Download
1 / 65
650 likes | 731 Views
設定 IDS. 為了徹底發揮 IDS 的功效,因此必須事先完成許多規劃動作。 在建立合適的政策之前,必須先獲取資訊、執行必要的管理。 即便是更加複雜的系統,也必須建立、驗證、測試才能發展政策。. 建立 IDS 政策的步驟如下:. 1. 定義 IDS 的目標。 2. 選擇監視的目標。 3. 選擇回應的方式。 4. 設定門檻。 5. 建置政策。. 定義 IDS 的目標. IDS 的目標可做為 IDS 政策的需求。可能的目標如下: 可偵測的攻擊類型。 可防範的攻擊類型。 偵測違反政策的情況。 落實使用政策。 落實連線政策。 收集證據。. 攻擊識別.
E N D
設定IDS • 為了徹底發揮IDS的功效,因此必須事先完成許多規劃動作。 • 在建立合適的政策之前,必須先獲取資訊、執行必要的管理。 • 即便是更加複雜的系統,也必須建立、驗證、測試才能發展政策。
建立IDS政策的步驟如下: 1.定義IDS的目標。 2.選擇監視的目標。 3.選擇回應的方式。 4.設定門檻。 5.建置政策。
定義IDS的目標 • IDS的目標可做為IDS政策的需求。可能的目標如下: • 可偵測的攻擊類型。 • 可防範的攻擊類型。 • 偵測違反政策的情況。 • 落實使用政策。 • 落實連線政策。 • 收集證據。
攻擊識別 • 攻擊識別是IDS最常見的用途。 • IDS可以用來找尋可能代表攻擊行為的特定事件類型。 • 大部分的攻擊特徵並不容易辨識。 • HIDS可能會發生 - 在短時間之內,單一帳號連續嘗試登入失敗的規則。 • 識別這種攻擊類型的唯一方法,就是蒐集每一個系統的記錄,並進行關連式交叉分析。 • 如果HIDS可以關聯交叉分析各個系統的記錄,就有可能識別出這種攻擊類型。
監視政策 • 設定成監視政策的IDS,就是追蹤各種行為是否符合公司政策。 • NIDS也可以用來檢查路由器或防火牆的組態設定。
落實政策 • 需要進一步地組態設定監視政策。 • 在落實政策方面,需要將IDS設定成 - 偵測到違反政策的時候必須採用的行動。 • 在『監視政策』的範例中,落實政策IDS不僅可以辨識嘗試連線到網站黑名單的連線需求,也可採取防止連線的動作。
事件應變 • 在確認事件之後,IDS會變成最有價值的工具。 • 雖然IDS可以做為確認事故的起因,但在確認事件之後,IDS可以成為收集證據和記錄證據的工具。 • 在扮演這種角色的時候,NIDS或許可以設定成找尋某些特定的連線,並提完整流量的記錄。 • HIDS或許可以設定成留存目標系統上,特定帳號所有記錄入口的記錄。
選擇監視的目標 • 選擇監視的目標,是依據IDS希望達成的目標和IDS可以發揮功效的環境而定。 • 配置IDS的另外一種選擇,就是配置在防火牆上,單純用來監視成功入侵防火牆的流量。 • 在這種情況下,可能無法確認外送的流量(詳見圖13-3)。
在選擇監視的目標之後,接著就可以配置偵測器。在選擇監視的目標之後,接著就可以配置偵測器。 • 偵測器可以配置在防火牆的外部、內部網路、機密系統,或用來收集、處理記錄檔案的系統上。 • 關鍵的部分就是在決定配置IDS偵測器的時候,偵測器必須能夠看到例如網路流量或記錄入口等特定事件。 • 如果偵測不到可以通過防火牆的事件時,那麼也不適合將偵測器配置在防火牆的內部。 • 如果只有Windows NT網路的主要網域控制器會登載特定的事件時,就應該在主要網域控制器安裝HIDS軟體,甚至如果攻擊者可能實際找到網路某處的工作站時,該工作站也應該要安裝HIDS偵測器。
