《H3CIPS技术白皮书讲解.docx》由会员分享,可在线阅读,更多相关《H3CIPS技术白皮书讲解.docx(17页珍藏版)》请在三一办公上搜索。
1、H3C IPS技术白皮书杭州华三通信技术有限公司H3CITolP解决方案专家1概述录.相关术语段(segme nt)1.2.网络安全现状1.3.基于网络的攻击与检测技术2.威胁的识别2. 1 基于滥用误用的带宽管理技术2.2在应用中识别入侵威胁2.3协议异常检测2.4拒绝服务检测技术2.5基于流状态特征检测技术113.安全响应113. 1 允许11.3.2 阻断11.3. 3 通知12.3. 4 流量控制124.IPS安全策略125.安全更新136.安全审计136. 1日志内容136. 1.1操作日志13.6. 1.2系统日志14.6. 1.3 攻击日志14.6.2日志的查询146.3日志的输
2、出147.典型组网案例147. 1.企业出口部署148.72保护IDC7. 3.旁路模式部署总结和展望1516161. 概述1.1. 相关术语1. 1. 1.段(segment)段是一个物理组网下对经过IPS设备数据的一个逻辑划分,通常是一对或者多对接口,或者包含VLAN ID的接口数据流。IPS相关的业务都基于Segment进行配置。1.2. 网络安全现状融入全球化的In ternet是企业网络发展的必然趋势,每个企业的Intranet都会有许多与外部连接的链路.如通过专线连入In ternet,提供远程接入服务供业务伙伴和出差员工访问等,企业网络边界的淡化,使得企业所面临的威胁的增多了.只
3、要一个访问入口防护不完整,则“黑客”将诃以入侵企业,获取或者破坏数据。随若全球化网络步伐的加快,威胁的涌现和传播速度也越来越快,如著名的SQL Slammer.在爆发时,每8.5秒感染范布1就扩展一倍,在10分钟内感染了全球90 %有漏洞的机器:威胁和应用也越来越息息相关,如下图体现了这个趋势:1995-300 P网堵安全漏洞发现情况统计(CERT/CC)图1-1威胁与应用息息相关同时随若网络越来越普及,攻击工具也越来越成熟、自动化程度变高以及趋于平民化,使用者无需了解太多的知识就可 以完成一次攻击.如下图显示了这个趋势:HihX rd rwhr KnwlIMataphi itatefj cc
4、omMU A carrtml ttr Xt vcrlpthfig 图1-2攻击正变的越来越简单目前In ternet面临的安全威胁从方法上有如下几种:漏洞利用,比如针对软件操作系统对内存操作的缺陷,采用缓冲区溢出方法,以获得高操作权限运行攻击代码:如著名的微软MS05-047 Win dows UMPNP MGR wsprintfW栈溢出漏洞(即Windows即插即用服务的缓存区存在的溢出漏洞):欺骗攻击.如IP地址欺骗等,其利用TCP/IP协议建立的未认证连接的缺陷进行源IP地址的伪造,从而达到访问关键信息的目的;蠕虫/病毒,靖虫/病毒是目前网络上最为常见的威胁,其具有传播快覆盖广的特点,如
5、红色代码病毒(Code Red),曾经在12小时之内,覆盖全部的In ternet网络,给全球带来了极大的危害:通常蠕虫/病毒通过利用现有系统软件的一些漏洞,从而达到传播的目的:木马,通常在系统中会秘密打开一个访问程序,以绕过系统的安全策略,从而达到获取信息的目的:拒绝服务攻击.通常称之为DoS/DDoS.其通过单台或者多台设备作为攻击的发起者,对一个特定的目标进行DoS攻击.占用大量目标机的资源,让目标机无法为外界提供服务,从而达到破坏的目的。通常拒绝服务攻击会伴随者采用IP地址欺骗等方法以隐藏攻击者的目的:带宽滥用,对于企业来说,非业务数据流(如P2P文件传输与即时通讯、垃圾邮件、病毒和网
