CloudEngine 12800交換機IPS安全插板技術白皮書

IPS安全插板技術白皮書文檔版本V1.0發(fā)布日期2015-05-27目錄互聯(lián)網(wǎng)安全趨勢 3更多的安全威脅 3常用的入侵手段 3華為IPS插板技術原理 5總體架構(gòu) 5基礎系統(tǒng)漏洞防護 5客戶端防護 6已感染系統(tǒng)的活防護 7協(xié)議異常檢測 7協(xié)議識別 8DDOS攻擊防護 8特征庫升級 9華為IPS插板的技術亮點 11先進的基于漏洞簽名 11高階防躲避技術 13可視化應用感知術 14多層DDOS防護技術 15IPV6檢測能力 16全球安全能力中心 16部署方式 17插板IPS部署方式 17插板IDS部署方式 17第第3頁,共18頁互聯(lián)網(wǎng)安全趨勢更多的安全威脅隨著互聯(lián)網(wǎng)飛速的發(fā)展，用戶面臨的威脅也日益嚴重。常用的入侵手段黑客主要通過系統(tǒng)入侵和遠程入侵滲透到網(wǎng)絡中，常用的入侵手段可以概括為：入侵手段描述口令破解攻擊者可通過獲取口令文件，然后運用口令破解工具獲得口令，也可通過猜測或竊聽等方式獲取口令連接盜用在合法的通信連接建立后，攻擊者可通過阻塞或摧毀通信的一方來接管已經(jīng)過認證建立起來的連接，從而假冒被接管方與對方通信第PAGE第4頁,共18頁服務拒絕攻擊者可直接發(fā)動攻擊，也可通過控制其它主機發(fā)起攻擊使目標癱瘓，如發(fā)送大量的數(shù)據(jù)洪流阻塞目標網(wǎng)絡竊聽網(wǎng)絡的開放性使攻擊者可通過直接或間接竊聽獲取所需信息數(shù)據(jù)篡改攻擊者可通過截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方式破壞數(shù)據(jù)的完整性地址欺騙攻擊者可通過偽裝成被信任的IP地址等方式來騙取目標的信任社會工程攻擊者可通過各種社交渠道獲得有關目標的結(jié)構(gòu)、使用情況、安全防范措施等有用信息，從而提高攻擊成功率惡意掃描攻擊者可編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標的漏洞，進而發(fā)起攻擊基礎設施破壞攻擊者可通過破壞域名服務器或路由信息等基礎設施使目標陷于孤立數(shù)據(jù)驅(qū)動攻擊攻擊者可通過施防病毒、特洛伊木馬、數(shù)據(jù)炸彈等方式破壞或遙控目標IPS插板技術原理總體架構(gòu)系統(tǒng)總體框架IPS插板核心架構(gòu)如上圖所示。IPTCP流重組、、Unicode、RPC、用戶指令輸入接口等功能，以WEB基礎系統(tǒng)漏洞防護IPS（即）如LSASS和MS-RPCDCOMW32.DownadupConficker?？蛻舳朔雷o偷渡式下載防護IPSIPS欺騙類應用軟件防護為S虛假編解碼器虛假安全掃描網(wǎng)站間諜/廣告軟件檢測/間諜/已感染系統(tǒng)的活動防護IPSIPSIPS協(xié)議異常檢測IPSRFC協(xié)議異常檢測覆蓋的協(xié)議有：HTTP，SMTP，F(xiàn)TP，POP3，IMAP4，MSRPC，NETBIOS，SMB，MS_SQL，TELNET，IRC，DNS等等，覆蓋常用的30多種協(xié)議。協(xié)議識別80FTP協(xié)議，SAIPS運行在3128端口而漏過協(xié)議上的攻擊。網(wǎng)絡智SA(ServiceAwareness)IPSASASA示意圖SAL3～L7/L7+/（例（。SASAURL等。DDoS攻擊防護拒絕服務攻擊也就是DoS（DenialofService）攻擊，其目的是通過攻擊使計算機或網(wǎng)絡無法提供正常的服務。DoS攻擊的特點有難于防范、破壞力強、易于發(fā)動、追查困難、危害面廣。（DDoS，DistributedDenialofrvicDDoS/DoSDDoSInternet/服務器技術，畸形包攻擊Smurf攻擊、LAND攻擊、FRAGGLE攻擊、IP分片攻擊、PingOfDeath攻擊、TearDrop（碎片WinNukeLargeICMPTCPFlagIPSpoofingICMP重定ICMPIPIPIP控制報文等。風暴（泛洪）型FloodTCPFloodUDPFloodUDPFragmentFloodICMPFlood攻擊。應用層DDoS類HTTPGET/POSTFlood攻擊、DNSQueryFlood攻擊、DNSReplyFlood攻擊、SIPFlood攻擊、ConnectionFlood攻擊、HTTPSFlood。特征庫升級IPS插板通過持續(xù)的升級最新的特征庫，來獲得最新的檢測能力，給用戶提供最新的保護。