1、09年04月,IPS基础知识,一个真实的蠕虫攻击过程,A,B,C,攻击机,扫描,发现目标机 向目标机发送溢出报文,控制目标机 获取目标机控制权 目标机发攻击,主要内容,IPS/IDS发展IPS功能和核心技术IPS选择IPS部署,IPS/IDS产品定义,IDS定义:Intrusion Detection System,入侵检测系统 IDS的两个关键特征:实现应用层威胁识别,提供对网络数据的“监视”功能旁路部署,与防火墙配合实现安全防范IPS定义:Intrusion Prevention System,入侵防御系统 IPS的两个关键特征:深入七层的数据流攻击特征检测(可检测蠕虫、基于Web的攻击、
2、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等)在线部署,实时阻断攻击,网络层次越高 资产价值越大,L5-L7: 应用层,L4: 传输层,L3: 网络层,L2: 链路层,L1: 物理层,路由器,防火墙,TCP/IP协议栈,网络接口,操作系统,Web服务架构,Web应用架构,应用,风险越高 越迫切需要 被保护,应用层数据,会话标识,HTTP请求/响应,TCP连接,IP报文,以太网报文,二进制比特流,网线,IPS/IDS产品定位,IPS/IDS技术发展历程,1987,1988,1990,1995,Denning在博士论文中提出了一个抽象的入侵检测专家系统模型,第一次提出把入侵
3、检测作为解决计算机系统安全问题的手段,Morris蠕虫事件使得Internet约5天无法正常使用,该事件导致了许多IDS系统的开发研制。美国军方、美国国家计算机安全中心均开发了主机型IDS。,1990年,Heberlein提出基于网络的IDS:NSM(网络安全监视),用来检测所监视的广域网的网络流量中的可疑行为。,IDS从尝试性、研究性,开始走向市场化。,2003,2000,1998,IPS在国外成为入侵防御产品的主流,美国军方等均使用IPS。国际著名咨询机构Gartner副总裁Richard Stiennon发表:IDS is dead。,美国安全厂商(非IDS厂商)提出IPS概念,并发布I
4、PS产品。随后,国外安全厂商纷纷推出IPS。,Martin Roesch 发布了开源IDS:Snort。,2007,中国银行、证券、农信等金融机构纷纷开始部署IPS设备,在网络环境中, FW、IPS一前一后部署,形成纵深的立体防御。,IPS与防火墙的比较,由于IDS与生俱来的缺陷,IPS必将全面取代IDS。 DPtech IPS2000可以同时支持IPS/IDS。,IPS与IDS的比较,入侵保护系统IPS,入侵检测系统IDS,IDS,IPS,IPS与IDS产品对比图示,IPS是当前应用安全发展趋势,反客为主,被动防御变为主动防御,效果显著,轻松解决安全问题,范围扩大,不仅关注外部的黑客, 也关
5、注内部的员工应用,深层安全,攻击、病毒、木马界限趋于 模糊,已经融为一体,需要综合防护,IDS向IPS发展成为必然!,主要内容,IPS/IDS发展IPS功能和核心技术IPS选择IPS部署,A,B,C,攻击机,目标网络,IPS对攻击案例的防范,IPS基本功能,高可靠性 在线部署无故障,管理功能 安全策略 攻击事件管理等,业务功能 入侵检测和防护 病毒防护 带宽管理,业务功能:入侵检测和防护,检测方法,基于攻击工具、或漏洞利用的特征进行检测。 基于协议交互的异常进行检测。 基于流量统计的异常进行检测。 其他检测方法:各种事件智能关联分析、主动扫描检测、网络行为自学习、流量基线自学习、模糊检测、蜜罐
6、法、抽样检测、反向认证。,报文处理方式,报文正规化。 IP重组。 TCP流恢复。 TCP会话状态跟踪。 协议解码。 基于应用层协议的状态跟踪 专有硬件加速。 可信报文处理。 加密报文处理。,威胁的识别和检测是IPS最基本功能, 目标:零漏报、零误报、检测未知网络攻击和未知网络滥用,业务功能:DDoS 防御能力,DNS/SMTP/WWW,多种机制综合实现DDoS攻击防御 通过Syn Cookie机制防范Syn Flood攻击。 通过限制单个源地址的每秒连接数来防范CPS Flood攻击。 通过流量阈值模型、反向认证等方式来防范UDP Flood、ICMP Flood、HTTP Get Flood