6、络攻击)消耗了大量带宽,轻则影响企业业务无法正常运作.重则致使企业如目前最流行的IT系统瘫痪, BT、eMule. eDonkey等协议。据统计,当前中国的P2P流量:中BT占了 60%.据此可见一斑:1. 3.基于网络的攻击与检测技术IPS作为入侵防护设备,其基本的功能是识别尽可能多的攻击,同时又避免不必要的误报以及保证企业有限的带宽不被滥用。为了达到上述目标,单纯采用一种技术手段是无法做到的,H3C独创的UCIE ( Un iversal Co nte nt Insp ection En gi ne .统一内容检测引擎)创新性的融合了多种内容识别技术,保证了系统能够快速高效的发现异常流垫并
7、阻断,同时保证正常业务的开展。UCIE主要包括如下几项技术:基于流的状态特征检测技术。基于攻击固定特征的检测是IDS/IPS最基木攻击检测技术,而基于流的状态特征检测技术与以往技术的不同点在干,可以是基于协议上下文的特征检测技术,这样可以很好的避免误报的发生。如某一个特征只在三次会话之后的client方向发生,则检测时只会针对这部分数据流进行检测,而不会引起误报:协议异常检测技术。通常也叫协议分析,即对照RFC规范对通讯的协议进行检查,这对于检测基于RFC未规范一些未知攻击或新的攻击非常有效:同时对于基于固定特征的逃逸也具有先天的免疫:智能的自适应名层次防护技术(I ntellige nt A
8、da pt Multi-Level P rotectio n Architecture) o该技术可以很好的解决DoS/DDoS攻击防护问题,通过对保护对象的流量进行流量学习和建模,针对不同的类型流量采用不同的动作,并通过不断的学习调整等过程,保证保护对象避免DDoS/DoS攻击的困扰:在应用中识别威胁技术。在融合协议识别和威胁识别的基础上进行有状态的深度威胁分析,从而更好裁少误报:基于滥用误用的带宽管理技术。在应用的智能识别基础上,对于识别出的滥用和误用协议 可以进行名层次和多纬度的带宽管理。2. 威胁的识别2. 1.基于滥用误用的带宽管理技术网络“以内容为王”造成了当前网络上应用的层出不穷
9、.这种繁荣的背后意味若:必须对网络中的应用及其行为进行深入的感知和分析,对应用的流量和行为进行细粒度分层次的管理.从而预防可能的滥用和误用,杜绝各种应用所引入的潜在威胁。H3C提出了应用的智能识别、应用层次划分、细粒度应用流量和行为管理、应用支持升级等一系列技术,为用户应对应用带来的威胁提供了十分有效的管理手段。应用升级用户网络内部务种位用潜藏着 各类咸胁: 非法或咬控位用 滥用误用 位用系统的漏$ 利用辑毒.i-far深入应用:掐断彬法或受控应用发现和阻止派用误用制止成川系统的饲洞利用柔除病推.BacMoo PZF) XH3C应用识别技术以对网络应 用的模型化分析为基础,能够全方 位、多角度
10、识别网络中的各种应用,为应用威胁管理提供有效支 持。络应用布局,快速定制自身重要服务的端口。通过深入的数据特征和状态模型分析,动态智能识别各类应用,使大量隐藏在网络流量中的应用,如吞食网 络带宽的P2P、IM、流媒体、下栽、网游等应用,或者是影响运营商或内容提供商收益的黑话、网络电视等应用,都尽数显形。快速识别客户网络在特定端口下的重要服务。i-Ware平台的应用识别支持根据用户自身网通过层次化分析模型,分层次细化识别用户网络应用,深入挖掘出应用之间的包含、协商、承栽、隧道、代 理等各种关系。H3C支持对应用进行树形、层次化、可调整和可定义的管理,用户可以在任何一个Segme nt上,在任意用
