1、信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院|路亚信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇模块三、IDS产品配置与应用信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇现今基于网络的入侵检测系统是为主流,我们在这里就着重介绍NIDS的部署方式。(以下所指的入侵检测若未特殊说明,都是NIDS)IDS由两部分组成,IDS引擎和IDS控制中心。引擎采用旁路方式全面侦听网上信息流,实时分析,然后将分析结果与探测器上运行的
2、策略集相匹配。执行报警、阻断、日志等功能,完成对控制中心指令的接收和响应工作。它是由策略驱动的网络监听和分析系统。控制中心提供报警显示以及预警信息的记录和检索、统计功能制定入侵监测的策略。控制探测器系统的运行状态,收集来自多台引擎的上报事件,综合进行事件分析,以多种方式对入侵事件作出快速响应。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 那么IDS的引擎部署在网络旁路,将入侵检测引擎的抓包口接到监测网络中去,一般是接到交换机的镜像端口上(或者是HUB上),管理口则接到入侵检测的控制中心上。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测
3、篇信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇模块三、IDS产品配置与应用信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇入侵检测系统的弱点1体系结构弱点;集中式IDS存在单点失效;漏报;大量日志和报警信息耗费磁盘空间,导致文件系统和数据库系统不稳定。而分布式IDS存在大量报警信息消耗网络带宽;误报警信息流会产生倍数效应;控制台和探测器的通信交换信息占有网络带宽、干扰网络通信等弱点。2互动协议弱点;当与防火墙做联动时,存在一个虚假报警信息,它会导致其它安全系统错误配置,造成防火墙性能下降等问题。3数据源与采集方法弱点 必须要求数据包传
4、输的是明文,若是经过加密的数据包,无法进行解密。而且在交换网络中IDS运行开销会大大增加。4检测算法弱点;无法根治的漏报、误报问题,异常检测需要保持较多网络状态信息,导致IDS开销增大。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇针对入侵检测系统的攻击直接攻击直接攻击smurf、synflood等拒绝服务攻击利用装IDS的主机操作系统本身存在漏洞进行攻击应对:IDS的无IP技术 双网卡配置:一个网卡绑定IP,用来与console(控制台)通信 一个网卡无IP,用来收集网络数据包 连在网络中的是无IP的网卡,因为没有IP,所以不能直接攻击信息安全产品配置与应用信息
5、安全产品配置与应用课程之入侵检测篇课程之入侵检测篇间接攻击利用IDS的响应进行间接攻击,使入侵日志迅速增加,塞满硬盘;发送大量的警告信息,使管理员无法发现真正的攻击者,并占用大量的cpu资源;发送大量的告警邮件,占满告警信箱或硬盘,并占用接收警告邮件服务器的系统资源发送虚假的警告信息,使防火墙错误配置,造成正常的IP无法访问等 举例Stick攻击在2秒内模拟450次攻击,快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机针对入侵检测系统的攻击间接攻击信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇针对入侵检测系统的攻击躲避检测Whisker一个web/c
6、gi扫描器,具有大量特殊的扫描编码,使提交的报文Web服务器可理解而与IDS的规则不匹配URL编码 如“cgi-bin”可以表示成“%63%67%69%2d%62%69%6e”,WEB服务器可解析,而IDS不识别“/”问题(路径欺骗)在HTTP的提交的请求中把/转换成/,如“/cgi-bin/test.cgi”转换成“/cgi-bin/test.cgi”,而IDS只对前者进行匹配“”问题 Microsoft用来分隔目录,Unix用/来分隔,而HTTP RFC规定用/,发送“/cgi-bintest.cgi”之类的命令,IIS可以正确识别,但IDS不会匹配“/cgi-bin/test.cgi”命令匹配 GET/cgi-bin/test.cgi 命令的客户请求用HEAD命令也能实现 HEAD/cgi-bin/test.cgi 依靠get方法匹配的IDS系统就不会检测到这个扫描 信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇解决办法:协议分析在规则匹配前使用与WEB服务器相同的分析器对URL内容的%u编码进行解码,然后进行URL分析发现攻击URL标准化信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇
