第七章: 入侵偵測防禦系統 - 雲林科技大學計算機網路研究室
Download
Report
Transcript 第七章: 入侵偵測防禦系統 - 雲林科技大學計算機網路研究室
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
第七章 入侵偵測防禦系統
國立雲林科技大學
自由軟體研發中心
第七章 入侵偵測防禦系統
前言
隨著網路入侵手法不斷更新,使
得網路安全遭受到更嚴厲的挑戰,
在目前各種防禦機制中,入侵偵
測系統(Intrusion Detection System,
簡稱IDS)能偵測出可能的入侵行
為,並發出警報通知網管人員,
提高系統的防禦能力。
本章先介紹入侵偵測系統的技術
與方法,接著說明二種入侵偵測
的基本架構: 網路型入侵偵測系
統 (Network-based IDS , 簡 稱
NIDS) 與 主 機 型 入 侵 偵 測 系 統
(Host-based IDS,簡稱HIDS) ;
最後我們會介紹如何在Router上
啟動入侵偵測功能。
7.1 Detection Technology
7.2 Host-Based Intrusion Detection Systems
7.3 Network-Based Intrusion Detection Systems
7.4 Configure Intrusion Prevention on a Router
國立雲林科技大學 自由軟體研發中心
2
第七章 入侵偵測防禦系統
7.1 Detection Technology and Techniques
Intrusion Detection(入侵偵測)的定義為「偵
測不適當、不正確或是異常活動的技術」。入
侵偵測系統可以補強防火牆不足的功能,一般
防火牆只能對某個服務存取進行限制,但是無
法偵測通過的封包是否異常。而IDS可以分析通
過的封包或系統的日誌檔,並根據所建立好的
入侵特徵資料庫作比對,以偵測出異常事件並
發出警報。
如左圖所示,入侵偵測系統依照佈署位置及檢
查重點的不同,可分為下列兩種:
網 路 型 入 侵 偵 測 系 統 (Network-based Intrusion
Detection System,簡稱NIDS),NIDS通常佈署在
一個網段(Segment)上,監看及分析流經此網段的
網路封包,以偵測出可能帶有入侵行為的封包。
主 機 型 入 侵 偵 測 系 統 (Host-based Intrusion
Detection System,簡稱HIDS),HIDS則是佈署
在主機或是伺服器上,主要的功能在於分析主機
(Host)或是伺服器(Server)上被呼叫或執行的指令,
由此偵測出可能帶有惡意的系統呼叫(System Call)
指令。
入侵偵測系統佈署之範例
國立雲林科技大學 自由軟體研發中心
3
第七章 入侵偵測防禦系統
7.1 Detection Technology and Techniques
入侵偵測如果依照偵測的技術做分類,則可以
分成,錯誤偵測(Misuse-based Detection)與異常
偵測(Anomaly-based Detection)
錯誤偵測(如左上圖所示) :
此為最常用於IDS上的偵測方式,它又稱為特徵
偵測(Signature-based Detection)」,顧名思義
就是系統會先針對入侵特徵建立一個資料庫,只
要偵測的封包與資料庫的某個特徵相符,系統就
會將它視為入侵。
優 點 : 與 異 常 偵 測 方 式 相 比 , 誤 報 率 (False
Positive Rate)較低。
缺點:因為未知型態的入侵行為並未建立在特徵
資料庫中,故新型態的入侵行為無法偵測出來。
異常偵測(如左下圖所示) :
此方法則是對正常的使用者或網路流量先建立一
個描述「正常」行為的行為資料庫,再對通過的
封包去做比對,假如超過正常行為的門檻值就可
視為異常。
優點:可以偵測未知型態的入侵。
缺 點 : 與 錯 誤 偵 測 方 式 相 比 , 誤 報 率 (False
Positive Rate)會較高,因為我們很難去正確定義
何謂「正常」? 況且使用者的行為也經常在變,
導致誤報經常發生。
國立雲林科技大學 自由軟體研發中心
4
第七章 入侵偵測防禦系統
7.1 Detection Technology and Techniques
目前常用來實現IDS的技術(Techniques)大致可
