《基于主机的入侵防御方案.ppt》由会员分享,可在线阅读,更多相关《基于主机的入侵防御方案.ppt(45页珍藏版)》请在金锄头文库上搜索。
1、Symantec Critical System Protection v5.0基于主机的入侵防御产品(IPS)Presenters NameDateSymantec Critical System Protection2Symantec Confidential议程议程当前安全趋势SCSP简介SCSP的入侵防护功能(IPS)SCSP的入侵检测功能(IDS) SCSP的主要功能和特点总结 1 2 3 456当前安全趋势Symantec Critical System Protection4Symantec Confidential如何阻截已经射出的子弹?如何阻截已经射出的子弹?Symantec
2、 Critical System Protection5Symantec Confidential月月天天小时小时分钟分钟秒秒程序程序病毒病毒Macro病毒病毒电子邮件电子邮件蠕虫蠕虫网络网络蠕虫蠕虫Flash蠕虫蠕虫之前之前自动化自动化之后之后自动化自动化感染期感染期特征特征响应期响应期被动,使我们时刻处于下风被动,使我们时刻处于下风阻截飞行中的子弹阻截飞行中的子弹我们已经面临这样一种感染形势,即最新威胁的传播速度已经超出了我们的响应能力如果我们想要赢得这场战争,那么我们必需改变我们的策略1990时间2005 感染期感染期特征响应期特征响应期Symantec Critical System
3、Protection6Symantec Confidential留给我们的时间真的不多留给我们的时间真的不多箭已发出箭已发出在高峰期,每在高峰期,每 12 封电子邮件就有封电子邮件就有 1 封封被被 MyDoom 感染!感染! Code Red 的感染率每的感染率每 37 分钟就翻一番。分钟就翻一番。Slammer 每每 8.5 秒就翻一番,在秒就翻一番,在 10 分钟之分钟之内可感染内可感染 90% 未受保护的服务器!未受保护的服务器!一旦有漏洞公开披露,一旦有漏洞公开披露,Blaster 只需只需 27 天就天就可摧毁网络!可摧毁网络!Symantec Critical System Pr
4、otection7Symantec Confidential典型的攻击步骤典型的攻击步骤InternetInternet基于网络的 IDS/IPS基于主机的基于主机的 IDS/IPSSymantec Critical System Protection8Symantec ConfidentialSymantec 集成的集成的IDS/IPS解决方案InternetInternetSNS + SCSP赛门铁克能提供完整的入侵检测赛门铁克能提供完整的入侵检测/入侵防护解决方案入侵防护解决方案Symantec Critical System Protection9Symantec Confidenti
5、alSymantec Critical System Protection(SCSP)Symantec 的主机保护产品SCSP提供完成的主机入侵防护解决方案,他能提供攻击防护、终端控制和安全事件监控和审计等功能以确认企业内部多种平台的服务器的完整性和策略依从。 Symantec Critical System Protection10Symantec ConfidentialWhy Symantec Critical System Protection?维持系统的策略依从加固系统入侵检测入侵防护减少管理复杂程度提升产品的管理能力防止零日攻击加固日志系统, 日志转发, 和日志监控对无法立即安装补
6、丁程序或锁定的系统提供防护企业级的报表功能通过简单,集中的策略创建管理系统降低企业用于资产保护的成本目的目的提供提供怀有恶意的内部用户攻击系统未知攻击针对: 内存 文件系统 注册表 操作系统 应用终端用户违背企业安全策略预防预防Symantec Critical System Protection11Symantec Confidential保护企业中的关键业务主机保护企业中的关键业务主机 数据中心数据中心数据库服务器互联网应用服务器Web服务器邮件服务器后台办公系统定制的应用系统公司内部公司内部文件服务器打印服务器远程访问网关分布式系统高风险的客户端高风险的客户端移动用户高管的台式机保存机密
7、的系统访问关键任务的系统缺少物理安全访问的系统信息终端(触摸屏)Symantec Critical System Protection12Symantec Confidential主机安全产品的功能覆盖主机安全产品的功能覆盖分类分类SAV 10.0SCS 3.0CSP 5.0防病毒及间谍广告软件的移除主机防火墙网络攻击操作系统加固应用加固系统资源的隔离和设备保护恢复被攻击的终端保护桌面电脑和服务器SCSP的入侵防护功能Symantec Critical System Protection14Symantec Confidential主动式预防主动式预防 攻击正在趋向简单化攻击正在趋向简单化主机
8、程序主机程序.DNSDNSRPCRPCPrintPrintSpoolerSpooler.邮件网站数据库操作系统操作系统服务服务应用程序应用程序服务服务.邮件客户端办公软件浏览器交互式程序交互式程序每个程序只需要一组受限的资源、访问权限就能完成其正常工作但是很多程序通常有远远超出其工作需要的系统和资源的访问权限正常资源访问正常资源访问文件文件注册表注册表网络网络设备设备读/写 数据文件只读的配置信息调用指定的端口及设备Symantec Critical System Protection15Symantec Confidential攻击正在趋向简单化攻击正在趋向简单化(续续.)主机程序主机程序.
