如何利用IPS追蹤入侵者?
IPS(入侵預(yù)防系統(tǒng))也像入侵偵查系統(tǒng)一樣,專門深入網(wǎng)路數(shù)據(jù)內(nèi)部,查找它所認(rèn)識(shí)的攻擊代碼特征,過濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包,并進(jìn)行記載,以便事后分析。
除此之外,更重要的是,大多數(shù)入侵預(yù)防系統(tǒng)同時(shí)結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸中的異常情況,來輔助識(shí)別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時(shí)段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序弱點(diǎn)的空子正在被利用等等現(xiàn)象。
IPS雖然也考慮已知病毒特征,但是它并不僅僅依賴于已知病毒特征。下面我們就來了解下行為處理法是如何運(yùn)轉(zhuǎn)工作的,我們依舊以華為公司的Tippingpoint入侵防御系統(tǒng)為例進(jìn)行介紹。
第一步:登錄到IPS系統(tǒng)管理界面,我們?cè)谧筮呎业絀PS選項(xiàng)下的security profiles,這個(gè)是關(guān)于安全配置的信息,在這里我們能夠看到默認(rèn)的是default security profile,這個(gè)是系統(tǒng)集成時(shí)廠商制訂好的。(如圖1)
第二步:下面我們來修改這個(gè)默認(rèn)的default security profile,打開后會(huì)顯示該安全策略應(yīng)用的接口,由于筆者所在公司只使用了兩個(gè)接口,一個(gè)入一個(gè)出所以這里不用修改。(如圖2)
第三步:接下來是profile details(advanced)設(shè)置,這里是關(guān)于策略的詳細(xì)信息進(jìn)行配置的。
我們可以看到默認(rèn)情況系統(tǒng)針對(duì)各個(gè)攻擊類型劃分了類別,每個(gè)類別是一個(gè)category.可以處理的攻擊包括exploits益出,identity theft,security policy(安全策略),virus病毒,spyware間諜程序等等,種類很多這里就不一一羅列了。
對(duì)于每個(gè)大類category來說我們都可以設(shè)置IPS操作的行為以及處理方法,包括block禁止通行,block+notify禁止通行并提示,block+notify+trace禁止通行并提示而且追蹤源地址,limit rate to 10M容許速度限制為10M,limit rate to 5M,permit+notify,perminotify+trace容許通行并追蹤數(shù)據(jù)等等。
基本上這里羅列的行為處理方法足夠在實(shí)際中使用了,如果企業(yè)需要特殊的行為處理操作的話可以按照下文介紹的方法添加。
這里有一個(gè)recommended的意思是推薦,他表示對(duì)于該大類處理方法按照單獨(dú)小類進(jìn)行處理,例如virus下有A病毒與B病毒,如果大類virus設(shè)置為recommended的話,那么具體到處理AB病毒時(shí)按照A病毒與B病毒自身設(shè)置的行為處理規(guī)則運(yùn)行。
IPS一般作為防火墻和防病毒軟體的補(bǔ)充來投入使用。在必要時(shí),它還可以為追究攻擊者的刑事責(zé)任而提供法律上有效的證據(jù),有興趣的讀者可以關(guān)注更多的相關(guān)資源。
【編輯推薦】
