ID入侵侦测系统课件

王振生彙編Intrusion Detection Systems(IDS:入侵偵測系統)王振生彙編Intrusion Detection Syste駭客攻撃手段掃瞄：資訊蒐集TracertTelnet廣播要求代理程式竊聽駭客攻撃手段掃瞄：資訊蒐集駭客攻撃手段漏洞利用Buffer Overflow(緩衝區溢位)SQL Injection(SQL指令注入)Cross Site Scripting(跨站腳本)Cross-Site Request Forgery(跨站冒名請求)駭客攻撃手段漏洞利用駭客攻撃手段通行碼破解利用系統漏洞入侵取得密碼檔利用字典攻擊攻擊系統的弱密碼社交工程駭客攻撃手段通行碼破解安置後門利用漏洞入侵後，安置隱藏的系統控制權功能程式可不經正常的安全認證程序即可取得系統控制權Email 隱藏木馬程式駭客攻撃手段安置後門駭客攻撃手段拒絕服務消耗系統或網路資源，使其無法正常運作暴力式封包溢流SYN 溢流攻擊Ping 到死Smurf攻擊駭客攻撃手段拒絕服務駭客攻撃手段防火牆防不到的攻擊緩衝區溢位攻擊(Buffer Overflows)通訊埠掃瞄攻擊(Port Scans)木馬程式攻擊(Trojan Horses)碎片封包攻擊(IP Fragmentation)蠕蟲攻擊(Worms)系統與應用程式漏洞攻擊(System&Application Vulnerabilities)防火牆防不到的攻擊緩衝區溢位攻擊(Buffer Overfl防毒軟體防不了的攻擊緩衝區溢位攻擊(Buffer Overflows)通訊埠掃瞄攻擊(Port Scans)系統與應用程式漏洞攻擊(System&Application Vulnerabilities)阻斷服務與分散式阻斷服務攻擊(DoS/DDoS)防毒軟體防不了的攻擊緩衝區溢位攻擊(Buffer Overf入侵偵測系統入侵偵測(Intrusion Detection)就是對電腦網路和電腦系統的關鍵節點的資訊進行收集分析，偵測其中是否有違反安全策略的事件發生或攻擊跡象，並通知系統安全管理員。一般把用於入侵偵測的軟體，硬體合稱為入侵偵測系統。入侵偵測系統入侵偵測(Intrusion DetectionIDS的功能監控網路(NIDS型)和系統(HIDS型)發現入侵企圖或異常現象 主動告警，通知系統管理者現在網路狀況將網路封包紀錄下來以為未來辨識或作為證據之用IDS的功能監控網路(NIDS型)和系統(HIDS型)需要IDS的原因防火牆功能不足 無法阻擋合法網路連結自身可以被攻破 對於某些攻擊的保護很弱 不是所有的威脅均來自防火牆外部 入侵很容易 入侵教學隨處可見 各種駭客工具垂手可得 需要IDS的原因防火牆功能不足 入侵偵測系統之種類網路型入侵偵測系統Network-based IDS,簡稱NIDS主機型入侵偵測系統Host-based IDS,簡稱HIDS網路節點入侵偵測系統Network Node IDS,簡稱NNIDS入侵偵測系統之種類網路型入侵偵測系統Network-baseNIDS安裝於被保護的網段中雜亂模式(promiscuous)監聽分析經過這網段的所有封包不會增加網段中主機的負載產品：eTrust、SnortNIDS安裝於被保護的網段中NIDS範例NIDS範例NIDS安裝的位置放在防火牆外：優點是IDS能夠看到所有來自Internet的攻擊者對系統的各種攻擊手段；缺點就是IDS的負荷會加重。放在防火牆內：也有人認為應該把偵測器放在防火牆內，這樣可以用設置良好的防火牆把大部分的“幼稚腳本”阻止在防火牆外，而讓IDS把注意力集中在高水準的攻擊上。而且這樣可以把IDS保護在防火牆內，免於遭受攻擊。NIDS安裝的位置放在防火牆外：優點是IDS能夠看到所有來NIDS安裝的位置防火牆內外都放IDS：如果組織的經費充足的話，可以在防火牆的內外都放IDS，這樣就可以得到以上兩種方法的優點。這種情況下，一般放在防火牆內部的IDS是用來作為緊急告警的裝置。