CloudEngine 12800交換機(jī)IPS安全插板技術(shù)白皮書

IPS安全插板技術(shù)白皮書文檔版本V1.0發(fā)布日期2015-05-27目錄互聯(lián)網(wǎng)安全趨勢 3更多的安全威脅 3常用的入侵手段 3華為IPS插板技術(shù)原理 5總體架構(gòu) 5基礎(chǔ)系統(tǒng)漏洞防護(hù) 5客戶端防護(hù) 6已感染系統(tǒng)的活防護(hù) 7協(xié)議異常檢測 7協(xié)議識(shí)別 8DDOS攻擊防護(hù) 8特征庫升級 9華為IPS插板的技術(shù)亮點(diǎn) 11先進(jìn)的基于漏洞簽名 11高階防躲避技術(shù) 13可視化應(yīng)用感知術(shù) 14多層DDOS防護(hù)技術(shù) 15IPV6檢測能力 16全球安全能力中心 16部署方式 17插板IPS部署方式 17插板IDS部署方式 17第第3頁,共18頁互聯(lián)網(wǎng)安全趨勢更多的安全威脅隨著互聯(lián)網(wǎng)飛速的發(fā)展，用戶面臨的威脅也日益嚴(yán)重。常用的入侵手段黑客主要通過系統(tǒng)入侵和遠(yuǎn)程入侵滲透到網(wǎng)絡(luò)中，常用的入侵手段可以概括為：入侵手段描述口令破解攻擊者可通過獲取口令文件，然后運(yùn)用口令破解工具獲得口令，也可通過猜測或竊聽等方式獲取口令連接盜用在合法的通信連接建立后，攻擊者可通過阻塞或摧毀通信的一方來接管已經(jīng)過認(rèn)證建立起來的連接，從而假冒被接管方與對方通信第PAGE第4頁,共18頁服務(wù)拒絕攻擊者可直接發(fā)動(dòng)攻擊，也可通過控制其它主機(jī)發(fā)起攻擊使目標(biāo)癱瘓，如發(fā)送大量的數(shù)據(jù)洪流阻塞目標(biāo)網(wǎng)絡(luò)竊聽網(wǎng)絡(luò)的開放性使攻擊者可通過直接或間接竊聽獲取所需信息數(shù)據(jù)篡改攻擊者可通過截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方式破壞數(shù)據(jù)的完整性地址欺騙攻擊者可通過偽裝成被信任的IP地址等方式來騙取目標(biāo)的信任社會(huì)工程攻擊者可通過各種社交渠道獲得有關(guān)目標(biāo)的結(jié)構(gòu)、使用情況、安全防范措施等有用信息，從而提高攻擊成功率惡意掃描攻擊者可編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標(biāo)的漏洞，進(jìn)而發(fā)起攻擊基礎(chǔ)設(shè)施破壞攻擊者可通過破壞域名服務(wù)器或路由信息等基礎(chǔ)設(shè)施使目標(biāo)陷于孤立數(shù)據(jù)驅(qū)動(dòng)攻擊攻擊者可通過施防病毒、特洛伊木馬、數(shù)據(jù)炸彈等方式破壞或遙控目標(biāo)IPS插板技術(shù)原理總體架構(gòu)系統(tǒng)總體框架IPS插板核心架構(gòu)如上圖所示。IPTCP流重組、、Unicode、RPC、用戶指令輸入接口等功能，以WEB基礎(chǔ)系統(tǒng)漏洞防護(hù)IPS（即）如LSASS和MS-RPCDCOMW32.DownadupConficker?？蛻舳朔雷o(hù)偷渡式下載防護(hù)IPSIPS欺騙類應(yīng)用軟件防護(hù)為S虛假編解碼器虛假安全掃描網(wǎng)站間諜/廣告軟件檢測/間諜/已感染系統(tǒng)的活動(dòng)防護(hù)IPSIPSIPS協(xié)議異常檢測IPSRFC協(xié)議異常檢測覆蓋的協(xié)議有：HTTP，SMTP，F(xiàn)TP，POP3，IMAP4，MSRPC，NETBIOS，SMB，MS_SQL，TELNET，IRC，DNS等等，覆蓋常用的30多種協(xié)議。協(xié)議識(shí)別80FTP協(xié)議，SAIPS運(yùn)行在3128端口而漏過協(xié)議上的攻擊。網(wǎng)絡(luò)智SA(ServiceAwareness)IPSASASA示意圖SAL3～L7/L7+/（例（。SASAURL等。DDoS攻擊防護(hù)拒絕服務(wù)攻擊也就是DoS（DenialofService）攻擊，其目的是通過攻擊使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。DoS攻擊的特點(diǎn)有難于防范、破壞力強(qiáng)、易于發(fā)動(dòng)、追查困難、危害面廣。（DDoS，DistributedDenialofrvicDDoS/DoSDDoSInternet/服務(wù)器技術(shù)，畸形包攻擊Smurf攻擊、LAND攻擊、FRAGGLE攻擊、IP分片攻擊、PingOfDeath攻擊、TearDrop（碎片WinNukeLargeICMPTCPFlagIPSpoofingICMP重定ICMPIPIPIP控制報(bào)文等。風(fēng)暴（泛洪）型FloodTCPFloodUDPFloodUDPFragmentFloodICMPFlood攻擊。應(yīng)用層DDoS類HTTPGET/POSTFlood攻擊、DNSQueryFlood攻擊、DNSReplyFlood攻擊、SIPFlood攻擊、ConnectionFlood攻擊、HTTPSFlood。特征庫升級IPS插板通過持續(xù)的升級最新的特征庫，來獲得最新的檢測能力，給用戶提供最新的保護(hù)。