【正文】 絡(luò)安全基礎(chǔ)設(shè)施。目前的網(wǎng)絡(luò)安全技術(shù)主要包括:網(wǎng)絡(luò)反病毒技術(shù)、防火墻技術(shù)、加密技術(shù)、電子認(rèn)證技術(shù)、入侵檢測(cè)技術(shù)等。對(duì)于一般性網(wǎng)絡(luò)來(lái)說(shuō)，入侵檢測(cè)技術(shù)與防火墻技術(shù)的配合使用，能夠基本解決網(wǎng)絡(luò)安全的需要。而以免費(fèi)的Snort作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與防火墻配合使用，就是一個(gè)廉價(jià)而高效的解決方案。 防火墻的局限性防火墻是一次性的保安手段，根據(jù)系統(tǒng)的策略(IPAddress，port)只允許通過(guò)策略所允許的數(shù)據(jù)包?？墒遣荒芮袛嚯[藏在正常數(shù)據(jù)包中的黑客攻擊試圖。僅以防火墻無(wú)法探測(cè)及防御最近流行的拒絕服務(wù)攻擊(Dos)及尼姆達(dá)(Iimda)等攻擊。防火墻不對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行分析，對(duì)規(guī)則中允許的端口和服務(wù)一直視為正常，不執(zhí)行保安功能。(例:對(duì)提供Web服務(wù)的Web服務(wù)器80端口，連接到80端口的行為被認(rèn)為是正常的，防火墻不執(zhí)行連接控制，允許通過(guò)。)在遭到黑客攻擊后，因防火墻不保留數(shù)據(jù)包內(nèi)容的日志，所以事后無(wú)法把日志作為監(jiān)查日志，而入侵檢測(cè)系統(tǒng)把數(shù)據(jù)包內(nèi)容完整的作為日志保留，可用于事后的監(jiān)查資料。防火墻對(duì)內(nèi)部用戶的資料泄漏及內(nèi)部用戶的黑客行為無(wú)法執(zhí)行保安功能。而網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)檢測(cè)數(shù)據(jù)包，及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等，彌補(bǔ)防火墻的不足。對(duì)于昂貴的商業(yè)入侵檢測(cè)產(chǎn)品來(lái)說(shuō)，免費(fèi)的Snort系統(tǒng)是最好的替代。 Snort檢測(cè)器(探針)的部署一般說(shuō)來(lái)，檢測(cè)器放在防火墻附近比較好，可以有以下幾種選擇:l)放在防火墻之外檢測(cè)器通常放置在防火墻界面之外的DMZ中(Demilitarizedzone，非軍事區(qū))。DMZ是介于IsP和最外端防火墻界面之間的區(qū)域。這種安排使檢測(cè)器可以看見(jiàn)所有來(lái)自Iniemet的攻擊，然而如果攻擊類(lèi)型是TCP攻擊，防火墻能封鎖這種攻擊，那么探針可能檢測(cè)不到這種攻擊的發(fā)生，這是因?yàn)樵S多攻擊類(lèi)型只能通過(guò)匹配相應(yīng)字符串特征是否一致的方法才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP三次握手后才進(jìn)行。雖然放在防火墻以外的檢測(cè)器有無(wú)法檢測(cè)到的攻擊，但是這種位置仍然是對(duì)攻擊進(jìn)行檢測(cè)的最佳位置，這樣做的好處是，可以看到自己的位置和防火墻暴露在多少種攻擊之下。2)放在防火墻之內(nèi)這樣做也有幾個(gè)理由，如果攻擊者發(fā)現(xiàn)檢測(cè)器，就可能對(duì)其進(jìn)行攻擊，從而減少攻擊者的行動(dòng)被審計(jì)的機(jī)會(huì)，防火墻內(nèi)的系統(tǒng)會(huì)比外面的系統(tǒng)脆弱性少一些:如果檢測(cè)器在防火墻內(nèi)會(huì)少一些干擾，從而有可能減少誤報(bào)警。如果本應(yīng)該被防火墻封鎖的攻擊滲透進(jìn)來(lái)，檢測(cè)器就可以檢測(cè)到或能發(fā)現(xiàn)防火墻的設(shè)置失誤。將檢測(cè)器放在防火墻內(nèi)的最大理由就是設(shè)置良好的防火墻能夠阻止大部分的幼稚腳本的攻擊，使檢測(cè)器不用將大部分注意力分散在這類(lèi)攻擊上。3)防火墻內(nèi)外都有檢測(cè)器這樣做有如下優(yōu)點(diǎn):無(wú)須猜測(cè)是否有攻擊滲透過(guò)防火墻?？梢詸z測(cè)來(lái)自?xún)?nèi)部和外部的攻擊?？梢詸z測(cè)到由于設(shè)置有問(wèn)題而無(wú)法通過(guò)防火墻的內(nèi)部系統(tǒng)，這對(duì)系統(tǒng)管理員非常有利。 