何時需要配置NIDS偵測器,也是另一種需要考量的重點。何時需要配置NIDS偵測器,也是另一種需要考量的重點。 • 網路使用交換式集線器時,且NIDS偵測器只能連接到交換式集線器的連接埠,那麼NIDS偵測器也就無法發揮功效。 • 交換式集線只會將偵測器本身的流量,傳送到偵測器連接的連接埠。 • 在交換式網路的情況下,使用交換式集線器的監視連接埠或網路分配器的其中一種,就成了NIDS偵測器的配置方式。
圖13-4顯現這兩種配置方式的組態。 • 利用監視連接埠可能會和網路管理員發生衝突,這是因為這個連接埠一般都是做為網路的移難排解用途。 • 許多交換式集線器只允許一次監視一個連接埠(某些製造商稱為跨接『spanning』)。 • 一般都不會允許監視交換式集線器的骨幹線路。 • 交換式集線器的骨幹可能每秒傳送幾個GB(gigabit,1024MB)的流量,但是NIDS卻利用100BaseT(每秒100MB)連線,所以可能無法正常運作。
類似這樣的連線方式都可能會妨礙NIDS傳輸資訊,最後也將會導致連線終止,所以一般來說盡可能不要採用這種組態。類似這樣的連線方式都可能會妨礙NIDS傳輸資訊,最後也將會導致連線終止,所以一般來說盡可能不要採用這種組態。 • 分配器是一種介於兩個設備之間的線路(例如路由器和交換式集線器之間的線路)被動式連線方式。 • 分配器和NIDS偵測器會連線到同一部媒體共享式集線器。這樣就可以允許偵測器監視流量。
13-2-3 選擇回應的方式 • 就像選擇監視目標一樣,也是依據希望IDS達成的目標來選擇回應方式。 • 當事件發生同時,可以選擇被動式回應(不會直接回應攻擊者的行為)或主動式回應(直接回應攻擊者的行為)。 • 被動式回應並非表示默許持續發生事件,而是選擇IDS本身不要直接回應事件的處理方式。 • 選擇自動回應或是人工控制回應時,也必須謹慎地斟酌。
被動回應 • 在偵測到入侵的行為時,最常見的就是被動式回應的行為類型。 • 原因非常簡單:因為被動式回應比較不會中斷合法流量,而且也是最容易達到完全自動化的方式。 • 被動式回應採取的動作,多半都是進一步收集資訊,且在必要的情況下通知有權採取回應行為的人。
迴避: • 迴避或忽略已經嘗試過的攻擊,是現今最常見的回應方式。 • 比較複雜的IDS也可以採取這種回應方式。IDS可以設定成忽略專門攻擊不存在的服務,或是攻擊非常牢靠的防火牆。 • 迴避攻擊一個絕佳的理由,就是系統不會受到特定攻擊類型的影響。
記錄登載: • 當發生任何事件時,可以協助收集更多可用於分析的細節,或可協助判定後續回應決策的資訊。 • 記錄登載的動作也是屬於被動式回應的處理方式。 • 利用擷取基本資訊的方式(IP位址、日期和時間、事件的類型、程序識別碼、使用者識別碼等),IDS才能夠判定未來是否對某些事件需要多加注意。
額外的記錄登載: • 更牢靠的被動式回應可以收集到更多關於事件的資訊。 • 這種回應類型的另外一種選擇就是專屬的記錄伺服器。 • 組織或許會有多部分佈在網路上的記錄登載系統,而且在事件確認之後才會啟用。 • 這些專用的記錄伺服器將會取得事件的細節,接著隔絕原始的流量。 • 如果是屬於法律行動可以接受的事件時,記錄伺服器也將扮演著提供證據的角色。
通報: • 在偵測到事件之後,IDS可以進一步地通知某些處理事件的相關人員。 • 通報的形式非常多,包含螢幕閃爍、警鈴大作、傳送電子郵件,或簡訊等。 • 依據事件的情況和IDS的組態設定方式,會產生適用不同情況的事件通報方式。 • 透過網路流量傳送通報,會讓攻擊者察覺到IDS的存在。 • 雖然簡訊(除非超出衛星的涵蓋範圍)具有即時性,但卻無法提供充足的資訊,供負責的人員採取相關處理措施,因此負責人員仍然需要察看IDS的相關記錄。 • 如果透過電子郵件傳送IDS通報,如果短時間之內發生大量事件時時,可能也會導致電子郵件系統或簡訊系統發生問題。
