《Fortinet-飞塔IPS入侵防御解决方案白皮书》由会员分享,可在线阅读,更多相关《Fortinet-飞塔IPS入侵防御解决方案白皮书(9页珍藏版)》请在金锄头文库上搜索。
1、IPS白皮书 Fortinet白皮书 系统攻击检测 在网关 处 阻止 系统攻击 白皮书 IPS白皮书 Fortinet白皮书 1.系统威胁 导言 今天各个组织所面临的最大的苦恼是,如何描述所遇到的攻击和购买什么样的技术手段来发防御它们。例如: “应用层”究竟意味着什么,“蠕虫攻击、蠕虫和恶意软件有什么区别”。 “应用”或者称为“应用层”是最容易混乱的概念了。例如,谁是“应用层”攻击的制造者?或者说制造商的产品具有“应用层”防护能力,意味着什么? 从某种意义上讲, OSI的七层模型仅仅是对网络通讯进行模块化描述(见图1)。换句话说, 它仅仅是停留在网络通讯的模型层面上,而对实际通讯 (比如电
2、子邮件、 web浏览器和 SAP)等没有什么实际作用。即使象“ SMTP”和“ HTTP”这些通常被当作典型“应用层”的,实际上也是要确保高级别层次的应用能够和各种环境进行通讯。但是,更为复杂的是,确实确实有一些“网络层应用”是符合七层协议的,比如说 Telnet和 FTP。但是这些协议却更加深入地证明了“应用层”这个概念是多么地容易被误解的或错误地使用。 OSI的模型 从信息安全角度来看这表明什么呢?与该文章相关的关键点在于: 在解释“应用层的攻击”和“ 应用层的防御”的概念时候一定要小心,尤其是在市场材料中使用。目前没有定义好的或通用的概念。 OSI的“应用层”确实是和网络层和传输层有所区
3、别的,他们主要体现于网络通讯。例如,攻击对以下应用仍旧是有危害的:各种工具类应用的代码和IPS白皮书 Fortinet白皮书 命令(比如浏览器、 web 服务器、数据库),各种可以重新封包或修改的软件(比如 Word和 SAP),以及个人数据(比如个人保健信息等)。 最有效和最精确的方法是:面向通讯的攻击和防御方法,面向文件的攻击和防御方法,面向数据的攻击和防御方法。 2. 攻击的生命周期 分析 与前面讨论概念不同 的是,本章节将清楚地描述攻击工作方式。和澄清“应用层”和“基于网络”的概念一样,讨论攻击的方法和作用对采用什么样的手段阻止它们是非常重要的。 我们认为攻击一般是由以下四步组成的:
4、 1、 传递 是指一个攻击如何从源到目标的。本地执行的攻击往往是要靠手工导入和加载执行感染文件的。远程执行的攻击依赖于电子通讯和相关的协议,比如即时通讯、文件共享、邮件和 smtp协议,以及 TCP/IP或 UDP/IP 会话。 2、 渗透 是指一个攻击如何最终进入它的目标的。对于本地执行的攻击,渗透这个环节是和传播捆绑在一起的。它涉及到系统控制或简单 地利用用户的许可权。对于远程执行的攻击,渗透就涉及到充分地利用了配置错误或代码漏洞。明显的是,与系统通讯服务相关或更高级别应用的漏洞是关键渗透的对象。 3、 加载 是指运行攻击包中数据。这个环节是做破坏工作的,比如盗取信息,覆盖或复制存储的数据
5、,关闭进程等等。它也要加载通讯模块让攻击者远程指挥下载和执行其他的内容。 4、 繁殖 它是可选一个环节,但是非常普遍,是攻击的到处流散的一个重要步骤。例如,某攻击可以扫描地址段以发现其他主机,或者搜索本机中邮件地址本。在某些情况下,自我繁殖往往是某些攻击的唯一目的。后面我们会讨论 这种类型。这种以复制自己为目的无害行为很快地销声匿迹了。 对攻击的生命周期进行阐述的另外一个目的在于,表明实际上有很多点可以阻断攻击的危害。不同的解决方案针对问题的不同的“层”,但也是问题的不同阶段。作为一个普遍规律,在攻击的进程中,越早阻断它,也就越最大程度上降低其危害。 图 2攻击的生存周期 了解攻击是如何演变是
