网络安全ch6(2)网络安全技术

网络安全

张磊华东师范大学软件学院第6章网络防御技术VPN入侵检测防火墙网络防御技术概述IDS主要内容入侵检测技术概述入侵检测系统体系结构IDS存在问题IDS发展方向SnortIDS与蜜罐技术一、入侵检测技术概述IDS:IntrusionDetectionSystem对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统主要功能监控网络和系统发现入侵企图或异常现象实时报警主动响应为什么需要IDS入侵检测系统是防火墙之后的第二道防线假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统关于防火墙网络边界的设备自身可以被攻破粗粒度检测不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得只有防火墙的网络：被动防御；无法防御内部攻击。拥有IDS和防火墙的网络：防火墙：被动防御；IDS：主动检测可以防御内部攻击。为什么需要IDS（续）入侵检测的任务检测来自内部的攻击事件和越权访问80％以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的任务（续）检测其它安全工具没有发现的网络工具事件。提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。在一些大型的网络中，管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序。对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用。入侵检测的任务（续）入侵检测的起源1980年，JamesAnderson最早提出入侵检测概念1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR，DIDS等入侵检测的起源（续）90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。按检测对象区分：主机入侵检测（HostbasedIDS)网络入侵检测（NetworkbasedIDS）分布式的入侵检测系统这种入侵检测系统一般为分布式结构，由多个部件组成在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击入侵检测技术分类主机入侵检测系统（HIDS）安装于被保护的主机中主要分析主机内部活动：系统调用端口调用系统日志安全审计应用日志发现主机出现可疑行为，HIDS采取措施占用一定的系统资源InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartners主机入侵检测系统（HIDS）（续）HackerHost-basedIDSHost-basedIDSInternet基于主机入侵检测系统工作原理网络服务器1客户端网络服务器2X检测内容：

系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDS主机入侵检测系统优缺点优点对分析“可能的攻击行为”非常有用审计内容全面，得到的信息详尽误报率低适用于加密环境缺点必须安装在要保护的设备上，出现额外的安全风险依赖服务器固有的日志与监视能力部署代价大，易出现盲点不能监控网络上的情况网络入侵检测系统安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载发现问题可以切断网络目前IDS大多数是NIDSInternetNIDS基于网络入侵检测系统工作原理网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容：

包头信息+有效数据部分网络入侵检测系统（续）优点检测范围广不需要改变服务器的配置不影响业务系统的性能部署风险小具有专门设备缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击难以处理加密的会话二、IDS体系结构标准CIDF(公共入侵检测框架）（美国国防部提出）事件产生器（Eventgenerators）事件分析器（Eventanalyzers）事件数据库（Eventdatabases）响应单元（Responseunits）