主動回應 • 主動式回應可以快速對事件採取行動,有效降低事件的影響程度。 • 如果沒有仔細考量縝密的行動和測試規則,主動式回應可能會影響或阻斷合法使用者使用服務。 • 終止連線、交談或程序: • 或許最容易瞭解的回應行動就是直接終止事件。利用駭客正在使用的連線(只有正透過TCP連線的事件)、終止使用者的交談或終止導致問題的程序,這些都是可以用來終止連線的方法。
透過事件內容的調查,可以準確地判斷終止連線的實體。透過事件內容的調查,可以準確地判斷終止連線的實體。 • 如果程序使用過多系統的資源時,最簡單的方式就是停止程序。 • 如果使用者嘗試存取特定的弱點或不應該存取的檔案時,終止使用者的交談也許是最恰當的方式。 • 如果攻擊者嘗試利用網路連線找出系統的弱點時,終止連線也許是最恰當的方式。
重新設定網路組態: • 假設許多人正從特定的IP位址嘗試取得公司系統的存取權,或許就可以假設這是來自特定IP位址的攻擊行為。 • 重新設定防火牆或路由器的組態可能也是非常適當的方式。 • 重新設定的組態可以是永久性或暫時性,這些決定都應該依據特定的IP位址和公司的營運政策而定(商業夥伴的連線可能會終止幾天,也可能對組織的生產力造成嚴重的衝擊)。 • 新的過濾器或規則可能會造成禁止特定問題站台的連線,或只有禁止再度連線到特定的連接埠。
詐騙: • 詐騙是最困難的回應類型。詐騙是讓攻擊者誤以為已經攻擊成功,而且自己的行為仍未被發現。 • 蜂蜜罐(honey pot)是最著名的一種詐騙回應。 • 蜂蜜罐會讓攻擊者對其他物件或系統產生莫大的吸引力,因而將目標對準特定系統或物件。 • 攻擊者的所有行為不但受到嚴密監視,且一舉一動都已經被記錄下來。 • 蜂蜜罐裡面的所有資訊都是假的,但是看起來就像是站台最重要的物件。
自動化vs.自動回應 • 當特定事件發生時,自動化回應是一套預先設定的執行動作。 • 這種回應的方式,通常都是透過文件化的程序,在確認特定的觸發條件之後採取的一連串回應動作。 • 回應的動作可以是被動式回應也可以是主動式回應,且可能是人工控制或電腦控制的回應方式。 • 如果是屬於電腦自動化控制,完全不需要人工介入,這種方式也可以稱為自動化回應。 • 建立自動化回應模式,稍有不慎也很容易造成網路流量大亂。
13-2-4 設定門檻 • 設定門檻可以防止發生誤報事件,因此可以用來強化IDS的整體效能。 • 門檻也可以過濾蓄意事件和意外事件。 • 偵測攻擊的偵測器或蒐集資訊的事件門檻,也不應設定得過低。 • 選擇適當的IDS門檻,完全是依據事件的類型和可能違反政策的事件而定,而且也不可能訂出一套通盤考量的門檻。
門檻的參數如下: • 使用者專業能力:使用者造成的錯誤數量過多,可能導致過多的假警報。 • 網路速度:網路速度過慢會導致在一段時間之內,應該要出現的特定封包但是卻沒有出現,因而產生了假警報。 • 應該要產生的網路連線:如果將IDS設定成需要對特定網路連線發出警報時,但是卻經常發這類網路連線,就會產生過多的假警報。 • 管理員/安全幕僚的工作量:如果安全幕僚的工作量過高,可能需要將門檻調高,才能減少假警報的發生率。
誤報的影響:如果誤報率過高會造成嚴重的影響時,可能需要將門檻調高,才能減少假警報的發生率。誤報的影響:如果誤報率過高會造成嚴重的影響時,可能需要將門檻調高,才能減少假警報的發生率。 • 漏報的影響:相反的,如果已經發生嚴重漏報(或錯失事件)的情形,這也表示設定的門檻過低。 • 偵測器的敏感度:如果偵測器的敏感度過高,可能需要將門檻調高,才能減少假警報的發生率。
安全計畫的效能:如果組織的安全計畫效能非常高,因為網路上還有其他防禦措施,所以可能可以接受IDS忽略掉的某些攻擊。安全計畫的效能:如果組織的安全計畫效能非常高,因為網路上還有其他防禦措施,所以可能可以接受IDS忽略掉的某些攻擊。 • 現有的弱點:如果網路上沒有任何弱點時,也就不需發出攻擊警報。 • 系統和資訊的敏感度:如果組織的系統和資訊相當敏感,門檻就應該調得更低。 • 每個組織的門檻都不相同,因此只能提供一般性的指導綱要,而每個組織必須依據現實情況設定自己的門檻參數。 。
