1、网络防御技术,网络安全工具的特点,入侵检测技术 防火墙技术 蜜罐技术,入侵检测技术,概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制其它展望,传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,入侵检测基本概念,概述,入侵检测的定义,对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源
2、的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System,1980年 Anderson提出:入侵检测概念,分类方法 1987年 Denning提出了一种通用的入侵检测模型独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS、NetProwler、NetRanger ISS RealSecure,入侵检测起源,入侵检测的起源(1),审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标: 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区
3、提供有效的灾难恢复 阻止系统的不正当使用,入侵检测的起源(2),计算机安全和审计 美国国防部在70年代支持“可信信息系统”的研究,最终审计机制纳入可信计算机系统评估准则(TCSEC)C2级以上系统的要求的一部分 “褐皮书”理解可信系统中的审计指南,入侵检测的起源(3),1980年4月,James P. Anderson :Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念 他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种 还提出了
4、利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作,入侵检测的起源(4),从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统),入侵检测的起源(5),1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS
5、和基于主机的IDS,IDS存在与发展的必然性,一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击,为什么需要IDS,关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部,IDS基本结构,入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程 简单地说,入侵检测系统包括三个功能部件: (1)信息收集 (2)信息分析 (3)结果处理,入侵检测的分类,按照数据来源: 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的
6、运行 混合型,监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录? 如何保护作为攻击目标主机审计子系统?,基于主机,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境? 非共享网络上如何采集数据?,基于网络,两类IDS监测软件,网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,异常入侵检测方法,统计异常检测 基于特征选择异常检测 基于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于模式预测异常检测 基于神经网络异常检测 基于贝叶斯聚类异常
7、检测 基于机器学习异常检测 基于数据挖掘异常检测,入侵检测方法,基于条件概率误用检测 基于专家系统误用检测 基于状态迁移误用检测 基于键盘监控误用检测 基于模型误用检测,误用入侵检测方法,入侵检测系统的设计原理,一个攻击检测实例,老版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell!,简单的匹配,检查每个packet是否包含:“WIZ”| “DEBUG”,检查端口号,缩小匹配范围Port 25:“WIZ”| “DEBUG”,深入决策树,只判断客户端发送部分Port 25:Client-sends: “WIZ” |Cli
8、ent-sends: “DEBUG”,响应策略,弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互 Firewall SNMP Trap,入侵检测响应机制,IDS现状,基于主机和基于网络的入侵检测系统采集、分析的数据不全面 入侵检测由各个检测引擎独立完成,中心管理控制平台并不具备检测入侵的功能,缺乏综合分析 在响应上,除了日志和告警,检测引擎只能通过发送RST包切断网络连接,或向攻击源发送目标不可达信息来实现安全控制,其它,产品,免费 Snort http:/www.snort.org SHADOW http:/www.nswc.navy.mil/ISSEC/C
9、ID/,产品,商业 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I,资源,IDS FAQ http:/ Focus-IDS Mailinglist http:/ Yawl http:/ OldHand http:/www.oldhand.org Sinbad http:/sinbad.dhs.org/doc.html?board=
