Scribd Logo
Upload

Welcome to Scribd!

  • 一. IDS、IPS、IDP 的名词解释: IDS:入侵侦测系统 (Intrusion Detection System)

    Uploaded by

    geempire
    23 views8 pages

    Original Title

    2006 6 25 22:29

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    23 views8 pages

    一. IDS、IPS、IDP 的名词解释: IDS:入侵侦测系统 (Intrusion Detection System)

    Uploaded by

    geempire

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 8

    2006-6-25 22:29

    什么是 IDP

    一. IDS、IPS、IDP 的名词解释

    IDS:入侵侦测系统 (Intrusion Detection System)

    IDS 只有 【侦测】 的功能,它是倾听 (Sniffer) 网络的封包,是否有不正常或攻击性


    质的行为发生,一但发现有这样的行为,例如,对你的系统进行通信端口扫描 (Port Scan),
    它会发出讯息,警告管理者,但是却无力阻止攻击者的一切扫描和攻击的行为,只能被动的
    警告防御的一方:有人已经对你的系统进行扫描和攻击。



    图 1、典型的 IDS 架构图及运作

    IPS:入侵防御系统 (Intrusion Prevention System)

    IPS 它会检查对应到 OSI 模型第 4 到 7 层的内容,是否有恶意的攻击程序、病毒,隐


    藏在 TCP/IP 的通信协议中。IPS 必须是网关器模式,透过详细的内容检查后,一但发现后


    能够实时地将封包阻止,让这些穿过防火墙的封包无所遁形。

    IDP:入侵侦测与实时防御 (Intrusion Detection and Prevention)

    IDP 它兼具入侵侦测系统 (IDS)、入侵防御系统 (IPS) 两种功能,它和 IDS 不同的是,


    它对于所侦测到的攻击和扫描的行为,具有主动和自动的阻挡功能,并且在阻挡完成后,会
    告诉防御的一方有人曾经试图对你的系统进行扫描和攻击,但是已经被我 (IDP) 成功阻挡
    了,所以攻击者没有得逞,并且 IDP 也会告诉你 (防御者) 它所知道的关于这个攻击者的
    信息,常见的包括 IP 地址、DNS 名称,用哪个 port 连进来的,连到你 (防御者) 的哪个
    port,发动攻击的日期和时间,攻击者的计算机名称 (就是你用 netstat -a 看到的 你的计算
    机的名称或是在网络邻居上的名称),攻击者的网卡物理地址 (这是全世界独一无二的你想
    赖都赖不掉)。

    1/8
    2006-6-25 22:29

    二. 防火墙与 IDP 的差异

    传统防火墙可以检视对应OSI 模型第2 到第4 层通讯协议的内容,因此防火墙可以检


    视IP Header、TCP Header、以及UDP Header 中的数据。防火墙最常检视/控管的项目为:
    Source IP Address(来源IP 地址)、Destination IP Address(目的IP 地址)、Source Port Number
    (来源端口号)、Destination Port Number(目的端口号)、以及Flag Fields(旗标字段,仅
    位于TCP Header 中)。

    譬如「HTTP 服务」一般预设使用Port Number 80,FTP 预设使用Port Number 21,SMTP


    预设使用Port Number 25。而防火墙也利用其自身可以检视来源/目的Port Number 的功能,
    来达到控管网络的目的。譬如可设定只开放外界使用公司内部 Web 服务器透过Port 80 所
    提供的服务。

    这一切似乎都很美好,但是如此传统的防御机制已无法遏止日新月异的攻击手法。以
    SQL Slammer 攻击蠕虫为例,它攻击时是连接受害主机(victim host)的UDP Port 1434,而安
    装SQL Server 的主机都需要开放Port 1434 来让server 端与client 端作联机前的协调工作,
    以决定双方所将采用的通讯方式。防火墙必须开放外界使用受害主机的UDP Port 1434,不
    然外界无法使用内部的SQL Server。 技

    另外,SQL Slammer 采用「缓冲溢位」(buffer overflow)的攻击手法,缓冲溢位攻击的
    程序代码便位于通讯架构的应用层(Application layer,相对于OSI 模型的5 到7 层),而
    传统防火墙是不检查应用层中的封包内容的。

    防火墙仅能就网络封包做到 2 到 4 层的检测,就来源地址/端口号以及目的地址/服务进
    行控管。而 IDP 可以做到 4 到 7 层(也就是应用层)的检测,因此 IDP 可以发觉包藏在应用层
    里的恶意攻击码(譬如蠕虫攻击、缓冲溢位攻击便藏匿于此),并予以狙击。

    IDP 内建庞大的攻击特征数据库,可以有效阻止已知的攻击,IDP 也透过「异常协议侦


    测」的方式,实时检查并将不符合 RFC 规范的网络封包丢弃。所以在「攻击防御」方面,
    IDP 远胜于防火墙之上。

    由于 IDP 一般仅能就 IP 以及 IP 群组决定封包放行权限,所以在「资源存取权限管理」


    方面,防火墙较优于 IDP。然而,防火墙并无法有效管控企业内部使用者使用 P2P、实时通
    讯(Instant Messenger、Yahoo Messenger)等软件、也无法杜绝利用 Web-Mail 或者 Web-Post
    等方式将机密外泄,这些问题需要能监控 4 到 7 层的 IDP 设备才能控管。目前已经有少部
    分的 IDP 产品采用 IXP2xxx 芯片利用其「深层检测」的优势,有效地解决上述问题。

