CloudEngine 12800交换机IPS安全插板技术白皮书

IPS安全插板技术白皮书文档版本V1.0发布日期2015-05-27目录互联网安全趋势 3更多的安全威胁 3常用的入侵手段 3华为IPS插板技术原理 5总体架构 5基础系统漏洞防护 5客户端防护 6已感染系统的活防护 7协议异常检测 7协议识别 8DDOS攻击防护 8特征库升级 9华为IPS插板的技术亮点 11先进的基于漏洞签名 11高阶防躲避技术 13可视化应用感知术 14多层DDOS防护技术 15IPV6检测能力 16全球安全能力中心 16部署方式 17插板IPS部署方式 17插板IDS部署方式 17第第3页,共18页互联网安全趋势更多的安全威胁随着互联网飞速的发展，用户面临的威胁也日益严重。常用的入侵手段黑客主要通过系统入侵和远程入侵渗透到网络中，常用的入侵手段可以概括为：入侵手段描述口令破解攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令连接盗用在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信第PAGE第4页,共18页服务拒绝攻击者可直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标网络窃听网络的开放性使攻击者可通过直接或间接窃听获取所需信息数据篡改攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性地址欺骗攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任社会工程攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息，从而提高攻击成功率恶意扫描攻击者可编制或使用现有扫描工具发现目标的漏洞，进而发起攻击基础设施破坏攻击者可通过破坏域名服务器或路由信息等基础设施使目标陷于孤立数据驱动攻击攻击者可通过施防病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标IPS插板技术原理总体架构系统总体框架IPS插板核心架构如上图所示。IPTCP流重组、、Unicode、RPC、用户指令输入接口等功能，以WEB基础系统漏洞防护IPS（即）如LSASS和MS-RPCDCOMW32.DownadupConficker。客户端防护偷渡式下载防护IPSIPS欺骗类应用软件防护为S虚假编解码器虚假安全扫描网站间谍/广告软件检测/间谍/已感染系统的活动防护IPSIPSIPS协议异常检测IPSRFC协议异常检测覆盖的协议有：HTTP，SMTP，FTP，POP3，IMAP4，MSRPC，NETBIOS，SMB，MS_SQL，TELNET，IRC，DNS等等，覆盖常用的30多种协议。协议识别80FTP协议，SAIPS运行在3128端口而漏过协议上的攻击。网络智SA(ServiceAwareness)IPSASASA示意图SAL3～L7/L7+/（例（。SASAURL等。DDoS攻击防护拒绝服务攻击也就是DoS（DenialofService）攻击，其目的是通过攻击使计算机或网络无法提供正常的服务。DoS攻击的特点有难于防范、破坏力强、易于发动、追查困难、危害面广。（DDoS，DistributedDenialofrvicDDoS/DoSDDoSInternet/服务器技术，畸形包攻击Smurf攻击、LAND攻击、FRAGGLE攻击、IP分片攻击、PingOfDeath攻击、TearDrop（碎片WinNukeLargeICMPTCPFlagIPSpoofingICMP重定ICMPIPIPIP控制报文等。风暴（泛洪）型FloodTCPFloodUDPFloodUDPFragmentFloodICMPFlood攻击。应用层DDoS类HTTPGET/POSTFlood攻击、DNSQueryFlood攻击、DNSReplyFlood攻击、SIPFlood攻击、ConnectionFlood攻击、HTTPSFlood。特征库升级IPS插板通过持续的升级最新的特征库，来获得最新的检测能力，给用户提供最新的保护。主要升级方式有：在线升级IPSWeb第PAGE第10页,共18页本地升级当用户的网络不允许IPS插板直接连接升级服务器的时候，或者网络管理员不希望IPS插板主动连接外部服务器的时候，可以采用本地升级。的过程。第11第11页,共18页IPS插板的技术亮点先进的基于漏洞的签名IPS一个好的入侵防护引擎，其签名必定是基于漏洞来开发的。很多厂商选择编写大量的基于攻击(exploit-based)的签名而很少写基于漏洞(vulnerability-based)的签名。这往往是由于引擎能力约束，或者威胁研究能力的限制引起的，不排除甚至仅仅是为了提升签名数来使得其宣传手册更加好看而已。下面是一条Snort的规则，属于典型的基于攻击的签名，用于匹配一种非常特定的模式。#--InboundExploit,Inbound:133of7981,from01/06to06/13alerttcp$EXTERNAL_NETany->$HOME_NET[135:139,445,1025](msg:"E2[rb]SHELLCODEx860x90unicodeNOOP";content:"|90009000900090009000|";classtype:shellcode-detect;sid:299906;rev:1;)条基于攻躲避基于攻击的签名很容易fUR签名数量也会冲击性能网络IPSSMB测试机构已经不再把签名数作为指标第PAGE第12页,共18页IPSSnortIPSStrataGuardSnort-variants样了。IPSGartner我们的方法（击。我们看看下面这些例子：#1-20060-POP3GenericUserBufferOverflowPOP333个不同的BID漏洞。RevilloCMailServerRemoteBufferOverflowVulnerability(BID16997)HexamailPOP3ServerRemoteBufferOverflowVulnerability(BID25496)POP3_Proxy_USER_OVERFLOWVulnerability#2–20903FTPCommandOverflowFTP100个BID88BID100BID漏洞。8BID21245427,9675,9751,12155,20076。#3-3条非常强大的签名，覆盖超过400个BID漏洞这3条签名非常通用，能够覆盖超过400个BID漏洞，其他厂商没有类似的签名。23476-FakeCodecRequestGeneric22809-HTTPJavascriptHeapSprayDetection21709-HTTPShellcodeDetection高阶防躲避技术IPSIP报文分片，TCP流分段RPCURL混淆FTP命令躲避但是，随着互联网威胁大量聚焦在新兴HTTP应用方面，攻击者很容易使用新的方法来绕开检测。比如：URL%%u@URL请求URL@%32%32%30%2E%36%38%2E%32%31%34%2E%32%31%33的内容。IPS/HTTP/HTML/IPSBase64encodingUTFEncodingURLEncodingCrosspacketdetectionChunkedcontentGzipencodingFragmentedcontentIPSBASE64Javascript混淆，HTTPchunked传输，HTTP内容压缩，HTTPheader混淆等等。可视化应用感知技术IPS（阻断损失。17个大类（P2P、、IMWebBrowsing、FileAccessProtocol、、StockGameAttackEmailNetworkAdministrationRemoteConnectivityNewsGroups、r，0多种协议IPSDDoS防护技术华为IPS插板是基于4层协议、7层应用层协议、行为分析的高级DDoS防护技术。4IPcookiecookieIPS确认该源IPFlood、SYN-ACKFlood、ACKFlood攻击。Flood报文，IPScookieSYN-ACKIP主SYN-ACKSYN-ACKACKACK报文ACKSYN-ACKIPTCPIPSDDoSTCPWEB服务器发起的FloodWEBURL请求。IPS通过深度解码URLIPSIPSCCIPv6检测能力IPv4IPv4IPv6IPv4安全互联网议IPSIPv6/IPv4全球安全能力中心IPS365724小MAPPIPS插部署方式IPS部署方式客户主要面临的威胁和痛点是：浏览器、文件漏洞感染PCIPS插板的方式部署到华为核心交换机里面，逻辑上相当于“串联”在核心设备之间。IPSIPS虚拟线(接口对)IPS业务板工作在接口对（虚拟线）模式下，与交换机互联的两个