教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第七章 入侵偵測防禦系統
第七章 入侵偵測防禦系統 前言 7.1 Detection Technology 7.2 Host-Based Intrusion Detection Systems 7.3 Network-Based Intrusion Detection Systems 7.4 Configure Intrusion Prevention on a Router 隨著網路入侵手法不斷更新,使得網路安全遭受到更嚴厲的挑戰,在目前各種防禦機制中,入侵偵測系統(Intrusion Detection System,簡稱IDS)能偵測出可能的入侵行為,並發出警報通知網管人員,提高系統的防禦能力。 本章先介紹入侵偵測系統的技術與方法,接著說明二種入侵偵測的基本架構: 網路型入侵偵測系統(Network-based IDS,簡稱NIDS)與主機型入侵偵測系統(Host-based IDS,簡稱HIDS) ;最後我們會介紹如何在Router上啟動入侵偵測功能。
7.1 Detection Technology and Techniques 第七章 入侵偵測防禦系統 7.1 Detection Technology and Techniques Intrusion Detection(入侵偵測)的定義為「偵測不適當、不正確或是異常活動的技術」。入侵偵測系統可以補強防火牆不足的功能,一般防火牆只能對某個服務存取進行限制,但是無法偵測通過的封包是否異常。而IDS可以分析通過的封包或系統的日誌檔,並根據所建立好的入侵特徵資料庫作比對,以偵測出異常事件並發出警報。 如左圖所示,入侵偵測系統依照佈署位置及檢查重點的不同,可分為下列兩種: 網路型入侵偵測系統(Network-based Intrusion Detection System,簡稱NIDS),NIDS通常佈署在一個網段(Segment)上,監看及分析流經此網段的網路封包,以偵測出可能帶有入侵行為的封包。 主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱HIDS),HIDS則是佈署在主機或是伺服器上,主要的功能在於分析主機(Host)或是伺服器(Server)上被呼叫或執行的指令,由此偵測出可能帶有惡意的系統呼叫(System Call)指令。 入侵偵測系統佈署之範例
7.1 Detection Technology and Techniques 第七章 入侵偵測防禦系統 7.1 Detection Technology and Techniques 入侵偵測如果依照偵測的技術做分類,則可以分成,錯誤偵測(Misuse-based Detection)與異常偵測(Anomaly-based Detection) 錯誤偵測(如左上圖所示) : 此為最常用於IDS上的偵測方式,它又稱為特徵偵測(Signature-based Detection)」,顧名思義就是系統會先針對入侵特徵建立一個資料庫,只要偵測的封包與資料庫的某個特徵相符,系統就會將它視為入侵。 優點:與異常偵測方式相比,誤報率(False Positive Rate)較低。 缺點:因為未知型態的入侵行為並未建立在特徵資料庫中,故新型態的入侵行為無法偵測出來。 異常偵測(如左下圖所示) : 此方法則是對正常的使用者或網路流量先建立一個描述「正常」行為的行為資料庫,再對通過的封包去做比對,假如超過正常行為的門檻值就可視為異常。 優點:可以偵測未知型態的入侵。 缺點:與錯誤偵測方式相比,誤報率(False Positive Rate)會較高,因為我們很難去正確定義何謂「正常」? 況且使用者的行為也經常在變,導致誤報經常發生。
7.1 Detection Technology and Techniques 第七章 入侵偵測防禦系統 7.1 Detection Technology and Techniques 目前常用來實現IDS的技術(Techniques)大致可分為下列幾種: 專家系統 (Expert System):雇請專家來分析攻擊行為,並將其轉換成系統可用之「攻擊特徵碼」或攻擊規則,IDS便依照此攻擊特徵碼來判斷是否有攻擊發生。 統計分析 (Statistical Measure):此種方式會蒐集網路的歷史封包記錄,建立屬於正常連線或行為的Model,往後只要當網路封包或使用者的流量超過Model所定義的範圍時,將認為發生異常事件或是有入侵行為產生。 類神經網路 (Neural Network):此種方式需先蒐集正常或攻擊的封包,並將這些封包丟給神經網路做訓練(training),讓神經網路學習何為正常,何為攻擊,再將訓練完成的神經網路拿來當做偵測引擎,當神經網路認為是入侵行為時,則發出警報。 資料探勘 (Data Mining):此種方式可在一群正常或是攻擊的封包中,去尋找出最經常出現的正常(或是攻擊)特徵;若是對攻擊封包做探勘,則可以得到此攻擊的攻擊特徵碼。在偵測階段,只要偵測引擎發現封包與攻擊特徵碼相同時,則發出警報。 資料來源:http://www.snort.org/vrt/