分為下列幾種:
專家系統 (Expert System):雇請專家來分析攻擊
行為,並將其轉換成系統可用之「攻擊特徵碼」
或攻擊規則,IDS便依照此攻擊特徵碼來判斷是
否有攻擊發生。
統計分析 (Statistical Measure):此種方式會蒐集
網路的歷史封包記錄,建立屬於正常連線或行為
的Model,往後只要當網路封包或使用者的流量
超過Model所定義的範圍時,將認為發生異常事
件或是有入侵行為產生。
類神經網路 (Neural Network):此種方式需先蒐集
正常或攻擊的封包,並將這些封包丟給神經網路
做訓練(training),讓神經網路學習何為正常,何
為攻擊,再將訓練完成的神經網路拿來當做偵測
引擎,當神經網路認為是入侵行為時,則發出警
報。
資料探勘 (Data Mining):此種方式可在一群正常
或是攻擊的封包中,去尋找出最經常出現的正常
(或是攻擊)特徵;若是對攻擊封包做探勘,則可
以得到此攻擊的攻擊特徵碼。在偵測階段,只要
偵測引擎發現封包與攻擊特徵碼相同時,則發出
警報。
資料來源:http://www.snort.org/vrt/
國立雲林科技大學 自由軟體研發中心
5
第七章 入侵偵測防禦系統
7.1 Detection Technology and Techniques
在IDS系統中,我們以下列幾個項目來檢視IDS的好壞:
偵測率(Detection Rate):說明此IDS可以承受多少封包流
量,但這可以隨著硬體的提升,而增加偵測能力,通常可
以用完成判斷(IDS有監控、完成比對)的封包佔所有流經
封包的百分比(%)作為評估的標準。
誤報率(False Positive Rate):被判斷成攻擊行為的正常封
包(或正常連線),占所有正常封包(正常連線)的百分比(%)。
一般來說若採用異常偵測(Anomaly Detection)時,此誤報
率會比較高,因為系統有時會將正常行為當做攻擊。
漏報率(False Negative Rate):被判斷成正常行為的攻擊封
包(或攻擊連線),占所有攻擊封包(或攻擊連線)的百分比
(%) 。一般來說若採用錯誤偵測(Misuse Detection)時,漏
報率會比較高,因為系統無法偵測未知的攻擊。
國立雲林科技大學 自由軟體研發中心
6
第七章 入侵偵測防禦系統
7.2 Host-Based Intrusion Detection System
資料來源: http://la-samhna.de/samhain/
主 機 型 入 侵 偵 測 系 統 (Host-based Intrusion
Detection System,簡稱HIDS):
主機式入侵偵測系統發展始於80年代早期,通常
只觀察、稽核系統日誌檔是否有惡意的行為,用
以防止類似事件再度發生。在Windows NT/2000
的環境下,通常可以藉由監測系統、事件及安全
日誌檢視器中所記載的內容來加以分析、比對,
從中發現出可疑的攻擊行為;在UNIX環境下,
則監測系統日誌。當有事件發生時,主機式入侵
偵測系統即做入侵行為的比對,若有符合,則由
回應模組通知系統管理員,或自動對攻擊行為進
行適當的反應。
如左圖所示,現行的主機型 IDS 除了稽核系統紀
錄檔以外,也會定時(ref: time trap, event trap)對重
要的系統設定檔、執行檔進行計算摘要值
(checksum hash, md5)的比對,以確定重要的檔案
未受到惡意的更改。
IDS 的反應速度決定 於所訂定的檢查頻率 、或
event trap產生(例如 open or modify a file)的反應時
間。當發現攻擊行為時,可以有結束使用者連線,
停止使用者權限等反制動作。
現行的主機型 IDS 也有在特定的 port 上進行網路
封包檢查,算是結合主機型與網路型IDS功能的
一種方式,而網路型與主機型的功能相互結合是
未來IDS 發展的趨勢。
國立雲林科技大學 自由軟體研發中心
7
第七章 入侵偵測防禦系統
7.2 Host-Based Intrusion Detection System
OpenSource的主機型入侵偵測系統:
OSSEC (http://www.ossec.net/)
Open HIDS - Windows Host Intrusion Detection
System
(Http://www.securiteam.com/tools/5HP072AFPK.