NIDS安裝的位置防火牆內外都放IDS：如果組織的經費充足的HIDS安裝於被保護的主機中主要分析主機內部活動系统LOG 系统Process 文件完整性檢查佔用一定的系統資源產品：Enterasys Dragon Host Sensor、TripwireHIDS安裝於被保護的主機中HIDS範例HIDS範例HIDS的優勢可確認攻擊是成功的監控系統特定的活動可偵測加密封包及交換網路環境中的攻擊監控系統關鍵部份不須新增額外硬體HIDS的優勢可確認攻擊是成功的NNIDS也稱作Stack-Based IDS，安裝於網路節點的主機中，結合了NIDS及HIDS的技術適合於高速網路環境：NIDS因為效能的關係，在高速網路下是不可靠的，因為有很高比例的封包會被丟棄，而且交換型網路經常會妨礙NIDS看到的封包。NNIDS將NIDS的功能委托給單獨的主機，進而解決了高速網路和交換網路的問題。產品：BlackICE Agent、Tiny personal firewall with CMDS、ISS RealSecure Desktop Protector NNIDS也稱作Stack-Based IDS，安裝於網路節NNIDS範例NNIDS範例IDS的偵測技術基於特徵（Signature-based）維護一個入侵特徵的資料庫 準確性較高基於異常（Anomaly-based）統計模型 專家系統 誤報較多 IDS的偵測技術基於特徵（Signature-based）IDS的限制沒有主動防禦的能力：IDS只有告警的能力，無法主動防禦入侵行為。誤報率偏高：目前多數的IDS利用特徵資料庫以判斷是否為入侵行為，但有些正常封包的特徵和入侵行為的特徵十分類似，但修改特徵資料庫之後又造成漏報。漏報率偏高：目前的IDS系統還無法有效的識別出未知的入侵，也就是造成安全假象。IDS的限制沒有主動防禦的能力：IDS只有告警的能力，無法主IDS的限制性能普遍不足：現在市場上的IDS產品多依賴單一主機，因現今網路流量十分龐大，這種IDS產品已不能適應交換網路技術和高頻寬環境的發展，一旦資源耗盡，就無法運作了。加密封包無法辨識：越來越多攻擊用加密封包，使得IDS監控網路流量的能力產生盲點，因IDS是擷取網路封包進行分析的，如果封包加密，就無法辨識其內容，也就無法進行分析。IDS的限制性能普遍不足：現在市場上的IDS產品多依賴單一主入侵防禦系統Intrusion Prevention System可視為IDS功能的延伸，用以彌補IDS功能之不足可主動偵測入侵行為並主動防禦其餘的限制性與IDS相同入侵防禦系統Intrusion Prevention Sys入侵防禦系統之種類主機型入侵防禦（HIPS）：用於保護伺服器和主機系統不受入侵行為的攻擊網路型入侵防禦（NIPS）：透過偵測流經的網路流量，提供對網路的安全保護，一旦辨識出入侵行為，NIPS就阻斷該網路連線應用型入侵防禦（AIPS）：將主機型的入侵防禦擴展成為位於應用伺服器之前的資訊安全設備，主要針對應用程式的攻擊進行防禦。入侵防禦系統之種類主機型入侵防禦（HIPS）：用於保護伺服器入侵偵測系統及入侵防禦系統之差異傳統的網路IDS(NIDS)系統用於被動地監測網路，根據規則資料庫和策略來尋找異常行為並提出告警訊息。如果NIDS突然出現故障，業務並不受影響，網路封包依然繼續流動，只是無法針對異常行為告警而已，故障對用戶是透明的。IPS系統是主動的在線設備，能丟棄攻擊的網路封包，或者在網路封包到達主機前切斷連線，如果出現故障，將影響到整個網路連線。入侵偵測系統及入侵防禦系統之差異傳統的網路IDS(NIDS)開源IDS系統SNORTSnort是一套免費的、跨平台的NIDS，可用來偵測網路上的異常封包。檢查所有經過的封包，並利用特徵比對的方式判斷是否有可能的入侵行為。規則是使用開放的方式來發展的，所以可以自行加入偵測規則以加強入侵行為的偵測。SNORT官方網站：http:/www.snort.org/開源IDS系統SNORTSnort是一套免費的、跨平台的NISnort執行的模式Sniffer mode：將封包擷取後顯示在螢幕上snort vde i1Packet logger mode：將封包擷取後，存到硬碟中，可存成tcpdump格式。snort vde i1 l.logNIDS mode：讓snort分析擷取到的封包比對特徵資料庫以判別是否為入侵行為並告警。snort vde i1 c.etcsnort.confInline mode：將snort當成IPS，從iptable讀取封包比對特徵資料庫後，告訴iptable是否要把它丟掉或是讓它通過。