7.1 Detection Technology and Techniques 第七章 入侵偵測防禦系統 7.1 Detection Technology and Techniques 在IDS系統中,我們以下列幾個項目來檢視IDS的好壞: 偵測率(Detection Rate):說明此IDS可以承受多少封包流量,但這可以隨著硬體的提升,而增加偵測能力,通常可以用完成判斷(IDS有監控、完成比對)的封包佔所有流經封包的百分比(%)作為評估的標準。 誤報率(False Positive Rate):被判斷成攻擊行為的正常封包(或正常連線),占所有正常封包(正常連線)的百分比(%)。一般來說若採用異常偵測(Anomaly Detection)時,此誤報率會比較高,因為系統有時會將正常行為當做攻擊。 漏報率(False Negative Rate):被判斷成正常行為的攻擊封包(或攻擊連線),占所有攻擊封包(或攻擊連線)的百分比(%) 。一般來說若採用錯誤偵測(Misuse Detection)時,漏報率會比較高,因為系統無法偵測未知的攻擊。
7.2 Host-Based Intrusion Detection System 第七章 入侵偵測防禦系統 7.2 Host-Based Intrusion Detection System 主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱HIDS): 主機式入侵偵測系統發展始於80年代早期,通常只觀察、稽核系統日誌檔是否有惡意的行為,用以防止類似事件再度發生。在Windows NT/2000的環境下,通常可以藉由監測系統、事件及安全日誌檢視器中所記載的內容來加以分析、比對,從中發現出可疑的攻擊行為;在UNIX環境下,則監測系統日誌。當有事件發生時,主機式入侵偵測系統即做入侵行為的比對,若有符合,則由回應模組通知系統管理員,或自動對攻擊行為進行適當的反應。 如左圖所示,現行的主機型 IDS 除了稽核系統紀錄檔以外,也會定時(ref: time trap, event trap)對重要的系統設定檔、執行檔進行計算摘要值 (checksum hash, md5)的比對,以確定重要的檔案未受到惡意的更改。 IDS的反應速度決定於所訂定的檢查頻率、或 event trap產生(例如 open or modify a file)的反應時間。當發現攻擊行為時,可以有結束使用者連線,停止使用者權限等反制動作。 現行的主機型 IDS 也有在特定的 port 上進行網路封包檢查,算是結合主機型與網路型IDS功能的一種方式,而網路型與主機型的功能相互結合是未來IDS 發展的趨勢。 資料來源: http://la-samhna.de/samhain/
7.2 Host-Based Intrusion Detection System 第七章 入侵偵測防禦系統 7.2 Host-Based Intrusion Detection System OpenSource的主機型入侵偵測系統: OSSEC (http://www.ossec.net/) Open HIDS - Windows Host Intrusion Detection System (Http://www.securiteam.com/tools/5HP072AFPK.html) The SAMHAIN file integrity / intrusion detection system (http://la-samhna.de/samhain/) OSIRIS (http://osiris.shmoo.com/index.html) AIDE (http://sourceforge.net/projects/aide) SID (http://sid.sourceforge.net/ ) HIDS的優缺點(與NIDS比較): 對於攻擊事件的影響有較詳盡的紀錄: 因為HIDS是將攻擊者所造成的系統改變紀錄下來,因此可以得知更多關於攻擊者對特定主機入侵事件造成的影響,及更準確的紀錄攻擊行動的成敗。HIDS通常有個別使用者的上線紀錄,重要檔案的增刪、修改紀錄,使用者權限改變的紀錄,使用者連線到哪裡的紀錄,系統對外開啟的 port 紀錄等等細項紀錄資訊,都是NIDS很難做到的。 點對點連線的防護: 目前有許多的點對點連線因為採取加密處理,而無法在NIDS上做到完全的檢查,此時就可以在HIDS上對連線資料做稽核檢察。 不需另外新增主機硬體: HIDS只需要在主機上另外安裝新的軟體,而不像NIDS需要另外新增主機硬體設備。 左圖所示為可從其網站下載的各種主機型入侵偵測系統,以下小節將介紹 OSSEC主機型入侵偵測系統。
7.2 Host-Based Intrusion Detection System 第七章 入侵偵測防禦系統 7.2 Host-Based Intrusion Detection System OSSEC HIDS是一個開放原始碼的主機型入侵偵測系統。 OSSEC HIDS所提供的功能如下所示: Log的分析與關聯 檔案完整性的查核 可偵測rootkit Active Response Windows Integration Nmap Integration 參考資料: http://www.ossec.net/main/downloads/
