<4D F736F F F696E74202D FC2B2B3F85FA44AAB49B0BBB4FABB50B977A8BEA874B2CEC2B2A4B6BB50C0B3A5CE2E707074>

Size: px

Start display at page:

Download "<4D6963726F736F667420506F776572506F696E74202D2030325FC2B2B3F85FA44AAB49B0BBB4FABB50B977A8BEA874B2CEC2B2A4B6BB50C0B3A5CE2E707074>"

栓暨
7 years ago
Views:

1 入侵偵測與預防系統簡介與應用蕭翔之講師 BS 7799 LA

2 課程大綱第一章認識入侵偵測與預防系統第二章入侵偵測與預防系統的功能分類偵測技術第三章入侵偵測與預防系統部署架構第四章入侵偵測與預防系統的應用效益第五章結論

3 第一章認識入侵偵測與預防系統 1-1 認識入侵偵測與預防系統 1-2 入侵偵測與預防系統的區別

4 1-1 認識入侵偵測與預防系統

5 入侵偵測系統 (IDS) 入侵偵測 (IDS, Intrusion Detection System) 是指通過對行為安全日誌或稽核資料或其他網路上可以獲得的資訊, 進行研判比對, 然後檢測出資料庫中入侵系統的異常行為或侵入的企圖, 進行入侵偵測的軟體與硬體的組合便是入侵偵測系統

6 常見來自網路上的安全威脅駭客工具破壞公物者 Dos 攻擊機密資料頻寬管理政府機關垃圾信 Spam 安全驗證漏洞病毒特洛伊木馬網路蠕蟲

7 新的攻擊趨勢 : 複合型攻擊手法網路蠕蟲 (Worm) 後門 (Backdoor) 特洛依木馬 (Trojan) 病毒 (Virus) 緩衝區溢位 (Buffer Overflow) 分散式阻絕攻擊 (DDoS)

8 入侵偵測與預防系統入侵偵測與預防系統具監測及防禦的雙重功能, 可即時偵測到攻擊事件的發生, 依照管理人員的設定, 中止或阻絕入侵行為, 包括自動攔截棄置攻擊封包, 並依據設定, 留下攻擊的記錄及通知管理者等連續的應變措施

9 1-2 入侵偵測系統與入侵預防系統的區別

10 入侵偵測系統 (IDS) 根據 SANS(System Administration, Networking and Security) 組織對入侵偵測 (Intrusion Detection) 的定義為 : 偵測不適當不正確或是異常的活動的技術不論任何系統或網路設備, 或多或少都有弱點存在, 只要有人針對弱點撰寫成攻擊程式, 或公告於網路, 就容易成為有心人進行惡意入侵的工具例 :open Source 的 Network Based IDS(snort)

論任何系統或網路設備, 或多或少都有弱點存在, 只要有人針對弱點撰寫成攻擊程式, 或公告

11 入侵偵測系統 (IDS) 的特性歸納 : 消極靜態的守候, 著重事後的判斷及處理偵測不正常之外部入侵行為監測內部使用者的異常行為外部在線式 IDS 防火牆內部在線式 IDS 留下稽核記錄留下稽核記錄

12 入侵偵測系統 (IDS ) 的限制 : 網路監控並提供記錄以供審核及事後追蹤過多的漏報及誤報無法即時防禦監聽模式 (sniffer mode) TCP Reset: 透過防火牆修改規則的方式回應能力有限偽造 IP 位址不提供其他協定的回應處理 Slammer UDP 1434 處理封包之性能有待加強 software

13 IDS 只能監看紀錄攻擊端 IDS 防火牆被攻擊端

14 入侵預防系統 (IPS) 入侵預防系統 (IPS, Intrusion Prevention System) 為 IDS 延伸及功能增強的產品關鍵差異 : 主動防禦及採在線式 (in-line mode) 即時偵測發揮主動防禦功能線速運行 (wire-line speed) 多重回應能力 : 剔除封包中止連線郵件警示交易記錄 IPS 常被當作安全檢查哨, 封包會先在閘道接受基本的過濾,IPS 並不會逐一檢查每個潛在的安全威脅, 而是尋找已知的問題與明顯可疑的行徑

(wire-line speed) 多重回應能力 : 剔除封包中止連線郵件警示交易記錄 IPS 常被當作安全檢查哨,

15 入侵預防系統 (IPS) 的特性歸納 : 較積極閘道樞紐處的守候方式, 著重事件發生的判斷預警和及時處理防火牆被攻擊端攻擊端 IPS 採用在線式 (in-line mode), 於第一時間阻絕攻擊封包