html)
The SAMHAIN file integrity / intrusion detection
system (http://la-samhna.de/samhain/)
OSIRIS (http://osiris.shmoo.com/index.html)
AIDE (http://sourceforge.net/projects/aide)
SID (http://sid.sourceforge.net/ )
HIDS的優缺點(與NIDS比較):
對於攻擊事件的影響有較詳盡的紀錄: 因
為HIDS是將攻擊者所造成的系統改變紀錄
下來,因此可以得知更多關於攻擊者對特
定主機入侵事件造成的影響,及更準確的
紀錄攻擊行動的成敗。HIDS通常有個別使
用者的上線紀錄,重要檔案的增刪 、修改
紀錄,使用者權限改變的紀錄,使用者連
線到哪裡的紀錄,系統對外開啟的 port 紀
錄等等細項紀錄資訊,都是NIDS很難做到
的。
點對點連線的防護: 目前有許多的點對點
連線因為採取加密處理,而無法在NIDS上
做到完全的檢查,此時就可以在HIDS上對
連線資料做稽核檢察。
不需另外新增主機硬體: HIDS只需要在主
機上另外安裝新的軟體,而不像NIDS需要
另外新增主機硬體設備。
左圖所示為可從其網站下載的各種主機型入侵
偵測系統,以下小節將介紹 OSSEC主機型入侵
偵測系統。
國立雲林科技大學 自由軟體研發中心
8
第七章 入侵偵測防禦系統
7.2 Host-Based Intrusion Detection System
OSSEC HIDS是一個開放原始碼的主
機型入侵偵測系統。
OSSEC HIDS所提供的功能如下所示:
Log的分析與關聯
檔案完整性的查核
可偵測rootkit
Active Response
Windows Integration
Nmap Integration
參考資料: http://www.ossec.net/main/downloads/
國立雲林科技大學 自由軟體研發中心
9
第七章 入侵偵測防禦系統
7.2 Host-Based Intrusion Detection System
OSSEC HIDS佈署方式可分為
針對單一台主機進行監控(如左上圖所示,Standalone模式):只需要在欲監控的主機上安裝OSSEC
HIDS即可。
同時對幾台主機進行監控 (如下圖所示,ServerAgent模式) :需要先選出一台主機當OSSEC server,
其他的主機則成為OSSEC agent,這也成為OSSEC
HIDS的最大優點,比起其他HIDS更具有延展性與
擴充性。管理者可以由一台OSSEC server對多個
OSSEC agent進行監控。
參考資料
http://www.ossec.net/ossec-docs/ossec-hids_oahmet_eng.pdf
Stand - alone
Server - Agent
國立雲林科技大學 自由軟體研發中心
10
第七章 入侵偵測防禦系統
OSSEC Rule Library
7.2 Host-Based Intrusion Detection System
Log的分析與關聯 (ossec-logcollector模組)
Rule採用XML的格式記錄,其提供的rule library
如左圖所示
Time based Alerting
大量的規則資料庫
有支援的log檔
Syslog
Apache
Squid
Snort-full / Snort-fast
Windows Eventlog / IIS Log (OSSEC Agent only)
檔案完整性的查核(ossec-syscheckd模組):提供
SHA-1或MD5來對檔案的權限、擁有人、大小
進行check sum的記錄,並且可設定定時進行查
核。
可偵測rootkit (ossec-syscheckd模組)
Rootkit/特洛依木馬偵測 (signature and anomaly
based)
系統處理程序的控管
通訊連接埠的控管
國立雲林科技大學 自由軟體研發中心
11
第七章 入侵偵測防禦系統
7.2 Host-Based Intrusion Detection System
OSSEC Architecture
Active Response (ossec-execd模組)
firewall-drop
參考資料
http://www.ossec.net/ossec-docs/OSSEC-Presentation-mw.swf
host-deny
disable-account