7.2 Host-Based Intrusion Detection System 第七章 入侵偵測防禦系統 7.2 Host-Based Intrusion Detection System OSSEC HIDS佈署方式可分為 針對單一台主機進行監控(如左上圖所示,Stand-alone模式):只需要在欲監控的主機上安裝OSSEC HIDS即可。 同時對幾台主機進行監控(如下圖所示,Server-Agent模式) :需要先選出一台主機當OSSEC server,其他的主機則成為OSSEC agent,這也成為OSSEC HIDS的最大優點,比起其他HIDS更具有延展性與擴充性。管理者可以由一台OSSEC server對多個OSSEC agent進行監控。 參考資料 http://www.ossec.net/ossec-docs/ossec-hids_oahmet_eng.pdf Stand - alone Server - Agent
7.2 Host-Based Intrusion Detection System 第七章 入侵偵測防禦系統 7.2 Host-Based Intrusion Detection System OSSEC Rule Library Log的分析與關聯 (ossec-logcollector模組) Rule採用XML的格式記錄,其提供的rule library如左圖所示 Time based Alerting 大量的規則資料庫 有支援的log檔 Syslog Apache Squid Snort-full / Snort-fast Windows Eventlog / IIS Log (OSSEC Agent only) 檔案完整性的查核(ossec-syscheckd模組):提供SHA-1或MD5來對檔案的權限、擁有人、大小進行check sum的記錄,並且可設定定時進行查核。 可偵測rootkit (ossec-syscheckd模組) Rootkit/特洛依木馬偵測 (signature and anomaly based) 系統處理程序的控管 通訊連接埠的控管
7.2 Host-Based Intrusion Detection System 第七章 入侵偵測防禦系統 7.2 Host-Based Intrusion Detection System OSSEC Architecture Active Response (ossec-execd模組) firewall-drop iptables ipfilter ipfw aix-ipsec host-deny disable-account 與Windows進行整合,但Windows OS上只能安裝OSSEC Agent,其整合後可監控的部份包含 Event Log 檔案完整性 Windows註冊表 IIS Log Web/Ftp/SMTP Log 左圖說明當只要監控單一台host時只需安裝OSSEC Local模組,若要同時監控多台hosts則需要採用OSSEC Server與OSSEC Agent的組合,在Server與Agent的連線通道可以是明文訊息傳送,也可以是加密訊息,若要監控沒有安裝Agent的host時,可以設定該host啟動事件紀錄功能,並定時分析log檔。 參考資料 http://www.ossec.net/ossec-docs/OSSEC-Presentation-mw.swf
7.3 Network-Based Intrusion Detection Systems 第七章 入侵偵測防禦系統 7.3 Network-Based Intrusion Detection Systems 網路型入侵偵測系統(Network-based Intrusion Detection System,簡稱NIDS): 網路型入侵偵測系統收集網路封包作為入侵偵測的資料來源,若NIDS安裝在主機上,需將主機的網路卡設定為“promiscuous mode”(混亂模式)來收集所有過往的網路封包,以進行偵測及分析。一般的檢測方式都會檢查網路封包內的標頭(headers)及部份資料內容,從中判定是否包含駭客行為,若偵測到有攻擊行為的同時, NIDS就可進行反制動作或提早預警。 NIDS可以在網路的必經節點上收集所有封包,並即時將這些封包加以分析比對,比如分析封包 header 的資料時,可以偵測到如source route、out of band、fragmented packet (teardrop)、same source and destination ip addresses, port numbers (land)等攻擊,在分析封包內容時,可以偵測到如木馬程式的特定指令、如含有 shellcode 的攻擊程式、含有特定 cgi/php/asp 程式漏洞的特殊指令。 以下所列為NIDS的分析比對模組用來執行攻擊特徵比對的方法: 特殊的位元組、模式比對。 事件發生頻率,及頻率是否超過所設的門檻值。 可疑事件的關聯性。 統計結果上的異常例外數值。 佈置網路型入侵偵測系統之示意圖
