任 毅

(四川交通職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系，成都 611130)

防火墻是實(shí)施訪問控制策略的系統(tǒng)，對流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。入侵檢測系統(tǒng)(IDS)［1－2］通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù)IDS都是被動的，而不是主動的。也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報(bào)。

入侵防護(hù)系統(tǒng)(IPS)［3］傾向于提供主動防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。

IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，會創(chuàng)建一個(gè)新的過濾器。IPS數(shù)據(jù)包處理引擎可以深層檢查數(shù)據(jù)包的內(nèi)容，如果有攻擊者利用第2層至第7層的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。每種過濾器負(fù)責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進(jìn)行分類時(shí)，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析，以提高過濾準(zhǔn)確性。

1 IPS的種類

1.1 基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)［4］

HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序?；谥鳈C(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵服務(wù)器核心防護(hù)都屬于這類產(chǎn)品?；谥鳈C(jī)的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對服務(wù)器、主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。

由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上，它不但能夠利用特征和行為規(guī)則檢測、阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺緊密相關(guān)，不同的平臺需要不同的軟件代理程序。

1.2 基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)［5］

NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量提供對網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會話，而不僅僅是復(fù)位會話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸。因此，NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。

在技術(shù)上，NIPS吸取了目前網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應(yīng)用的技術(shù)，具有準(zhǔn)確率高、速度快的特點(diǎn)。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征，還要檢查當(dāng)前網(wǎng)絡(luò)的會話狀態(tài)，避免受到欺騙攻擊。

Cisco公司實(shí)現(xiàn)入侵防御系統(tǒng)的產(chǎn)品主要是Cisco IPS，目前流行的是4200系列。另外，在思科路由器上也可以實(shí)現(xiàn)IPS功能，但必須將路由器IOS版本升級到12.4(11)以后。

2 在思科路由器上實(shí)現(xiàn)IPS

本文主要討論如何在思科路由器上實(shí)現(xiàn)IPS，選用的路由器是思科3750，其IOS版本是12.4(25d)。其網(wǎng)絡(luò)拓?fù)鋱D1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2.1 基本配置

在配置IPS之前，需要對路由器做一些初始配置，主要包括遠(yuǎn)程登錄、用戶、口令及權(quán)限等。代碼如下:

enable

configure terminal

interface f0/0

ip address 172.16.1.1 255.255.255.0

no shutdown

exit

username admin privilege 15 password cisco

ip http server

ip http authentication local

line vty 0 4

privilege level 15

login local

trans input telnet ssh

exit

2.2 使用SDM配置IPS

SDM(Security Device Manager，SDM)是 Cisco公司提供的全新圖形化路由器管理工具，該工具利用Web界面、Java技術(shù)和交互配置向?qū)褂脩魺o需了解命令行接口即可輕松地完成IOS路由器的狀態(tài)監(jiān)控、安全審計(jì)和功能配置。包括QoS、Easy VPN Server、IPS、DHCP Server、動態(tài)路由協(xié)議等配置任務(wù)也可以利用SDM輕松而快捷地完成。

啟動SDM后，輸入路由器管理地址172.16.1.1，輸入用戶名admin和密碼cisco即可通過Web方式連接上路由器。

在SDM界面中，點(diǎn)擊Configure即進(jìn)入路由器配置界面;點(diǎn)擊Intrusion Prevention按鈕，再點(diǎn)擊Launch IPSRule Wizard按鈕，即可通過向?qū)Х绞絼?chuàng)建IPS規(guī)則。接下來進(jìn)行端口選擇，即IPS檢測的端口，如圖2所示。

圖2 選擇監(jiān)控的端口

接下來選擇特征庫文件(Signature Definition File，SDF)?？梢允褂脙?nèi)置的攻擊特征庫和外置的攻擊特征庫去識別網(wǎng)絡(luò)攻擊流量，并阻止網(wǎng)絡(luò)攻擊;可以調(diào)用外部的特征庫(SDF文件)，如圖3所示。

圖3 IPS特征庫選擇

完成創(chuàng)建IPS向?qū)Ш?，點(diǎn)擊Edit IPS即可出現(xiàn)如圖4所示的界面(選用的是IOS界面的特征庫)。從該圖中可以看出，該內(nèi)置特征庫定義了132種攻擊，并能針對這些攻擊進(jìn)行防御。

圖4 IOS內(nèi)置的特征庫

3 測試IPS

下面以常見的Ping為例進(jìn)行測試。找到Sig ID號為2004，Name為ICMPEcho Req的特征，右擊，再單擊Action，定義針對該特征的行為，如圖5所示。

圖5 定義特征行為

特征行為的處理:alarm(產(chǎn)生一個(gè)報(bào)警信息)、denyAttackerInline(創(chuàng)建一個(gè)ACL以拒絕來自被IPS認(rèn)為是攻擊者的IP地址的流量)、denyFlow Inline(只會阻塞某個(gè)具體的攻擊流)、drop(丟棄該數(shù)據(jù)包)、Reset(發(fā)送TDP重置包以終止TCP流)。

在配置該特征行為之前，可以從172.16.1.118上正常Ping這臺路由器，如圖6上部分所示。在配置特征行為為Alarm和drop，并應(yīng)用該配置到路由器后，發(fā)現(xiàn)已經(jīng)不能Ping通，路由器已經(jīng)將Ping數(shù)據(jù)包丟棄了，如圖6下部分所示。

圖6 IPS測試

同時(shí)在路由器上檢測到符合特征的攻擊行為，如圖7所示。

圖7 檢測到的特征行為

4 結(jié)束語

從以上測試可以看出，只要針對攻擊配置了相應(yīng)的特征行為，就能夠有效防止攻擊，大大減少由于網(wǎng)絡(luò)攻擊帶來的損失。攻擊特征行為可采用思科定義好的特征庫(目前思科最新的特征庫文件已經(jīng)定義了5 000多種攻擊行為，并且該特征庫在不斷增加)，也可以自行定義特征行為。IPS通過檢測數(shù)據(jù)包判斷其行為，可以有效檢測并阻止攻擊的發(fā)生。

［1］陳岳兵，馮超，張權(quán).面向入侵檢測的集成人工免疫系統(tǒng)［J］.通信學(xué)報(bào)，2012(2):125－131.

［2］周鳴爭.基于核函數(shù)Fisher鑒別的異常入侵檢測［J］.電子與信息學(xué)報(bào)，2006(9):1727－1730.

［3］吳海燕，蔣東興，程志銳.入侵防御系統(tǒng)研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2007(24):5844－5846.

［4］薛昱春.基本主機(jī)的入侵?jǐn)?shù)據(jù)包檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］.南京:東南大學(xué)，2006.

［5］張立秋，常會友，劉翔.基于網(wǎng)絡(luò)的入侵防御系統(tǒng)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2005(4):976－977.