6、一个最基本的工作。新的漏洞发布和采用该种漏洞的攻击之间的时间差明显地降低了。毋庸置疑的是,这种环境要求解决方案应该是更加主动地。另外,至少需要两个响应的重点,一个是 ips另外一个是与之相关IPS白皮书 Fortinet白皮书 的防 蠕虫攻击 工具。但是,两个关键点需要澄清: 第一个 问题 , IPS 和防 蠕虫攻击 区分是, IPS 是主动的,而防 蠕虫攻击 是响应的。真实的世界中,这些技术的检测能力通常既是“主动”的和又是“响应”的。比如,绝大多数 IPS解决方案是包含 IDS 类似特征值的方法的,优秀的防 蠕虫攻击 工具同样也具有启发式和基于行为的技术的。 第二点 需要 澄清的是,当前
7、主动模式的防御体系的需求是针对那些历史的漏洞,这些漏洞仅仅是因为新的 蠕虫攻击 又把这些漏洞给曝光了。这千万不要认为那些其他类型的攻击就没有了,而就减少那些攻击的防御工具。毕竟,攻击一 般都是针对性非常强的。 确实,当前的恶意软件的发展趋势说明最为简单的文件型感染 蠕虫攻击 明显地下降,而其他的集成了 蠕虫攻击 和类似 蠕虫攻击 的组件的软件却在上升。 混合式攻击 明显地集成了文件和程序攻击两种方式。例如, Funlove具有 蠕虫攻击 和蠕虫的双重性质, Bagle.H也同样具有这两个性质。 木马 以垃圾邮件或蠕虫方式散播,但是针对特定系统进行加载和运行某个程序。该程序可以被用来下载其他的恶
8、意软件,或者盗取信息。 有目标性攻击, 能够迅速地传播,具有更强的盗取能力。最典型的例子是Spy-phishing。这 类攻击方法是,先发送一个含有木马的邮件到目标用户,它可以监控 Web流量,等待其访问某个特定网站,然后盗取信息。 后门 是一种安装后让某种恶意软件无法被主机型安全手段所检测。 从攻击的生命周期可以了解到:蠕虫存在着一个问题,它们通常被作为传播和繁殖“传统 蠕虫攻击 ”的手段,但是却不是唯一的途径。当点击了邮件中的链接或者不小心打开了某个网站,就会下载到恶意软件。 决定恶意软件能否进入到目标网络还取决于另外一个因素:部署于恶意软件的源与目标之间的防范手段的能力。 3 防御技术分
9、类 如前所言,基于网络的防御手段具有在 攻击在目标网络扩散前就阻止其的优势。但是如果要防止攻击得手,我们应该在网关处部署什么样的技术手段呢?该问题的部分答案在前面已经有所提及,比如说攻击的不同“层”,已经通过哪些步骤来实现和它们改进后的其它特点。该问题应该从更全面的角度予以阐述。针对前面所提到的不同的“层”采用不同的技术手段予以识别和阻断,那么接下来需要一个全方位的安全解决方案来识别所有的方式。 总的来说,基于网络的防御手段分成两个级别:一种是主动地控制,另一种是工作在被动模式下。后一种分类本身并不代表其能力不行,而相反,我们要澄清的是,采用 IPS本身并不能代替防 蠕虫攻击 方面的需求。 主
10、动模式技术 主动方式的防御手段在于识别那些通讯、程序和数据,知道哪些是好的或者IPS白皮书 Fortinet白皮书 是必需的,允许这些程序和它们相关的活动通过。这种内在的按产品来选择的方式,是不加区分地削除未知的和已知的攻击,也就是说那些至少没有用来做合法的事务的通讯予以禁止。 该种方法的一个经典案例是,防火墙,它也是基于网络的安全解决方案的重要一环。代表性产品是典型的以通讯为中心的,实现从网络层到应用层的控制。也就是说,它们在文件和程序级别进行控制,可以根据按文件扩展名来定义的文件类型进行阻断。总的来 说,它们对程序的分析使得它们能够在攻击扩散和繁殖的时候予以阻断。 尽管这种方式很强大,但
