IDP解决方案.docx

IDP解决方案.docx

《IDP解决方案.docx》由会员分享，可在线阅读，更多相关《IDP解决方案.docx（28页珍藏版）》请在冰豆网上搜索。

IDP解决方案

XXX

应用网站安全保护建议

一、背景资料

XXX应用网站承担…

目前，网站没有设置基本的保护…

二、面临的挑战及应对建议

近两年来，来自每一个方面的资料显示出一个非常明显的结论，企业网络受到的内外威胁，尤其是导致网络和应用系统瘫痪的恶性事件，大部分来自于应用层的攻击，例如病毒、蠕虫和黑客攻击。

如何解决来自应用层威胁的问题，已经成了每一个需要实施网络安全系统的用户首先必须考虑解决的问题。

传统的网络防火墙主要解决：

（1）网络二到四层的攻击和威胁问题；

（2）安全区域的划分和隔离；（3）地址转换（NAT）；等问题。

虽然有部分厂商的防火墙引入了应用层检测技术（目前最常用和成熟的技术是DI------深层检测技术），但是受产品原型设计技术和硬件平台性能的限制，在相当长的一段时间内，防火墙产品还不能完全承担应用层的检测和保护重担，而且最终的产品功能还是要在应用层增加独立的防护系统。

（以下的比较表格可以了解）。

面对目前最为头痛和急需应付的应用层威胁问题，应用网站应该在网络应用模式允许的情况下，在保证二到四层的防护基本具备的前提下，首先考虑实施应用层的保护系统，建议选用目前业内最为成熟的应用层保护系统—Juniper公司的IDP产品。

三、应用层保护系统的选择

保护应用网站的关键是在网站的出入口实施相应的应用层网络安全控制系统，该系统在网络的出入口最大可能地实现：

（1）拦截对网站构成严重威胁的恶意访问（包括未授权访问）；

（2）防止拒绝服务（DoS）攻击；

（3）遏制和隔离病毒/蠕虫等恶意流量的攻击；

（4）识别和拦截应用攻击；

（5）防止非善意的网络侦察；

（6）监控进出网站的访问和流量；

（7）迅速定位来自内部的恶意流量源和未授权访问发起点。

1、应用层保护系统应该具备的技术和条件

根据网站应用层保护系统（或俗称应用层防火墙）需要实现的目标，无论从功能上或技术上，应用层保护系统应该具备以下一些条件：

（1）可以解读、分析网络层和应用层形态的网络流量数据包，使之具备检查应用层数据的基本能力，同时也可以分析网络层数据；

（2）针对应用层数据报特征的多种检测技术——多重检测技术：

数据包状态签名技术和及时的更新提供

应用层协议异常检查技术

网络数据流量异常检查技术

后门检测技术

网络蜜罐引诱（反侦察）技术

网络哄骗检测技术

第二层攻击检测技术

同步泛洪检测技术

混合式攻击检测技术

（3）可以不断更新和数量足够多的应用数据匹配特征库，并且提供客户化的匹配特征用户定制能力；

（4）优化的策略设置功能，强大的事件跟踪和记录功能，为使用者提供完善的分析数据和报告。

2、选择JuniperIDP

无论从应用的要求、产品和功能的成熟程度，或者是技术先进性的角度考虑，选择Juniper网络公司的IDP作为网站的保护系统是最为合适的选择。

理由之一：

Juniper公司的IDP在业界内有多个“第一”，如下：

1st–Securitydevicethatdetectsandpreventsattackbydroppingmaliciouspackets

1st–Multi-MethodDetection（MMD）maximizesattackdetectionwithinasingleproduct

1st–StatefulSignatureDetection（SSD）lookforattacksinrelevanttraffictoreducefalsealarms

1st–Centralized,Rule-basedManagementforanIntrusionDetectionSolution

1st–SupportofAllInstantMessagingProtocolstoProtecttheNetworkfromPotentialExploits