9、DNSDNSRPCRPCPrintPrintSpoolerSpooler.邮件网站数据库操作系统操作系统服务服务应用程序应用程序服务服务.邮件客户端办公软件浏览器交互式程序交互式程序正常资源访问正常资源访问文件文件注册表注册表网络网络设备设备读/写 数据文件只读的配置信息调用指定的端口及设备可执行程序和可执行程序和可执行程序和可执行程序和关键的系统文件关键的系统文件关键的系统文件关键的系统文件关键的关键的关键的关键的注册表键值注册表键值注册表键值注册表键值建立建立建立建立对外的网络连接对外的网络连接对外的网络连接对外的网络连接和本地网络服务和本地网络服务和本地网络服务和本地网络服务广泛的系统设
10、备广泛的系统设备广泛的系统设备广泛的系统设备 暴露的资源暴露的资源攻击者攻击者 “诱骗诱骗” 程序去访问和修改程序去访问和修改额外的系统资源额外的系统资源Symantec Critical System Protection16Symantec ConfidentialSymantec CSP Solution Overview主机程序主机程序.DNSDNSRPCRPCPrintPrintSpoolerSpooler.邮件系统邮件系统邮件系统邮件系统WebWeb数据库数据库数据库数据库操作系统操作系统服务服务应用程序应用程序.邮件客户端邮件客户端邮件客户端邮件客户端办公软件办公软件办公软件办公
11、软件浏览器浏览器浏览器浏览器交互式程序交互式程序SCSP在每个程序或服务定制一个外壳(BCD),限定其访问行为文件文件注册表注册表网络网络设备设备读/写 数据文件只读的配置信息调用指定的端口及设备Behavior Control Descriptions (BCDs)限定每个应用程序允许访问的资源及其访问权限限定每个应用程序允许访问的资源及其访问权限Symantec Critical System Protection17Symantec ConfidentialUserApplicationsCore OSServiceWeb, Database, Mail, etc.Server secu
12、rity Agent Windows 2000/XP/2003, Solaris, Linux文件文件Pipes注册表注册表网络网络缓存溢出缓存溢出系统调用系统调用进程衍生进程衍生路径路径Server communications-Download policy & configuration updates- Upload logged eventsSCSP在操作系统的最底层进行防护在操作系统的最底层进行防护Behavior Control AgentKernel mode intercept driverSCSPSymantec Critical System Protection18Sy
13、mantec Confidential防护能力防护能力缓存溢出保护操作系统加固注册表保护文件系统保护定制攻击防护策略主机防火墙功能移动设备控帛交互式程序控制超级用户/管理员权限控制操作系统审计日志的监控和响应SCSP的入侵检测功能Symantec Critical System Protection20Symantec ConfidentialAgent主机入侵检测主机入侵检测Agent安装在主机上代理程序安装在主机上代理程序文件注册表审计信息操作系统日志应用系统日志ActSymantec IPS creates a “shell” around each program & service
14、that defines acceptable behavior主控台报警主控台报警邮件通知邮件通知SNMP Trap禁用恶意帐户禁用恶意帐户保存事件信息供进一步分析保存事件信息供进一步分析 转发日志到管理服务器供报表和分析转发日志到管理服务器供报表和分析基于策略的自定义响应动作基于策略的自定义响应动作智能报警智能报警事件信息事件信息数据库数据库-资产数据资产数据-策略策略 -运行状态运行状态事件数据事件数据管理服务器管理服务器Symantec Critical System Protection21Symantec ConfidentialSCSP入侵检测的工作模式入侵检测的工作模式SCSP
15、一般通过监视系统、事件、安全日志和端口调用来判别是否有攻击发生SCSP一旦发现攻击,会立即作出相应的响应动作,基于主机入侵检测系统提供的响应方式比NIDS的要丰富SCSP还可以通过监视可编辑的文件系统列表、注册表的变化来判别是否有攻击事件发生可以监视、响应针对某台系统的任何存取、修改、配置等动作Symantec Critical System Protection22Symantec ConfidentialSCSP策略,默认按操作系统归类未授权的系统配置更改未授权的管理权限更改及滥用失败登录重要文件未授权访问和更改注册表的更改(针对Windows平台)SCSP的入侵检测功能的入侵检测功能是是