與Windows進行整合,但Windows OS上只能安
裝OSSEC Agent,其整合後可監控的部份包含
iptables
ipfilter
ipfw
aix-ipsec
Event Log
檔案完整性
Windows註冊表
IIS Log
Web/Ftp/SMTP Log
左 圖 說 明 當 只 要 監 控 單 一 台 host 時 只 需 安 裝
OSSEC Local模組,若要同時監控多台hosts則
需要採用OSSEC Server與OSSEC Agent的組合,
在Server與Agent的連線通道可以是明文訊息傳
送,也可以是加密訊息,若要監控沒有安裝
Agent的host時,可以設定該host啟動事件紀錄
功能,並定時分析log檔。
國立雲林科技大學 自由軟體研發中心
12
第七章 入侵偵測防禦系統
7.3 Network-Based Intrusion Detection Systems
佈置網路型入侵偵測系統之示意圖
網路型入侵偵測系統(Network-based Intrusion
Detection System,簡稱NIDS):
網路型入侵偵測系統收集網路封包作為入侵偵測
的資料來源,若NIDS安裝在主機上,需將主機的
網路卡設定為“promiscuous mode”(混亂模式)來
收集所有過往的網路封包,以進行偵測及分析。
一般的檢測方式都會檢查網路封包內的標頭
(headers)及部份資料內容,從中判定是否包含駭
客行為,若偵測到有攻擊行為的同時, NIDS就
可進行反制動作或提早預警。
NIDS可以在網路的必經節點上收集所有封包,並
即時將這些封包加以分析比對,比如分析封包
header 的資料時,可以偵測到如source route、out
of band 、 fragmented packet (teardrop) 、 same
source and destination ip addresses, port numbers
(land)等攻擊,在分析封包內容時,可以偵測到如
木馬程式的特定指令、如含有 shellcode 的攻擊程
式、含有特定 cgi/php/asp 程式漏洞的特殊指令。
以下所列為NIDS的分析比對模組用來執行攻擊特
徵比對的方法:
特殊的位元組、模式比對。
事件發生頻率,及頻率是否超過所設的門
檻值。
可疑事件的關聯性。
統計結果上的異常例外數值。
國立雲林科技大學 自由軟體研發中心
13
第七章 入侵偵測防禦系統
7.3 Network-Based Intrusion Detection Systems
OpenSource的網路型入侵偵測系統:
NIDS的優缺點(與HIDS比較):
Firestorm
(http://www.scaramanga.co.uk/firestorm/)
BRO
(http://bro-ids.org/)
Snort
(http://www.snort.org)
SHADOW
(http://www.nswc.navy.mil/ISSEC/CID/)
Shoki
(http://shoki.sourceforge.net/)
SPADE
(http://freshmeat.net/projects/spade/)
集中佈署於一網路節點: NIDS只需設置在一網路
的必經節點上不須設置於網路上的每一台主機,
在管理和成本的考量上都是較理想的。但若只靠
NIDS則需要冒較高的風險,(如:無法監看有加
密的點對點連線)
攻擊者進行攻擊後會留下封包證據:因為網路型
IDS所採取的是即時的收集封包,攻擊者要抹滅
曾進行的攻擊證據是有困難度的;但是在主機型
IDS上的紀錄檔或是稽核檔案,有可能會被攻擊
者入侵後修改,造成HIDS失效。 但是IP Spoofing
的問題會造成NIDS難以找出真正的攻擊者。
即時反應:因為NIDS所採取的是即時收集封包,
即時進行反制,可以在第一時間通知、反應,避
免給與攻擊者過多時間進行攻擊行動。比如當一
個惡意的tcp連線被偵測到時,NIDS可以隨即送
出一個tcp reset封包以截斷這個連線。而HIDS因
為是採定時檢查的方式,較易遭受到阻斷攻擊而
導致主機當機、無法繼續運作。
較大的彈性空間: NIDS可以選擇佈署在防火牆外
部,這點是HIDS無法做到的;NIDS佈署在防火
牆外部的好處是無論成功通過防火牆或被防火牆
擋下的攻擊封包,都會被NIDS偵測、紀錄下來,
以獲得更多關於攻擊者的資訊。除此之外,NIDS
也不需要像HIDS要考慮到主機平台是否支援此
HIDS的因素。
匿蹤、隱形的能力: 相對於HIDS,NIDS 可以不
設定網路介面的位址(IP address),也就是達到隱