理由之二：

JuniperIDP在所有同类产品的竞争对手中，是最为用户接受的产品，因此也就拥有最多的用户，如下第三方的统计报告结果：

JuniperNetworks–1stintermsofunitsshipped（Source:

Infonetics,8/04）

在过去的一个季度，全球用户购买使用的每100台攻击防护系统中，有37台来自Juniper公司的IDP。

理由之三：

IDP在保护应用网站方面，具有传统防火墙不可比拟的优势，如下表：

比较项

IDP

防火墙

说明

工作模式

4种

3种

工作OSI层次

2～7层

2～4层

signature是否开放式

是

否

开放模式的signature允许客户查看、修改并触发响应方式

signature允许客户定制

是

否

客户可以根据自己的需求来定制Signature

可集中管理

是

否

IDPManager可以管理10台以上IDP

管理模式

3层

1层

网络实时监控能力

强

一般

IDP可以解读100种应用层协议，并且有很强的日志记录功能，在做网络保护同时，是一个非常理想的网络实时监控和事件收集系统

报表

多、丰富

少

signature定义的准确性

高

低

IDP的context定义有100种以上的选项，而FireWall只有20来种

signature的数目

>2000

<1000

检测技术

8+1种

2种

P2P及时协议的检测

全部

部分

FireWall只能关闭相应的端口

高可用性－HA

是

是

高可用性－Cluster

是

否

可多台IDP集群

安全响应级别

5级

3级

Action

9种

2种

IDP:

None,Ignore,DropPacket,DropConnection,CloseClient&Server,CloseClient,CloseServer,Relay,Passive

NetworkHoneyPot

是

否

　网络蜜罐，提供反侦察能力

常见攻击的防御

已知－CodeRed

是

是

未知的七层攻击

是

否

缓冲区溢出

是

部分

后门式攻击

是

否

Reconnaissance-nmap

是

是

ScriptKiddies-TelnetRoot

是

部分

假冒IP

9种Action

屏蔽IPAddress

DOS攻击

是

部分

理由之四：

JuniperIDP与防火墙相比较（即便是增加了DI功能的防火墙），有足够多的针对应用层的匹配比对特征数量，而且用户可以因应应用要求自定义特征，因此对于已知特征的攻击或是未知的攻击，IDP的防御效率远远超过防火墙。

下表是IDP与对付应用层威胁能力最好的、带DI功能的防火墙，在应付攻击特征种类和数量方面的比较。

协议/攻击特征种类

攻击特征匹配数量

DI防火墙

IDP

应用定制

1

54

聊天室：

AIM/ICQ/MSN/Yahoo/IRC

11

99

数据库定制

1

55

DNS

24

73

DOS

10

54

FTP

49

84

HTTP

246

623

IMAP

14

31

MS-RPC

25

46

NETBIOS

37

60

P2P

30

68

POP3

88

123

SCAN

4

230

ShellCode

6

68

SMB

23

50

SMTP

91

201

特洛伊木马程序

5

297

Virus

38

>98

VoIP

2

6

蠕虫

26

>61

CHARGEN

0

2

DHCP

0

29

DISCARD

0

2

DDoS

0

37

ECHO

0

4

FINGER

0

17

Gopher

0

10

ICMP

0

17

IDENT

0

11

IKE

0

10

IP

0

13

LDAP

0

76

LPR

0

37

MISC

0

2

NFS

0

25

NNTP

0

8

NTP

0

29

OS

0

14

PortMapper

0

13

Radius

0

20

REXEC

0

6

RLOGIN

0

11

RPC

0

25

RSH

0

10

RTSP

0

7

RUSERS

0

16

SNMP

0

84

SNMPTrap

0

24

SSH

0

21

SSL

0

28

Syslog

0

15

TCP

0

75

TELNET

0

46

TFTP

0

21

VNC

0

31

WHOIS

0

4

X11

0

1

（累计）

731

>3182

理由之五：

JuniperIDP为用户提供强大的网络监控和记录功能，使用户能够及时了解网络状况，如访问流量、所使用的协议等等信息（详细见附件）。

附件：

IDP产品简介

Juniper网络公司入侵检测和防护（Juniper网络公司IDP）解决方案可提供在线攻击防护功能来防止蠕虫、病毒和特洛伊。

Juniper网络公司IDP采用了多种检测方法和强大的签名定制功能，可以有效地识别并阻止您网络中的攻击，从而最大限度地缩短处理入侵的时间并降低成本。

Juniper网络公司IDP集成了应用程序和网络档案来为管理员提供网络活动的最新评估结果，帮助他们避免一般IDS/IPS解决方案试运行和错误部署过程中存在的不确定性因素。

Juniper网络公司IDP使您可以快速而自信地部署在线攻击防护功能。

在线部署时，Juniper网络公司IDP可以在网络和应用级攻击造成任何损坏之前有效地识别并阻止这些攻击，从而最大限度地缩短处理入侵的时间并降低成本。

网络中出现攻击时，Juniper网络公司IDP可以提供强大的攻击报告和分析功能来加快攻击检测流程，从而最大限度地降低攻击对您的网络的危害。

Juniper网络公司IDP不仅可以帮助您保护网络免受攻击，而且可以为IT人员提供有关在他们不知情的情况下添加到网络中的恶意服务器和应用的信息。

掌握了这些信息，IT人员就可以通过修改安全策略来有效地保护网络。

Juniper网络公司IDP可以提供以下功能：

网络和应用级流量数据的按需视图；

内置工具，可在攻击的任何阶段连接相关数据点；

使用同一个产品，以便迅速采取措施来防止或控制攻击

Juniper网络公司IDP采用一种基于规则的管理方法来进行控制，从而部署先进的攻击防护功能来检测攻击并防止它们影响网络。

利用Juniper网络公司IDP，IT部门就可以轻松地解决以下问题。

存在的问题

Juniper网络公司IDP解决方案

由于缺乏网络和应用级活动的全面反馈信息，管理人员无法部署在线防护功能，而攻击防护解决方案是以嗅探器模式或被动模式部署的，削弱了解决方案的优势。

Juniper网络公司IDP可通过EnterpriseSecurityProfiler（ESP）加快在线防护功能的部署。

ESP是Juniper网络公司IDP中的一个模块，可以提供任何其它解决方案都无法比拟的网络和应用级数据视图。

借助详尽的应需网络和应用级数据视图，管理员就可以迅速了解网络中发生的情况，然后使用Juniper网络公司IDP基于规则的管理GUI来将这些数据转换为全面的网络安全策略。