16、基于监控策略基于监控策略,实时监控实时监控Symantec Critical System Protection23Symantec Confidential日志的转发和合并日志的转发和合并日志文件及其归档是完成,准确和可验证的,所以这些日志可用于计算机犯罪的取证调证日志文件被保存在Agent本地,也可以被转发可以设定过滤规则,只转发相关的安全事件到管理服务器在Agent本地的完整日志文件也能通过SSL方式被转发到管理服务器,用于归档日志文件的完整性在日志转发和归档时完成日志文件在被转发到管理服务器时均被压缩每条日志记录都是唯一的,可识别的SCSP的主要功能和特点Symantec Critic
17、al System Protection25Symantec ConfidentialSCSP 5.0 支持的系统平台支持的系统平台PlatformDesktopServerPreventionMonitoringMicrosoft WindowsWindows XPWindows 2000Windows 2000 ServerWindows Server 2003Windows 2000 ServerWindows Server 2003SolarisNot ApplicableSolaris 8 32 and 64-bitSolaris 9 32 and 64-bitSolaris 8 3
18、2 and 64-bitSolaris 9 32 and 64-bitLinuxSuSE Linux ProfessionalSuSE Linux Enterprise Server 8RedHat Enterprise Linux 3.0SuSE Linux Enterprise Server 8RedHat Enterprise Linux 3.0AIXNot ApplicableNot Available this releaseAIX 5L (5.2 and 5.3)HP-UXNot ApplicableNot Available this releaseHP-UX 11 (11.11
19、)HP-UX 11i v2 (11.23)* The management server is currently supported on Windows platform only. Symantec Critical System Protection26Symantec ConfidentialSymantec Critical System Protection 5.0 产品框架Behavior Control AgentsBehavior Control Agents服务器服务器管理服务器管理服务器管理控制端管理控制端HTTPSJDBC代理注册代理注册策略配置策略配置事件记录事件记
20、录策略配置策略配置代理配置代理配置实时监控实时监控用户和角色管理用户和角色管理SQL DataStore配置数据配置数据日志日志运行状态运行状态事件数据事件数据HTTPS产品框架产品框架26Symantec Critical System Protection27Symantec ConfidentialSCSP代理程序代理程序(Behavior Control Agent)功能功能对于系统调用提供内核层的截获分析不用重启就能加载策略验证进程间衍生关系强制贯彻策略缓存溢出保护收集具体日志信息User ApplicationsCore OSServiceCSP Agent文件Named Pipe
21、s注册表 (Win only)网络控制内存 (缓存溢出)操作系统调用设备Behavior Control AgentKernel mode intercept driverWindows 2000/XP/2003, Solaris, LinuxHTTPSWeb, DB, Mail, etc.SCSP管理服务器Symantec Critical System Protection28Symantec Confidential注册表注册表网络网络文件文件只读读-写不能访问所有其它程序所有其它程序操作系统核心功操作系统核心功能应用程序能应用程序明确允许的行为明确允许的行为明确禁止的行为明确禁止的行为