主要升級方式有：在線升級IPSWeb第PAGE第10頁,共18頁本地升級當用戶的網(wǎng)絡不允許IPS插板直接連接升級服務器的時候，或者網(wǎng)絡管理員不希望IPS插板主動連接外部服務器的時候，可以采用本地升級。的過程。第11第11頁,共18頁IPS插板的技術亮點先進的基于漏洞的簽名IPS一個好的入侵防護引擎，其簽名必定是基于漏洞來開發(fā)的。很多廠商選擇編寫大量的基于攻擊(exploit-based)的簽名而很少寫基于漏洞(vulnerability-based)的簽名。這往往是由于引擎能力約束，或者威脅研究能力的限制引起的，不排除甚至僅僅是為了提升簽名數(shù)來使得其宣傳手冊更加好看而已。下面是一條Snort的規(guī)則，屬于典型的基于攻擊的簽名，用于匹配一種非常特定的模式。#--InboundExploit,Inbound:133of7981,from01/06to06/13alerttcp$EXTERNAL_NETany->$HOME_NET[135:139,445,1025](msg:"E2[rb]SHELLCODEx860x90unicodeNOOP";content:"|90009000900090009000|";classtype:shellcode-detect;sid:299906;rev:1;)條基于攻躲避基于攻擊的簽名很容易fUR簽名數(shù)量也會沖擊性能網(wǎng)絡IPSSMB測試機構(gòu)已經(jīng)不再把簽名數(shù)作為指標第PAGE第12頁,共18頁IPSSnortIPSStrataGuardSnort-variants樣了。IPSGartner我們的方法（擊。我們看看下面這些例子：#1-20060-POP3GenericUserBufferOverflowPOP333個不同的BID漏洞。RevilloCMailServerRemoteBufferOverflowVulnerability(BID16997)HexamailPOP3ServerRemoteBufferOverflowVulnerability(BID25496)POP3_Proxy_USER_OVERFLOWVulnerability#2–20903FTPCommandOverflowFTP100個BID88BID100BID漏洞。8BID21245427,9675,9751,12155,20076。#3-3條非常強大的簽名，覆蓋超過400個BID漏洞這3條簽名非常通用，能夠覆蓋超過400個BID漏洞，其他廠商沒有類似的簽名。23476-FakeCodecRequestGeneric22809-HTTPJavascriptHeapSprayDetection21709-HTTPShellcodeDetection高階防躲避技術IPSIP報文分片，TCP流分段RPCURL混淆FTP命令躲避但是，隨著互聯(lián)網(wǎng)威脅大量聚焦在新興HTTP應用方面，攻擊者很容易使用新的方法來繞開檢測。比如：URL%%u@URL請求URL@%32%32%30%2E%36%38%2E%32%31%34%2E%32%31%33的內(nèi)容。IPS/HTTP/HTML/IPSBase64encodingUTFEncodingURLEncodingCrosspacketdetectionChunkedcontentGzipencodingFragmentedcontentIPSBASE64Javascript混淆，HTTPchunked傳輸，HTTP內(nèi)容壓縮，HTTPheader混淆等等?？梢暬瘧酶兄夹gIPS（阻斷損失。17個大類（P2P、、IMWebBrowsing、FileAccessProtocol、、StockGameAttackEmailNetworkAdministrationRemoteConnectivityNewsGroups、r，0多種協(xié)議IPSDDoS防護技術華為IPS插板是基于4層協(xié)議、7層應用層協(xié)議、行為分析的高級DDoS防護技術。4IPcookiecookieIPS確認該源IPFlood、SYN-ACKFlood、ACKFlood攻擊。Flood報文，IPScookieSYN-ACKIP主SYN-ACKSYN-ACKACKACK報文ACKSYN-ACKIPTCPIPSDDoSTCPWEB服務器發(fā)起的FloodWEBURL請求。IPS通過深度解碼URLIPSIPSCCIPv6檢測能力IPv4IPv4IPv6IPv4安全互聯(lián)網(wǎng)議IPSIPv6/IPv4全球安全能力中心IPS365724小MAPPIPS插部署方式IPS部署方式客戶主要面臨的威脅和痛點是：瀏覽器、文件漏洞感染PCIPS插板的方式部署到華為核心交換機里面，邏輯上相當于“串聯(lián)”在核心設備之間。IPSIPS虛擬線(接口對)IPS業(yè)務板工作在接口對（虛擬線）模式下，與交換機互聯(lián)的兩個