其它解决方案不能提供同样详尽的信息，因此您很难以在线防护模式部署这些解决方案。

由于需要过滤成千上万条让人费解的日志记录，攻击调查工作变得十分费时费力。

Juniper网络公司IDP可以加快攻击和事件调查，阻止或防止攻击扩散到整个网络中。

Juniper网络公司IDP使IT小组可以通过ESP来深入了解网络和应用级数据，同时连接这些数据，然后立即采取措施来防止攻击。

在IT部门不知情的情况下，恶意的应用和服务器被添加到网络中，从而造成了潜在的安全漏洞。

通过提供所部署应用及其位置的相关数据，Juniper网络公司IDPESP可以帮助完成应用更新。

掌握了这些信息，IT管理员就可以积极主动地为各应用分配更新优先级，以防止形成潜在的安全漏洞。

IDP功能特点

Juniper网络公司IDP通过在攻击发生时丢弃恶意流量和连接来提供真正的攻击防护，从而可防止攻击到达目标系统。

这样，管理员不必调查攻击是否威胁主机的安全，或者为恢复受攻击的网络而支付高额成本。

Juniper网络公司IDP作为带内设备可提供真正的防护

Juniper网络公司IDP可以作为主动的带内设备部署，用于监控所有的流量，并确定入侵攻击。

如果发现入侵或攻击，IDP可提供了多种响应机制来生成告警或者丢弃恶意流量和连接。

如想丢弃恶意流量从而最大程度降低攻击影响、以及降低由安全性破坏所带来的相关成本，唯一的方法就是将Juniper网络公司IDP用作带内设备来运行。

被动响应不能保护网络

某些解决方案通过被动式设备向其它设备发送信号来抵御攻击，例如通过TCP重启或者向防火墙发送信号来试图阻止攻击。

被动响应不能抵御攻击的发生，因为这种响应是在攻击到达被攻击对象以后才采取的措施，除非能够在检测过程中阻止攻击，同时对攻击进行调查并解决损失。

TCP重启

TCP重启是发送给受攻击牵连的客户机和/或服务器的命令，要求它们终止连接。

但发送重启命令的时延发生在检测到攻击之后，这将使攻击能够到达被攻击对象。

除了攻击已经到达被攻击对象之外，只有10%的重启命令能够运行。

TCP重启命令只有在攻击到达被攻击对象时，IDS能够确定攻击序列号的情况下才起作用。

检测到攻击后，只知道攻击的当前序列号（32,000字节窗口的开始）。

要想让重启命令起作用，IDS需要在攻击到达被攻击对象前向其发送正确的序列号。

IDS必须从不断变化的32,000字节窗口（任何特定TCP会话有4,000,000,000字节）中找出序列号。

窗口变化的速度由客户机（攻击者）控制，并影响另一个设备重启连接。

从根本上讲，如果攻击者不希望重启命令起作用，它就会以很快的速度发送大量流量。

即使有响应机制来跟踪连接的速度，攻击者仍可以改变攻击的传输速度，以使这种响应机制失效。

防火墙信令

防火墙信令向接入控制设备（如防火墙或路由器）发送信号，以限制后来与攻击者IP地址的所有通信。

这种响应机制引入了时延，检测设备将向接入控制设备发送"限制来自这一IP地址的所有未来流量"的消息。

此外，时延发生在攻击被检测到之后，这将使攻击能够到达被攻击对象。

这种响应机制的目的只是尝试阻止未来的攻击。

除了攻击已经到达被攻击对象之外，根据攻击的源IP地址来阻止未来的连接，将会引发拒绝服务攻击。

拒绝服务攻击所产生的后果非常严重，甚至可能比最初的攻击更为严重。

攻击者需要做的是，在攻击过程中使用或骗取业务合作伙伴、客户或服务提供商（如AOL）的IP地址，然后当该IP地址被限制时，合法的流量也被禁止接入网络，因此造成拒绝服务的局面。