Snort執行的模式Sniffer mode：將封包擷取後顯Snort的規則組成回應動作：alert，log，pass，activate，dynamic，drop，reject，sdrop協定：ip，tcp，udp，icmp來源IP，來源連接埠方向運算子：-，目的IP，目的連接埠規則選項msg:“輸出訊息”;content:“|16進位碼|”;或 content:“文字”;sid:1000001;alert udp$HOME_NET any-$EXTERNAL_NET any(msg:BitComet P2P applications detected;content:|66 69 6e 64 5f 6e 6f 64 65|;sid:1000002;)Snort的規則組成回應動作：alert，log，pass，Snort規則的回應動作alert：使用所選擇的告警，並將封包記錄下來log：將封包記錄下來。pass：讓封包通過不做任何事。activate：使用所選擇的方式告警，並啟動另一個dynamic rules。dynamic：保持idle直到被activate rules啟動，然後將封包記錄下來。Snort規則的回應動作alert：使用所選擇的告警，並將封Snort Rules分類VRT rules 為snort.org的官方rules，由Sourcefire Vulnerability Research Team(VRT)提供，每一條rules均經VRT嚴格測試。subscription release 須付費，即時更新registered user release 只要在snort.org註冊即可下載，比subscription release 晚5天unregistered user release 不定期發布Community Rules 由開放原始社群提供，VRT僅提供基本的測試。Snort Rules分類VRT rules 為snort.特殊字串 的偵測C:snortruleslocal.rules中加入以下一行alert tcp any any-any 21(msg:Pass detected;flow:to_server,established;content:|50 41 53 53|;sid:1000001;)特殊字串 的偵測C:snortruleslocal.rBitComet 的偵測C:snortrulesp2p.rules中加入以下一行alert udp$HOME_NET any-$EXTERNAL_NET any(msg:BitComet P2P applications detected;content:|66 69 6e 64 5f 6e 6f 64 65|;sid:1000002;)BitComet 的偵測C:snortrulesp2pSQL Injection 的偵測C:snortruleslocal.rules中加入以下一行alert tcp$EXTERNAL_NET any-$HTTP_SERVERS$HTTP_PORTS(msg:SQL Injections detected”;uricontent:.asp;pcre:/w*(%27)|()(%6F)|o|(%4F)(%72)|r|(%52)/ix;sid:1000003;)SQL Injection 的偵測C:snortruleCross Site Scripting 的偵測C:snortruleslocal.rules 中加入以下一行alert tcp$EXTERNAL_NET any-$HTTP_SERVERS$HTTP_PORTS(msg:SQL Injections detected;uricontent:.asp;pcre:“/(%3C)|)/I;sid:1000004;)Cross Site Scripting 的偵測C:sno37Nessus網路型弱點檢測工具，採 Client-Server 架構採用 plug-in 的新增弱點測試項目可呼叫外部程式以增強測試的能力Nmap可用 NASL(Nessus Attack Scripting Language)語言所撰寫，只有一小部分是以 C 來撰寫 plugin 檔案：.nasl註冊免費的更新版本是在最新 plugins 公布後七天才能提供我們更新使用，而若真的要取得最新的plugins則需要花錢購買37Nessus網路型弱點檢測工具，採 Client-Ser