IDS体系结构标准（续）事件产生器事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

事件分析器事件分析器分析得到的数据，并产生分析结果。

响应单元响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。

事件数据库事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

三、IDS存在的问题1）布局问题IDS布局位置决定安全检测程度IDS的布局问题FirewallRouterSwitch-1Switch-2ServersNetworkIDSServerInternet1234①检测所有通信，可由Fw阻断②检测所有通信，但已无法阻断③检测交换机1的通信④检测网段2所有通信IDS的布局问题（续）检测器部署位置放在边界防火墙之外放在边界防火墙之内防火墙内外都装有入侵检测器将入侵检测器安装在其它关键位置IDS的布局问题（续）入侵检测引擎放在防火墙之外在这种情况下，入侵检测系统能接收到防火墙外网口的所有信息，管理员可以清楚地看到所有来自Internet的攻击当与防火墙联动时，防火墙可以动态阻断发生攻击的连接。IDS的布局问题（续）入侵检测引擎放在防火墙之内在这种情况下，穿透防火墙的攻击与来自于局域网内部的攻击都可以被入侵检测系统监听到管理员可以清楚地看到哪些攻击真正对自己的网络构成了威胁。IDS的布局问题（续）防火墙内外都装有入侵检测器在这种情况下，可以检测来自内部和外部的所有攻击管理员可以清楚地看出是否有攻击穿透防火墙，对自己网络所面对的安全威胁了如指掌。IDS的布局问题（续）检测器放在其它关键位置:主要的网络中枢监控大量的网络数据，可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现未授权用户的行为IDS的布局问题（续）检测器放在其它关键位置:安全级别高的子网对非常重要的系统和资源的入侵检测IDS的布局问题（续）检测器放置于其它关键位置:防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点三、IDS存在的问题2）检测问题信息获取的局限（网络、网段和主机）检测算法、模型、加速算法、规则（特征）库智能检测和确认问题多协议和多类型检测检测系统与操作系统的接口问题三、IDS存在的问题3）分析问题由于网段信号分流，带宽增加，功能会下降极增的网络流量导致检测分析难度加大由于网络随时扩展，无法观测到所有通信数据之特征各异智能化不够，无法理解压缩、加密数据包容易出现漏报、误报和错报高速网络使数据的实时分析更加困难四、IDS发展方向研究方向解决误报和漏报IDS发展方向（续）DOS攻击日渐升级；DDoS现在成为“黑客的终极武器”；解决方法：负载均衡双机热备份服务器RandomDrop、带宽限制防护算法、IDS与防火墙联动但始终会出现资源耗尽、丢失合法访问的时候IDS发展方向（续）新概念-IPS（入侵防御系统）特点：检测并阻止入侵流量进入网络入侵分析算法采用协议分析技术，提高报警的准确率和性能将IDS与抵抗DOS结合IPS系统IPS的提出将IDS与防火墙等的功能集中在一起，形成一种新的产品：入侵防御系统（IntrusionPreventionSystem，IPS），有时又称入侵检测和防御系统（IntrusionDetectionandPrevention，IDP）

IDS在以下方面存在着不足：

①较高的误警率；②系统的管理和维护比较难；③当IDS遭受拒绝服务攻击时，它的失效开放机制使得黑客可以实施攻击而不被发现IPS系统（续）IPS概述IPS提供了主动防护，它会预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而对于IDS来说，它是在恶意流量传送时或传送后才发出警报。它的部署情况如下图所示： IPS采用串接的工作方式，通常部署在防火墙之后，对通过防火墙的数据包进行进一步检查过滤。

IPS系统（续）IPS的使用IPS作为一种新技术仍然存在着很多不足：它的串联工作方式会影响网络性能和可靠性。对于IPS采用失效开放还是失效关闭存在争议：如果IPS停止运转后线路仍畅通，则相当于没有任何防御效果。如果停止运转后网络断开，企业网络就与外部网路完全切断，相当于IPS自己产生了拒绝服务攻击。同IDS一样，IPS在检测效果、报警处理机制、特征库优化等方面还有待提高。

因此，在实际应用中，通常是将IPS、IDS和防火墙配合起来使用。千兆IDS的实现负载均衡技术负载均衡设备＋多台100M入侵检测设备典型产品如ISS的realsecure协议分析技术＋优化算法＋高配置硬件五、SnortSnort是MartinRoesch等人开发的一种开放源码的入侵检测系统。MartinRoesch把snort定位为一个轻量级的入侵检测系统。它具有实时数据流量分析和IP数据包日志分析的能力，具有跨平台特征，能够进行协议分析和对内容的搜索/匹配。它能够检测不同的攻击行为，如缓冲区溢出、端口扫描、DoS攻击等，并进行实时报警Snort（续）snort有三种工作模式：嗅探器、数据包记录器、入侵检测系统。做嗅探器时，它只读取网络中传输的数据包，然后显示在控制台上。作数据包记录器时，它可以将数据包记录到硬盘上，已备分析之用。入侵检测模式功能强大，可通过配置实现，但稍显复杂，snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的动作使用控制台查看检测结果打开:50080/acid/acid_main.php网页，启动snort并打开acid检测控制台主界面使用控制台查看检测结果（续）使用控制台查看检测结果（续）点击右侧图示中TCP后的数字“80%”，将显示所有检测到的TCP协议日志详细情况，如下图所示。TCP协议日志网页中的选项依次为：流量类型、时间戳、源地址、目标地址以及协议。由于snort主机所在的内网为，可以看出，日志中只记录了外网IP对内网的连接（即目标地址均为内网）使用控制台查看检测结果（续）使用控制台查看检测结果（续）选择控制条中的“home”返回控制台主界面，在主界面的下部有流量分析及归类选项，如下图。acid检测控制台主界面:使用控制台查看检测结果（续）使用控制台查看检测结果（续）选择“last24hours:alertsunique”，可以看到24小时内特殊流量的分类记录和分析，如下图所示。可以看到，表中详细记录了各类型流量的种类、在总日志中所占的比例、出现该类流量的起始和终止时间等详细分析（在控制台主界面中还有其他功能选项，请自己练习使用）使用控制台查看检测结果（续）六、蜜罐主机和欺骗网络网络诱骗技术的核心是蜜罐（HoneyPot）。蜜罐（HoneyPot）技术模拟存在漏洞的系统，为攻击者提供攻击目标。其目标是寻找一种有效的方法来影响入侵者，使得入侵者将技术、精力集中到蜜罐而不是其他真正有价值的正常系统和资源中。蜜罐技术还能做到一旦入侵企图被检测到时，迅速地将其切换。蜜罐主机和欺骗网络（续）蜜罐主机(Honeypot)连累等级(LevelofInvolvement)蜜罐主机的布置DefnetHoneyPot欺骗网络(Honeynet)