Juniper网络公司IDP响应机制

为了确保企业能够有效控制并灵活地处理系统的行为，IDP提供了多种响应机制。

采用这些响应机制，管理员能够确定何时生成告警、发生电子邮件告警、生成SNMP陷阱，最重要的是，丢弃恶意流量和连接。

下表概括了IDP所支持的响应机制。

行动

说明

丢弃连接

攻击对网络或系统产生危害之前丢弃连接。

关闭连接

通过向客户机和服务器发送消息来关闭连接。

会话包记录

获取触发'告警'的数据包。

窗口选项允许触发前和触发后的数据包作为连接的一部分来进行记录。

会话总结

获取会话开始、结束和总体统计数据。

电子邮件

向一个或多个收件人发送电子邮件消息。

可提供附件选项。

定制

采取定制的行动，例如生成由管理员定义的SNMP陷阱

日志记录

记录连接，用于未来的辨认调查。

IDP入侵检测和防护系统-攻击检测

当前，复杂的攻击以不同的方式出现在不同的客户环境中。

Juniper网络公司IDP先进的攻击防护和定制功能有助于准确地检测攻击，并阻止其攻击网络，以避免产生损失。

Juniper网络公司IDP先进的攻击防护功能具有以下特点：

多种检测方法，包括复合签名、状态签名、协议异常以及后门检测。

开放式签名格式允许管理员查看攻击字符串如何匹配攻击签名，并根据需求对签名进行编辑。

这种理解和定制级别允许管理员定制攻击签名，以满足独特的攻击要求。

全面的签名定制通过提供更高的控制能力，以适应签名的特定要求，从而增强检测独特攻击的能力。

o复合签名：

能够将状态签名和协议异常结合到单个攻击对象中，以检测单个会话中的复杂攻击，从而提高检测速度。

o400多个定制参数和Perl式的常规表达式：

能够定制签名或创建完全定制的签名。

多重方法攻击检测

Juniper网络公司的多重方法检测技术（MMD™）将多种检测机制结合到单一产品中，以实现全面的检测。

由于不同的攻击类型要求采用不同的识别方法，因此，仅使用几种检测方法的产品不能检测出所有类型的攻击。

Juniper网络公司IDP采用多重方法检测技术能够最大限度地检测出各种攻击类型，确保不会遗漏关键的威胁。

MMD中采用的检测方法包括：

机制

说明

状态签名

仅检测相关流量中的已知攻击模式

协议异常

检测未知或经过修改的攻击方式。

后门检测

检测XX的交互式后门流量。

流量异常

检测包含多个会话和连接的攻击。

网络陷阱

检测模仿网络资源并跟踪对其进行攻击的攻击者。

第2层检测

检测第2层（ARP）攻击。

DOS检测

检测特定的拒绝服务攻击。

欺骗检测

检测IP欺骗攻击。

复合签名

将状态签名和协议异常结合在一起，检测单个会话中的复杂攻击。

状态签名检测

某些攻击可以采用攻击签名进行识别，在网络流量中可以发现这种攻击模式。

状态签名设计用于大幅度提高检测性能，并减少目前市场上基于签名的入侵检测系统的错误告警。

Juniper网络公司IDP跟踪连接状态，并且仅在可能发生攻击的相关流量部分来查找攻击模式。

传统的基于签名的入侵检测系统在流量流的任意部分寻找攻击模式，从而导致较高的错误告警几率。

例如，要确定某人是否尝试以根用户身份登录服务器，传统的基于签名的IDS会在传输中出现"根"字样时随时发送告警，导致错误告警的产生。

Juniper网络公司IDP采用状态签名检测方法，仅在登录序列中查找字符串"根"，这种方法可准确地检测出攻击。

Juniper网络公司IDP的所有签名都可通过简单的图形用户界面来接入，因此可以容易地了解系统在监控流量的哪一部分。

此外，开放式签名格式和签名编辑器可用于迅速修改或添加签名。

这两种功能使用户能够确定对其环境的重要部分，并确保系统也能够识别出这个重要部分。

以SendmailWiz攻击为例。

该攻击尝试获取SMTP服务器的根接入权限。

要发起攻击，攻击者将启动SMTP连接，并在控制连接过程中发送"wiz"。

入侵检测系统需要识别"wiz"模式来检测攻击。

大多数IDS采用数据包签名检测方法查找攻击，即在每个数据包中查找匹配的模型，无论通信的状态如何。