一個(gè)基于Snort的網(wǎng)站入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)方案該方案是根據(jù)網(wǎng)站濰坊信息港()實(shí)際情況專(zhuān)門(mén)設(shè)計(jì)的，經(jīng)過(guò)一段時(shí)間的應(yīng)用。 網(wǎng)站的物理結(jié)構(gòu).1)服務(wù)器網(wǎng)站主要包括四種服務(wù)器:WEB服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和備份系統(tǒng)。2)工作站各工作站主要用于網(wǎng)頁(yè)維護(hù)和網(wǎng)站日常管理。3)防火墻4)路由器5)內(nèi)部辦公網(wǎng)內(nèi)部辦公網(wǎng)是整個(gè)公司內(nèi)部專(zhuān)用的局域網(wǎng)，它對(duì)網(wǎng)絡(luò)安全的要求是最高的。 入侵檢測(cè)系統(tǒng)的組成這一網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)采用三層分布式體系結(jié)構(gòu)，它包括網(wǎng)絡(luò)入侵探測(cè)器(探針)、入侵事件數(shù)據(jù)庫(kù)和基于Web的中央分析控制臺(tái)。本例將基于Web的中央分析控制臺(tái)和入侵事件數(shù)據(jù)庫(kù)整合在一臺(tái)主機(jī)中作為中央分析控制服務(wù)器，這樣便于集中管理，當(dāng)然也會(huì)增加一些網(wǎng)絡(luò)流量(探針與入侵事件數(shù)據(jù)庫(kù)的通信)。中央分析控制服務(wù)器和探針之間的通信采用SSL加密傳輸。，為系統(tǒng)管理員提供交互式Web管理界面。在中央分析控制服務(wù)器上，管理人員可以進(jìn)行遠(yuǎn)程IDS探針管理、攻擊數(shù)據(jù)查詢(xún)、實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)攻擊及深入分析，如攻擊方向的遷移、識(shí)別攻擊模式等。系統(tǒng)所用軟件包括:MysQL，Apache服務(wù)器、snortcenter，ACID(AnalysisConsole for Incident Databases)、Modssl、openSSL，MM，PHP，GD，ADODB，PHPlot。SnortCenter是一個(gè)基于Web的Snort探針和規(guī)則管理系統(tǒng)，用于遠(yuǎn)程修改探針的配置，啟動(dòng)、停止探針，更新Snort特征碼規(guī)則。ACID(AnalysisConsole for Incident Databases)是一個(gè)基于PHP的分析引擎，用于查詢(xún)、管理Snort探針產(chǎn)生的數(shù)據(jù)庫(kù)。MySQL數(shù)據(jù)庫(kù)用于保存各探針的日志等記錄，Apache服務(wù)器則提供系統(tǒng)所需的WEB服務(wù)。 檢測(cè)探針由三部分組成:snort系統(tǒng)、抓包工具LibpcaP(或winpcap)和協(xié)同代理軟件SnortCenter Agent。其中協(xié)同代理軟件SnortCenter Agent是向中央分析控制服務(wù)器報(bào)告攻擊信息的軟件，是分布式入侵檢測(cè)系統(tǒng)的一個(gè)重要部件，是SnortCenter進(jìn)行探針管理的代理工具。通過(guò)snortCenter Agent，SnortCenter能夠啟動(dòng)、關(guān)閉受保護(hù)主機(jī)上的Snort探針。修改探針的配置和使用的特征碼規(guī)則。Snort系統(tǒng)則是真正進(jìn)行入侵檢測(cè)的組件。整個(gè)系統(tǒng)的安裝與配置并不復(fù)雜，不做贅述，可參見(jiàn)各軟件相應(yīng)說(shuō)明。需要著重說(shuō)明的是系統(tǒng)涉及到網(wǎng)絡(luò)中多個(gè)探針，各探針需用網(wǎng)絡(luò)時(shí)間協(xié)議(NetworkTimeProtocol)實(shí)現(xiàn)時(shí)間的精確同步。 入侵檢測(cè)系統(tǒng)的物理布局探針一、二所在的網(wǎng)段的數(shù)據(jù)流量是最大的，為有效防止誤報(bào)和漏報(bào)，設(shè)置了兩個(gè)探針。探針一位于防火墻外，可以看見(jiàn)所有來(lái)自Intemet的攻擊。