13-2-5 系統建置 • 實際建置IDS政策時,必須依據組織本身的政策審慎規劃。 • 請記住所需的IDS政策是依據現實世界的實務經驗和測試而訂定(期望值)。 • IDS的設定不夠恰當,會嚴重地影響到管理非常良好的網路。 • 在IDS政策制訂完成之時,也應該要計算過初始的門檻設定值,在以最終的政策配置IDS之時,最好不要含有任何主動式量測。 • 在一段時間之後,應該要仔細審查IDS並評估門檻。如此,即可獲得不會嚴重影響網路流量或電腦存取的最佳實戰經驗。 • 在IDS的試用或導入期間,應該審慎地評估IDS所提供的資訊謹慎地執行。
13-3 管理IDS • 入侵偵測並不是一個新的概念。 • 直到最近為止,市面上才開始出現許多商業化的入侵偵測商品。 • 在組織決定建置IDS之前(不論是商業版或免費版),都必須清楚地瞭解到計畫的最終目標。 • 適當地設定和管理都會影響到IDS的功效等級,但是這樣的結果會比花費更多時間防範入侵的效果來得好(建立良好的安全計畫)。
如果已經建置了IDS,必須投入適當的資源才能成功地完成計劃。如果已經建置了IDS,必須投入適當的資源才能成功地完成計劃。 • 如果全天候監視攻擊是IDS的目標時,幕僚人員也必須全天候待命和回應。 • 系統管理員需要和安全幕僚通力合作,並判斷攻擊是否成功。 • 如果發生攻擊成功的情形,也必須決定該如何處理。
13-3-1 瞭解IDS可以提供的資訊 • 入侵偵測系統只能依據設定值提出回報的資訊。 • IDS的組態設定含有兩項重要的元素: • 系統內含的攻擊特徵 • 管理員已經確認並感到興趣的任何額外事件。這些項目可能包含某些特定類型的流量或記錄訊息。 • 在預設的程式化特徵方面,系統的供應商或製造商已經提供這些事件的重要說明,但是組織可能對這些重要事件的觀點會有所不同。
組織應該要適當地調整某些特徵的預設優先權,或是刪除不符組織需求的特徵。組織應該要適當地調整某些特徵的預設優先權,或是刪除不符組織需求的特徵。 • 假設已經適當地設定過IDS,IDS將會提供下列四種事件的相關資訊: • 勘查事件 • 攻擊事件 • 違反政策 • 可疑或無法解釋的事件
勘查事件 • 勘查事件是攻擊者嘗試取得系統的資訊,或是實際攻擊的前兆。 • 這些事件可以區分成下列五種範圍: • 秘密掃瞄 • 連接埠掃瞄 • 特洛依木馬掃瞄 • 弱點掃瞄 • 窺探檔案 • 勘查事件是攻擊者嘗試取得系統相關的資訊。
秘密掃瞄: • 秘密掃瞄是企圖找出網路上現有的系統,並利用某些方式避免自己的來源位址被確認。但是卻可以避兔自己的來源位址被確認出來。 • NIDS偵測器會將這類掃瞄行為視為IP half scan或IP stealth scan,而且它們的目標通常都是大量的IP位址。 • 這類掃瞄行為的回應方式即為確認來源位址,並告知來源位址的系統擁有人,他們的系統可能已經遭到侵害。
連接埠掃瞄: • 連接埠掃瞄是用來確認系統提供的網路服務類型。 • 如果在短時間之內,掃瞄單一系統已經開啟的連接埠(依據設定的門檻),IDS就會將這種行為視為連接埠掃瞄。 • NIDS偵測器和某些HIDS偵測器,都會識別連接埠掃瞄的行為並回報。 • 這種掃瞄類型的回應方式,和秘密掃瞄的回應方式相同。
特洛依木馬掃瞄: • 目前仍然存在著許多特洛依木馬程式,且NIDSs也擁有確認這些程式的特徵。 • 通常都只能利用封包的目標連接埠確認特洛依木馬程式的流量,而且也會產生許多誤報的情況。 • 在特洛依木馬事件的案例中,多半都是調查來源流量的連接埠。 • 最常見的特洛依木馬掃瞄的類型之一就是BackOrifice。BackOrifice使用連接埠31337,且攻擊者經常都會利用這個連接埠掃瞄某些位址範圍。