10、IDS,面临的问题,(1) 随着能力的提高,入侵者会研制更多的攻击工具,以及使用更为复杂精致的攻击手段,对更大范围的目标类型实施攻击; (2) 入侵者采用加密手段传输攻击信息; (3) 日益增长的网络流量导致检测分析难度加大; (4) 缺乏统一的入侵检测术语和概念框架; (5) 不适当的自动响应机制存在着巨大的安全风险; (6) 存在对入侵检测系统自身的攻击; (7) 过高的错报率和误报率,导致很难确定真正的入侵行为; (8) 采用交换方法限制了网络数据的可见性; (9) 高速网络环境导致很难对所有数据进行高效实时分析,展望,防火墙技术,报告内容,基本概念防火墙配置模式防火墙相关技术几个新的方
11、向,基本概念,防火墙定义为什么需要防火墙对防火墙的两大需求防火墙系统四要素防火墙技术的发展过程引入防火墙技术的好处争议及不足,防火墙定义,防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集 合,它满足以下条件: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫,为什么需要防火墙,内部网特点,组成结构复杂 各节点通常自主管理 信任边界复杂,缺乏有效管理 有显著的内外区别 机构有整体的安全需求 最薄弱环节原则,为什么需要防火墙,保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策
12、略,对防火墙的两大需求,保障内部网安全 保证内部网同外部网的连通,防火墙系统四要素,安全策略 内部网 外部网 技术手段,防火墙技术发展过程,20世纪70年代和80年代,多级系统和安全模型吸引了大量的研究 屏蔽路由器、网关 防火墙工具包 商业产品防火墙 新的发展,防火墙技术带来的好处,强化安全策略 有效地记录Internet上的活动 隔离不同网络,限制安全问题扩散 是一个安全策略的检查站,争议及不足,使用不便,认为防火墙给人虚假的安全感 对用户不完全透明,可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据
13、驱动式的攻击 当使用端-端加密时,其作用会受到很大的限制,基本概念防火墙配置模式防火墙相关技术几个新的方向,默认安全策略,没有明确禁止的行为都是允许的 没有明确允许的行为都是禁止的,防火墙体系结构,包过滤路由器 单宿/多宿主机模式 (dual-homed/multi-homed) 屏蔽主机模式 屏蔽子网模式,包过滤路由器,包过滤路由器,最常见的防火墙是放在Internet和内部网络之间的包过滤路由器。 包过滤路由器在网络之间完成数据包转发的普通路由功能,并利用包过滤规则来允许或拒绝数据包。 一般情况下,是这样来定义过滤规则的:内部网络上的主机可以直接访问Internet,Internet上的主
14、机对内部网络上的主机进行访问是有限制的。 这种类型的防火墙系统的默认安全策略是对没有特别允许的外部数据包都拒绝。,工作原理,包过滤路由器对所接收的每个数据包做允许拒绝的决定。 路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。 如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。 如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。,包过滤路由器,尽管这种防火墙系统有价格低和易于使用的优点,但同时也有缺点,如配置不当的路由器可能受到攻击,以及利用将攻击包裹在允许服务和系统内进行攻击等。 由于允许在内
15、部和外部系统之间直接交换数据包,那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证,并且网络管理员要不断地检查网络以确定网络是否受到攻击。 另外,如果有一个包过滤路由器被渗透,内部网络上的所有系统都可能会受到损害。,单宿主机模式,堡垒主机,内部网,外 部 网 络,最少服务 最小特权,堡垒主机(Bastion host),一个应用层网关常常被称做“堡垒主机”(Bastion Host)。因为它是一个专门的系统,有特殊的装备,并能抵御攻击。,堡垒主机(Bastion host)安全特性,堡垒主机的硬件执行一个安全版本的操作
16、系统。例如,如果堡垒主机是一个UNIX平台,那么它执行UNIX操作系统的安全版本,其经过了特殊的设计,避免了操作系统的脆弱点,保证防火墙的完整性。 只有网络管理员认为必需的服务才能安装在堡垒主机上。原因是如果一个服务没有安装,它就不能受到攻击。一般来说,在堡垒主机上安装有限的代理服务,如Telnet,DNS,FTP,SMTP以及用户认证等。 用户在访问代理服务之前堡垒主机可能要求附加认证。比如说,堡垒主机是一个安装严格认证的理想位置。在这里,智能卡认证机制产生一个唯一的访问代码。另外每种代理可能在授予用户访问权之前进行其自己的授权。,堡垒主机(Bastion host)安全特性,对代理进行配置
17、,使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令,那么很简单,被认证的用户没有使用该命令的权限。 对代理进行配置,使得其只允许对特定主机的访问。这表明,有限的命令/功能只能施用于内部网络上有限数量的主机。 每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审计信息。审计记录是发现和终止入侵者攻击的一个基本工具。 每个代理都是一个简短的程序,专门为网络安全目的而设计。因此可以对代理应用的源程序代码进行检查,以确定其是否有纰漏和安全上的漏洞。比如说,典型的UNIX邮件应用可能包括20,000行代码,而邮件代理只有不到1,000行的程序。,堡垒主机(