16 入侵預防系統 (IPS) 的缺點傳統性的入侵偵測系統採用監聽方式, 無法有效阻擋攻擊入侵使用艱澀難懂的技術語言, 維護困難建置成本過高誤判率太高, 經常收到錯誤訊息

17 IDS 與 IPS 之比較防禦方式防禦動作入侵偵測系統 (IDS) 被動監聽 Passive sniffer mode 通知防火牆 TCP reset 中斷連線入侵預防系統 (IPS) 主動防禦 Active in-line mode 丟棄惡意封包中斷連線

18 第二章入侵偵測與預防系統功能分類偵測技術 2-1 入侵偵測與預防系統功能 2-2 偵測技術 - 特徵比對異常行為偵測 2-3 入侵偵測與預防系統系統評估與考量

19 2-1 入侵偵測與預防系統功能

20 網路蠕蟲防護的演進病毒垃圾信件防火牆政府機關

21 防火牆的防護有詳細的日誌 (log) 欄位只能監看已發生過的歷史事件似中古時代的城牆及戰壕缺點 : 若敵人來自空中, 防火牆就毫無用武之地

22 為爭取時效及彈性不合法存取網路蠕蟲合法存取

23 入侵偵測與預防系統的功能資料收集過濾出可疑的資料分析可疑的資料內容回報及應變的機制

24 防火牆與入侵預防系統的架構差異主要功能控管層級防毒功能日誌 (log) 取代性防火牆資源控管 Layer 4 無交易日誌 (Traffic Log) 入侵預防系統 ( IPS ) 入侵預防 Layer 7 少部分功能可詳細檢測封包內容入侵預防系統與防火牆兩者需相互搭配以達更佳的安全性

25 防火牆的缺點防火牆只能抵檔外部來的入侵行為防火牆本身可能也存在弱點, 以及其他安全性的設定錯誤即使有防火牆的保護, 合法的使用者仍可能非法的使用系統, 甚至提昇自己的權限防火牆僅能拒絕非法的連線請求, 但是對於入侵者的攻擊行為仍一無所知

26 防火牆的缺點 ( 續 ) 易形成網路上的交通瓶頸防火牆一旦被攻破, 入侵者將可肆無忌憚的為所欲為無法防止內部網路的使用者, 利用其合法的身分作破壞系統的行為無法有效阻止開後門的行為無法有效阻止有心人士利用原作業系統的漏洞, 進行入侵破壞行為

27 防火牆與入侵預防系統 (IPS) 封包資料判讀能力的差異應用層展示層會議層入侵偵測與預防系統傳輸層網路層防火牆資料鏈結層實體層

28 防火牆防火牆相對於入侵預防系統 (IPS) 本質上之限制連接埠號 (port number)& IP 位址判斷無法阻檔 SQL Slammer 網路蠕蟲 SQL Server UDP Port 1434 傳送大量 376 bytes UDP 封包緩衝區溢位 (buffer overflow) 攻擊方式

29 內容過濾的重要性防火牆的職責在於 Internet 進出的存取控制 (AC) 控管防火牆放行的服務政策, 例如 : 病毒惡意程式駭客等防護, 需藉由內容過濾的機制來防止一般的防毒閘道器入侵預防系統 (IPS) 網頁 URL 與電子郵件過濾等產品, 均是用來處理內容過濾的管控避免病毒藉由電子郵件自企業內傳出與防止從 Internet 入侵同樣重要管理者如何有效控管內容的濫用及威脅, 是目前防禦系統重要的一環

30 2-2 偵測技術 - 特徵比對異常行為偵測

31 以資料蒐集型態區分網路型 IDS(NIDS, Network-Based IDS) 以分析網路封包為主事先預警主機型 IDS(HIDS, Host-Based IDS) 例 :Prelude-open Source 以分析日誌 (logs) 為主事後分析應用型 IDS(Application-Based IDS) 使用應用程式交易日誌 (Application Logs) 較易受攻擊

32 根據偵測方式的不同區分誤用偵測 (Misuse Detection) 異常偵測 (Anomaly Detection)

33 誤用偵測 (Misuse Detection) 誤用偵測是將各種已知的入侵模式或攻擊行為特徵建成資料庫, 用來分析比對來源資料是否有這類模式, 若有, 則判斷其為入侵這種偵測方法需要不斷更新新的入侵模式採負面表列此種技術通常適合偵測超級管理者 (root) 權限被入侵系統日誌檔被異動或病毒碼程式植入等攻擊也會因為正常的行為中有攻擊行為特徵, 而被誤解為有攻擊行為

