簡介
防火墻是一種主要的周邊安全解決方案。雖然防火墻能夠在網絡級提供訪問控制,但好幾個通信端口都是開放的。借助這些端口,外部用戶能夠與機構內的交換機通信。例如,郵件和Web服務器都要求,外部能夠訪問某些端口。通過這些端口,黑客可以穿過防火墻攻擊服務器,將其作為公司網絡的入口。
入侵檢測系統(IDS)是防火墻的補充解決方案,可以防止網絡基礎設施(路由器、交換機和網絡帶寬)和服務器(操作系統和應用層)受到拒絕服務(DoS)襲擊。由于問題比較復雜,先進的IDS解決方案一般都包含兩個組件:用于保護網絡的IDS(NIDS)和用于保護服務器及其上運行的應用的主機IDS(HIDS)。
最近,思科添加了HIDS組件,對其現有NIDS產品進行了擴展。本文將介紹原有NIDS與新HIDS組件在Cisco IDS解決方案中的結合,并探討整個IDS解決方案應該解決的安全問題。這些問題包括在受到普通襲擊時識別黑客執行的操作,以及主要襲擊技術的分類和介紹。Cisco IDS解決方案注重兩個組件的主要特性。最后,本文還將分析組合解決方案覆蓋的范圍,并探討不同組件相互配合的能力。
襲擊剖析
黑客侵入系統的目的是獲得保密數據,獲得其社會圈子的關注(多次損壞Web站點),或者利用DoS技術損壞站點。DoS襲擊的目標是聯網設備和服務器,目的是阻礙,至少降低,服務器對合法用戶的可用性。 在試圖穿過系統時,黑客一般都會采用安靜而有預謀的方式,步驟如下:
熟悉網絡
熟悉網絡的目的是盡可能了解受害站點。黑客將使用各種網絡映射工具全面了解服務器或設備。確定聯網設備后,還將搜索其端口,以便找到端口上的監督程序。一切都完成之后,黑客將把握地址范圍、網絡上的各種主機以及其上運行的監督程序。
"擁有"系統
這個階段的目標是損壞設備。借助警戒程序,借助監督程序,黑客可以集中精力攻克特定監督程序。他們通過執行易損性評估工具尋找可以利用的漏洞。發現易損性之后,黑客將利用自己編寫的程序或者互聯網上提供的數百種現成"kiddie程序"發起攻擊。利用這些程序,黑客可以在設備執行代碼,某些情況下,還可以將程序上載到受襲設備中。
接下來,黑客將提交其權限和治理訪問權力。借助前面加載的程序,黑客可以利用其它本地易損性獲得訪問權限。假如不能上載程序,他們將通過搜索配置和記錄文件來尋找純文本密碼。他們將執行密碼破解工具,尋找治理帳戶的用戶名和密碼對。最后,黑客將隱藏其蹤跡,使之能秘密侵入設備。在這個階段,黑客"擁有了"設備,并可以繼續尋找他們更加感愛好的信息或其它新目標。
利用信任
入侵的目標之一是確定哪些設備相信受襲機器,并充分利用這種關系。例如,黑客可能安裝竊聽器,尋求與可信方進行通信,獲得以純文本發送的密碼。假設受襲機器是Web服務器,黑客將找到后端數據庫服務器以及用于與數據庫通信的通信程序,并利用它們侵入數據庫服務器。
獲得訪問權限[不使用行話]
接入數據庫后,黑客可以訪問保密數據,例如信用卡及其它客戶記錄,或者對數據進行操作。
"擁有"網絡
下一個步驟是接管企業內的所有易損系統。在這個階段,黑客將完全消除防火墻或加密等障礙。他們可以繼續熟悉網絡,并利用其它薄弱環節。
根據思科安全咨詢小組的統計,黑客完全可能至少擁有75%的網絡。
襲擊技術
襲擊技術可分為三類:網絡襲擊、操作系統(OS)襲擊和應用。
網絡襲擊
網絡襲擊針對通信基礎設施,例如路由器和交換機等聯網設備,或者服務器上的聯網層協議(第3層及以下層次)。侵入路由器之后,黑客一般都能獲得訪問和操作配置設置的權力,因而能影響通信流量的路由。第3層(及以下層次)襲擊多數為DoS襲擊,主要針對服務器的聯網模塊。在這種情況下,目標是破壞服務器,至少要使之出現流量泛濫,從而阻礙用戶與服務器的合法通信。
分布式DoS(Ddos)是一種新的網絡襲擊技術,即多個代理同時向目標發送大量分組。只需借助普通襲擊技術,黑客就可以找到易損機器,進入它們,并安裝DdoS代理。接下來,黑客可以激活正在網絡上傾聽并等待激活命令和目標地址的代理。激活之后,代理將向目標地址發送大量分組,從而達到拒絕訪問目標的目的。
OS襲擊
主流操作系統的設計思想是相同的:它們支持超級用戶概念(UNIX上的根用戶、Microsoft Windows上的治理員)。具有這種權限的用戶可以超越操作系統(OS)規定的安全規程。例如,根用戶可以訪問任何文件或設備,生成用戶,并分配訪問權限。根用戶的存在使OS成為黑客的主要攻擊目標,因為一旦獲得了訪問權限,就可以控制服務器。
獲得訪問權限最有效的技術是利用緩沖器溢出易損性,因為緩沖器溢出非常普遍。例如,50%以上的計算機緊急響應部門(CERT)顧問都碰到過緩沖器溢出易損性問題。 .
借助緩沖器溢出易損性,黑客可以將惡意代碼注入到另一個程序的地址空間,并以受襲程序為掩護執行這個程序。當襲擊過程以治理員的名義執行時,惡意代碼就會執行治理操作。一般情況下,注入的代碼會用某個密碼添加新的權限用戶。這樣,黑客就能獲得以后侵入機器所需的權限帳戶。
應用襲擊
隨著互聯網的發展,出現了幾種流行應用,例如Web服務器、電子郵件服務器和域名系統(DNS)服務器。這些監督程序是最輕易暴露的目標,因為它們一直等待著接收通信信息,而且外部用戶無需通過防火墻就能訪問它們。基于此種原因,黑客非常注重尋找并利用這些應用中的易損點。
首要目標是Web服務器。最近進行的IIS Web服務器調查表明,每個月都會出現若干新易損點。在襲擊Web服務器時,黑客將看似無害的惡意HTTP請求發送到防火墻,在此過程中利用Web服務器中的易損點,進而獲得保密數據,或者在Web服務器上執行其惡意程序。
能夠對Web服務器帶來安全威脅的其它嚴重襲擊是通用網關接口(CGI)程序。CGI程序是在Web上實施用戶應用的主要手段。當Web服務器獲得CGI請求時,將詢問CGI程序,然后向它傳遞相關參數。許多定制應用的實施都不夠完善,缺乏合理的參數輸入檢查。這些原因使黑客得以執行惡意操作,例如獲得保密信息,或者將可執行程序上載到服務器等。
另一個易損監督程序是Berkeley 互聯網名稱域(BIND)DNS程序,它80%以上的UNIX DNS服務器軟件都在互聯網上運行 。DNS是互聯網上的一項主要服務,為用戶提供名稱解析。例如,請用戶請求訪問www.cisco.com 域時,DNS服務器將返回用戶請求的域的ip地址。眾所周知,BIND輕易受到許多遠程襲擊的攻擊,包括緩沖器溢出。雖然人們在多年以前就意識到了這個問題,而且開發了許多補丁程序,但到目前為止,互聯網上仍然有許多BIND服務器都沒有獲得補丁程序,因而很輕易遭到襲擊。
Cisco IDS解決方案
考慮到企業站點非常復雜,襲擊技術多種多樣,黑客數量只增不減,必須采用全面的解決方案才有有效預防黑客的襲擊。這種解決方案應該能對抗多種襲擊技術,并防止在典型襲擊過程中執行惡意操作。由于Cisco IDS解決方案提供包含NIDS和HIDS組件的組合解決方案,因而能滿足這個要求。NIDS主要預防網絡襲擊,HIDS則主要防止服務器遭受OS和應用襲擊。