18、Bastion host)安全特性,在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题,或在将来发现脆弱性,只需简单的卸出,不会影响其它代理的工作。并且,如果一些用户要求支持新的应用,网络管理员可以轻而易举的在堡垒主机上安装所需应用。 代理除了读取初始化配置文件之外,一般不进行磁盘操作。这使得入侵者很难在堡垒主机上安装特洛伊马程序或其它的危险文件。 每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。,实例:Telnet Proxy,实例:Telnet Proxy,Telnet代理永远不会允许远地用户注册到内部服务器或直接访问内部服务器。 外部的客户Te
19、lnet到堡垒主机,其用一次性口令技术认证该用户。在经过认证之后,外部的客户获得了Telnet代理用户接口的访问权。 这个Telnet代理只允许部分Telnet命令可以使用,并决定了内部的哪些主机可以提供给Telnet来访问。 外部客户指定目标主机,然后Telnet代理建立一个其自己到内部服务器的连接,并替外部客户转发命令。 外部客户认为Telnet代理是一个真正的内部服务器,而内部服务器也把Telnet代理看作是外部客户。,多宿主机模式,多宿主机模式,用双(多)宿堡垒主机可以构造更加安全的防火墙系统 双(多)宿堡垒主机有两(多)个网络接口,但是主机在两个端口之间直接转发信息的功能被关掉了 这
20、种物理结构强行将让所有去往内部网络的信息经过堡垒主机,并且在外部用户被授予直接访问信息服务器的权利时,提供附加的安全性。,屏蔽子网模式(DMZ),DMZ,采用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统。 在定义了“非军事区”(DMZ)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机,信息服务器,Modem组,以及其它公用服务器放在DMZ网络中。 DMZ网络很小,处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。,DMZ,对于进
21、来的信息,外面的这个路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(还可能有信息服务器)。 里面的这个路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理DMZ到内部网络的访问。,DMZ,对于去往Internet的数据包,里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机(还可能有信息服务器)。 外面的路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。,DMZ优点,入侵者必须突破3个不同的设备(无法探测)才能侵袭内部网络:外部路由器,堡垒主机,
22、还有内部路由器。 由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相连。这样网络管理员就可以保证内部网络是“不可见”的,并且只有在DMZ网络上选定的系统才对Internet开放(通过路由表和DNS信息交换)。 由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。,DMZ优点,包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要。 内部路由器在作为内部网络和Internet之间最后的防火
23、墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量。 由于DMZ网络是一个与内部网络不同的网络,NAT(网络地址变换)可以安装在堡垒主机上,从而避免在内部网络上重新编址或重新划分子网。,基本概念防火墙配置模式防火墙相关技术几个新的方向,防火墙相关技术,静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 网络地址翻译 虚拟专用网,静态包过滤,根据流经该设备的数据包地址信息,决定是否允许该数据包通过判断依据有(只考虑IP包): 数据包协议类型:TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口:FTP、HTTP、DNS等 IP选项:源路由、记录路由等 TCP选项:SY
24、N、ACK、FIN、RST等 其它协议选项:ICMP ECHO、ICMP ECHO REPLY等 数据包流向:in或out 数据包流经网络接口:eth0、eth1,动态包过滤,Check point一项称为“Stateful Inspection”的技术可动态生成/删除规则分析高层协议,包过滤技术的一些实现,商业版防火墙产品 个人防火墙 路由器 Open Source Software Ipfilter (FreeBSD、OpenBSD、Solaris,) Ipfw (FreeBSD) Ipchains (Linux 2.0.x/2.2.x) Iptables (Linux 2.4.x),代理