如上图所示，数据包签名将在3向握手、命令模式、数据传输模式和4向关闭模式中查找"wiz"模型。

由于数据包签名在所有无关流量中查找攻击，因此将浪费处理不必要信息的资源，并产生许多错误告警。

这是因为SMTP数据传输是随机的，并采用base64编码机制，从而导致在每32,000个字符中至少出现一次"wiz"模式。

许多IDS产品尝试通过每个数据包中的固定偏移量来查找攻击模式，从而改进数据包签名检测的实施。

这种方法有时也指基于上下文的签名检测。

使用这种方法的系统仍不能了解通信流，并将继续产生错误告警，如上图所示，它将在所有数据包中寻找攻击模式，或者由于攻击已经改变攻击模式而找不到攻击。

然而，状态签名方法可以跟踪并了解通信状态，因此可缩小与可能发生攻击的特定站点相匹配的模式范围（通信模式和流方向-表示客户机至服务器或服务器至客户机的流量）。

如上图所示，状态签名仅执行与可能发生攻击的相关流量相匹配的签名模型。

这样，检测性能将显着提高，而且错误告警的数量也大大减少。

协议异常检测

攻击者并不遵循某种模式来发动攻击，他们会不断开发并推出新攻击或复杂攻击。

协议异常检测可用于识别与"正常"流量协议不同的攻击。

例如，这种检测可识别出那种采用不确定的流量以试图躲避检测、并威胁网络和/或主机安全的攻击。

以缓冲器溢出为例（见下图），攻击者在服务器的许可下使服务器运行攻击者的代码，从而获得机器的全部访问权限。

协议异常检测将缓冲器允许的数据量与发送的数据量、以及流量超出允许量时的告警进行比较。

协议异常检测与其所支持的多种协议具有同样的效力。

如果协议不被支持，则无法在网络中检测出使用该协议的攻击。

Juniper网络公司IDP是第一种支持多种协议的产品，包括SNMP（保护60,000多个薄弱点）和SMB（保护运行于内部系统中的基于Windows的薄弱点）。

后门检测

Juniper网络公司IDP是第一种能够识别并抵御后门攻击的产品。

后门攻击进入网络并允许攻击者完全控制系统，这经常导致数据丢失，例如，攻击者可以利用系统的薄弱点将特洛伊木马病毒加载到网络资源中，然后通过与该系统进行交互来对其进行控制。

然后，攻击者尝试以不同的命令发起对系统的攻击，或者威胁其它系统的安全。

Juniper网络公司IDP能够识别交互式流量的独特特征，并对意外的活动发送告警。

举例：

特洛伊木马病毒攻击

后门检测是检测蠕虫和特洛伊木马病毒的唯一方式

查看交互式流量

根据管理员的定义检测未授权的交互式流量

检测每个后门，即使流量已加密或者协议是未知

流量异常检测

有些攻击并不仅存在于单个会话中，而是跨越了多个连接。

一般情况下，这些攻击都是执行探测任务，目的是为未来攻击收集信息。

通过将进入系统的流量与"正常"流量模式进行比较，流量异常检测可以分辩出该流量与正常流量的差异，进而识别出这种攻击行为。

通过定义并应用门限值和触发值，Juniper网络公司IDP可以使用这种方法来检测出跨越多个连接的入侵企图。

这些攻击包括网络探测和端口扫描等，流量异常检测方式可以出这些攻击。

在下面探测式攻击的范例中，攻击者扫描网络中的开放端口，然后对所发现的薄弱点进行攻击。

尽管网络和端口扫描不含有攻击而且不是攻击，但意味着有人为发起攻击而试图获取必要的信息。

如果管理员能够识别网络和端口扫描行为，就可以监控来自该IP地址的未来攻击。

网络陷阱

许多攻击者利用网络查看他们能够得到什么。

网络陷阱是过滤经验不足的攻击者制造的"噪音"的有效方式。

通过模拟不存在的业务，网络陷阱向扫描网络的人发送虚假信息，引诱攻击者访问不存在的业务。

在攻击者尝试连接该业务时，网络陷阱就可以识别出攻击者。

合法的流量不会访问这些资源，因为他们不存在；因此，任何试图访问这些资源的行为都被视为攻击。

网络陷阱通过模拟业务并向扫描发送虚假信息，引诱攻击者访问不存在的业务。

当攻击者返回并试图访问模拟的资源时，就可以识别出攻击。

合法的流量不会访问这些资源，因为