如何利用IPS追蹤入侵者?
IPS(入侵預防系統)也像入侵偵查系統一樣,專門深入網路數據內部,查找它所認識的攻擊代碼特征,過濾有害數據流,丟棄有害數據包,并進行記載,以便事后分析。
除此之外,更重要的是,大多數入侵預防系統同時結合考慮應用程序或網路傳輸中的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。
IPS雖然也考慮已知病毒特征,但是它并不僅僅依賴于已知病毒特征。下面我們就來了解下行為處理法是如何運轉工作的,我們依舊以華為公司的Tippingpoint入侵防御系統為例進行介紹。
第一步:登錄到IPS系統管理界面,我們在左邊找到IPS選項下的security profiles,這個是關于安全配置的信息,在這里我們能夠看到默認的是default security profile,這個是系統集成時廠商制訂好的。(如圖1)
第二步:下面我們來修改這個默認的default security profile,打開后會顯示該安全策略應用的接口,由于筆者所在公司只使用了兩個接口,一個入一個出所以這里不用修改。(如圖2)
第三步:接下來是profile details(advanced)設置,這里是關于策略的詳細信息進行配置的。
我們可以看到默認情況系統針對各個攻擊類型劃分了類別,每個類別是一個category.可以處理的攻擊包括exploits益出,identity theft,security policy(安全策略),virus病毒,spyware間諜程序等等,種類很多這里就不一一羅列了。
對于每個大類category來說我們都可以設置IPS操作的行為以及處理方法,包括block禁止通行,block+notify禁止通行并提示,block+notify+trace禁止通行并提示而且追蹤源地址,limit rate to 10M容許速度限制為10M,limit rate to 5M,permit+notify,perminotify+trace容許通行并追蹤數據等等。
基本上這里羅列的行為處理方法足夠在實際中使用了,如果企業需要特殊的行為處理操作的話可以按照下文介紹的方法添加。
這里有一個recommended的意思是推薦,他表示對于該大類處理方法按照單獨小類進行處理,例如virus下有A病毒與B病毒,如果大類virus設置為recommended的話,那么具體到處理AB病毒時按照A病毒與B病毒自身設置的行為處理規則運行。
IPS一般作為防火墻和防病毒軟體的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據,有興趣的讀者可以關注更多的相關資源。
【編輯推薦】