25、技术,应用层网关 电路层网关,代理工作方式,应用程序网关(代理服务器),客,户,网,关,服务器,网关理解应用协议,可以实施更细粒度的访问控制 对每一类应用,都需要一个专门的代理 灵活性不够,电路级网关,拓扑结构同应用程序网关相同 接收客户端连接请求,代理客户端完成网络连接 在客户和服务器间中转数据 通用性强 电路层网关简单地中继网络连接,并不做任何审查,过滤或Telnet协议管理。电路层网关就向电线一样,只是在内部连接和外部连接之间来回拷贝字节。但是由于连接似乎是起源于防火墙,其隐藏了受保护网络的有关信息。,电路级网关实现方式,简单重定向 根据客户的地址及所请求端口,将该连接重定向到指定的服务
26、器地址及端口上 对客户端应用完全透明在转发前同客户端交换连接信息 需对客户端应用作适当修改 Sockify,网络地址翻译(NAT),目的 解决IP地址空间不足问题 向外界隐藏内部网结构方式 M-1:多个内部网地址翻译到1个IP地址 1-1:简单的地址翻译 M-N:多个内部网地址翻译到N个IP地址池,虚拟专用网(VPN),各级网络安全技术,报告内容,基本概念防火墙配置模式防火墙相关技术几个新的方向,关于防火墙技术的一些观点,防火墙技术是一项已成熟的技术目前更需要的是提高性能,尤其是将它集成到更大的安全环境中去时: 用户界面和管理 互操作性 标准化当然其他方面的改进也是存在的,蜜罐技术介绍,蜜罐技
27、术的提出,要解决什么问题?,网络攻防的不对称博弈,工作量不对称 攻击方:夜深人静, 攻其弱点 防守方:24*7*365, 全面防护 信息不对称 攻击方:通过网络扫描、探测、踩点对攻击目标全面了解 防守方:对攻击方一无所知 后果不对称 攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损,蜜罐技术的提出,扭转工作量不对称 增加攻击代价假目标 扭转信息不对称了解你的敌人! 他们是谁? 他们使用什么工具?如何操作? 为什么攻击你? 扭转后果不对称 防守方不受影响损失 计算机取证对攻击方的威慑,蜜罐技术,什么是蜜罐?,蜜罐的概念,Honeypot: 首次出现在Cliff Stoll的小说“
28、The Cuckoos Egg”(1990) 蜜网项目组给出如下定义: “A security resource whos value lies in being probed, attacked or compromised” 没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击,蜜罐技术的发展历史,被攻陷的真实主机 (1990 ) An Evening with Berferd 虚拟蜜罐工具 (1997 ) 模拟网络服务,虚拟系统 Fred Cohen: DTK 被监控的真实系统 (2000 ) 更多的数据捕获、分析、控制工具 在一个蜜网的框架中
29、 蜜网项目组: Gen II蜜网,蜜罐的分类,部署目标 产品型 研究型 交互性:攻击者在蜜罐中活动的交互性级别 低交互型 高交互型,产品型蜜罐,部署目标: 保护单位网络 防御 检测 帮助对攻击的响应 需要网管尽可能少的工作 商业产品 KFSensor, Specter, ManTrap,研究型蜜罐,部署目标:对黑客攻击进行捕获和分析 这些“坏家伙”在干什么 了解攻击方法 捕获他们的键击记录 捕获他们的攻击工具 监控他们的会话 需要大量时间和精力投入! 实例:Gen II蜜网, Honeyd,低交互型蜜罐,模拟服务和操作系统 只能捕获少量信息 容易部署,减少风险实例:Specter, KFSen
30、sor, and Honeyd.,高交互型蜜罐,提供真实的操作系统和服务,而不是模拟 可以捕获更丰富的信息 部署复杂,高安全风险实例:ManTrap, Gen II蜜网,蜜罐技术优势,高保真高质量的小数据集 很小的误报率 很小的漏报率 捕获新的攻击及战术 并不是资源密集型 简单,蜜罐技术弱势,劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险,蜜罐工具实例,DTK Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception. Honeyd A virtual honeypot fram
31、ework Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.,DTK,用户:普通互联网用户 目标 在几分钟内部署一系列的陷阱 显著提高攻击代价,同时降低防御代价 欺骗自动攻击程序,使其无效,从物理蜜罐到DTK,Honeyd,可以模拟任意TCP/UDP网络服务 IIS, Telnet, pop3 支持同时模拟多个IP地址主机 经过测试,最多同时支持65535个IP地址 支持ICMP 对ping和traceroute做出响应 通过代理和重定向支持对实际主机、网络服务的整合 add windows tcp port 23 proxy “16
32、2.105.204.159 23” UI用户界面(v1.0),Honeyd监控未使用IP地址,个性化引擎,为什么需要个性化引擎? 不同的操作系统有不同的网络协议栈行为 攻击者通常会运行指纹识别工具,如Xprobe和Nmap获得目标系统的进一步信息 个性化引擎使得虚拟蜜罐看起来像真实的目标 每个由Honeyd产生的包都通过个性化引擎 引入操作系统特定的指纹,让Nmap/Xprobe进行识别 使用Nmap指纹库作为TCP/UDP连接的参考 使用Xprobe指纹库作为ICMP包的参考,路由拓扑结构,Honeyd支持创建任意的网络拓扑结构 对路由树的模拟 配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路径 扩展 将物理主机融合入模拟的网络拓扑 通过GRE隧道模式支持分布式部署,
