NCSE-信息安全-二級-第十二章

第十二章國家信息化工程師認證考試管理中心審計和日志分析第十二章審計和日志分析第1節(jié)信息安全基線的概念和建立第2節(jié)操作系統(tǒng)日志第3節(jié)CiscoRouter日志第4節(jié)Web活動日志第5節(jié)防火墻日志第6節(jié)IDS日志第7節(jié)日志的統(tǒng)一收集與報告第8章攻擊回溯案例基線的建立基線是網(wǎng)絡活動的參考標準構(gòu)造信息系統(tǒng)的安全基線是實現(xiàn)系統(tǒng)安全工程的首要步驟建立基線是進行日志分析的開始基線是網(wǎng)絡活動的參考標準通過一段長時間對日志的仔細分析，可以建立一條基線安全基線的概念信息系統(tǒng)安全基線是信息系統(tǒng)的最小安全保證是信息系統(tǒng)最基本需要滿足的安全要求構(gòu)造信息系統(tǒng)安全基線是對信息系統(tǒng)及其內(nèi)外部環(huán)境進行系統(tǒng)的安全分析，最終確定系統(tǒng)需要保護的安全目標以及對這些安全目標的保護程度安全基線類別管理安全基線系統(tǒng)實施安全基線物理安全基線邏輯安全基線安全基線的總體模型信息系統(tǒng)安全基線的總體模型包括如下部分系統(tǒng)安全相關信息收集系統(tǒng)范圍確定系統(tǒng)外部影響分析系統(tǒng)威脅分析安全視圖確定安全基線定義安全基線確定安全基線的總體模型之間的關系系統(tǒng)安全相關信息系統(tǒng)范圍系統(tǒng)威脅系統(tǒng)外部影響安全基線安全基線確認安全視圖系統(tǒng)安全相關信息收集收集的內(nèi)容網(wǎng)絡環(huán)境數(shù)據(jù)信息業(yè)務應用或系統(tǒng)服務用戶管理制度相關的政策法規(guī)和標準安全事件高層安全目標系統(tǒng)安全要求系統(tǒng)范圍確定整個系統(tǒng)中安全基線涉及的對象和考慮的范圍系統(tǒng)范圍確定是一個劃定系統(tǒng)安全邊界的過程，該邊界界定了安全基線的管轄范圍系統(tǒng)安全邊界的定義依賴于系統(tǒng)安全相關信息收集的工作成果系統(tǒng)外部影響分析指對目標系統(tǒng)安全產(chǎn)生影響的所有可能的外界因素決定了系統(tǒng)安全的約束、限制和針對的外部防范范圍多樣性系統(tǒng)威脅分析指確定系統(tǒng)內(nèi)外部存在的可能對系統(tǒng)構(gòu)成威脅的各種因素，同時明確這種威脅變?yōu)楝F(xiàn)實后，可能對系統(tǒng)造成的損失識別系統(tǒng)目的系統(tǒng)應用過程分析系統(tǒng)弱點確定威脅分析風險分析記錄Unix系統(tǒng)日志Linux系統(tǒng)中，有三個主要的日志子系統(tǒng)：連接時間日志進程統(tǒng)計錯誤日志幾個本地日志工具last--掃描/var/log/lastlog文件并報告信息lastb--提供嘗試登錄失敗的信息lastlog--提供關于所有用戶最后一次登錄的信息常見的Unix日志access-log 紀錄HTTP/web的傳輸acct/pacct

紀錄用戶命令Aculog

紀錄MODEM的活動Btmp

紀錄失敗的紀錄Lastlog

紀錄最近幾次成功登錄的事件和最后一次不成功的登錄Messages 從syslog中記錄信息Sudolog

紀錄使用sudo發(fā)出的命令Sulog

紀錄使用su命令的使用Syslog

從syslog中記錄信息 Utmp

紀錄當前登錄的每個用戶Wtmp

一個用戶每次登錄進入和退出時間的永久紀錄Xferlog

紀錄FTP會話關鍵日志說明utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關鍵，保持用戶登錄進入和退出的紀錄。有關當前登錄用戶的信息記錄在文件utmp中登錄進入和退出紀錄在文件wtmp中最后一次登錄文件可以用lastlog命令察看數(shù)據(jù)交換、關機和重起也記錄在wtmp文件中。具體命令WhoWho命令查詢utmp文件報告當前登錄的每個用戶W查詢utmp文件并顯示當前系統(tǒng)中每個用戶和它所運行的進程信息Users用單獨的一行打印出當前登錄的用戶 Last往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶Ac根據(jù)當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結(jié)的時間Lastlog在每次有用戶登錄時被查詢Unix進程統(tǒng)計與監(jiān)控#touch/var/log/pacct#accton/var/log/pacct#lastcomm以root用戶身份運行注意運行順序syslog設備已被許多日志函數(shù)采納，用在許多保護措施中依據(jù)兩個重要的文件/etc/syslogd（守護進程）和/etc/syslog.conf配置文件一個典型的syslog紀錄生成程序的名字一個文本信息一個設備一個優(yōu)先級范圍Syslog.conf