為保證不受攻擊探針一使用無(wú)IP地址的網(wǎng)卡進(jìn)行監(jiān)聽(tīng)以保證網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)自身的安全:通過(guò)另一塊網(wǎng)卡接入內(nèi)網(wǎng)并為其分配內(nèi)網(wǎng)所使用的私有伊地址，以便從內(nèi)網(wǎng)訪問(wèn)分析控制臺(tái)程序ACID。通過(guò)啟用115服務(wù)器用戶身份驗(yàn)證和訪問(wèn)控制機(jī)制并結(jié)合SSL以保證系統(tǒng)的訪問(wèn)安全。探針二位于防火墻內(nèi)部，使用交換機(jī)的調(diào)試端口(sPan port)，任何其他端口的進(jìn)出數(shù)據(jù)都可從此得到，不過(guò)采用此端口可能降低交換機(jī)的性能。該探針可以看到外部所有突破防火墻對(duì)內(nèi)網(wǎng)的攻擊，發(fā)現(xiàn)防火墻的設(shè)置失誤和漏洞所在。還可以發(fā)現(xiàn)一些內(nèi)網(wǎng)對(duì)外部的攻擊。探針三位于服務(wù)器組內(nèi)，用于檢測(cè)所有對(duì)各服務(wù)器的攻擊。探針?biāo)奈挥诠ぷ髡窘M內(nèi)，用于檢測(cè)所有對(duì)各工作站的攻擊。探針五位于內(nèi)部辦公網(wǎng)外，用于檢測(cè)所有對(duì)內(nèi)部辦公網(wǎng)的攻擊。中央分析控制服務(wù)器和各探針都是運(yùn)行在已經(jīng)被淘汰的服務(wù)器主機(jī)或者工作量比較小的服務(wù)器主機(jī)上。 編寫(xiě)與配i相應(yīng)規(guī)則Snort系統(tǒng)官方已經(jīng)提供了比較完備的規(guī)則庫(kù)，可根據(jù)實(shí)際情況選取規(guī)則使用，同時(shí)，也可以根據(jù)一些病毒的特點(diǎn)編寫(xiě)自己的規(guī)則。如編寫(xiě)Nimd留尼姆達(dá)蟠蟲(chóng)的相關(guān)規(guī)則。先做Nimd可尼姆達(dá)蠕蟲(chóng)的分析:名稱(chēng):(Nima/尼姆達(dá))類(lèi)型:蠕蟲(chóng)/病毒受影響的系統(tǒng):Windows95，98，Me，NT4，2000大小:57344字節(jié)蠕蟲(chóng)文件:[]出現(xiàn)在Windows文件夾，蠕蟲(chóng)掃描和創(chuàng)建tftpd的進(jìn)程就是它。Windows系，那不是Nimdao[]，還有可能出現(xiàn)在任何有*.doc文件的文件夾里。[]:，D::E:的根目錄外還可出現(xiàn)在下面的’TFTP*****“出現(xiàn)的地方[[%temp%\readme*.exe][TFTp****]形如TFTp3233。文件位置取決于使用tftp的目錄。如果是”GET/?/c+tftP一i[loeallP]‘那么位置就在’InetPub\seripts\，o如果是”GET/seripts/二o，ocl%le二/winn燈system32/?/c+t助一i[loeallp]’‘那么位置就在’/scripts/二%d%ic二/’也就是根目錄。以上都是蠕蟲(chóng)文件的可執(zhí)行程序，它們之間的區(qū)別只是文件名不同[]它利用了IE5(或者說(shuō)OES)的一個(gè)漏洞。由于html格式的郵件中圖片和多媒體文件都是自動(dòng)打開(kāi)的，而可執(zhí)行文件不是。但如果把可執(zhí)行文件指定為多媒體類(lèi)型，也會(huì)自動(dòng)下載打開(kāi)。:一=二二二ABC1234567890DEF===ContentType:audio/x一wav。nanle二，””，”””:base64Content一ID:EA4DMGBpgp另外，如果文件夾是“按web頁(yè)查看”，如果把擴(kuò)展名改為mht也是可以的，}，只是出現(xiàn)的幾率很小。〔*.exe]可執(zhí)行文件被感染，所以可能是任何文件名。傳播方式:1)通過(guò)emall在Iniemet臨時(shí)文件夾中讀取所有’，html，’.html”文件并從中提取地址，從信箱讀取emall并提取SMTP服務(wù)器，2)，Nimda首先在udp/69上啟動(dòng)一個(gè)t助服務(wù)器，然后會(huì)作以下掃描:GET/seriPts/?/e+dirHTTP/GET/?/c+dirHTTP/GET/e/winnsystom32/?/c+dirHTTP/GET/winnsystem32/?/c+dirHTTP/GET/scriPts/%255e二/winnsystem32/?/e+dirHTTP/GET/bi可二%255e二/二%255e二/二%255e二/winnsystem32/cmd:exe?