7.3 Network-Based Intrusion Detection Systems 第七章 入侵偵測防禦系統 7.3 Network-Based Intrusion Detection Systems OpenSource的網路型入侵偵測系統: Firestorm (http://www.scaramanga.co.uk/firestorm/) BRO (http://bro-ids.org/) Snort (http://www.snort.org) SHADOW (http://www.nswc.navy.mil/ISSEC/CID/) Shoki (http://shoki.sourceforge.net/) SPADE (http://freshmeat.net/projects/spade/) NIDS的優缺點(與HIDS比較): 集中佈署於一網路節點: NIDS只需設置在一網路的必經節點上不須設置於網路上的每一台主機,在管理和成本的考量上都是較理想的。但若只靠NIDS則需要冒較高的風險,(如:無法監看有加密的點對點連線) 攻擊者進行攻擊後會留下封包證據:因為網路型 IDS所採取的是即時的收集封包,攻擊者要抹滅曾進行的攻擊證據是有困難度的;但是在主機型IDS上的紀錄檔或是稽核檔案,有可能會被攻擊者入侵後修改,造成HIDS失效。 但是IP Spoofing的問題會造成NIDS難以找出真正的攻擊者。 即時反應:因為NIDS所採取的是即時收集封包,即時進行反制,可以在第一時間通知、反應,避免給與攻擊者過多時間進行攻擊行動。比如當一個惡意的tcp連線被偵測到時,NIDS可以隨即送出一個tcp reset封包以截斷這個連線。而HIDS因為是採定時檢查的方式,較易遭受到阻斷攻擊而導致主機當機、無法繼續運作。 較大的彈性空間: NIDS可以選擇佈署在防火牆外部,這點是HIDS無法做到的;NIDS佈署在防火牆外部的好處是無論成功通過防火牆或被防火牆擋下的攻擊封包,都會被NIDS偵測、紀錄下來,以獲得更多關於攻擊者的資訊。除此之外,NIDS 也不需要像HIDS要考慮到主機平台是否支援此 HIDS的因素。 匿蹤、隱形的能力: 相對於HIDS,NIDS 可以不設定網路介面的位址(IP address),也就是達到隱形於網路,同時又能收集所有網路封包的資訊;而HIDS可能就是攻擊者的攻擊目標之一,攻擊者可能針對HIDS 重要的檔案進行移除或更改 。
7.3 Network-Based Intrusion Detection Systems 第七章 入侵偵測防禦系統 7.3 Network-Based Intrusion Detection Systems Snort為一開放原始碼的NIDS,並採用錯誤偵測(Misuse detection)的方式,其架構如左圖所示,Snort有一封包擷取的模組(Sniffer module),負責線上(On-line)即時擷取網路封包,並將擷取到的封包資料送給Snort的入侵偵測器(Snort Detection Engine);入侵偵測器會即時將該封包的特徵與Snort的偵測規則(Snort Rule)作比對,若發現該封包特徵符合某規則時,則依據該規則上的設定做出警報(Alert)、記錄(Log)或通過(Pass)等動作。 Snort主要提供了三個操作模式,分別為: 封包擷取模式(Sniffer mode):顯示目前網路上所有封包資料。 封包記錄模式(Packet Logger mode):記錄目前網路上封包資料。 網路入侵偵測模式(Network Intrusion Detecting mode):依據Snort的偵測規則,比對網路封包,當有入侵封包時則發出警報。 Snort 系統架構示意圖
7.3 Network-Based Intrusion Detection Systems 第七章 入侵偵測防禦系統 7.3 Network-Based Intrusion Detection Systems Snort Detection Rules:snort官方網站上會持續更新各種不同snort版本的detection rules,但是snort2.4、2.5已經停止更新,此二版的最後一次更新皆為2007年9月11日,目前最新的snort版本為2.8.0.2。 如左圖所示,Snort 會針對使用者的權限提供不同的detection rules,他們將使用者分成三種: Subscriber:可以取得最新最即時更新的rules Registered:能取得更新時間超過30天的rules Unregistered:只能得到幾個較重要的rules Snort的Detection Rules是由Sourcefire Vulnerability Research Team在維護,這是由一群入侵偵測與防禦的專家所組成,他們會定時去發現(discover)、評估/分析(assess)與回報(response)最新的入侵行為與各種弱點,並且製作相對應的測偵規則(detection rules)。 參考資料:http://www.snort.org/pub-bin/downloads.cgi
7.3 Network-Based Intrusion Detection Systems 第七章 入侵偵測防禦系統 7.3 Network-Based Intrusion Detection Systems 在Snort官方網站下載的2.4版detection rules (2007/09/11)包含50個rules檔,其壓縮檔中包含一個Snort.conf,裡面預設會使用的rules檔如左圖所示,有36項。 下列13個rules檔Snort預設是不使用,但管理者若需要使用時,可自行設定啟用。 