分析（一）#Logallkernelmessagestotheconsole.#Loggingmuchelsecluttersupthescreen.#kern.*/dev/console有時syslogd將產(chǎn)生大量的消息。例如內(nèi)核（"kern"設備）可能很冗長。用戶可能想把內(nèi)核消息紀錄到/dev/console中。下面的例子表明內(nèi)核日志紀錄被注釋掉了。Syslog.conf

分析（二）#RootandTigergetalertandhighermessages*.alert root,tiger下例：alert消息應該寫到root和tiger的個人登陸信息中Syslog.conf

分析（三）#Loganything（exceptmail）oflevelinfoorhigher#Don'tlogprivateauthenticationmessages!*.info:mail.none;autHPriv.none/var/log/messages下面的例子把info或更高級別的消息送到/var/log/messages

Syslog.conf

分析（四）UUCP和news設備能產(chǎn)生許多外部消息。

它把這些消息存到自己的日志(/var/log/spooler)中并把級別限為"err"或更高#Savemailandnewserrorsoflevelerrandhigherinaspecialfile.uucp,news.crit /var/log/spooler記錄Windows2000系統(tǒng)日志W(wǎng)indowsNT將日志記錄分為三個類別系統(tǒng)日志：記錄服務啟動和失敗，系統(tǒng)關閉和重啟·安全日志：記錄用戶登錄，用戶權(quán)限的使用和變更，對象的訪問·程序日志：記錄與操作系統(tǒng)有關程序的運行的情況Windows2000的系統(tǒng)日志文件應用程序日志安全日志系統(tǒng)日志DNS服務器日志等Windows2000常見事件529登錄失敗(在安全日志中)6005Windows2000重新啟動(在系統(tǒng)日志中)6006正常關機(在系統(tǒng)日志中)6007因權(quán)限不夠而不正常的關機請求(在系統(tǒng)日志中)6008稱為“不正常關機”事件，當NT被不正常關機時，該信息被記錄下來6009記錄操作系統(tǒng)的版本號、修建號、補丁號和系統(tǒng)處理器的信息特殊權(quán)限的審計繞過驗證限制debug程序創(chuàng)建一個象征意義的對象替換過程級別標記生成安全審計備份文件和目錄恢復文件和目錄開啟特殊權(quán)限和基礎對象審計hive:hkey_local_machine\system\currentcontrolset\control\lsa\fullprivilegeauditingtype:reg_binaryvalue:1

hive:hkey_local_machine\system\currentcontrolset\control\lsa\auditbaseobjectstype:reg_dwordvalue:1

可疑事件舉例一個用戶兩周以來每天半夜二點嘗試登錄系統(tǒng)，并且沒有登錄成功主服務器每天早晨自動地重新啟動在一天中的特定時間段內(nèi)系統(tǒng)的性能突然下降應該特別核查的事件Cisco日志類型AAA日志，主要收集關于用戶撥入連結(jié)、登錄、Http訪問、權(quán)限變化等Snmp

trap

日志，發(fā)送系統(tǒng)狀態(tài)的改變到Snmp

管理工作站系統(tǒng)日志，根據(jù)配置記錄大量的系統(tǒng)事件防火墻和邊界保護－－CiscoACL主要基于IP報文格式標準訪問控制列表0~99基于IP地址擴展訪問控制列表100~199可以基于源IP、目的IP和端口等等CiscoACL日志分析CiscoACL日志分析FEB1

00:15:06

rt1

1136:

08:00:42日期時間主機名消息序列號GMT時間List102

denied

icmp

2->

(8,0)

5packets哪一個ACL采取的操作數(shù)據(jù)流類型源IP目標IPICMP類型及代碼數(shù)據(jù)包數(shù)CiscoRouter的錯誤消息

%Facility

-

subfacility

-

Severity

-

Mnemonic

：

Message

Text

錯誤消息涉及的設備名

僅與通道接口處理器卡有關

數(shù)字越小嚴重程度越高

唯一標識錯誤消息的單值代碼

錯誤消息的簡短描述

Cisco日志信息的級別EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebugging日志信息輸出控制logging

