第6章-入侵檢測(cè)和入侵防御系統(tǒng).ppt

1、,第6章 入侵檢測(cè)和入侵防御系統(tǒng),網(wǎng)絡(luò)工程實(shí)踐教程（基于Linux平臺(tái)）,目 錄,6.1入侵檢測(cè)系統(tǒng),傳統(tǒng)上，企業(yè)網(wǎng)絡(luò)一般采用防火墻作為安全的第一道防線(xiàn)，但隨著攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿(mǎn)足對(duì)網(wǎng)絡(luò)安全的進(jìn)一步需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。 入侵檢測(cè)系統(tǒng)是繼防火墻之后，保護(hù)網(wǎng)絡(luò)安全的第二道防線(xiàn)，它可以在網(wǎng)絡(luò)受到攻擊時(shí)，發(fā)出警報(bào)或者采取一定的干預(yù)措施，以保證網(wǎng)絡(luò)的安全。,6.1入侵檢測(cè)系統(tǒng),我們可以通過(guò)入侵檢測(cè)系統(tǒng)(IDS)和監(jiān)控時(shí)間日志兩種方法就可以及時(shí)得到有關(guān)的網(wǎng)絡(luò)安全事件。,入侵檢測(cè)系統(tǒng),入侵檢測(cè)系統(tǒng)(IDS)是一種用來(lái)確定不需要的網(wǎng)絡(luò)活動(dòng)，并

2、向有關(guān)人員發(fā)警報(bào)以便及時(shí)采取措施的檢測(cè)系統(tǒng)。,注意：網(wǎng)絡(luò)上不需要的活動(dòng)不一定就是實(shí)際的入侵，可以是任何不想要的活動(dòng)。,入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)IDS最常見(jiàn)的方法是通過(guò)系統(tǒng)監(jiān)控、檢查指定鏈路上的所有流量，然后將流量通數(shù)據(jù)庫(kù)中已知不需要檢測(cè)的流量特征加以比較，這是基于特征的IDS。,還有一種是，IDS試圖從實(shí)際網(wǎng)絡(luò)數(shù)據(jù)構(gòu)建“正?！蓖ㄐ帕苛斜?，然后標(biāo)示任何與已建正常通信量列表不匹配的流量，這是基于異常檢測(cè)的IDS。,入侵檢測(cè)系統(tǒng),入侵防御系統(tǒng)(IPS)，它的功能強(qiáng)大，除了能夠檢測(cè)惡意行為外，還能夠采取行動(dòng)阻止惡意行為的危害。,入侵檢測(cè)系統(tǒng)的配置,硬件需求 安裝NIDS它能識(shí)別惡意流量,添加P105頁(yè) 圖6

3、-1,Linux系統(tǒng)上Snort配置,Snort是一種開(kāi)放源代碼、免費(fèi)、跨平臺(tái)的網(wǎng)絡(luò)入侵保護(hù)和檢測(cè)系統(tǒng)，它使用了一種規(guī)則驅(qū)動(dòng)的語(yǔ)言，支持各種形式的插件、擴(kuò)充和定制，具有實(shí)時(shí)數(shù)據(jù)流量分析、對(duì)IP網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行日志記錄、以及對(duì)入侵進(jìn)行探測(cè)的功能。 雖然Snort的功能非常強(qiáng)大，但其代碼非常簡(jiǎn)潔，可移植性非常好。迄今為止數(shù)百萬(wàn)的下載量使得Snort成為使用最為廣泛的入侵保護(hù)和檢測(cè)系統(tǒng)，并且成為了事實(shí)上的行業(yè)標(biāo)準(zhǔn)。,Linux系統(tǒng)上Snort配置,Snort最主要的功能是對(duì)入侵進(jìn)行檢測(cè)，其工作方式是對(duì)抓取的數(shù)據(jù)包進(jìn)行分析后，與特定的規(guī)則模式進(jìn)行匹配，如果能匹配，則認(rèn)為發(fā)生了入侵事件。 此時(shí)，執(zhí)行sno

4、rt命令時(shí)需要用“-c”選項(xiàng)指定入侵檢測(cè)時(shí)所使用的配置文件。 Snort默認(rèn)安裝時(shí)，已經(jīng)在/etc/snort目錄提供了一個(gè)例子配置文件，其文件名是snort.conf。,Linux系統(tǒng)上Snort配置,/etc/snort/snort.conf文件是snort命令運(yùn)行時(shí)的主配置文件，為了使用的方便，用戶(hù)可以在其中定義許多變量，以便以后在其它位置進(jìn)行引用。另外，Snort系統(tǒng)本身也使用某些名稱(chēng)的變量，用戶(hù)賦予的值將影響Snort的工作狀態(tài)。變量的值一般是文件系統(tǒng)中的路徑、IP地址、端口號(hào)等。,Linux系統(tǒng)上Snort配置,執(zhí)行snort命令時(shí)，可以通過(guò)指定命令行選項(xiàng)使Snort工作于不同的狀

5、態(tài)，實(shí)際上，很多的命令行選項(xiàng)都可以在snort.conf文件中進(jìn)行配置，于是，就不需要在snort命令行中指定了。除了命令行選項(xiàng)外，在snort.conf文件中還可以指定其它一些不能在命令行中使用的選項(xiàng)。 配置Snort選項(xiàng)的格式如下： config : ,Linux系統(tǒng)上Snort配置,Snort的規(guī)則選項(xiàng)是入侵檢測(cè)引擎的核心，所有的入侵行為都可以通過(guò)Snort規(guī)則選項(xiàng)將其表達(dá)出來(lái)，使用起來(lái)非常靈活。所有的snort規(guī)則選項(xiàng)和選項(xiàng)值之間用“:”分隔，而規(guī)則選項(xiàng)本身由“;”進(jìn)行分隔。,6.2 主動(dòng)響應(yīng)與IPS,主動(dòng)響應(yīng)與入侵防御的對(duì)比 入侵防御通常應(yīng)用在內(nèi)聯(lián)設(shè)備 而主動(dòng)響應(yīng)不需要內(nèi)聯(lián)設(shè)備來(lái)實(shí)現(xiàn)

6、，而且主動(dòng)響應(yīng)更具有更改或阻塞網(wǎng)絡(luò)流量的功能。 兩者區(qū)別在于:任何不與惡意流量?jī)?nèi)聯(lián)在線(xiàn)的響應(yīng)機(jī)制，不再阻止這種流量到達(dá)想要到達(dá)的目標(biāo)和位置。,6.2 主動(dòng)響應(yīng)與IPS,主動(dòng)響應(yīng)的目的是在不需要管理員的情況下買(mǎi)自動(dòng)地對(duì)檢測(cè)到的攻擊做出反應(yīng)并減少計(jì)算機(jī)入侵企圖造成的破壞效果。,基于網(wǎng)絡(luò)的主動(dòng)響應(yīng)有四種策略，針對(duì)協(xié)議棧的不同層： 數(shù)據(jù)鏈路 網(wǎng)絡(luò) 傳輸層 應(yīng)用層,基于IDS報(bào)警的響應(yīng)攻擊,當(dāng)分組從一個(gè)網(wǎng)絡(luò)路由到另外一個(gè)時(shí)，網(wǎng)關(guān)設(shè)備將會(huì)檢查分組，并決定他們是否轉(zhuǎn)發(fā)出去。因此，為了安全，任何響應(yīng)系統(tǒng)必須與該網(wǎng)關(guān)通過(guò)本地接口連接，要么通過(guò)遠(yuǎn)程接口連接，以便能夠影響路由決策(可以使用SnortSam軟件實(shí)現(xiàn))，或者流量直接經(jīng)過(guò)主動(dòng)響應(yīng)系統(tǒng)本身(可以使用Fwsnort或snort_inline軟件實(shí)現(xiàn))。,SnortSam、Fwsnort和snort_inline軟件如何保護(hù)網(wǎng)絡(luò)不受攻擊，在本節(jié)內(nèi)有詳細(xì)的介紹。,6.3 入侵防御討論,防火墻的核心目的是根據(jù)流量與防火墻給定的策略，允許或阻止網(wǎng)絡(luò)流量。 它能快速做出決定，盡快放行或阻塞分組,NIDS目的是在網(wǎng)絡(luò)中找出感興趣的攻擊/入侵/事件 使用時(shí)不要因?yàn)榱髁窟^(guò)大而漏掉分組，并且需要不斷持續(xù)重