web-attacks.rules backdoor.rules shellcode.rules policy.rules porn.rules info.rules icmp-info.rules virus.rules chat.rules multimedia.rules p2p.rules spyware-put.rules specific-threats.rules local.rules tftp.rules misc.rules bad-traffic.rules web-cgi.rules attack-responses.rules exploit.rules web-coldfusion.rules oracle.rules scan.rules web-iis.rules mysql.rules finger.rules web-frontpage.rules snmp.rules ftp.rules web-misc.rules smtp.rules telnet.rules web-client.rules imap.rules rpc.rules web-php.rules pop2.rules rservices.rules sql.rules pop3.rules dos.rules x11.rules nntp.rules ddos.rules icmp.rules other-ids.rules dns.rules netbios.rules experimental.rules Snort預設的detection rules
7.3 Network-Based Intrusion Detection Systems 第七章 入侵偵測防禦系統 7.3 Network-Based Intrusion Detection Systems 如下圖所示,Snort Detection Rules的格式可分為二個部份,規則表頭(Rule header)與規則功能選項(Rule Option)。 Snort規則表頭(Rule header)包含五個欄位: 規則作用(Rule Action):規定被偵測的封包符合此規則時,系統所要採取的動作。例如: 警報(alert):發出警報。 記錄(log):記錄封包資料。 通過(pass):讓該封包通過。 活動(activate):啟動一個動態規則。 動態(dynamic):一般為關閉狀態,當被某活動規則啟動後才有作用。 規則通訊協定(Protocol):規定被偵測的封包為tcp、udp、icmp 或 ip通訊協定的封包。 IP1 and Port1:存放IP位置和埠值,此欄位的IP位置可用CIDR mask表示,若不限定特定值時以any表示。 傳輸方向(Direction Operator):規定被偵測的封包是由IP1傳送到IP2(->)、或是由IP2傳送到IP1(<-)、或是IP1與IP2雙向傳送(<>)。 IP2 and Port2:存放IP位置和埠值。 至於規則功能(Rule Option),Snort提供了相當多的選項,以下列出幾個常用的選項: 封包內容樣本(content):偵測封包內容是否符合本欄位所定義之值。 訊息(message):當有封包滿足該規則且規則作用是發出警報或記錄時,所要列印出的訊息。 規則編號(sid):偵測規則的編號。 封包內容長度(dsize):偵測封包內容的長度是否符合本欄位所定義之值,單位為Byte。 旗號(flags):偵測封包的TCP表頭Flag欄位資料。 Snort Detection Rules的格式
7.4 Configure Intrusion Prevention on a Router 第七章 入侵偵測防禦系統 7.4 Configure Intrusion Prevention on a Router 在某些Cisco router的IOS中,有提供in-line Intrusion Prevention System (IPS)的功能,如左圖所示,讓路由器在轉送封包之前,能夠監看流經的封包是否帶有入侵行為,以即時的對可疑的封包進行處理。 Cisco IOS IPS目前支援超過740組的入侵特徵碼,並且可以讓管理者執行路由器上資料庫入侵特徵碼的更新與替換,以偵測新型的攻擊。 Cisco IOS in-line IPS除了能夠對流經的封包封包做檢測以外,也可以對一個會談(session)進行檢測。管理者可以針對各個特徵碼設定IPS需要執行的反制動作,通常IPS偵測到封包行為與某入侵特徵碼相符時,可以執行下列的反制動作: 讓router進行封包丟棄(Drop)的動作。 對此可疑的session進行連線中斷(Reset Connection)。 配合syslog或是其它安全裝置(例如Security Device Event Exchange,簡稱SDEE) 發出警報。 路由器執行入侵偵測之示意圖
7.4 Configure Intrusion Prevention on a Router 第七章 入侵偵測防禦系統 7.4 Configure Intrusion Prevention on a Router RouterP> enable Password: password RouterP# configure terminal RouterP(config)# RouterP(config)# ip ips sdf builtin RouterP(config)# ip ips name SECURIPS RouterP(config)# interface fastEthernet 0/1 RouterP(config-if)# ip ips SECURIPS in RouterP(config-if)# exit 在Cisco路由器上設定執行IPS功能的步驟如下: 載入IPS用來檢查封包是否有入侵行為的特徵定義檔(Signature Definition File,簡稱SDF) 使用Syslog或SDEE來存放log 驗證IPS的設定是否正確。 