22、程序子程序/进程指令参数用户模块化策略架构模块化策略架构进程集合进程集合进程进程进程绑定的规则进程绑定的规则Behavior Control Descriptions (BCDs)资源资源在维护现有规在维护现有规则的完整性时则的完整性时的新的的新的BCD被被添加添加Symantec Critical System Protection29Symantec Confidential行为控制描述行为控制描述(BCD) 的组件的组件行为控制描述(BCD) 的组件定义的了进程访问系统资源时的权限A BCD 包括如下的资源控制:文件访问注册表访问网络连接 (接受 和 连接)Syscall缓存溢出Syma
23、ntec Critical System Protection30Symantec Confidential行为控制描述行为控制描述 (BCDs):SCSP提供两种类型的行为控制描述(Behavior Control Descriptions BCDs):用于限定服务或应用程序的定制BCDs定义哪些行为是允许的其他所有行为都被限制的比如IIS服务只需要提供最基本的Web服务,不需要调用cmd.exe指令.通用 BCDs定义哪些行为被禁止其他所有行为都不受约束这样可以限定一般程序对于系统关键信息的修改(比如:并不是所有的程序都需要对外网连接)Symantec Critical System Pr
24、otection31Symantec Confidential拦截零日攻击拦截零日攻击有效的入侵防御技术,终止针对系统和应用的不断恶意攻击防止由于没有及时安装补丁引发的可疑代码传入和扩散防止攻击防止攻击 缓存溢出保护应用程序的防护/隔离各个操作系统功能的防护/隔离注册表和文件夹的保护“最小权力” 的贯彻集成的防火墙隔离入埠和出埠通讯Symantec Critical System Protection32Symantec Confidential操作系统加固操作系统加固通过缺省策略锁定操作系统,应用和数据库预防未授权的可执行程序的传入和运行Operating System Protection
25、Microsoft WindowsSUSE LinuxSun SolarisApplication ProtectionMicrosoft Exchange ServerMicrosoft InternetInformation ServerMicrosoft SQL ServerApache Web ServerSendmailPostfixSymantec Critical System Protection33Symantec Confidential预定义的应用程序安全策略,针对交互式程序策略Microsoft OfficeMicrosoft Outlook Internet Expl
26、orer预定义的应用程序安全策略,针对后台服务Microsoft ExchangeIISSQL Serveras well as Sendmail, Apache, and Postfix预定义的审计监控策略预定义的应用程序策略预定义的应用程序策略Symantec Critical System Protection34Symantec Confidential维持策略依从维持策略依从对于交互式程序可以进行强制的行为控制预防由于用户失误引发的意外事件,比如不小心运行的邮件附件对于移动存贮设备采用基于策略的控制,防止机密信息的外泄交互式程序控制交互式程序控制Microsoft Outlook a
27、nd Outlook ExpressMicrosoft Office ProgramsMicrosoft Internet ExplorerI/O 设备管理设备管理预防 U盘 访问预防 CD-ROM 刻录预防没有VPN加密保护的无线连接Symantec Critical System Protection35Symantec Confidential维持策略依从维持策略依从将书面策略付诸行动将书面策略付诸行动策略可以通过开关选项设备选项可以在多个层次设定可以针对某一个具体应用进行控制如图所示:当Outlook打开邮件附件时,将会依照上述选项执行Symantec Critical System
28、Protection36Symantec Confidential减少管理复杂程度减少管理复杂程度单一的管理控制界面进行配置、部署和管理统一的报表和报警功能策略将按照Agent所在的操作系统和应用程序类型自动配置加载采用单一策略采用单一策略:Web, Database, Mail Servers所有的应用程序安全配置相同OS“家族”的各个版本采用简单的选项采用简单的选项:分布式系统的集中控制基于目录的内部用户权限设定允许特定的网络访问控制Symantec Critical System Protection37Symantec ConfidentialIIS 通常有权使用图示中特定的系统资源取
