【文章內(nèi)容簡(jiǎn)介】 目前防火墻的局限性 ?防火墻無(wú)法防止內(nèi)部攻擊 ?防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制 ?防火墻的策略難于配置 ?防火墻無(wú)法防御數(shù)據(jù)驅(qū)動(dòng)級(jí)的攻擊 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見(jiàn)網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測(cè) 日志審計(jì) AAAA認(rèn)證 VLAN技術(shù) 入侵檢測(cè)相關(guān)術(shù)語(yǔ) ?入侵 對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作 ?入侵檢測(cè)（ Intrusion Detection） 對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行 識(shí)別的過(guò)程 ?事件 CIDF 將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（ event） 入侵檢測(cè)相關(guān)術(shù)語(yǔ) ?Pattern Matching Signature 模式匹配 ?Common Intrusion Detection Frame組件 ? 事件產(chǎn)生器（ Event generators） ? 事件分析器（ Event analyzers） ? 響應(yīng)單元（ Response units） ? 事件數(shù)據(jù)庫(kù)（ Event databases） ?Honeypot(蜜罐 ) 蜜罐是可以模擬脆弱性主機(jī) 誘惑攻擊者在其上浪費(fèi)時(shí)間，延緩對(duì)真正目標(biāo)的攻擊 入侵檢測(cè)相關(guān)術(shù)語(yǔ) ?false positives（誤報(bào) ） 檢測(cè)系統(tǒng)在檢測(cè)時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤被稱為誤報(bào)。 檢測(cè)系統(tǒng)在檢測(cè)過(guò)程中出現(xiàn)誤報(bào)的概率稱為系統(tǒng)的誤報(bào)率。 ?false negatives（ 漏報(bào)） 檢測(cè)系統(tǒng)在檢測(cè)時(shí)把某些入侵行為判為正常行為的錯(cuò)誤現(xiàn)象稱為漏報(bào)。 檢測(cè)系統(tǒng)在檢測(cè)過(guò)程中出現(xiàn)漏報(bào)的概率稱為系統(tǒng)的漏報(bào)率。 入侵檢測(cè)的定義 Intrusion Detection：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到入侵的跡象的一種安全技術(shù)； Intrusion Detection System：由感應(yīng)器、分析器和掃描器組成，在 IT系統(tǒng)中檢測(cè)可能危害系統(tǒng)資產(chǎn)的行為并做出正確響應(yīng)。 活動(dòng) 數(shù)據(jù)源 感應(yīng)器 分析器 管理器 操作員 管理員 事件 警報(bào) 通 告 應(yīng)急 安全策略 安全策略 入侵檢測(cè)系統(tǒng)原理圖 入侵檢測(cè)系統(tǒng)原理 攻擊模式庫(kù) 入侵檢測(cè)器 應(yīng)急措施 配置系統(tǒng)庫(kù) 數(shù)據(jù)采集 安全控制 系統(tǒng) 審計(jì)記錄 /協(xié)議數(shù)據(jù)等 系統(tǒng)操作 簡(jiǎn)單的入侵檢測(cè)示意圖 入侵檢測(cè)系統(tǒng)原理 %c1%1c %c1%1c Dir c:\ 為什么需要入侵檢測(cè)系統(tǒng) 防火墻不能防止通向站點(diǎn)的后門(mén)。 防火墻一般不提供對(duì)內(nèi)部的保護(hù)。 防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。 防火墻不能防止用戶由 Inter上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸。 確保網(wǎng)絡(luò)的安全 ,就要對(duì)網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測(cè) , 這就需要 IDS無(wú)時(shí)不在的防護(hù)！ 