載入IPS會使用的特徵檔(如左圖所示): 先進入Global Configuration模式。 使用ip ips sdf builtin指令將IOS預設(built-in)的SDF檔載入,做為執行IPS用來判斷入侵的依據。 接著用ip ips name SECURIPS 將這個IPS命名為SECURIPS。 假設此IPS要用來監控所有流進路由器上FastEthernet 0/1界面的封包,使用interface fastEthernet 0/1進入interface的設定模式。 再用ip ips SECURIPS in指令,將這名為SECURIPS的ips掛載在fastEthernet 0/1的界面上,監控所有流進此界面的封包。 在Cisco 路由器設定IPS之範例
7.4 Configure Intrusion Prevention on a Router 第七章 入侵偵測防禦系統 7.4 Configure Intrusion Prevention on a Router RouterP(config)# logging 10.0.1.12 RouterP(config)# logging trap warnings RouterP(config)# logging on RouterP(config)# ^Z 使用Syslog或SDEE來存放log(如左圖所示): 假設有一台主機,其IP位址為10.0.1.12,已經安裝好成為Syslog server等相關軟體(如http://www.kiwisyslog.com/ kiwi syslog daemon),負責接收log資訊;管理者可以進入路由器的Global configure mode下輸入 logging 10.0.1.12指令,設定路由器的Syslog server其IP位址為10.0.1.12,之後當路由器上的IPS有偵測出異常封包時,皆會發送訊息到10.0.1.12的Syslog server上。 管理者可以透過logging trap指令設定當發生事件的等級(level)在那一個層次之上才需要產生log的訊息送給Syslog server;左圖的例子設定為logging trap warnings,表示當發生事件的level大於4(warnings)時,路由器才會發送log訊息。 接著使用logging on指令啟動路由器上的log機制。 在Cisco 路由器設定SysLog Server之範例
7.4 Configure Intrusion Prevention on a Router 第七章 入侵偵測防禦系統 7.4 Configure Intrusion Prevention on a Router 驗證IPS的設定是否正確(如左圖所示): 管理者可以用show ip ips configuration指令,來觀看ips的設定是否正確。 show ip ips configuration會顯示下列資訊: SDF的位置,左圖的例子SDF是採用built-in,因此畫面上configured SDF Locations會是none 。 此SDF被載入的時間。 IPS fail closed的執行狀態,左圖的例子是沒有啟動IPS fail closed的功能,IPS fail closed若有啟用的話,表示在IPS正式運作之前,任何經過此router的封包都會被drop。 事件通知的執行狀態,左圖的例子是啟動syslog的方法來執行事件通知。 SDF中啟用/未啟用的Signature個數,左圖的例子啟用/未啟用的Signature個數分別為132個/0個。 指出此router中有哪些IPS Rules,其名稱為何,左圖的例子顯示IPS Rules名稱為SECURIPS。 指出此router中有哪些Interfaces有被設定執行IPS功能。 路由器執行show ip ips configuration指令的畫面
7.4 Configure Intrusion Prevention on a Router 第七章 入侵偵測防禦系統 7.4 Configure Intrusion Prevention on a Router show flash RouterP# copy tftp://10.0.P.12/attack-drop.sdf flash: attack -drop.sdf RouterP# configure terminal RouterP(config)# ip ips name SECURIPS RouterP(config)# ip ips sdf location flash:attack-drop.sdf RouterP# show ip ips configuration 特徵定義檔(SDF)也可以使用TFTP從其它主機載入,稱為非built-in SDF檔,以下簡述載入非built-in SDF檔的方式: 首先管理者可以用show flash指令,來觀看路由器的IOS是否存有SDF檔。 接著管理者可以在路由器上輸入copy tftp://10.0.1.12/attack-drop.sdf flash:attack-drop.sdf指令將主機(其IP位址為10.0.1.12)上的sdf檔存至路由器的flash。 接著管理者進入Global Configure mode,輸入ip ips name SECURIPS指令。 接著管理者可以決定路由器上的IPS要用哪個sdf檔作為入侵偵測的依據,如左圖所示,管理者輸入ip ips sdf location flash:attack-drop.sdf 指令,讓此IPS使用剛剛存到flash中的attack-drop.sdf檔做為入侵偵測的特徵碼。 在Cisco 路由器載入非built-in SDF檔
