IDP入侵侦测防御秘笈解析大公开
作者:2013/1/25 6:34:16

随着互联网络的飞速发展,网络上的攻击行为越来越多、越来越泛滥,一台刚刚联网的计算机,在几个小时之内就有恶意黑客或蠕虫赶来试图侵入。在传统的入侵防 御战中,一个网络安全管理员要和来自世界各地,成千上万的黑客或恶意代码进行斗争,这样往往使得网络管理员疲于奔命、狼狈不堪。而使用众至UTM后,网络管理员只需少数的几次配置,也许就可以放心地隔岸观火,由IDP系统来对付来自各处的攻击了。

传统UTM设备入侵防御系统

传统的UTM设备采用的是IDS(Intrusion Detection System,入侵侦测系统)或IPS(Intrusion Prevention System,入侵防御系统)防御系统。而这两种防御系统都存在一些缺陷。

IDS入侵侦测系统 (Intrusion Detection System)

IDS 只有 【侦测】的功能,它是侦测网络的封包,是否有不正常或攻击性质的行为发生,一但发现有这样的行为,例如,对你的系统进行通信端口扫描 (Port Scan),它会发出讯息,警告管理者但是却无力阻止攻击者的一切扫描和攻击的行为。

IPS入侵防御系统 (Intrusion Prevention System)

IPS 它会检查对应到OSI 模型第4 7 层的内容,是否有恶意的攻击程序、病毒,隐藏在TCP/IP 的通信协议中。IPS 必须是网关器模式,透过详细的内容检查后,一但发现后能够实时地将封包阻止,让这些穿过防火墙的封包无所遁形。警告防御的一方:有人已经对你的系统进行扫描和攻击。

Sharetech(众至资讯UTM设备入侵防御系统

Sharetech UTM设备采用IDP(Intrusion Detection and Prevention)来作为入侵防御系统。

IDP入侵侦测与实时防御 (Intrusion Detection and Prevention)

IDP 它兼具入侵侦测系统 (IDS)、入侵防御系统 (IPS) 两种功能,它和IDS不同的是,它对于所侦测到的攻击和扫描的行为,具有主动和自动的阻挡功能,并且在阻挡完成后,会告诉防御的一方有人曾经试图对你的系统进行扫描和攻击,但是已经被我 (IDP) 成功阻挡了,所以攻击者没有得逞,并且 IDP 也会告诉你 (防御者) 它所知道的关于这个攻击者的信息,常见的包括 IP 地址、DNS 名称,用哪个 port 连进来的,连到你 (防御者) 的哪个port,发动攻击的日期和时间,攻击者的计算机名称 (就是你用 netstat -a 看到的 你的计算机的名称或是在网络邻居上的名称),攻击者的网卡物理地址 (这是全世界独一无二的你想赖都赖不掉) 

 

ShareTech(众至资讯) UTM 设备IDP 架构与运作简介

IDP入侵侦测防御秘笈解析大公开

 

1Sharetech UTM架构及运作

 

前面已经说明IDP 会做内容或行为检查,所以IDP 的优劣就在于特征值数据库的多少及更新速度,也就是说IDP 的数据库有越多的特征值,意味它能辨识越多不正常的内容或网络行为,但是事情总不是如此完美,越多的检查就需要越强的运算能力,否则好处没尝到,反而付出网络速度缓慢的后果。

一般而言,IDP的特征值数据库会依照危险程度分成高、中、低三种,再让管理者决定放行或阻挡,考虑客户端的实际网络环境及机器的运算能力,在中小型的网络架构的IDP备只需要有完整的危险程度高 (例如,病毒、木马程序)的特征值数据库就足够,其它属于警告或通知性质的检查没必要处理。

ShareTech (众至)UTM系列IDP 的设定及更新

打开IDP 数据库更新页面如下图2所示

IDP入侵侦测防御秘笈解析大公开

 

2 IDP 数据库更新

目前 IDP 可设定自动到IDP 服务器更新特征值数据库,他使用 TCP 80  UDP 53Port 跟服务器沟通。

危险程度分成高、中、低三种,再让管理者决定放行或阻挡的设定就在同一个画面的下方,如下图3所示:

IDP入侵侦测防御秘笈解析大公开

 

3 IDP设定

只要将高危险程度的封包设为 Drop (丢弃),就可以满足大部分的信息安全机制。

IDP 的特征值数据库

众至UTM设备IDP 目前约有 2243 个特征值(这个值随着数据库的更新会增加),分布在几十种的类别中,以木马程序分类为例,大部分都会被归类在高危险类,目前数据库中有280种木马程序,如下图4所示:

IDP入侵侦测防御秘笈解析大公开

 

4 IDP预设特征中的木马特征设定

这个木马程序属于高危险程度的特征值,一旦通过众至UTM系列的网关设备,马上就会被众至UTM拦截,并将封包丢弃。对于中、低危险程度的封包处理,就由管理者决定,以P2P 的行为例,如下图5 所示:

IDP入侵侦测防御秘笈解析大公开

 

5对于中、低危险程度的封包处理

BitTorrent 这个P2P 为例,它是不是个危险行为,每个人的观点都不一样,在众至UTMIDP中就可以定义是否要让他通行或阻挡。

查看IDP记录

   除了实际的阻挡之外,Sharetech UTM IDP也有完整的日志记录功能,如下图6 IDP入侵侦测防御秘笈解析大公开

6IDP日志记录

通过以上日志,管理员可以清楚的知道IDP入侵防御检测情况,能够清楚的看见触发的事件,来源IP、端口,目的IP、端口等信息。

商户名称:上海英宽网络科技有限公司

版权所有©2024 产品网