NIDS檢測器安裝在多個位置上。最重要的位置是防火墻前面,負責監控進入機構的通信信息。另外,每個重要的網段都安裝一個檢測器。HIDS首先部署在面對互聯網的服務器上,例如Web、郵件和DNS服務器。由于面向互聯網的服務器與后端服務器相連,因此,HIDS也部署在公司防火墻內的所有其它主要服務器上。
Cisco IDS網絡檢測器
網絡檢測器能夠為網絡設備及服務器上的通信模塊提供全面保護。其主要特性包括:
積極響應--系統包含對檢測器設備的主動響應功能,用戶只需修改Cisco路由器上的訪問控制表(ACL)就能讓系統自動回避或取消特定連接。回避功能可以臨時啟用,也可以長久保留。其它網絡流量正常流動,只快速、有效地刪除來自內部用戶或外部入侵者的非法流量。這樣,安全操作員就能夠快速終止誤操作,并防止入侵者訪問網絡。 全面檢測網絡襲擊--包括檢測對路由器和交換機的惡意襲擊,檢測面向服務器通信模塊的第3層(或更低層次)襲擊,檢測探聽或映射映射等企圖,例如通常作為實際襲擊前兆的呼叫清除和端口清除。
全面檢測應用襲擊--系統支持多種應用協議,例如HTTP、DNS、文件傳輸協議(FTP)及其它協議。另外,它還能檢測針對易損CGI程序發起的多種通信襲擊。
以獨特的方式預防DoS--檢測DdoS代理與黑客之間的通信,尋找知名的DdoS工具,例如Trin00和Tribe Flood Network(TFN)。
先進的IP分片重裝和"Whisker"反IDS檢測功能支持--許多產品已經能夠預防用于穿越典型NIDS技術的分組分片及其它編碼技巧技術, 但效果都不如Cisco IDS網絡檢測器。
Cisco IDS主機檢測器
主機檢測器能夠為服務器上運行的服務器操作系統和應用提供全面保護。主機檢測器安裝在每臺服務器上,用于保護OS和應用。系統利用呼叫截獲技術提供純主動式服務器安全系統。其主要特性包括:
現場預防OS和應用襲擊--與只有在襲擊成功之后才查看記錄和反應的基于記錄的HIDS不同,主機檢測器能夠在襲擊發生之前在呼叫水平上預防襲擊。
防止緩沖器溢出襲擊--主機檢測器能夠發現注入代碼的執行過程并防止系統受損。兩個主要功能如下:
不斷提高完整性--通過控制對二進制、配置數據及其它系統對象的訪問,主機檢測器能鎖定系統。即使是超級用戶,也無法篡改系統。通過配置,主機檢測器可以不答應修改某些系統設置,以保證設置符合推薦的默認值。這些特性不但能強化服務器操作系統,還能顯著提高系統的完整性。
Web服務器屏蔽--為保護領先的Web服務器(IIS、Apache和I-Planet),服務器檢測器包括非凡屏蔽模塊。這些模塊基于行為模塊,能提供兩種主要特性:
防止安全套接層(SSL)加密的 HTTP襲擊--NIDS不能對用SSL加密的HTTP請求進行解密。利用這個弱點,黑客可以通過對襲擊加密繞過NIDS。加密后的惡意請求能夠靜靜通過NIDS,然后由Web服務器解密并執行,從而成功地利用易損點。另一方面,主機檢測器則與Web服務器相連,能夠在解密后服務前立即截獲請求。假如發現請求是惡意的,請求將被丟棄,而不會發送到Web服務器,這樣就可以預防襲擊。
CiscoWorks VPN/安全治理解決方案(VMS)軟件捆綁件