34 異常偵測 (Anomaly Detection) 異常偵測系統會先建立使用者的正常剖繪 (profile ), 定義正常的標準值, 若偵測到某些行為超過該標準值, 則判定有入侵行為發生採正面表列, 規範網路正常行為, 凡不在此正常行為範圍者, 都視為異常常造成誤判而拒絕正常網路連線

35 2-3 入侵偵測與預防系統評估與考量

36 如同防火牆, 入侵偵測與預防系統 (IDS/IPS) 需部署在網路閘道樞紐處, 或重要的網路節點前建議依資產的重要等級進行合宜的配置, 重要主機可採網路型 IDS + 主機型 IDS IDS/IPS 並非萬靈丹, 尚需適當的協同防護 IDS/IPS 若設定得當, 能達成有效率的攔截 / 阻卻的效果閘道樞紐處

37 第三章入侵偵測與預防系統部署架構 3-1 入侵偵測與預防系統部署介紹 3-2 入侵偵測系統分類 - 網路型入侵偵測系統主機型入侵偵測系統應用型入侵偵測系統

38 3-1 入侵偵測與預防系統部署介紹

39 Internet 防火牆 Firewall

40 入侵偵測與預防系統入侵偵測與預防系統 (IDS/IPS), 兼具入侵偵測系統 (IDS) 及入侵預防系統 (IPS) 兩大功能入侵偵測與預防系統要發揮功能, 必須要同時具備 : 深層檢測 (deep packet inspection) 在線式 (in-line mode) 即時偵測 (real-time detection) 主動防禦 (proactive revention) 以及線速運行 (wire-line speed) 等五項關鍵因素

41 3-2 入侵偵測系統部署分類 - 網路型入侵偵測系統主機型入侵偵測系統應用型入侵偵測系統

42 網路型入侵偵測系統網路型入侵偵測系統 (Network IDS, NIDS) 以原始網路封包作為資料來源, 它通常運用網路卡於雜亂模式 (Promiscuous mode) 來偵測及分析所有過往的網路通訊當偵測到駭客行為時,NIDS 可採多種反應方式應對, 各家產品有不同的應對方式, 通常都有提供通知管理者切斷連線或記錄入侵資料作為事後稽核鑑識的證據等

43 NIDS 部署位置及運作狀況防火牆被攻擊端攻擊端 NIDS 直接丟棄攻擊封包

44 網路型入侵偵測系統的優點成本較低可偵測到主機型入侵偵測系統偵測不到的駭客消除入侵證據較困難可偵測到未成功或惡意的入侵攻擊與作業系統無關

45 網路型入侵偵測系統的缺點若網路的型態過大,NIDS 往往會遺失掉許多封包, 無法完全監控網路上所有流通的封包數若要擷取大型網路上的流量並分析, 需要更有效率的 CPU 處理速度, 以及更大的記憶體空間如果封包是已經加密過的,NIDS 就無法調查其中的內容 NIDS 無法偵測是哪一個使用者正在使用該主機

46 主機型入侵偵測系統主機型入侵偵測系統 (HIDS, Host IDS) 只觀察稽核系統日誌檔是否有惡意的行為 HIDS 使用稽核日誌檔技術偵測反應技術 HIDS 在 Window NT 環境下監測系統事件及安全日誌檔 ; 在 UNIX 環境下監測系統日誌防火牆伺服主機安裝 HIDS 攻擊端

47 主機型入侵偵測系統 ( 續 ) 主機型入侵偵測系統較常見的是監測重要的系統檔案或執行檔, 在正常的時間內是否有不正常行為發生, 以採取適當的反應主機

48 主機型入侵偵測系統的優點確定駭客是否成功入侵監測特定主機系統的活動補救網路型入侵偵測系統錯失偵測的入侵事件較適合有加密及網路交換器 (Switch) 的環境即時 (real time) 的偵測與反應不需另外增加硬體設備

49 主機型入侵偵測系統的缺點所有的主機可能安裝不同的作業平台, 這些作業系統各有不同的稽核紀錄檔, 因此必須針對不同主機安裝各種 HIDS HIDS 可能失去作用主機阻絕攻擊 (denial of service) 入侵者得到系統管理者的權限

50 主機型入侵偵測系統的缺點 ( 續 ) HIDS 不能用來監測與掃描主機所在的整個網域, 因為 HIDS 僅能看到經由該主機所接收到的網路封包資訊當 HIDS 在監測狀態時會消耗被監測主機的系統資源, 可能會影響該主機本身的效能

