢測系統IDS的地位正在逐漸增加,有效實施IDS,才能敏銳地察覺攻擊者的侵犯行爲,本文對IDS的概念、行爲及策略等方面內容以問答形式進行全面介紹……
在網絡安全領域,隨着黑客應用技術的不斷“傻瓜化”,入侵檢測系統IDS的地位正在逐漸增加。一個網絡中,只有有效實施了IDS,才能敏銳地察覺攻擊者的侵犯行爲,才能防患於未然!本文對IDS的概念、行爲及策略等方面內容以問答形式進行全面介紹,期望幫助管理者更快和更好地使用IDS。
問:入侵有哪些方式?
1、探測
探測方式有很多,包括ping掃描、探測操作系統類別、系統及應用軟件的弱帳號掃描、偵探電子郵件、TCP/UDP端口掃描、探測Web服務器CGI漏洞等。
2、漏洞利用
指入侵者利用系統的隱藏功能或漏洞嘗試取得系統控制權。主要包括:
CGI漏洞:編寫CGI程序需要考慮得非常完善才有可能避免安全威脅。入侵者經常要嘗試訪問系統中的一些具有知名漏洞的CGI程序,以期尋找到突破口。這些CGI程序有:TextCounter、GuestBook、EWS、info2www、Count.cgi、handler、webdist.cgi、php.cgi、files.pl、nph-test-cgi、nph-publish、AnyForm、FormMail。如果我們沒有使用這些文件卻發現有人正在頻繁地訪問其中之一,就可以清楚地斷明一個入侵行爲正在進行了。
Web服務器漏洞:比如文件名中包含一系列“../”字符串從而可以訪問系統中的任意文件;URL路徑後添加上“::$DATA”就可以查看腳本源代碼。
Web瀏覽器漏洞:這方面的漏洞涉及面同樣很廣,衝浪者絕不能掉以輕心。比如可能導致緩衝區溢出或執行.LNK命令的URL、畸形的HTTP header內容、MIME類型溢出(例如Netscape瀏覽器的命令)、總是有漏可乘的javascript腳本(例如利用文件上傳功能創建後門程序)、偶爾犯些錯誤的Java代碼以及現在更爲厲害、更爲猖獗的ActiveX組件。
STMP漏洞:比如利用緩衝區溢出攻擊STMP、使用VRFY命令搜索用戶名稱。
IMAP漏洞:IMAP即Internet信息控制協議(Internet Message Access Protocol),是指從郵件服務器上獲取Email信息或直接收取郵件的協議。傳統的POP3收信過程中,用戶無法得知郵件的具體信息,只有在郵件全部下載到硬盤後,才能慢慢地瀏覽或刪除,用戶幾乎沒有對郵件的控制決定權。IMAP解決的就是這個問題。但是許多流行的IMAP服務器都存在重大漏洞。
IP地址欺騙:由於路由選擇不需要判斷來源地址,因此入侵者就可將IP數據包的來源地址替換爲僞造地址以期隱藏其攻擊地點。而且,由於是僞造的來源地址,入侵者也不會接收到目標機器的返回通訊信息,真正做到了“攻不還手”。
緩衝區溢出:除了前面提及的緩衝區溢出種類外,還有DNS溢出(超長DNS名字發送給服務器)、statd溢出(超長文件名)。
3、DoS或DDoS(拒絕服務攻擊或分佈式拒絕服務攻擊)
這種攻擊是真正的“損人不利己”,不需要別人的數據,只想等別人出錯看熱鬧。這種攻擊行爲越來越多,是不是因爲這種人也越來越 ...... 常見的DoS有死亡之Ping、SYN湮沒、Land攻擊。
問:NIDS檢測到一個入侵行爲後做什麼?
當發現一個入侵行爲後,NIDS系統將採取諸多有力措施對付攻擊,這主要包括:
* 重新配置防火牆禁止入侵者IP地址進入
* 播放一段.WAV音樂提醒管理者
* 發送SNMP TRAP信息包到管理控制檯
* 將事件記錄到系統日誌文件中
* 給管理員發送電子郵件通知入侵正在發生
* 以尋呼方式(BP機)告知管理員
* 保存攻擊信息,如攻擊時間、入侵者IP地址、受害者IP地址及端口、協議信息、相關數據包
* 啓動特殊程序處理入侵事件
* 僞造TCP FIN信息包強制結束連接,避免悲劇繼續上演
問:除了IDS外,還有什麼入侵對策?