29、消这些选项将限制IIS每个功能模块能访问的资源如果在IIS配置界面上配置,则需要在每台运行IIS的服务器上单独配置.SCSP只需要配置一个策略,应用到每台IIS服务器上管理员只需要通过开关选项目配置安全策略管理员只需要通过开关选项目配置安全策略Symantec Critical System Protection38Symantec ConfidentialSCSP的功能小结的功能小结防止零日攻击防止零日攻击加固系统加固系统维持策略依从维持策略依从减少管理复杂程度减少管理复杂程度减少系统宕机时间降低清除攻击确保业务的持续性不依赖于基于特征的策略附软件提供多种保护策略控制特权用户默认策略即可有效
30、保护系统和各种应用可信的安全系统系统安全策略的强制贯彻SCSP服务器版和客户端版本的采用相同的安全策略跨平台统一管理降低管理员负担附注Symantec Critical System Protection40Symantec ConfidentialSymantec Critical System Protection41Symantec Confidential狙击波病毒特征狙击波病毒特征(W32.zotob.A/B/C/D/E)利用微软于今年8月9日公布的安全漏洞Microsoft Security Bulletin MS05-039Vulnerability in Plug and Pl
31、ay Could Allow Remote Code Execution and Elevation of Privilege (899588)电脑会不断重启中毒电脑主动连接到IRC服务器(),就会通过IRC被病毒传播者控制随机查找B类网址范围的其它可被感染主机修改系统中的hosts文件,将知名防病毒厂商的网址指向127.0.0.1,阻止用户从防病毒网站下载最新的病毒定义码和移除工具.Symantec Critical System Protection42Symantec Confidential通过基于主机的通过基于主机的IPS产品产品,保护关键主机不受病毒影响保护关键主机不受病毒影响SC
32、SP在默认情况,就能保护主机不受狙击波的攻击限制系统服务可以访问的资源(无法向系统目录添加病毒程序)禁止系统服务随意对外建立连接(无法开启后门)禁止系统服务任意修改系统文件(无法修改注册表).Symantec Critical System Protection43Symantec ConfidentialSCSP Protected System针对狙击波的有效防御针对狙击波的有效防御Windows 2000/XP/2003 Kernel文件文件注册表注册表设备设备系统资源系统资源端口端口Plug and Play Service入站连接入站连接 (端口端口 135)连接远程主连接远程主机机
33、 (端口端口 8888)Plug and Play Service运行角本运行角本,下载下载病毒病毒修改注册表键值修改注册表键值在系统目录下添在系统目录下添加病毒文件加病毒文件Plug and Play Service启运后门程序启运后门程序,允许允许被远程操纵被远程操纵尝试感染其它尝试感染其它主机主机内存内存(缓存溢出缓存溢出)Symantec Critical System Protection44Symantec ConfidentialWindows 2000/XP/2003 KernelRPCServiceRPCServiceRPCServiceOpen Backdoor for R
34、emote AccessOpen Connections to Infect OthersSample Exploit: MS BlasterFilesNamed PipesRegistry (Win only)Network ControlMemory (Buffer Overflow)OS CallsDevicesInbound Connect (Port 135)Create Outbound Connect (Port 4444)Run Script to Download FileModify Registry KeysInsert File into Root Directory Symantec Protected SystemSymantec Critical System Protection45Symantec Confidential主机程序主机程序操作系统操作系统服务服务应用程序应用程序服务服务交互式程序交互式程序正常资源访问正常资源访问文件文件注册表注册表网络网络设备设备读/写 数据文件只读的配置信息调用指定的端口及设备每个程序只需要一组受限的资源、访问权限就能完成其正常工作但是很多程序通常有远远超出其工作需要的系统和资源的访问权限漏洞点漏洞点邮件客户端办公软件浏览器邮件网站数据库DNARPCPrint Spooler