形於網路,同時又能收集所有網路封包的資訊;
而HIDS可能就是攻擊者的攻擊目標之一,攻擊者
可能針對HIDS 重要的檔案進行移除或更改 。
國立雲林科技大學 自由軟體研發中心
14
第七章 入侵偵測防禦系統
Snort 系統架構示意圖
7.3 Network-Based Intrusion Detection Systems
Snort為一開放原始碼的NIDS,並採用錯誤偵測
(Misuse detection)的方式,其架構如左圖所示,
Snort有一封包擷取的模組(Sniffer module),負
責線上(On-line)即時擷取網路封包,並將擷取
到 的 封 包 資 料 送 給 Snort 的 入 侵 偵 測 器 (Snort
Detection Engine);入侵偵測器會即時將該封包
的特徵與Snort的偵測規則(Snort Rule)作比對,
若發現該封包特徵符合某規則時,則依據該規
則上的設定做出警報(Alert)、記錄(Log)或通過
(Pass)等動作。
Snort主要提供了三個操作模式,分別為:
封包擷取模式(Sniffer mode):顯示目前網路上所
有封包資料。
封包記錄模式(Packet Logger mode):記錄目前
網路上封包資料。
網路入侵偵測模式(Network Intrusion Detecting
mode):依據Snort的偵測規則,比對網路封包,
當有入侵封包時則發出警報。
國立雲林科技大學 自由軟體研發中心
15
第七章 入侵偵測防禦系統
7.3 Network-Based Intrusion Detection Systems
Snort Detection Rules:snort官方網站上會持續
更新各種不同snort版本的detection rules,但是
snort2.4、2.5已經停止更新,此二版的最後一次
更新皆為2007年9月11日,目前最新的snort版本
為2.8.0.2。
如左圖所示,Snort 會針對使用者的權限提供不
同的detection rules,他們將使用者分成三種:
Subscriber:可以取得最新最即時更新的rules
Registered:能取得更新時間超過30天的rules
Unregistered:只能得到幾個較重要的rules
Snort 的 Detection Rules 是 由 Sourcefire
Vulnerability Research Team在維護,這是由一
群入侵偵測與防禦的專家所組成,他們會定時
去 發 現 (discover) 、 評 估 / 分 析 (assess) 與 回 報
(response)最新的入侵行為與各種弱點,並且製
作相對應的測偵規則(detection rules)。
參考資料:http://www.snort.org/pub-bin/downloads.cgi
國立雲林科技大學 自由軟體研發中心
16
第七章 入侵偵測防禦系統
local.rules
tftp.rules
misc.rules
bad-traffic.rules
web-cgi.rules
attackresponses.rules
exploit.rules
web-coldfusion.rules
oracle.rules
scan.rules
web-iis.rules
mysql.rules
finger.rules
web-frontpage.rules
snmp.rules
ftp.rules
web-misc.rules
smtp.rules
telnet.rules
web-client.rules
imap.rules
rpc.rules
web-php.rules
pop2.rules
rservices.rules
sql.rules
pop3.rules
dos.rules
x11.rules
nntp.rules
ddos.rules
icmp.rules
other-ids.rules
dns.rules
netbios.rules
experimental.rules
7.3 Network-Based Intrusion Detection Systems
在 Snort 官 方 網 站 下 載 的 2.4 版 detection rules
(2007/09/11)包含50個rules檔,其壓縮檔中包含
一個Snort.conf,裡面預設會使用的rules檔如左
圖所示,有36項。
下列13個rules檔Snort預設是不使用,但管理者
若需要使用時,可自行設定啟用。
web-attacks.rules
backdoor.rules
shellcode.rules
policy.rules
porn.rules
info.rules
icmp-info.rules
virus.rules
chat.rules
multimedia.rules
p2p.rules
spyware-put.rules
specific-threats.rules
Snort預設的detection rules
國立雲林科技大學 自由軟體研發中心
17
第七章 入侵偵測防禦系統
7.3 Network-Based Intrusion Detection Systems
如下圖所示,Snort Detection Rules的格式可分
為二個部份,規則表頭(Rule header)與規則功能
選項(Rule Option)。
至於規則功能(Rule Option),Snort提供了相當
多的選項,以下列出幾個常用的選項:
封包內容樣本(content):偵測封包內容是
否符合本欄位所定義之值。
訊息(message):當有封包滿足該規則且規
則作用是發出警報或記錄時,所要列印出
的訊息。
規則編號(sid):偵測規則的編號。
封包內容長度(dsize):偵測封包內容的長
度是否符合本欄位所定義之值,單位為
Byte。
旗號(flags):偵測封包的TCP表頭Flag欄位
資料。
Snort規則表頭(Rule header)包含五個欄位:
規則作用(Rule Action):規定被偵測的封包符合
此規則時,系統所要採取的動作。例如:
警報(alert):發出警報。
記錄(log):記錄封包資料。
通過(pass):讓該封包通過。
活動(activate):啟動一個動態規則。
動態(dynamic):一般為關閉狀態,當被某活動規則
啟動後才有作用。
規則通訊協定(Protocol):規定被偵測的封包為tcp、
udp、icmp 或 ip通訊協定的封包。
IP1 and Port1:存放IP位置和埠值,此欄位的IP位
置可用CIDR mask表示,若不限定特定值時以any
表示。
傳輸方向(Direction Operator):規定被偵測的封包
是由IP1傳送到IP2(->)、或是由IP2傳送到IP1(<)、或是IP1與IP2雙向傳送(<>)。
IP2 and Port2:存放IP位置和埠值。
Snort Detection Rules的格式
國立雲林科技大學 自由軟體研發中心
18
第七章 入侵偵測防禦系統
7.4 Configure Intrusion Prevention on a Router
在 某 些 Cisco router 的 IOS 中 , 有 提 供 in-line
Intrusion Prevention System (IPS)的功能,如左
圖所示,讓路由器在轉送封包之前,能夠監看
流經的封包是否帶有入侵行為,以即時的對可
疑的封包進行處理。
Cisco IOS IPS目前支援超過740組的入侵特徵碼,
並且可以讓管理者執行路由器上資料庫入侵特
徵碼的更新與替換,以偵測新型的攻擊。
Cisco IOS in-line IPS除了能夠對流經的封包封
包做檢測以外,也可以對一個會談(session)進行
檢測。管理者可以針對各個特徵碼設定IPS需要
執行的反制動作,通常IPS偵測到封包行為與某
入侵特徵碼相符時,可以執行下列的反制動作:
路由器執行入侵偵測之示意圖
讓router進行封包丟棄(Drop)的動作。
對 此 可 疑 的 session 進 行 連 線 中 斷 (Reset
Connection)。
配合syslog或是其它安全裝置(例如Security Device
Event Exchange,簡稱SDEE) 發出警報。
國立雲林科技大學 自由軟體研發中心
19
第七章 入侵偵測防禦系統
7.4 Configure Intrusion Prevention on a Router
在Cisco路由器上設定執行IPS功能的步驟
如下:
1.
RouterP> enable
Password: password
RouterP# configure terminal
RouterP(config)#
RouterP(config)# ip ips sdf builtin
RouterP(config)# ip ips name SECURIPS
RouterP(config)# interface fastEthernet 0/1
RouterP(config-if)# ip ips SECURIPS in
RouterP(config-if)# exit
在Cisco 路由器設定IPS之範例
2.
3.
載入IPS用來檢查封包是否有入侵行為的
特徵定義檔(Signature Definition File,簡稱
SDF)
使用Syslog或SDEE來存放log
驗證IPS的設定是否正確。
載入IPS會使用的特徵檔(如左圖所示):
先進入Global Configuration模式。
使用ip ips sdf builtin指令將IOS預設(builtin)的SDF檔載入,做為執行IPS用來判斷
入侵的依據。
接著用ip ips name SECURIPS 將這個IPS
命名為SECURIPS。
假設此IPS要用來監控所有流進路由器上
FastEthernet 0/1界面的封包,使用interface
fastEthernet 0/1進入interface的設定模式。
再用ip ips SECURIPS in指令,將這名為
SECURIPS的ips掛載在fastEthernet 0/1的界
面上,監控所有流進此界面的封包。
國立雲林科技大學 自由軟體研發中心
20
第七章 入侵偵測防禦系統
7.4 Configure Intrusion Prevention on a Router
使 用 Syslog 或 SDEE來 存 放 log(如 左 圖所
示):
假設有一台主機,其IP位址為10.0.1.12,
已經安裝好成為Syslog server等相關軟體
(如http://www.kiwisyslog.com/ kiwi syslog
daemon),負責接收log資訊 ; 管理者可以
進入路由器的Global configure mode下輸入
logging 10.0.1.12 指 令 , 設 定 路 由 器 的
Syslog server其IP位址為10.0.1.12,之後當
路由器上的IPS有偵測出異常封包時,皆
會發送訊息到10.0.1.12的Syslog server上。
管理者可以透過logging trap指令設定當發
生事件的等級(level)在那一個層次之上才
需要產生log的訊息送給Syslog server ; 左
圖的例子設定為logging trap warnings,
表示當發生事件的level大於4(warnings)時,
路由器才會發送log訊息。
接著使用logging on指令啟動路由器上的
log機制。
RouterP(config)# logging 10.0.1.12
RouterP(config)# logging trap warnings
RouterP(config)# logging on
RouterP(config)# ^Z
在Cisco 路由器設定SysLog Server之範例
國立雲林科技大學 自由軟體研發中心
21
第七章 入侵偵測防禦系統
7.4 Configure Intrusion Prevention on a Router
驗證IPS的設定是否正確(如左圖所示):
路由器執行show ip ips configuration指令的畫面
管理者可以用show ip ips configuration指
令,來觀看ips的設定是否正確。
show ip ips configuration會顯示下列資訊:
SDF的位置 , 左圖的例子SDF是採用
built-in,因此畫面上configured SDF
Locations會是none 。
此SDF被載入的時間。
IPS fail closed的執行狀態,左圖的例
子是沒有啟動IPS fail closed的功能,
IPS fail closed若有啟用的話,表示在
IPS正式運作之前,任何經過此router
的封包都會被drop。
事件通知的執行狀態 ,左圖的例子是
啟動syslog的方法來執行事件通知。
SDF中啟用/未啟用的Signature個數 ,
左圖的例子啟用/未啟用的Signature個
數分別為132個/0個。
指出此router中有哪些IPS Rules,其
名稱為何,左圖的例子顯示IPS Rules
名稱為SECURIPS。
指出此router中有哪些Interfaces有被
設定執行IPS功能。
國立雲林科技大學 自由軟體研發中心
22
第七章 入侵偵測防禦系統
show flash
RouterP# copy tftp://10.0.P.12/attack-drop.sdf flash:
attack -drop.sdf
RouterP# configure terminal
RouterP(config)# ip ips name SECURIPS
RouterP(config)# ip ips sdf location flash:attackdrop.sdf
RouterP# show ip ips configuration
在Cisco 路由器載入非built-in SDF檔
7.4 Configure Intrusion Prevention on a Router
特徵定義檔(SDF)也可以使用TFTP從其它
主機載入,稱為非built-in SDF檔,以下
簡述載入非built-in SDF檔的方式:
首先管理者可以用show flash指令,來觀
看路由器的IOS是否存有SDF檔。
接 著 管 理 者 可 以 在 路 由 器 上 輸 入 copy
tftp://10.0.1.12/attack-drop.sdf
flash:attack-drop.sdf指令將主機(其IP位址
為10.0.1.12)上的sdf檔存至路由器的flash。
接著管理者進入Global Configure mode,
輸入ip ips name SECURIPS指令。
接著管理者可以決定路由器上的IPS要用
哪個sdf檔作為入侵偵測的依據,如左圖所
示 , 管 理 者 輸 入 ip ips sdf location
flash:attack-drop.sdf 指令,讓此IPS使用
剛剛存到flash中的attack-drop.sdf檔做為入
侵偵測的特徵碼。
國立雲林科技大學 自由軟體研發中心
23
第七章 入侵偵測防禦系統
7.4 Configure Intrusion Prevention on a Router
RouterP# copy flash:attack-drop.sdf ips-sdf
RouterP# copy ips-sdf flash:my-signatures.sdf
RouterP(config)# ip ips sdf location flash:mysignatures.sdf
在Cisco 路由器整合兩個 SDF檔
將下載的SDF檔與路由器內建built-in SDF
檔整合的方式:
假 設 Router 的 flash 中 已 存 在 之 前 下 載 的
SDF檔, 稱為attack-drop.sdf。
如左圖所示,管理者可以在路由器上輸入
copy flash:attack-drop.sdf ips-sdf指令將之
前下載的attack-drop.sdf整合到內建的sdf。
接著管理者可以用copy ips-sdf flash:mysignatures.sdf指令,將整合好的sdf檔存在
flash中,並且命名為my-signatures.sdf。
最 後 管 理 者 使 用 整 合 過 後 的 mysignatures.sdf作為路由器IPS入侵偵測的依
據 , 管 理 者 輸 入 ip ips sdf location
flash:my-signatures.sdf 指 令 , 讓 此 IPS 使
用 剛 剛 整 合 好 並 存 放 在 flash 中 的 mysignatures.sdf檔做為入侵偵測的特徵碼。
國立雲林科技大學 自由軟體研發中心
24
第七章 入侵偵測防禦系統
總結
入侵偵測系統依照佈署位置的不同,可分為網路型入侵偵測系統(Network-based Intrusion
Detection System,簡稱NIDS)與主機型入侵偵測系統(Host-based Intrusion Detection System,
簡稱HIDS);依照其偵測的技術做分類,則可以分成錯誤偵測(Misuse-based Detection)與異
常偵測(Anomaly-based Detection),每一做法皆有其優缺點,管理者必需依據企業的需求來
決定要使用哪一種系統。
本章介紹一套HIDS:OSSEC,與一套NIDS:Snort,二者皆為OpenSource之入侵偵測系統。
OSSEC可佈署在一台或多台主機上,主要是觀察主機上的各種Log資訊來偵測攻擊行為;
而Snort則是觀察整個網段上的封包(Packets)。此二套系統,均需定期更新detection rules,
以降低被駭客入侵而無人發現之可能性。
入侵偵測防禦系統不單單只能裝在主機上,也可以在網路設備上執行。例如:某些Cisco
router的IOS,有提供Intrusion Prevention System (IPS)的功能,除了能夠監看流經的封包是
否帶有入侵行為外,也能夠即時的對可疑封包進行處理,7.4節介紹如何啟動網路設備
router執行IPS功能的相關設定。
國立雲林科技大學 自由軟體研發中心
25
第七章 入侵偵測防禦系統
參考資料
SAMHAIN Lab, http://www.la-samhna.de/samhain/.
OSSEC, http://www.ossec.net/.
Open HIDS - Windows Host Intrusion Detection System, Http://www.securiteam.com/
tools/5HP072AFPK.html.
Snort, http://www.snort.org/vrt.
BASE project, http://sourceforge.net/projects/secureideas.
Analysis Console for Intrusion Databases (ACID), http://acidlab.sourceforge.net/.
BRO, http://bro-ids.org/.
Cisco IOS Intrusion Prevention System, CISCO, http://www.conft.com/en/US/docs/ios/12_3t
/12_3t8/feature/guide/gt_fwids.html.
Wuu, L.C., Hung, C.H., and Chen, S.F., 2007, "Building Intrusion Pattern Miner for Snort
Network Intrusion Detection System", Journal of Systems and Software, 80, pp 1699-1715.
伍麗樵,陳少鋒,”在 Snort 網路型入侵偵測系統上建立入侵樣本探勘器 “。
資通安全資訊網,http://ics.stpi.org.tw/。
資安人科技網,http://www.isecutech.com.tw/。
資安之眼,http://www.itis.tw/。
國立雲林科技大學 自由軟體研發中心
26