7.4 Configure Intrusion Prevention on a Router 第七章 入侵偵測防禦系統 7.4 Configure Intrusion Prevention on a Router RouterP# copy flash:attack-drop.sdf ips-sdf RouterP# copy ips-sdf flash:my-signatures.sdf RouterP(config)# ip ips sdf location flash:my-signatures.sdf 將下載的SDF檔與路由器內建built-in SDF檔整合的方式: 假設Router的flash中已存在之前下載的SDF檔, 稱為attack-drop.sdf。 如左圖所示,管理者可以在路由器上輸入copy flash:attack-drop.sdf ips-sdf指令將之前下載的attack-drop.sdf整合到內建的sdf。 接著管理者可以用copy ips-sdf flash:my-signatures.sdf指令,將整合好的sdf檔存在flash中,並且命名為my-signatures.sdf。 最後管理者使用整合過後的my-signatures.sdf作為路由器IPS入侵偵測的依據,管理者輸入ip ips sdf location flash:my-signatures.sdf指令,讓此IPS使用剛剛整合好並存放在flash中的my-signatures.sdf檔做為入侵偵測的特徵碼。 在Cisco 路由器整合兩個 SDF檔
第七章 入侵偵測防禦系統 總結 入侵偵測系統依照佈署位置的不同,可分為網路型入侵偵測系統(Network-based Intrusion Detection System,簡稱NIDS)與主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱HIDS);依照其偵測的技術做分類,則可以分成錯誤偵測(Misuse-based Detection)與異常偵測(Anomaly-based Detection),每一做法皆有其優缺點,管理者必需依據企業的需求來決定要使用哪一種系統。 本章介紹一套HIDS:OSSEC,與一套NIDS:Snort,二者皆為OpenSource之入侵偵測系統。OSSEC可佈署在一台或多台主機上,主要是觀察主機上的各種Log資訊來偵測攻擊行為;而Snort則是觀察整個網段上的封包(Packets)。此二套系統,均需定期更新detection rules,以降低被駭客入侵而無人發現之可能性。 入侵偵測防禦系統不單單只能裝在主機上,也可以在網路設備上執行。例如:某些Cisco router的IOS,有提供Intrusion Prevention System (IPS)的功能,除了能夠監看流經的封包是否帶有入侵行為外,也能夠即時的對可疑封包進行處理,7.4節介紹如何啟動網路設備router執行IPS功能的相關設定。
第七章 入侵偵測防禦系統 參考資料 SAMHAIN Lab, http://www.la-samhna.de/samhain/. OSSEC, http://www.ossec.net/. Open HIDS - Windows Host Intrusion Detection System, Http://www.securiteam.com/ tools/5HP072AFPK.html. Snort, http://www.snort.org/vrt. BASE project, http://sourceforge.net/projects/secureideas. Analysis Console for Intrusion Databases (ACID), http://acidlab.sourceforge.net/. BRO, http://bro-ids.org/. Cisco IOS Intrusion Prevention System, CISCO, http://www.conft.com/en/US/docs/ios/12_3t /12_3t8/feature/guide/gt_fwids.html. Wuu, L.C., Hung, C.H., and Chen, S.F., 2007, "Building Intrusion Pattern Miner for Snort Network Intrusion Detection System", Journal of Systems and Software, 80, pp 1699-1715. 伍麗樵,陳少鋒,”在 Snort 網路型入侵偵測系統上建立入侵樣本探勘器 “。 資通安全資訊網,http://ics.stpi.org.tw/。 資安人科技網,http://www.isecutech.com.tw/。 資安之眼,http://www.itis.tw/。