為什么需要入侵檢測(cè)系統(tǒng) 監(jiān)控室 =控制中心 后門(mén) 保安 =防火墻 攝像機(jī) =探測(cè)引擎 Card Key 形象地說(shuō)，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是 X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)， 入侵檢測(cè)系統(tǒng)的作用 入侵檢測(cè)系統(tǒng)作用 ?監(jiān)控網(wǎng)絡(luò)和系統(tǒng) ?發(fā)現(xiàn)入侵企圖或異常現(xiàn)象 ?實(shí)時(shí)報(bào)警 ?主動(dòng)響應(yīng) ?審計(jì)跟蹤 聯(lián)動(dòng) 入侵檢測(cè) 防火墻 入侵檢測(cè)在立體防御體系中的作用 實(shí)時(shí)性 協(xié)議層次 應(yīng)用層 表示層 會(huì)話層 傳輸層 IP層 數(shù)據(jù)鏈層 物理層 實(shí)時(shí) 準(zhǔn)實(shí)時(shí) 事后 實(shí)時(shí)分析所有的數(shù)據(jù)包，決定是否允許通過(guò) 監(jiān)控所有的數(shù)據(jù)包，判斷是否非法，進(jìn)行相應(yīng)處理（如阻斷或者報(bào)警） 記錄所有的操作以備事后查詢 為系統(tǒng)提供全方位的保護(hù) 審計(jì)系統(tǒng) IDS的基本結(jié)構(gòu) 主機(jī)入侵檢測(cè)系統(tǒng) 收集 過(guò)程 ID:2092 用戶名 : Administrator 登錄 ID: (0x0,0x141FA) 分析處理 文 進(jìn) 日 注冊(cè) ……. 件 程 志 表 …….. 結(jié)果 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常 。 01 01 01 01 01 01 01 01 收集 01 01 01 01 01 01 01 01 01 01 01 01 0101010101010 分析處理 結(jié)果 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn) 實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，檢測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為； 網(wǎng)絡(luò) IDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源； 網(wǎng)絡(luò) IDS系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透明，因此其本身的安全性高； 它既可以用于實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析取證； 通過(guò)與防火墻的聯(lián)動(dòng)，不但可以對(duì)攻擊預(yù)警，還可以更有效地阻止非法入侵和破壞。 網(wǎng)絡(luò) IDS采用集中管理的分布工作方式，能夠遠(yuǎn)程監(jiān)控。可以對(duì)每一個(gè)探測(cè)器進(jìn)行遠(yuǎn)程配置，可以監(jiān)測(cè)多個(gè)網(wǎng)絡(luò)出口或應(yīng)用于廣域網(wǎng)絡(luò)監(jiān)測(cè)，并支持加密通信和認(rèn)證。 以安全策略模板，安全事件，安全事件響應(yīng)方式支持安全策略定義。 探測(cè)器支持多接口，有隱蔽自身的自我保護(hù)功能。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的缺點(diǎn) 網(wǎng)絡(luò)局限 不能處理加密數(shù)據(jù) 資源及處理能力局限 系統(tǒng)相關(guān)的脆弱性 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見(jiàn)網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測(cè) 日志審計(jì) AAAA認(rèn)證 VLAN技術(shù) 日志審計(jì)技術(shù) ?什么是日志審計(jì)技術(shù) ?Syslog協(xié)議標(biāo)準(zhǔn)介紹 ?操作系統(tǒng)日志審計(jì) ? Windows日志審計(jì) ? 