1、蜜罐主机(Honeypot)术语“蜜罐主机”现在是随处可见，不同的厂商都声称他们可以提供蜜罐主机类产品。但到底什么是蜜罐主机，一直没有确切的定义。在此，我们把蜜罐主机定义为：蜜罐主机是一种资源，它被伪装成一个实际目标；蜜罐主机希望人们去攻击或入侵它；它的主要目的在于分散攻击者的注意力和收集与攻击和攻击者有关的信息。蜜罐主机的价值蜜罐主机不能直接解决任何网络安全问题，甚至于会引来更多的入侵者来进攻自己的网络。那么，蜜罐主机到底能给我们提供什么有用信息？我们又如何利用这些信息？有两种类型的蜜罐主机：产品型(Production)蜜罐主机和研究型(Research)蜜罐主机。产品型蜜罐主机用于降低网络的安全风险；研究型蜜罐主机则用于收集尽可能多的信息。这些蜜罐主机不会为网络增加任何安全价值，但它们确实可以帮助我们明确黑客社团以及他们的攻击行为，以便更好地抵御安全威胁。蜜罐主机(Honeypot)（续）蜜罐主机是专门用来被人入侵的一种资源。所有通过蜜罐主机的通信流量都被认为是可疑的因为在蜜罐主机上不会运行额外的、会产生其它通信流量的系统。通常，进出蜜罐主机的通信都是非授权的因此蜜罐主机所收集的信息也是我们所感兴趣的数据而且这些信息不会掺杂有其它系统所产生的额外通信数据，因此分析起来相对容易一些。它所收集的数据的价值相对较高。蜜罐主机(Honeypot)（续）但是如果一台蜜罐主机没有被攻击，那么它就毫无意义。蜜罐主机通常位于网络的某点(SinglePoint)，因此它被攻击者发现的概率是很小的。蜜罐主机有可能增加额外的风险：入侵者有可能被整个网络所吸引或者蜜罐主机可能被攻陷。蜜罐主机(Honeypot)（续）2、连累等级(LevelofInvolvement)蜜罐主机的一个重要特性就是连累等级。连累等级是指攻击者同蜜罐主机所在的操作系统的交互程度。低连累蜜罐主机低连累蜜罐主机低连累蜜罐主机一台典型的低连累蜜罐主机只提供某些伪装的服务。低连累蜜罐主机（续）在一个低连累蜜罐主机上，由于攻击者并不与实际的操作系统打交道，从而可以大大降低蜜罐主机所带来的安全风险。不过这种蜜罐也有其缺点，那就是蜜罐无法看到攻击者同操作系统的交互过程。一个低连累蜜罐主机就如同一条单向连接，我们只能听，无法提出问题。这是一种被动式蜜罐。低连累蜜罐主机类似于一个被动的入侵检测系统，它们不对通信流进行修改或者同攻击者进行交互。如果进入的包匹配某种实现定义的模式，它们就会产生日志和告警信息。低连累蜜罐主机（续）中连累蜜罐主机同攻击者进行交互中连累蜜罐主机中连累蜜罐主机提供更多接口同底层的操作系统进行交互，伪装的后台服务程序也要复杂一些，对其所提供的特定服务需要的知识也更多，同时风险也在增加。随着蜜罐主机复杂度的提升，攻击者发现其中的安全漏洞的机会也在增加，攻击者可以采取的攻击技术也相应更多。由于协议和服务众多，开发中连累蜜罐主机要更复杂和花费更多时间。必须特别注意的是，所有开发的伪装后台服务程序必须足够安全，不应该存在出现在实际服务中的漏洞。中连累蜜罐主机（续）高连累蜜罐主机高连累蜜罐主机高连累蜜罐主机，由于高连累蜜罐主机与底层操作系统的交互是“实实在在”的，所以随着操作系统复杂性的提高，由蜜罐主机所带来的安全风险也不断增高。同时，蜜罐主机所能够收集到的信息越多，也就越容易吸引入侵者。控制蜜罐主机，而高连累蜜罐主机也确实为黑客提供了这样的工作环境。此时，整个系统已经不能再被当作是安全的，虽然，蜜罐主机通常运行在一个受限制的虚拟环境中(所谓的沙箱或者VMWare)，但入侵者总会有办法突破这个软件边界。