主要升級方式有：在線升級IPSWeb第PAGE第10頁,共18頁本地升級當(dāng)用戶的網(wǎng)絡(luò)不允許IPS插板直接連接升級服務(wù)器的時(shí)候，或者網(wǎng)絡(luò)管理員不希望IPS插板主動(dòng)連接外部服務(wù)器的時(shí)候，可以采用本地升級。的過程。第11第11頁,共18頁IPS插板的技術(shù)亮點(diǎn)先進(jìn)的基于漏洞的簽名IPS一個(gè)好的入侵防護(hù)引擎，其簽名必定是基于漏洞來開發(fā)的。很多廠商選擇編寫大量的基于攻擊(exploit-based)的簽名而很少寫基于漏洞(vulnerability-based)的簽名。這往往是由于引擎能力約束，或者威脅研究能力的限制引起的，不排除甚至僅僅是為了提升簽名數(shù)來使得其宣傳手冊更加好看而已。下面是一條Snort的規(guī)則，屬于典型的基于攻擊的簽名，用于匹配一種非常特定的模式。#--InboundExploit,Inbound:133of7981,from01/06to06/13alerttcp$EXTERNAL_NETany->$HOME_NET[135:139,445,1025](msg:"E2[rb]SHELLCODEx860x90unicodeNOOP";content:"|90009000900090009000|";classtype:shellcode-detect;sid:299906;rev:1;)條基于攻躲避基于攻擊的簽名很容易fUR簽名數(shù)量也會(huì)沖擊性能網(wǎng)絡(luò)IPSSMB測試機(jī)構(gòu)已經(jīng)不再把簽名數(shù)作為指標(biāo)第PAGE第12頁,共18頁IPSSnortIPSStrataGuardSnort-variants樣了。IPSGartner我們的方法（擊。我們看看下面這些例子：#1-20060-POP3GenericUserBufferOverflowPOP333個(gè)不同的BID漏洞。RevilloCMailServerRemoteBufferOverflowVulnerability(BID16997)HexamailPOP3ServerRemoteBufferOverflowVulnerability(BID25496)POP3_Proxy_USER_OVERFLOWVulnerability#2–20903FTPCommandOverflowFTP100個(gè)BID88BID100BID漏洞。8BID21245427,9675,9751,12155,20076。#3-3條非常強(qiáng)大的簽名，覆蓋超過400個(gè)BID漏洞這3條簽名非常通用，能夠覆蓋超過400個(gè)BID漏洞，其他廠商沒有類似的簽名。23476-FakeCodecRequestGeneric22809-HTTPJavascriptHeapSprayDetection21709-HTTPShellcodeDetection高階防躲避技術(shù)IPSIP報(bào)文分片，TCP流分段RPCURL混淆FTP命令躲避但是，隨著互聯(lián)網(wǎng)威脅大量聚焦在新興HTTP應(yīng)用方面，攻擊者很容易使用新的方法來繞開檢測。比如：URL%%u@URL請求URL@%32%32%30%2E%36%38%2E%32%31%34%2E%32%31%33的內(nèi)容。IPS/HTTP/HTML/IPSBase64encodingUTFEncodingURLEncodingCrosspacketdetectionChunkedcontentGzipencodingFragmentedcontentIPSBASE64Javascript混淆，HTTPchunked傳輸，HTTP內(nèi)容壓縮，HTTPheader混淆等等。可視化應(yīng)用感知技術(shù)IPS（阻斷損失。17個(gè)大類（P2P、、IMWebBrowsing、FileAccessProtocol、、StockGameAttackEmailNetworkAdministrationRemoteConnectivityNewsGroups、r，0多種協(xié)議IPSDDoS防護(hù)技術(shù)華為IPS插板是基于4層協(xié)議、7層應(yīng)用層協(xié)議、行為分析的高級DDoS防護(hù)技術(shù)。4IPcookiecookieIPS確認(rèn)該源IPFlood、SYN-ACKFlood、ACKFlood攻擊。Flood報(bào)文，IPScookieSYN-ACKIP主SYN-ACKSYN-ACKACKACK報(bào)文ACKSYN-ACKIPTCPIPSDDoSTCPWEB服務(wù)器發(fā)起的FloodWEBURL請求。IPS通過深度解碼URLIPSIPSCCIPv6檢測能力IPv4IPv4IPv6IPv4安全互聯(lián)網(wǎng)議IPSIPv6/IPv4全球安全能力中心IPS365724小MAPPIPS插部署方式IPS部署方式客戶主要面臨的威脅和痛點(diǎn)是：瀏覽器、文件漏洞感染PCIPS插板的方式部署到華為核心交換機(jī)里面，邏輯上相當(dāng)于“串聯(lián)”在核心設(shè)備之間。IPSIPS虛擬線(接口對)IPS業(yè)務(wù)板工作在接口對（虛擬線）模式下，與交換機(jī)互聯(lián)的兩個(gè)