11、户群之间,对任意一级的应用流量和行为进行限制、阻断或监控。H3C支持对应用进行可扩展的、层次化定义,可以对应用进行快速的升级,从而快速实时应对网络中新出现的应用及其带来的威胁。H3C通过专门的安全和应用分析团队,根据网络应用最新发展和客户网络管理需求,及时分析网络中的新应用和威胁,提取数字基因.更新用户设备的特征库,从而很好的满足用户 对新应用的管理需求。22在应用中识别入侵威胁H3C在强大的应用识别基础上进行有状态的深度威胁分析,使IPS的入侵检测和传统的仅依据数据报文特征入侵检测有本质的不同。应用识别以当前数据流的应用识别结果为环境,指导系统有目的进行深度威胁分析, 使入侵防御变成内容管理
12、指导下的一个环节:同时检测结果在内容环境下.进行校验和状态分析,使入侵检:则的发现由单纯 特征发现演变成非法应用行为模型和攻击行为模型的发现。2. 3.协议异常检测在层次化的分析架构下,i-Ware平台为用户网络在2-7层提供全方位的协议异常检测。链路层协议异常识别。i-Ware平台支持对MPLS, VLAN, QinQ等封装报文的逐层剥离和检验,支持对ARP攻 击的检测。网络层协议异常识别。i-Ware平台支持对IP层进行细致的正规化处理,能够识别畸形的IP报文、畚意构造的IP分片、伪造IP地址的欺骗报文。传输层协议异常识别。i-Ware平台支持对TCP、UD P、IC MP报文进行细致的正
13、规化处理。任何不满足RFC规定或者有恶意利用系统漏洞嫌疑的报文都将被识别出来。可扩展的应用层协议异常识别。i-Ware平台可以动态扩展新的应用支持,而且在任何一个应用层协议上,都可以对应扩展相应的异常检测数字基因,进行有状态的异常检测。通过细致的协议分析和状 态检测,识别出相应协议层次上的异常。应用层传输层网络层应用扩展桩路层24拒绝服务检测技术Q TCT/UDP/ICXP正规化n各类F10m2-2层协议异常检删 临IP分片攻击.IP欺瑞 n IP正规化DoS/DDoS攻击从实现手法来看,主要表现为两种,一种是利用漏洞实现Teardrop * Ping of Death 等,从而达到DoS/D
14、DoS攻击的目的, 应的协议层次来看,主要有:异常检测数字基因DoS的攻击,如Q多种位路头剥肉和校脸另外一种是通过模罗德即馨应用流量达到消耗目标主机的资源,通常DoS/DDoS攻击伴随若源IP地址欺骗。从DoS/DDoS攻击的对二层相关的攻击,如ARP Flood :半连接相关攻击,如TCP SYN Flood.全连接相关的攻击,如TCP Conn ection应用层相关的攻击,如HIT P Get FloodUDP Flood. ICMP Flood :攻击:如TCP空连接攻击:、DNS query Flood等,其利用客户端与服务器端流量不均衡的特点,采用小流蛰的请求包,消耗服务器的处理资
15、源或者产生大流量的响应,从而达到DDoS/DoS攻击的目的。智能的自适应多层次防护架构(I ntellige nt Ada pt Multi-Level P rotection是一个针Architecture)对DoS/DDoS攻击进彳J:多级防范和验证的架构,其检;则框架如下:n幼生成幼冬过滤规w图表2-3智能的自适应多层次防护架构根据对网络流量进行分析和建模,在系统中形成不同的流量检测和学习模板。在统计分析阶段,根据流量检测模板进行流量学习和分析:在行为分析阶段,则通过自动生成的动态过滤规则对异常流量进行过滤处理。动态 或者静态过滤规则部分根据不同的业务进行分别的处理,如针对HTTP进行H