    IDP 可以防止蠕虫由外入侵至企业网络内部,而如果防火墙要防止蠕虫攻击,仅能消
    极地关闭某些 Port。但一般的档案型病毒,则不在 IDP 及防火墙的防护范围内。因此资安的
    最后一层防护网便是在使用者端安装防毒软件。

    2/8
    2006-6-25 22:29

    三.ShareTech AW 系列 IDP 架构与运作简介

    前面已经说明 IDP 跟 FireWall 的差别就是 IDP 会做内容或行为检查,所以 IDP 的优劣


    就在于特征值数据库的多少及更新速度,也就是说 IDP 的数据库有越多的特征值,意味它
    能辨识越多不正常的内容或网络行为,但是事情总不是如此完美,越多的检查就需要越强的
    运算能力,否则好处没尝到,反而付出网络速度缓慢的后果。

    一般而言,IDP 的特征值数据库会依照危险程度分成高、中、低三种,再让管理者决定
    放行或阻挡,考虑客户端的实际网络环境及机器的运算能力,在中小型的网络架构的 IDP
    设备只需要有完整的危险程度高、中(例如,病毒、木马程序)的特征值数据库就足够,其它
    属于警告或通知性质的检查没必要处理。

    ShareTech AW 系列 IDP 的设定及更新


    打开 IDP 功能选项的页面如下图 2 所示:



    图 2 IDP 数据库更新
    目前 IDP 会每 30 分钟到 IDP 服务器更新特征值数据库,他使用 TCP 80 及 UDP 53
    Port 跟服务器沟通。

    危险程度分成高、中、低三种,再让管理者决定放行或阻挡的设定就在同一个画面的下
    方,如下图 3 所示:

    图 3 IDP 设定
    只要将高危险程度的封包设为 Drop (丢弃),就可以满足大部分的信息安全机制。

    IDP 的特征值数据库
    AW 系列 IDP 目前约有 2914 个特征值(这个值随着数据库的更新会增加),分布在数
    十种的类别中,以木马程序分类为例,大部分都会被归类在高危险类,目前数据库中有 313
    种木马程序,如下图 4 所示:

    3/8
    2006-6-25 22:29

    图 4 IDP 预设特征中的木马特征设定
    以第一个木马程序 180solution 描述如下:它会依据你输入的关键词,将你的网页转向
    他策略伙伴的网站,类似网页绑架的木马程序,如下图 6 所示是它的详细行为描述。




    图 5 木马程序 180solution 详细行为描述


    这个木马程序属于高危险程度的特征值,一但通过 AW IDP 系列的网关器,马上就会
    被 AW 的 IDP 拦截,并将封包丢弃,如下图 6 所示。

    图6 木马程序 180solution 设定
    对于中、低危险程度的封包处理,就由管理者决定,以 P2P 的行为为例,如下图 7 所
    示:

    4/8
    2006-6-25 22:29

    图 7 对于中、低危险程度的封包处理
    BitTorrent 这个 P2P 为例,它是不是个危险行为,每个人的观点都不一样,在 AW 的 IDP
    中就可以定义是否要让他通行或阻挡。

    除了靠 IDP 服务器的特征值数据库外,管理者可以自订自己网络的行为特性制定自己


    的特征数据库,它建立的的范例如下图 8 所示:



    图8 自定义特征数据库
    特征名称:这个特征值的命名。
    通讯协议:通讯协议是 TCP、UDP、ICMP 或只是 IP。

    来源 Port:来源地址,0:65535 代表外部任何 Port 。


    目的 Port:目的地址,如果防止的攻击来自外面,就是内部服务器的 Port。
    风险:区分高、中、低三种危险程度。
    动作:放行或阻挡。
    内容: 封包内容是否 有含有特定 字元,可以是 文字模式或 编码模式(例如 特定的 MAC
    Address)。

    完成后就如下图 9 所示:

    图9 自定义特征数据库显示

    5/8
    2006-6-25 22:30

    异常侦测
    除了特征数据库定义的封包行为会受到管制,对于相同的封包产生异常数量也是 IDP
    侦测的重点,如下图 10:

    图 10 异常侦测

    以 UDP、ICMP 这种 Connectionless 的封包结构,常常会被黑客当作攻击的协议,AW
    的 IDP 可以设定适当的侦测流量,如下图 11:


    图 11 异常侦测设定
    设定最大流量有时会有误动作的情况,以 VOIP 使用的 UDP 协议为例,如果是 VOIP
    的 Gatekeeper 或是 VOIP 流量较大的公司,实际的 UDP 封包侦测设为 100 Packet /s ,它的实
    际流量可能只有 64byte / Packet X 100 Packet /s,约 6.4K bytes /s ,就会产生误动作 ,设定
    每秒 100 UDP 封包就阻挡的话,会造成实际运作上的困扰。所以这方面的数值要经由学习
    后才会有实际效果。它需要搭配 IDP Report 中的 Log 记录来做比较性分析。

    IDP 警示和报表
    除了实际的阻挡之外,AW IDP 也有完整的报表制度,如下图 12:

    6/8
    2006-6-25 22:30




    图 12 IDP 报表

    7/8
    2006-6-25 22:30

    搭配实际的攻防记录,让管理者更清楚地知道网络状况,如图 13 所示。

    图 13 IDP 警示记录




    8/8

    You might also like