7、、DNS Flood等DDoS攻击 通过特征检测防范常用DDoS攻击工具,业务功能:针对Web应用的安全防范,防范利用Web应用的OS、Web服务、PHP/ASP、数据库等软件系统漏洞的攻击 防范利用Web页面程序数据库查询漏洞的SQL注入攻击 防范利用Web页面程序HTML输入漏洞的XSS攻击 防范对Web网站的大流量DDoS攻击,业务功能:防病毒功能,HTTP, FTP,Web Browsing,内部网络,DPtech IPS,防火墙,防病毒功能:支持对HTTP、FTP、SMTP和POP3协议识别,并对协议的负载进行病毒检测提供专业的病毒样本特征和及时升级服务提供允许、阻断、重定向等灵活的
8、防病毒策略,满足各种用户的需要,P2P,IM,网游,完全阻断,精确检测和控制BT、电驴、QQ、MSN、PPLive等近百种P2P/IM应用可针对网络游戏、炒股软件等应用进行精确识别和控制提供丰富的控制手段,满足管理的个性化需求,业务功能:检测并限制网络滥用,IPS特征库,安全团队持续对安全攻防和安全热点的跟踪研究。 以较高的频率根据研究结果定期开发出IPS特征库。 IPS特征库发布制度和自动分发机制。 定期发布相关的安全公告。 兼容权威漏洞库。,其他IPS相关的服务,IPS部署管理服务,以使用户在特定的网络环境中获得最佳的设备功能和性能。 IPS产品相关的认证培训。 风险评估、安全咨询、与IP
9、S相关的安全解决方案。 应急响应、追踪攻击源。,如何保障对最新威胁的防护,是IPS产品的核心竞争力 目标:防范零日攻击或未知攻击、切实帮用户解决问题,业务功能:持续的升级服务能力,管理功能:策略和事件管理,安全策略管理,出厂缺省安全策略。 安全策略定制。 逻辑IPS单元的定义。 安全策略下发到特定的逻辑IPS单元。 特征规则的详细描述。 特征库的手动、自动升级机制 特征规则分类方式。 自定义特征规则。 典型安全策略模板。,攻击事件管理,攻击事件的存储策略。 攻击事件查询。 攻击事件备份、导出等。 攻击事件与特征规则的关联 攻击事件统计分析、图形化报表。 内置报表类型。 自定义报表类型。 报表导
10、出格式。 报表的自动化定时生成。,IPS最终使用,需要产品易用性和可审计性强 目标:安全策略定制简单、攻击事件呈现直观,热插拨,双电源支持 支持二层回退功能,内置的高可用性(二层回退),借助于掉电保护模块,可保证IPS掉电时,网络依然畅通。 内置掉电保护模块(内置优势:微秒级切换时间),掉电保护模块 PFC(Power Free Connector),检测引擎,正常模式,检测引擎,二层交换模式,PFC主机,网络流量,USB供电,DPtech IPS,交换机,交换机,高可靠性:二层回退和掉电保护,主要内容,IPS/IDS发展IPS功能和核心技术IPS选择IPS部署,IPS选择的“五指”理论,IP
11、S选择的“五指”理论,IPS选择的3种指标: 1.整机吞吐量:指IPS在安全检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量IPS对报文的处理能力。 2.误报率和漏报率:对应用层协议和各种漏洞的识别指标,误报率是将合法报文错误判断为攻击比例,漏报率是没有攻击报文比例。 3.特征库服务升级频率:对最新协议和漏洞的及时支持,保障设备可以对威胁的阻断。,主要内容,IPS/IDS发展IPS功能和核心技术IPS选择IPS部署,IPS组网的理论,信息资产分析 和风险评估,网络拓扑分析,IPS的部署位置、IPS的安全策略,安全等级,安全域,与其说IPS组网,不如 说找到IPS的部署位
12、置,研发,财经,市场,DMZ区,SMTP,POP3,WEB,ERP,OA,CRM,数据中心,IPS部署在Internet边界,放在防火墙后面,可以 抵御来自Internet的针对DMZ区服务器的应用层攻击 来自Internet的DDoS攻击,IPS部署在数据中心: 抵御来自内网攻击,保护核心服务器和核心数据 提供虚拟软件补丁服务,保证服务器最大正常运行时间,IPS部署在内部局域网段之间,可以 抑制内网恶意流量,如间谍软件、蠕虫病毒等等的泛滥和传播 抵御内网攻击,分支机构,分支机构,分支机构,IPS部署在广域网边界: 抵御来自分支机构攻击 保护广域网线路带宽,IPS部署在外网Internet边界,放在防火墙前面,可以 保护防火墙等网络基础设施 对Internet出口带宽进行精细控制,防止带宽滥用,IPS Anywhere,IPS组网的理论模型:企业网,IPS组网的理论模型:运营商,数据中心核心层,汇聚层,接入层,WEB Server,APP Server,DB Server,服务器层,IPS,IPS,IPS组网的理论模型:数据中心,FW,FW,