1、防火牆
有種觀點說:防火牆是安全護衛的第一道防線,只要突破它,入侵者將隨意馳騁被突破的網絡。但是更好的說法應該是:防火牆是安全護衛的最後一道防線,在正確配置機器及良好運行入侵檢測系統的前提下,用防火牆來避免script kiddies的幼稚和簡單的攻擊。有兩點要注意:一是現在的許多路由器都可以配置成防火牆的過濾功能;二是防火牆通常只能抵抗外部攻擊,對於內部破壞則顯得力不從心。
2、口令驗證系統
保證口令驗證系統的穩固性是另外一個要採取的措施。或者採用系統內置的口令驗證策略,比如Win2K的Kerberos驗證,或者考慮購買單獨產品以整合進增強的口令系統,比如RADIUS(遠程認定撥號用戶服務)或TACACS(TACACS是用於UNIX系統上有歷史的認證協議,它使遠程訪問服務器將用戶的登錄信息發送到認證服務器以確定用戶是否可以訪問給定系統)。這些驗證系統都有助於消除Telnet、ftp、IMAP或POP等協議帶來的明文口令問題。
3、虛擬專用網VPN
VPN通過Internet爲遠程訪問創建安全的連接管道環境,其中使用的主要協議有PPTP和Ipsec。PPTP即PPP over TCP,使用它就可以爲一臺機器分配2個IP地址,一個用於Internet,另一個用於虛擬網。Ipsec是Win2K系統的新協議,它提高了傳統IP協議的安全性。然而VPN也有其明顯的弱點,雖然管道本身經過驗證和加密處理是安全的,但是管道的兩端卻是開放的,這就可能造成入侵者從一個被安裝了後門的家庭用戶機器上大搖大擺地遛進安全管道、不被檢查地訪問內部網。
4、加密系統
隨着個人隱私權的不斷被重視,加密系統現在越來越“時髦”了。加密郵件可以使用PGP(Pretty Good Privacy)和SMIME(加密專用多用途Internet郵件擴展),加密文件也可以使用PGP,加密文件系統可以使用BestCrypt或者還是PGP。
問:IDS系統應該安放到網絡的什麼部位?
1、網絡主機
在非混雜模式網絡中,可以將NIDS系統安裝在主機上,從而監測位於同一交換機上的機器間是否存在攻擊現象。
2、網絡邊界
IDS非常適合於安裝在網絡邊界處,例如防火牆的兩端、撥號服務器附近以及到其他網絡的連接處。由於這些位置的帶寬都不很高,所以IDS系統可以跟上通訊流的速度。
3、廣域網中樞
由於經常發生從偏僻地帶攻擊廣域網核心位置的案件以及廣域網的帶寬通常不很高,在廣域網的骨幹地段安裝IDS系統也顯得日益重要。
4、服務器羣
服務器種類不同,通訊速度也不同。對於流量速度不是很高的應用服務器,安裝IDS是非常好的選擇;對於流量速度快但又特別重要的服務器,可以考慮安裝專用IDS系統進行監測。
5、局域網中樞
IDS系統通常都不能很好地應用於局域網,因爲它的帶寬很高,IDS很難追上狂奔的數據流、不能完成重新構造數據包的工作。如果必須使用,那麼就不能對IDS的性能要求太高,一般達到檢測簡單攻擊的目的就應該心滿意足。
問:IDS如何與網絡中的其他安全措施相配合?