BackOrifice主控台也同樣含有自動化執行『ping host』功能。 • 除非這些行為是發自系統內部,否則也不需過於憂心這類行為。 • 這類掃瞄行為的回應方式也是確認來源位址,並告知來源位址的系統擁有人,他們的系統可能已經遭到侵害。
弱點掃瞄: • 弱點掃瞄會導致NIDS發現大量不同的攻擊特徵。 • 這類掃瞄多半是針對現有的少數系統,目前已經很少見到大量的系統弱點掃瞄。 • 不太容易區分出管理員測試或駭客發動的弱點掃瞄(在許多情況下,他們使用相同的工具程式)。 • 在任何案例中,掃瞄本身不太可能侵害系統,不過駭客在完成弱點掃瞄之後,就會知道系統含有哪些弱點。
窺探檔案: • 內部使用者經常都會執行窺探檔案或測試檔案的許可權。 • 使用者企圖找出哪些是可以存取的檔案,哪些是可以控制的檔案。 • 如果系統已經登載過嘗試未獲授權的存取時,HIDS偵測器才能確認這種窺探檔案的行為。 • 一般來說,單一事件多半是正常的錯誤,不過如果發現某種型態時,就應該要判斷是否確實是使用者本人所為。
攻擊: • 攻擊事件是一種需要快速回應的事件。 • 理論上來說,如果已經被找到內部的已知弱點時,那麼也應該將IDS確認特定事件的優先權等級設定成最高。 • 應該要立即建立事故的回程程序。 • IDS無法區分實際攻擊和類似攻擊行為的弱點掃瞄,這兩者之間的差異性。 • IDS管理員必須依據IDS提供的資訊,評估確切屬於攻擊行為的真實性。
管理員的首要工作,就是找尋這類事件的發生數量。管理員的首要工作,就是找尋這類事件的發生數量。 • 如果短時間之內針對相同的系統發生不同類型的攻擊特徵,可能僅止於弱點掃瞄而不是真正的攻擊。 • 如果是偵測到針對單一或多系統的單一攻擊特徵,很可能就是真正的攻擊。
違反政策 • 大多數IDS系統擁有下列事件的特徵: • 檔案共享(Gnutella、Kazaa等) • 即時傳訊 • telnet交談 • 『r』命令(rlogin、rsh、rexec) • 這些流量類型多半都是違反組織的政策。 • 對組織而言,這類違反政策的類型會比攻擊來得危險。
在大多數的情況下,經常都會發生這類事件。原因是因為 - 提供檔案設定成共享或系統設定成允許使用rlogin。 • 組織如何回應違反政策的事件,都是取決於組織的政策和程序。 • 在最低的限度之下,都應該告知系統管理員或個人組織的政策和程序。
可疑事件 • 如果無法將特定事件歸納到任何事件範圍之中,即可將特定事件歸納成可疑事件。 • 可疑事件就是IDS無法瞭解的事件。 • 內部網路也有可能出現預期之外的可疑流量。 • 桌上型電腦系統向其他系統要求SNMP查詢資訊時,也可能發生可疑事件。
13-3-2 調查可疑事件 • 當發生可疑事件時,可以利用下列四種步驟來判斷是屬於嘗試入侵、已經入侵,或是良性的行為: • 1.確認系統 • 2.登載來源和目標之間的額外流量 • 3.登載所有來源位址的流量 • 4.登載來源位址的封包內容 • 在追查可疑事件之時,必須謹記 - 如果事件僅僅發生過一次且沒有重複發生時,將會難以得知額外的資訊(除了流量的來源),而且也不容易深入調查單一突發事件。
步驟1:確認系統 • 追查可疑事件的首要步驟就是確認涉入的系統。 • 利用IP位址和主機名稱即可得知。 • 如果DNS搜尋失敗,也應該透過如American Registry of Internet Numbers(ARIN,網址:http://www.arin.net/)、Internic(網址:http://www.networksolutions.com/)或其他Internet目錄,嘗試找尋並確認主機。 • Sam Spade(網址:http://samspade.org/)工具程式也是很有用的工具。