11、是主动模式有两个内在的问题。一个是,列举出所有流量,分析出合法的流量是一个沉重的负担。更深层次的细粒度分析将消耗大量的资源,导致系统被锁死。第二,毕竟它要允许一些通讯通过,这也就带来了潜在的攻击,虽然该通讯从表面看来是合法的。这也就说明了被动模式的抵御手段是必需的。 被动模式技术 对比主动模式,被动模式是建立在能够识别通讯,程序和活动所涉及到的数据内容中含有“坏的信息”,这样就可以判断出它们是攻击,因此采用各种方法予以阻断。 IPS/IDS 现在的入侵控制系统组合了多种检测技术。尽管当前的目标都集中在那些主动的防御手段上,比如基于漏洞的特征值,对流量的识别和协议异常,但是也同样具有反应性的机制
12、,比如传统的 IDS 类型的模式匹配。主动式检测技术的优势在于能够挡住不知名的攻击,而不仅仅能够挡住已知的攻击。比较典型的是,它通常是在攻击发生的渗透阶段中或之前予以阻断。但是尽管它具有这样那样的优 势,但是它受限于对系统的分析能力。尤其特别的是,这些技术手段必须是以网络为中心的。与以前的版本比起,现在网络层的系统可以宣传“应用层防护”。但是正如前面所指的,这与保护事实上的应用、商务数据比起来不是一回事。最关键的一点就是 ips虽然是极为强大,但是不是很全面。它局限于所能检测到数据包中内容能力有限。 IPS白皮书 Fortinet白皮书 IPS/IDS产品和它们工作的“层”相关的图形化表示
13、作为对攻击的进化,响应性的防 蠕虫攻击 工具也结合了主动式防御技术,比如启发式或者基于行为的算法。但是防 蠕虫攻击 工具的这些优点比起 IPS/IDS来就要稍逊一筹了,因为 IPS 工具是基于网络通讯的,而防 蠕虫攻击 工具事基于主机的文件和应用类软件的。另外一点事,现在都比较接受安全方案里加入反间谍软件功能了。这涉及到从象窃取密码的木马到 ActiveX 控件的灰色软件等各类的文件、程序和进程。 图 4 恶意软件检测技术 由于主动方式的全面性有问题,所以仍旧要采用被动模式来获取数据级别的安全。基于网络的内容过滤方案可以根据通讯流中数据内容来部署进出的策略。这类的工具可以在获取和传递私密信息的
14、攻击的执行和加载的过程中予以阻断。 IPS白皮书 Fortinet白皮书 集成的解决方案 这里有两个重点 需要提出来,一个是按照优先级将所有“坏的”列出来,与穷举所有的“好的”一样都是具有挑战性的工作。这就是“主动式”和“响应性”模式相互为补充的原因,也就是说都是有效的基于网络的安全解决方案的所必需的。 第二点是即使是被动方式也是需要附加的技术。无论 IPS还是防 蠕虫攻击 单独都无法满足防御攻击的需求。为了明确这一点,下面给出了那些攻击可以为哪些防御手段所防御的案例: 防 蠕虫攻击 工具能够防御的攻击有如下几种: 压缩、封包的恶意软件 多态类恶意软件 嵌入大的文件中的恶意软件,因为 IPS工具仅仅能够对小文件进行样式匹配 基于网络的 IPS能够防御的攻击有: 针对通讯方面的漏洞进行攻击的恶意软件和攻击 拒绝服务式攻击 基于网络和 IPS和防 蠕虫攻击 的所覆盖的攻击: 混合式恶意软件,尤其对付那些用漏洞攻击进行传播文件和程序的 部分间谍软件,尤其涉及到小文件和程序的 深度检测与精确防御 在网 络黑客攻击频频发生、病毒变种惊人、网络威胁日益严重的环境下,安全防护问题备受关注。 用最高的精度,