高连累蜜罐主机（续）由于高连累蜜罐主机的高安全风险，因而我们有必要对蜜罐一直进行监视，否则蜜罐主机本身可能成为另一个安全漏洞。因此，蜜罐主机可以访问的资源和范围必须受到一定的限制，对于进出蜜罐主机的通信流必须进行过滤，以防止成为黑客发动其它攻击的跳板。高连累蜜罐主机（续）由于高连累蜜罐主机给攻击者提供的是完整的操作系统，攻击者不仅可以同蜜罐主机交互，还可以同操作系统交互，因此它可以成功入侵系统的概率也就很大。当然，我们从蜜罐主机获得的信息也就越多。高连累蜜罐主机（续）各连累等级蜜罐的优缺点比较等级

低中高交互等级低中高真实操作系统——√安全风险低中高信息收集按连接按请求全面希望被入侵——√运行所需知识低低高开发所需知识低高中高维护时间低低很高3、蜜罐主机的布置蜜罐主机对于其运行环境并没有太多限制，正如一台标准服务器一样，可以位于网络的任何位置，但对于不同的摆放位置有其不同的优缺点。根据所需要的服务，蜜罐主机既可以放置于互联网中，也可以放置在内联网中。如果把密罐主机放置于内联网，那么对于检测内部网的攻击者会有一定的帮助。但是必须注意的是，一旦蜜罐主机被突破，它就像一把尖刀直插你的心脏，因此要尽量降低其运行等级。据统计,80%的攻击来自组织内部,因此此位置的蜜罐对于捕获来自内部的扫描和攻击作用最大.可以部署低交互度蜜罐用于检测,高交互度蜜罐用于响应;目前大多数蜜罐部署的常用位置.蜜罐主机的布置（续）如果你更加关心互联网，那么蜜罐主机可以放置在另外的地方：①防火墙外面(Internet)②DMZ(非军事区)③防火墙后面(Intranet)每种摆放方式都有各自的优缺点。蜜罐主机的布置（续）蜜罐主机的布置蜜罐主机的布置（续）蜜罐主机放在防火墙外面蜜罐1部署在组织的防火墙之外,目标是研究每天有多少针对组织的攻击企图。如果把蜜罐主机放在防火墙外面，那么对内部网络的安全风险不会有任何影响。这样就可以消除在防火墙后面出现一台失陷主机的可能性。此位置适于部署低连累蜜罐，能够检测对系统漏洞的所有攻击行为。蜜罐1容易被攻击者识别,被攻破的风险很大,而且有时检测的数据量大使用户难于处理。不推荐使用的部署位置.蜜罐主机有可能吸引和产生大量的不可预期的通信量，如端口扫描或网络攻击所导致的通信流。如果把蜜罐主机放在防火墙外面，这些事件就不会被防火墙记录或者导致内部入侵检测系统产生告警信息。对于防火墙或者入侵检测系统，以及任何其它资源来说，最大的好处莫过于在防火墙外面运行的蜜罐主机不会影响它们，不会给它们带来额外的安全威胁。缺点是外面的蜜罐主机无法定位内部攻击信息。特别是如果防火墙本身就限制内部通信流直接通向互联网的话，那么蜜罐主机基本上看不到内部网的通信流。蜜罐主机放在防火墙外面（续）蜜罐主机放在DMZ目标是检测或者响应高风险网络上的攻击或者未授权活动.蜜罐2隐藏于DMZ区域的各种服务器之中,将其工作状态类似于网络内的其他系统(如Web服务器),当攻击者顺序扫描和攻击各服务器时,蜜罐2可以检测到攻击行为,并通过与攻击者的交互响应取证其攻击行为;当攻击者随机选取服务器进行攻击时,蜜罐2有被避开的可能性。蜜罐2不易被攻击者发现,因此只要有出入蜜罐2的活动流量均可判定为可疑的未授权行为,从而可以捕获到高价值的非法活动.在此位置可以部署低连累蜜罐用于检测,高连累蜜罐用于响应,是目前大多数蜜罐部署的常用位置把蜜罐主机放在DMZ似乎是一种较好的解决方案，但这必须首先保证DMZ内的其它服务器是安全的。大多数DMZ内的服务器只提供所必需的服务，也就是防火墙只允许与这些服务相关的通信经过，而蜜罐主机通常会伪装尽可能多的服务，因此，如何处理好这个矛盾是放置在DMZ内的密罐主机需要解决的关键问题所在。蜜罐主机放在DMZ（续）目标是检测和响应突破安全防线后的攻击行为,阻止攻击行为的蔓延。如果把蜜罐主机置于防火墙后面，那么就有可能给内部网络引入新的安全威胁，特别是在蜜罐主机和内部网络之间没有额外的防火墙保护的情况下。正如前面所述的，蜜罐主机通常都提供大量的伪装服务，因此不可避免地必须修改防火墙的过滤规则，对进出内部网络的通信流和蜜罐主机的通信流加以区别对待。否则，一旦蜜罐主机失陷，那么整个内部网络将完全暴露在攻击者面前。从互联网经由防火墙到达蜜罐主机的通信流是畅通无阻的，因此对于内部网中的蜜罐主机的安全性要求相对较高，特别是对高连累型蜜罐主机。该位置适于部署高连累蜜罐,因为通过防火墙可以很好地进行数据控制蜜罐主机置于防火墙后面4、DefnetHoneyPot“DefnetHoneyPot”是一个著名的“蜜罐”虚拟系统，它会虚拟一台有“缺陷”的电脑，等着恶意攻击者上钩。这种通过DefnetHoneyPot虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱只能套住恶意攻击者，看看他都执行了哪些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。模拟环境虚拟机AIP:0(蜜罐系统)虚拟机BIP:(攻击主机)设置虚拟系统虚拟一个FTPServer服务TelnetServer的设置幕后监视幕后监视（续）