客戶越來越需要一個能夠治理Cisco VPN和安全基礎設施的軟件包。VMS捆綁件就能滿足這個要求。VMS是思科的旗艦軟件套件,其功能包括:
借助這個捆綁件,用戶可以同時治理 Cisco IDS主機檢測器和Cisco網絡IDS檢測器。
假如想具體了解VMS捆綁件,請訪問:
http://www.cisco.com/warp/public/cc/pd/wr2k/vpmnso/PRodlit/index.sHtml
在VMS捆綁件內,客戶還可以收到有效期為90天的12個評測用IDS主機檢測器代理,包括標準編輯和Web編輯代理。 假如從思科購買了代理許可證,代理的有效期可以順延。
范圍分析
本節將介紹Cisco IDS解決方案的范圍。首先探討遭遇典型襲擊時IDS系統的作用,然后分析各種襲擊技術。
在典型的入侵過程中,各種黑客操作如表1所示。NIDS和HIDS組合在一起能夠提供無重疊覆蓋。對于黑客集中實施DoS攻擊的情況,我們將在后面的網絡襲擊一節中介紹。
惡意操作 NIDS檢測/預防 HIDS 檢測/預防 PING SWEEP 是 - 端口掃描 是 - 利用OS或應用中的易損點在設備上執行程序 某些 是 上載可執行文件 某些 是 從配置和數據文件收集信息 - 是 訪問密碼細分文件 - 是 權限提升 - 是 安裝竊聽器 - 是 安裝根工具 - 是 網絡和DoS/DdoS襲擊的種類如表2所示。網絡檢測器是預防這些襲擊的主要工具。但是,在預防DdoS代理的安裝方面,服務器檢測器很有價值。
襲擊 NIDS 檢測/預防 HIDS檢測/預防 針對路由器和交換機的襲擊 是 - 第3層及以下層次的網絡襲擊 是 - DdoS代理安裝 - 是 DdoS通信 是 - 主機檢測器在保護OS和提高系統完整性方面的主要價值如表3所示。
襲擊/防范措施 NIDS檢測/預防 HIDS檢測/預防 緩沖器溢出 是/專用 是/通用 權限提升 - 是 鎖定系統資源并強化 - 是 配置兼容性 - 是 Cisco IDS能夠預防的其它應用襲擊如表4所示。值得強調的是,它能夠保護Web服務器。網絡檢測器和主機檢測器都能監控HTTP襲擊。系統甚至可以處理SSL加密襲擊。網絡檢測器能夠對薄弱的CGI程序提供保護。不僅如此,主機檢測器內的應用屏蔽組件還能預防未知襲擊,方法是鎖定Web服務器資源,并防止惡意使用Web服務器。網絡檢測器還包括面向互聯網的其它監督程序。
襲擊/防范措施 NIDS檢測/預防 HIDS檢測/預防 HTTP 是 是 CGI 是 - 預防SSL加密的Web襲擊 - 是 DNS 是 某些 FTP 是 某些 為IIS、Apache和Netscape/iPlanet提供Web服務器資源保護 - 是 防止惡意使用IIS、Apache和Netscape/iPlanet 的Web服務器 - 是 結論
上述分析說明了添加主機檢測器、擴展現有Cisco IDS解決方案的必要性,組合系統能夠:
系統還提供獨特的防范功能。在網絡級,回避用于阻止惡意連接。在服務器上,呼叫截獲技術用于監控并在執行前拒絕呼叫,以免受損失。
版權©2001思科系統公司。版權所有。Cisco、Cisco IOS、Cisco Systems和Cisco Systems標記是思科公司和/或其分支機構在美國及某些其它國家的注冊商標。本文或Web站點上提及的所有其它商標歸其各自所有者所有。合作伙伴一詞并不意味著思科與任何其它公司之間有合作伙伴關系。(0106R)
新聞熱點
疑難解答