/c+GET/membi二%255e二/二%255e二/二%255e二/winnsystom32/?/c+GET/msade/二%255c二/二%255c二/二%255e/二%el%Ic二/二%cl%Ic/二%Cl%le二/system32/?/c+GET/seriPts/二%el%le二/wilm燈system32/?/c+dirHP/GET/seriPts/二0/OCO%Zf../wilinsystem32/?/c+dirHTTP/GET/seriPts/二%eo%af../wilinsystem32/?/e+dirHP/GET/seriPts/.。o/OCI%ge二/system32/?/c+dirHTTP/GET/seriPts/二%%35%63二/wilmsystem32/?/c+GET/seriPts/二%%35e二/winnt/system32/cmd，exe?/c+GET/seriPts/二%25%350，663二/system32/?/c+dirHTTP/GET/seriPts/二%252f二/winnsystem32/?/c+dirHT’TP/一旦發(fā)現(xiàn)有弱點(diǎn)的系統(tǒng)就使用類(lèi)似下面的命令:GET/?/c+把文件傳到主機(jī)上去，然后使用命令:GET/seriPts/3)通過(guò)WWW服務(wù)在所有文件名包含default/index/main/readme并且擴(kuò)展名為htm/ tml/，并在文件末加上下面這一行:htmlscriPtlanguage=，JavaseriPt，(，”，null，resizable==no，toP=6000，left=6000”’criPtm也就是說(shuō)如果一臺(tái)web服務(wù)器被感染了，那么大部分訪問(wèn)過(guò)此服務(wù)器的機(jī)器都會(huì)被感染。4)通過(guò)局域網(wǎng)Nimda會(huì)搜索本地的共享目錄中包含doc文件的目錄，一但找到，就會(huì)把自(原理見(jiàn)前文)。5)以病毒的方式搜索注冊(cè)表中的[soFTRE\Mierosoft\Windows\Currentrsion\Apppaths}尋找在遠(yuǎn)程主機(jī)上的可執(zhí)行文件，一旦找到，Nimda就會(huì)以病毒的方式感染文件。有一點(diǎn)不同的是，它把原文件作為資源存儲(chǔ)在新文件中，運(yùn)行新文件時(shí)再當(dāng)作可執(zhí)行文件來(lái)調(diào)用。確保運(yùn)行:病毒采取以下措施確保自己處于活躍狀態(tài)l)(原理見(jiàn)前)2)，3)==一dontnmold使病毒在下次系統(tǒng)啟動(dòng)時(shí)運(yùn)行。創(chuàng)建后門(mén):1)Nimda打開(kāi)的ud到69雖然目的并不是作后門(mén)，但的確是一個(gè)后門(mén)。2)如果有足夠權(quán)限將調(diào)用’“執(zhí)行以下系統(tǒng)命令:netuserguest/addnetuserguest/activenetuserguest””netloealgrouPAdministratorsguestnetloealgrouPGuestsguest/add結(jié)果是空密碼的guest加到了Administrators組中。3)如果有足夠權(quán)限將調(diào)用’’執(zhí)行以下系統(tǒng)命令:netsharee$= 刪除[SYSTEM\CurrentContro1Set\ServicesUanmanserver\Shares\See而ty]的所有子鍵結(jié)果是C設(shè)為完全共享。根據(jù)上述對(duì)Nim蒯尼姆達(dá)蠕蟲(chóng)的分析，應(yīng)用下面一系列規(guī)則進(jìn)行檢測(cè)Current Database UPdated09/20/2000Contact:tombkeeper一tombkeePr}一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一PreProeessorhttP_decode:80 443 8080PreProeessorminfrag:128PreProeessorportsean:45/3235/var/log/“‘一““““‘’‘’“‘一‘一‘’“‘一‘一‘一“““‘}}}}YourIP address or Network here+}}{}}}AnunouDIinthisIntervallLogfileofportsbeingeonneeted一+}}}}(inseoonds)一+印ath/name)，一十preProcessorportscan一ignorehosts:HoststoignoreinPortscandeteetion一