類 UNIX系統(tǒng)日志審計(jì) ?Web服務(wù)器日志審計(jì) ? IIS日志審計(jì) ? Apache日志審計(jì) ?數(shù)據(jù)庫(kù)系統(tǒng)日志審計(jì) ? Oracle數(shù)據(jù)庫(kù)日志審計(jì) ? MSSQL數(shù)據(jù)庫(kù)日志審計(jì) ? DB2數(shù)據(jù)庫(kù)日志審計(jì) 什么是日志審計(jì)系統(tǒng) ?日志審計(jì)是負(fù)責(zé)收集企業(yè)范圍內(nèi)的安全和系統(tǒng)的信息，有效的分析來(lái)自異構(gòu)系統(tǒng)的安全事件數(shù)據(jù)，通過(guò)歸類、合并、優(yōu)化、直觀的呈現(xiàn)等方法，使企業(yè)員工輕松的識(shí)別網(wǎng)絡(luò)環(huán)境中潛在的惡意威脅活動(dòng)。 Syslog協(xié)議標(biāo)準(zhǔn)介紹 ?Syslog是一種工業(yè)標(biāo)準(zhǔn)的協(xié)議，可用來(lái)記錄設(shè)備的日志。在 UNIX系統(tǒng)，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備中，系統(tǒng)日志（ system log）記錄系統(tǒng)中任何時(shí)間發(fā)生的事件，管理者可以通過(guò)查看系統(tǒng)記錄，隨時(shí)掌握系統(tǒng)運(yùn)行狀況。 ?在 UNIX系統(tǒng)里，被 syslog協(xié)議接受的事件可以被記錄到不同的文件，還可以通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)運(yùn)行 syslog協(xié)議的機(jī)器間的信息傳遞。 Syslog協(xié)議標(biāo)準(zhǔn)介紹 ?被傳輸?shù)?syslog信息的格式主要有 3個(gè)易識(shí)別的部分，分別是 PRI、 HEADER、 MSG。 ?數(shù)據(jù)包的長(zhǎng)度大于 1024字節(jié)，使用 UDP的 514端口。 ?PRI部分必須有 5個(gè)字符，以 “ ”開(kāi)頭，然后是一個(gè)數(shù)字，并以 “ ”結(jié)尾。方括號(hào)內(nèi)的數(shù)字被稱為優(yōu)先級(jí)(Priority)。優(yōu)先級(jí)從 0到 7共 8個(gè)級(jí)別。 ?標(biāo)題 (HEADER)部分由稱為 TIMESTAMP或者 HOSTNAME的兩個(gè)域組成， PRI結(jié)尾的 “ ”會(huì)馬上跟著一個(gè) TIMESTAMP,任何一個(gè) TIMESTAMP后面必須跟著一個(gè)空格字符。 Syslog協(xié)議標(biāo)準(zhǔn)介紹 ?MSG部分是 syslog數(shù)據(jù)包剩下的部分，通常包含了產(chǎn)生信息進(jìn)程的額外信息，及信息的文本部分。 MSG有兩個(gè)域，分別是 TAG和 CONTENT域。 ?TAG域的值是產(chǎn)生信息的程序或者進(jìn)程的名稱， CONTENT包含了這個(gè)信息的詳細(xì)內(nèi)容。 ?Syslog信息的格式： 優(yōu)先級(jí) 時(shí)間戳 主機(jī)名 模塊名 /級(jí)別 /信息摘要 :內(nèi)容 prioritytimestamp sysname module/level/digest:content Syslog協(xié)議標(biāo)準(zhǔn)介紹 日志分析系統(tǒng)架構(gòu)圖 syslogd日志分析示意圖 操作系統(tǒng)日志審計(jì) ?操作系統(tǒng)日志審計(jì) ? Windows系統(tǒng)日志審計(jì) ? 類 UNIX系統(tǒng)日志審計(jì) ?WEB服務(wù)器日志審計(jì) ? IIS服務(wù)器日志審計(jì) ? Apache服務(wù)器日志審計(jì) ?數(shù)據(jù)庫(kù)系統(tǒng)日志審計(jì) ? Oracle數(shù)據(jù)庫(kù)日志審計(jì) ? MSSQL數(shù)據(jù)庫(kù)日志審計(jì) ? DB2數(shù)據(jù)庫(kù)日志審計(jì) Windows日志審計(jì) ?Windows 2023 服務(wù)器默認(rèn)是不打開(kāi)任何審核策略。 ?Windows系統(tǒng)包含以下策略的審核： ? 策略更改 ? 登錄事件 ? 對(duì)象訪問(wèn) ? 過(guò)程追蹤 ? 目錄服務(wù)訪問(wèn) ? 特權(quán)使用 ? 系統(tǒng)事件 ? 帳戶登錄事件 ? 帳戶管理