｛terminal｝｛level｝

終端控制：可以為console、monitor等級別控制EmergenciesLertsCriticalErrorsWarningsNotificationsInformationalDebuggingWeb日志默認的W3C擴充日志文件格式（純文本文件）通過ODBC連結(jié)后臺數(shù)據(jù)庫基于logtemp.sql模板IIS日志位置為%systemroot%\system32\LogFiles示例2003-06-2303:00:12-80GET/abc/index.asp\-200–2003-06-2303:00:12-80GET/abc/login.asp\-200–2003-06-2303:00:12-80GET/abc/conn.asp\-400–2003-06-2303:23:20-80GET/abc/global.asa\-200–2003-06-2303:23:20-80GET/abc/xajhdb/abc.mdb-200

異常情況分析安全級別特征注釋與說明1"cmd.exe"cmd.exe可能被調(diào)用2"."".."和"..."請求路徑搜索3tftptftp是unix和Windowsnt下的命令，用來下載文件。通常是一些惡意的代碼，例如病毒、木馬、后門程序等420%%20是表示空格的16進制數(shù)值5%00%00表示16進制的空字節(jié)6"<"和">"">>"請求<>>>通常是I/O重定向符，可能被利用添加數(shù)據(jù)到在文件中7"echo"這個命令常用于寫數(shù)據(jù)到文件中8"`"請求這種字符后面常用在perl中執(zhí)行命令9cc,gcc,perl,python,攻擊者通過wget或者tftp下載exploit，并用cc、gcc這樣的編譯程序進行編譯成可執(zhí)行程序，進一步獲得特權(quán)Web日志分析實施WebServe：客戶端的分析請求CGI程序：把從WebServer傳送過來的請求傳送給日志分析程序，接收日志分析程序分析的結(jié)果并以頁面的形式發(fā)送給WebServer日志分析程序：接收CGI程序傳送來的分析請求，從日志文件里讀數(shù)據(jù)，分析后把結(jié)果傳給CGI程序防火墻日志MicrosoftISAServer和Proxy日志W(wǎng)3C擴展文件格式ISA服務器文本格式ODBC格式CiscoPIX日志必須下載基于WindowsNT的PIXFirewallSyslogServer才行ISA日志位置WebProxyLogs:c:\winnt\system32\w3plogsWinSockProxyLogs:c:\winnt\system32\wsplogs

大?。嚎芍付ǔ叽缑Q：基于當前日期格式：常規(guī)和詳細IDS日志IDMEF為IDS之間共享信息定義數(shù)據(jù)格式和交換程序異構(gòu)環(huán)境下日志格式必須統(tǒng)一，否則會為統(tǒng)一、集中的日志處理帶來極大不便一個輕量的網(wǎng)絡IDS:snort是一個基于簡單模式匹配的IDS源碼開放，跨平臺(C語言編寫，可移植性好)利用libpcap作為捕獲數(shù)據(jù)包的工具特點設計原則：性能、簡單、靈活包含三個子系統(tǒng)：網(wǎng)絡包的解析器、檢測引擎、日志和報警子系統(tǒng)內(nèi)置了一套插件子系統(tǒng)，作為系統(tǒng)擴展的手段模式特征鏈——規(guī)則鏈命令行方式運行，也可以用作一個sniffer工具Snort日志和報警子系統(tǒng)當匹配到特定的規(guī)則之后，檢測引擎會觸發(fā)相應的動作日志記錄動作，三種格式解碼之后的二進制數(shù)據(jù)包文本形式的IP結(jié)構(gòu)Tcpdump格式如果考慮性能的話，應選擇tcpdump格式，或者關閉logging功能報警動作，包括Syslog記錄到alert文本文件中發(fā)送WinPopup消息文本格式Alert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]07/27.13:33:58.3145129:896->5:111①②③④⑤UDPTTL:64TOS:0X0ID:33481⑥⑦⑧⑨LEN:64⑩2.Detectwasgeneratedby.a.Snortintrustiondetectionsystemv.1.6.3onaRedHat6.2Linuxlaptopb.Formatofthealert:[**]IDS024.RPC.Portmap.request.ttdbserv[**]Snort（IDS）日志分析(一)基于Libpcap數(shù)據(jù)包收集程序開發(fā)的IDSSnort警示信息中注意的問題：在警示信息名前后必須有『**』與TCPdump格式相似在警示信息名中可以找到產(chǎn)生Snort警示信息的過濾條件Snort（IDS）日志分析(二)Alert:

[**]IDS024.RPC.Portmap.request.ttdbserv[**]

07/27.13:33:58.3145129:8965:111

UDPTTL:64TOS:0X0ID:33481

LEN:642.Detectwasgeneratedby.

a.Snor