16、TTP redirection :针对DNS进行DNS redirection :针对IP则进行TTL认证等动作。上述过程是一个 闭环的循环动态 的一个调整过程,系统中通过不断的学习、调整和判断以适应网络的情况并作出适当的动作。智能的自适应名层次防护架构(ILMLPA)对。昭的检测可以分成如下几个阶段:策略构建阶段,即通过学习模板进行不同业务和正常情况进行学习,从而获得不同流量类型的流量统计数据并生成检测规则:调整阶段,即通过策略构建阶段学习到的业务和流量(检测规则),进行重新学习和调整;检测阶段,在策略构建和调整完成之后,通过上述检测规则对网络中的异常流量进行判断,如果发现存在异常,则通过动
17、态生成过滤规则对网络流量进行过滤和验证,如验证源 法性、对发现异常的流IP合 量进行丢弃等。目前系统中支持如下流资学习模板:IP模板TCP模板UDP模板HTTP模板DNS模板SCAN模板TCP Connection 模板H3CH5C IPS技术n皮书文皆常缄:内部公乃详细的关于DoS/DDoS防护内容清见WoS/DDoS防护技术白皮书。2. 5.基于流状态特征检测技术i-Ware平台通过使用自主的基于流状态的特征检测专利技术,有效地防范了漏报和误报。对干流报文.如TCP流,若只是对一个个的单个报文作特征检删,这会引入漏报。基于以上原理,攻击者对攻击流中的报文作分段处理,就可以有效地进行攻击逃逸
18、。通过流恢红,能够缓解这种攻击逃逸的有效程度,但不能杜绝这类攻击逃逸,但同时也引入了系统缓存负担的问题。i-Ware平台通过基于流状态的特征检测专利技术,能够有效地防范漏报。比如,对于流报文.如i吾音流报文、视频流报文,若不进行识别,直接使用攻击特征检测,可能引入误报。通过基于流状态的特征检测专利技术,能够祐确地识别出这类流报文,不作攻击特征检测,有效地防范了误报。3. 安全响应在检测到攻击时.i-Ware根据规则配置的动作做出响应。响应动作可以是下面动作中的一个或多个的组合:允许(Permit)阻断(Block)通知(Notify)流量控制(RateLimit)3. 1.允许对干一些可能用于
19、攻击的正常报文.用户可以根据自己的情况选择是Permit还是Block。例如ICMP重定向报文可以用来攻击.但也可以是正常的。如果用户的网络确实不需要此类报文,也不会产生此类报文,则可以设置为Block.否则,可以设置为Permitc3. 2.阻断阻断动作禁止攻击报文通过。对于阻断动作,除了阻断当前报文外,对Block动作还可以设置以下参数:对发送该攻击的源是否隔离:如果一个源被隔离,则后续所有报文都不能通过。如果不隔离,则只丢弃检测到的攻击的报文。对于TCP连接,还可选择是否发送TCP Reset报文:如果要发送TCP Reset报文,是向源H3CH5C IPS技术n皮书文*牛帛缄:内部公开
20、地、目的地、还是向源、目的地都发送。对于HTTP Request报文.还可选择是要回应重定向报文,还是回应指定的页而。在用户自定义的回应页面中,可以增加规则名称、规则描述、以及其它自定义信息。3. 3.通知通过设置IPS规则带有Notify动作,可以在检测到相应攻击时记录攻击听件。攻击裂件町以输出到本地数据库、通过Email通知管理员、输出到用户终端、输出到Syslog主机。攻击事件中包括以下信息:攻击事件发生的时间攻击名称攻击所在的段攻击的方向源IP地址目的IP地址协议源端口目的端口应用协议命中次数支持弟件聚合,将相同弟件合并处理,可以在频繁发生攻击时减轻因处理系统事件造成的资源消耗。34流
21、量控制通过对流量和连接数进行控制,可以阻止基于流量的攻击和滥用误用对网络造成的影响。流量控制的相关内容可参考分H3C带宽管理技术白皮书。4. IPS安全策略i-Ware平台提供了灵活的安全策略,以满足用户的各种需要。一个IPS安全策略由一系列的IPS规则组成,每一个IPS规则定义了对一个具体的攻击采用什么样的响应动作。用户通过定义一个或多个IPS安全策略,可以对不同的用户和保护对象应用不同的IPS安全策略,实现了高度的可定制性。H3CH5C IPS技术n皮书文皆常缄:内部公乃同时,还可以指定免检用户IP列表和免检服务器IP列表,以满足特殊需求。Web管理界而提供了按照攻击的严重级别、攻击的分类