例如，蜜罐中显示信息如下：

(9:20:52)TheIP()triedinvasionbytelnet(CONNECTION)

(9:21:31)TheIP()triedinvasionbytelnet(USERadministrator)

(9:21:53)TheIP()triedinvasionbytelnet(PASSWORD)

(9:22:21)TheIP()triedinvasionbytelnet(USERadmin)

(9:22:42)TheIP()triedinvasionbytelnet(PASSWORD)

(9:23:08)TheIP()triedinvasionbytelnet(USERroot)

(9:23:29)TheIP()triedinvasionbytelnet(PASSWORD)

Theinvasordisconnectedfromthetelnetserver

幕后监视（续）(9:23:58)TheIP()triedinvasionbytelnet(CONNECTION)

(9:24:22)TheIP()triedinvasionbytelnet(USERroot)

(9:24:44)TheIP()triedinvasionbytelnet(PASSWORDroot)

(9:25:08)TheIP()triedinvasionbytelnet(dir)

(9:25:41)TheIP()triedinvasionbytelnet(cdfiles)

(9:26:20)TheIP()triedinvasionbytelnet(netuser)

(9:26:49)TheIP()triedinvasionbytelnet(netuser)

(9:27:38)TheIP()triedinvasionbytelnet(netuserasp$test168/add)

(9:28:32)TheIP()triedinvasionbytelnet(netu)

(9:29:12)TheIP()triedinvasionbytelnet(netlocalgroupadministratorsasp$/add)

(9:29:36)TheIP()triedinvasionbytelnet(exit)幕后监视（续）从信息中，我们可以看到攻击者Telnet到服务器分别用administrator、admin、root空密码进行探视均告失败，然后再次连接用root用户和root密码进入系统。接下来用dir命令查看了目录，创建了一个用户