51 NIDS 與 HIDS 之比較不論哪種部署型式, 均常使用入侵比對 (attack signatures) 方法, 來判斷是否為駭客行為主機

52 入侵偵測與預警機制方面 NIDS 會偵測所有的原始網路封包標頭檔 (Header) 以及使用的指令及語法, 以判別是否為駭客行為, 所以能在偵測攻擊行為的同時, 就進行反制作為或提早預警 HIDS 則以檢查系統日誌檔中確實發生的事件 ( 包括檔案存取嘗試加入新的執行檔及嘗試使用某特殊系統服務等 ), 比 NIDS 更精確無誤的衡量駭客是否已經入侵成功, 屬於事後分析

53 環境限制方面 NIDS 可策略性運用來觀察特定網段或含有多種不同電腦主機所在的網路通訊環境, 但不適合有加密及網路交換器 (Switch) 的環境 HIDS 則是安裝在重要的特定主機上, 所以沒有上述之限制

54 應用型入侵偵測系統應用型入侵偵測系統 (Application IDS) 是主機型入侵偵測系統裏的一特別子集相對於應用程式介面的能力, 應用型入侵偵測系統主要分析應用程式裡的程序或活動, 以及偵測非授權或非允許之異常存取的可疑行為

55 第四章入侵偵測與預防系統的應用效益 4-1 應變案例與解決方案 4-2 入侵偵測與預防系統不同於防火牆的防護 4-3 入侵偵測與預防系統建置步驟

56 4-1 應變案例與解決方案

57 應變案例傳統資訊人員遇到攻擊封包, 或病毒於企業內迅速擴散時, 未更新的主機不斷的散佈攻擊封包, 資訊人員必須與時間競爭處理方法是 : 下載漏洞修補程式一台台主機及個人電腦更新升級病毒碼, 更新病毒碼逐條處理網路線路壅塞暫時封閉網段拔網路線打電話向維修廠商諮詢重點 : 這些都是事後亡羊補牢

58 解決方案在各個重要閘道樞紐處建置入侵預防系統在第一時間建立攔截點, 防止攻擊對外散佈可透過各式分析報表及監控儀表, 針對各中毒主機進行修補處理的同時, 網路運行依然正常

59 4-2 入侵偵測與預防系統不同於防火牆的防護

60 部署架構 : 將 IPS 置於企業閘道的入口處, 並切換成在線式 (in-line mode) 模式, 它便能直接將惡意的攻擊封包丟棄但在實務上,IPS 正式上線時, 需要經過一段磨合期, 方能擔當起主動式入侵預防的大任 IPS 需要磨合期的主要原因 : 防止 IPS 誤擋合法的網路封包讓 IPS 依據其所在的網路的流量, 調校各項攻擊觸發的上限讓 IPS 依據其所防護網段的作業環境, 調校所需比對的攻擊特徵項目

61 非等事情發生而是先發制人建議由專人監看, 管理人員需長期對新的攻擊有敏感度管理人員需就效能及效率進行調校在預防系統關閉時, 網路仍然需要暢通圖型化的報表及良好的人機介面具有集中控管的機制有良好的後勤更新及支援

62 4-3 入侵偵測與預防系統建置步驟

63 入侵偵測與預防系統建置步驟第一階段 :IPS 以監看方式運作第二階段 :IPS 以在線式運作, 僅偵測, 不防禦第三階段 :IPS 以在線式運作, 全面偵測全面防禦優點 : 更為嚴謹保守, 並可減少 IPS 誤擋正常封包的機會缺點 : 需要更多的時間才能完成 IPS 的部署建置工作, 若網路的環境十分複雜時, 磨合期會更久

64 第五章結論

65 課程回顧第一章認識入侵偵測與預防系統第二章瞭解入侵偵測與預防系統的功能分類及相關的技術第三章瞭解入侵偵測與預防系統的部署時, 如何能收到事半功倍的效果在第四章瞭解入侵偵測與預防系統的綜合應用效益

66 課程總結入侵偵測與預防系統, 需要經常關心及調校, 遇到新的攻擊手法, 必須進行完整的更新木桶理論管理人員應有膽大心細的防護應變及整體面成效面的思維安全是持續進行的行為, 並非是產品防護在於持續不斷的內部教育訓練防護人員的充實新知入侵偵測與預防系統及企業現有的資安防護協同合作

67 參考資料參考網頁 :

68 課程結束

C6_ppt.PDF

C6_ppt.PDF C01-202 1 2 - (Masquerade) (Replay) (Message Modification) (Denial of Service) - ( ) (Eavesdropping) (Traffic Analysis) 8 1 2 7 3 6 5 4 3 - TCP SYN (SYN flood) Smurf Ping of Death LAND Attack Teardrop