22、、规则的使能状态、响应动作进行规则配置处理的手段,大大简化了用户的操作。设备提供了一个缺省的IPS策略,可以满足大多数情况下的需要。用户还可以添加自己的安全策略。用户可以通过从一个己有的IPS策略复制得到一个新的IPS安全策略,再对新的安全策略进行修改来得到自己的IPS安全策略。5. 安全更新H3C定期在网站上更新攻击特征库.以保证对新的攻击及时响应。特征库的升级可以通过手动升级,也可以定期自动升级。6, 安全审计i-Ware平台提供了丰富的日志功能,为市计、设备故障诊断提供了丰富的信息,并提供了日志条件查询,方便日志的分析。6. 1,日志内容日志记录分为以下几种类型:操作日志系统日志攻击日志
23、6. 1. 1.操作日志将用户对设备的操作记录到日志中,以备查询。操作日志包括:操作的日期和时间登录方式:Web. CLI、SNMP用户名用户IP执行的操作操作对象H3C版TPS-技村咬行操作结果其它相关信息,如对设备配置信息的添加、修改、删除操作记录日志,对日志信息的审计操作记录日志。6.12系统日志对系统运行过程中的关键事件记录日志。便于了解系统历史运行状态,以及为系统的故障诊断提供信息。6. 1. 3.攻击日志支持系统运行状态通过Trap通知网管。6. 2.日志的查询可以根据多种查询条件对系统中的操作日志和系统日志进行查洵:可以根据严重等级、业务模块标识、产生日志的开始 时间、结束时间进
24、行查询:支持其组合条件查询。6. 3.日志的输出日志可以输出到指定的用户终端、本地文件、远程日志主机。7, 典型组网案例7. 1.企业出口部署图表7-1企业出口部署方案HSCTPS-技杓1妇于在这种部署方式下,IPS以在线透明方式部署在网络中,并不影响企业网络己有的拓扑结构,对于发现的异常行为,如攻击,系统可以即时的阻断:对可疑的网络流量进行识别和认证,对于识别出带宽滥用行为执行用户设定的动 作,对于企业需要的应用实现带宽保证。72保护IDC图表7-2 IPS部署在IDC (数据中心)之前在这种部署方式R IPS以在线透明方式部署在网络中,并不影响企业网络的己有拓扑,对于IDCSMTP服务,则
25、在RPC 等,中不同的服务,根据不同服务提供的业务和环境,设置不同的保护策略,如对于 攻击防护策略中,可以设置开启与SMTP协议相关的攻击,而对于其他无关的攻击规则,如 则可以关闭。HSCTPS-技村故书73旁路模式部署IPS图表7-3旁路模式部署在这种部署模式下,IPS采用旁路方式部署在网络中,在关联的交换机上配置需要保护的端口流量镜像或者流镜像到IPS, IPS上可以对网络流量进行分析,在这种情况下,用户可以做两方面的选择:在发现大量告警时,通过设置策略路由,把流量重定向到IPS,然后重新注入网络从而实现对攻击的响应;设置响应口,根据设置的响应动作,系统可以通过对应响应口发送响应报文到网络中.从而实现对攻击的阻断:在这种方式下,其IPS部分功能并不能完全发挥作用,如带宽管理功能、UDP报文阻断功能、单包的攻击无法做到阻断:8. 总结和展望H3C的:PS融合了随若网络应用的不断发展,IPS也从传统的攻击防范逐步走向内容控制之路, 上述多种攻击检测和防范技术很好的体现了这一点.提供了立IPS产品,200M-5G的全系列的Sec path T系列独 同时提供了高性能的IPS插卡与防火墙、路由器设备配合使用,节省了用户的投资,与网络设备实现无缝连接。