1、建立不斷完善的安全策略。這一點異常重要!誰負責幹什麼?發生了入侵事件後怎麼幹?有了這些,就有了正確行動的指南。
2、根據不同的安全要求,合理放置防火牆。例如,放在內部網和外部網之間、放在服務器和客戶端之間、放在公司網絡和合作伙伴網絡之間。
3、使用網絡漏洞掃描器檢查防火牆的漏洞。
4、使用主機策略掃描器確保服務器等關鍵設備的最大安全性,比如看看它們是否已經打了最新補丁。
5、使用NIDS系統和其他數據包嗅探軟件查看網絡上是否有“黑”流涌動。
6、使用基於主機的IDS系統和病毒掃描軟件對成功的入侵行爲作標記。
7、使用網絡管理平臺爲可疑活動設置報警。最起碼的,所有的SNMP設備都應該能夠發送“驗證失敗”的trap信息,然後由管理控制檯向管理員報警。
問:如何檢測網絡上有人在使用NIDS系統?
NIDS系統實際上就是一個嗅探器(sniffer),因此,任何標準的嗅探器檢測工具都可用於發現它的存在。這些工具有:
1、AntiSniff
2、neped
3、Sentinel
4、ifstatus
問:如何提高WinNT/Win2K系統的入侵保護程度?
關於這個問題已經有許多諸葛亮出過謀劃過策,在此我將選擇重點並按考慮順序列舉如下:
1、下載並安裝最新的SP和hotfix。
2、安裝時文件系統選擇NTFS格式,並且每個磁盤都使用NTFS(不要啓動盤是FAT,其他盤是NTFS)。NTFS不僅僅可以實現對單個文件和單個目錄的權限設置,還可以對它們進行審計。
3、創建一個新的管理員帳號,將administrator的功能限制到最小以設置陷阱,觀察是否有人試圖盜用其權限;禁止guest帳號或者將guest帳號改名並創建一個新的guest帳號,目的同樣是監測是否有人試圖使用它入侵系統。
4、去掉對%systemroot%/system32目錄的默認權限:Everyone/寫。
5、啓動REGEDT32程序打開“HKEY_LOCAL_MACHINESecurity”項,以檢測遠程註冊表瀏覽行爲。
6、安裝系統時默認目錄不要選擇“c:winnt”,讓入侵者費些心思猜測系統文件的位置。還有一個更好的方法是:首先安裝在c:winnt目錄下,然後重新安裝系統到其他目錄,並且對c:winnt目錄添加審計功能,這樣就可以監測是否有人想訪問c:winnt目錄了。正所謂真真假假、假假真真,你在不斷窺視、我設陷阱無數。
7、啓動分區只存放系統文件,數據和應用程序放到其他分區,甚至將數據和應用程序也分區存放。總之,隔離是避免“火燒聯營”的最好方法。
8、屏幕保護使用“Blank Screen”且設置密碼保護,這樣既達到安全目的也節省服務器處理資源。注意,如果使用來歷不明的屏幕保護方案,要小心它可能就是一個後門程序。
9、啓動REGEDT32程序,修改AutoSharexxx參數關閉系統默認的自動共享目錄,例如ADMIN$、C$、D$等等。對於WinNT,這個參數的位置是:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServer
ParametersAutoShareServer
對於WinNT Workstation,位置是:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServer
ParametersAutoShareWks
10、禁止匿名訪問帳號,方法是設置下列項目的值爲1:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA
RestrictAnonymous
11、對於域控制器,將“從網絡訪問計算機”的權限分配給授權用戶而不是默認Everyone,這樣就禁止了使用機器的本地帳號進行遠程訪問的可能,只允許通過域帳號進行訪問。
12、爲管理員帳號設置遠程訪問的帳號鎖定策略,使入侵者猜測其口令失敗限定次數後自動被鎖。當然,我們還是可以在本地使用管理員帳號進入系統的。爲了更加安全,也可以完全禁止遠程使用管理員帳號,方法是將管理員帳號從“從網絡訪問計算機”的權限中去除掉。
問:如何提高Win9X系統的入侵保護程度?
保護措施象攻擊手段一樣多,在此列出我認爲最重要的也是最基本的3條:
1、安裝最新的補丁程序。
2、關閉打印機共享PRINTER$。打印機共享後,遠程用戶就可以訪問到被共享機器的system32目錄下的打印機驅動程序。但是由於系統bug的存在,其他系統文件就有了被竊取的可能,例如密碼文件。
3、關閉文件共享。如果是家庭用戶,通常根本不需要共享文件。如果非共享不可,必須添加上共享口令並且只在需要共享的時刻共享,貢獻完自己的東東後立即關閉。
問:企業網的安全響應組織都應該包括哪些人員?
人從來都是第一位重要的!建立安全響應組織的目的就是確定:當安全事件發生時,用戶該尋求誰的幫助、他又應該做什麼?由於安全問題涉及到每一個方面,因此這個組織的成員也應該來自五湖四海,保護企業各個部門甚至社會力量。通常,安全響應組織的人員包括:
1、上級主管
負責處理重大安全問題。比如對於一個正在遭受攻擊的電子商務的站點,決斷是否立即斷開網絡以免發生更大的損失。
2、人力資源主管
因爲許多攻擊都來自內部,所以一旦發現自家人搗亂,可以立即請人事部的同志找他談談心。
3、技術小組
負責對安全事件進行整理和分析,制定對策數據庫,指導實施人員正確操作。
4、實施人員
真正的救火隊員,哪裏發生火災,就出現在哪裏!
5、外部資源
有些破壞行爲罪大惡極、危害嚴重,自家人已經管不了了,這時就要靠有關的社會力量支援,比如ISP、公安部門等。一來他們的威懾力大,二來他們的政策權威。
問:如果有人說他們被來自我方站點的地址入侵了,該怎麼辦?
請假想這樣一個情形:有人發給你一封Email,有鼻子有眼地說他遭受到了你方地址的入侵,並粘貼來一段日誌信息類似如下:
Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from xx.xx.xx.xx
最後禮貌地說他們對此非常重視,希望你方認真調查。
在網絡時代,這種情況將越來越多。作爲管理者,當接收到這類狀紙後,首要的任務就是冷靜下來仔細地分析來信的真假以及證據的真假,從而決定採取的行爲方式。通常情況下,可以考慮以下幾個方面的可能:
1、首先儘可能地確定證據(日誌信息)是何種軟件的產物、可能發生了什麼樣的攻擊行爲。在這個例子中,日誌信息可能來自於tcpwrappers,一個增強UNIX系統服務的登錄及訪問控制的軟件;信息還表明這只是一個探測行爲而非攻擊活動。對這些信息瞭解得越多,就越可能描繪出罪犯的“長相”,好像警察爲將逮捕罪犯描圖一樣。
2、然後從好的方面設想一下這個行爲:可能是有人在敲入“telnet xx.xx.xx.xx”時錯打了IP地址;可能是想敲入“telnet xx.xx.xx.xx 25”連接一個STMP服務器但卻錯打成“telnet xx.xx.xx.xx 23”等等。就象是美國的法律,發生了案件,先假設被告無罪再尋找證據證明有罪。
3、接着從壞的方面設想這個行爲:可能是你方網絡已被攻陷,入侵者從受害機器上執行了掃描工作;你方網絡中的一名僱員確實執行了掃描工作。這好像與臺灣的法律相似,發生了案件,先假設被告有罪再找證據證明無罪。
4、另外,還有一個經常忽視但也絕對有可能的情況是:來信人可能就是一個入侵者!怎麼說呢?通過觀察你對來信的重視程度、響應速度以及可能提供的相關資料,比如管理員的IP地址、郵件信息等等,入侵者就可能推測到你方的網絡架構是否安全、應急措施是否得當以及得到相關攻擊信息。一般來說,這歸類於社會工程的問題。要小心了,喊捉賊的可能就是賊!
問:怎麼蒐集入侵者的攻擊證據?
這是一個非常有趣而且困難的課題,道高一尺、魔高一丈,精明的入侵者通常也是優秀的跳板選手和魔術大師,他們總是藉助其他人的機器或者使用欺騙IP地址來完成他們的規定動作-攻擊!但是,他攻他的,我防我的,我認爲至少有以下2類有效方法可以採取:
1、在關鍵位置安裝數據包嗅探器捕獲經由的通訊數據以備分析。試一試這種方法吧,你會驚奇地叫道:天啊,我的網絡每日裏竟然有這麼多的掃描數據包在跳舞!
2、儘可能地爲開放的每個系統安裝審計和日誌功能,當入侵發生時,這將是最好的犯罪現場映照。