网络安全设备-学习笔记01(防火墙、waf、ids、蜜罐)
网络安全设备-学习笔记01
参考来源:
大佬的课件笔记:安全攻防技能38讲
防火墙
防火墙类型
根据实现方式和功能的不同,分为三种类型:包过滤防火墙、应用网关防火墙和状态检测防火墙
包过滤防火墙
工作在网络层和传输层,网络请求以TCP或者UDP数据包的形式进行流动,通过检测并拦截所有流经防火墙的TCP或UDP数据包,对系统提供防护。能够获取的信息,源地址和端口,目标地址和端口,协议号
评价:防护能力比较弱,提供最基础的安全防护,基于匹配规则,现在大部分的包过滤防火墙进行了升级,引入了“连接状态”的概念,变成了状态检测防火墙
包过滤防火墙。 包过滤防火墙主要针对OSI模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制IP、UDP、TCP、ICMP和其他协议。包过滤防火墙对通过防火墙的数据包进行检查,只有满足条件的数据包才能通过,对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙通过规则(如ACL)来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙。
应用网关防火墙
以代理的模式工作在应用层,所谓“代理”,即接收客户端发出的请求,然后以客户端的身份将请求再发往服务端。
应用网关防火墙能够获取到系统和应用的全部信息,从而实现更复杂的功能,如:内容监控、认证、协议限制甚至缓存。
应用网关防火墙需要对TCP和UDP包进行解析,处理成应用层的数据协议,因此应用网关防火墙对于网络的性能、会产生负面影响。不是所有的应用都能够很好的兼容代理的存在。
服务端也无法有效地跟踪请求的来源。
由于web攻击是黑客常见的攻击手段,因此,应用网关防火墙也逐渐演变成了专门的Web防火墙。
代理服务器式防火墙。 代理服务器式防火墙对第四层到第七层的数据进行检查,与包过滤防火墙相比,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢。ISA可以看成是代理服务器式防火墙。
状态检测防火墙
工作在网络层和传输层,和包过滤防火墙的最大区别在于,他会以连接的形式来“看待”低层级的TCP和UDP数据包。
对比应用防火墙,不会尝试将数据包构建成高层级的数据,能获得更优的性能。所以目前市面上普遍采用的,都是状态检测防火墙。
基于状态检测的防火墙检测每一个TCP、UDP之类的会话连接。基于状态的会话包含特定会话的源、目的地址、端口号、TCP序列号信息以及与此会话相关的其他标志信息。基于状态检测的防火墙工作基于数据包、连接会话和一个基于状态的会话流表。基于状态检测的防火墙的性能比包过滤防火墙和代理服务器式防火墙要高。思科PIX和ASA属于基于状态检测的防火墙。 一般来说,防火墙工作层次越高,工作效率越低,安全性越高。
防火墙可以为网络边界提供哪些保护呢?
1、保护操作系统 的漏洞;
2、阻止非法的信息流动;
3、限制可访问的服务和审计;
1、保护操作系统 的漏洞
拒绝对高危端口发起的请求,“虚拟补丁”;针对整体流量的异常变化,可以产生报警甚至自动对异常的请求进行拦截。
2、阻止非法的信息流动
在网络边界之间流动的数据,往往都会受到一定的规则约束。
中国的防火长城,主要目的不是为了防止国外对中国发起网络攻击,而是根据法律法规,防止国内网民访问国外违法的数据信息。
可以对部分关键词或者敏感词进行检测阻止其外流。
连接本身对数据进行了加密,存在绕过防火墙的例子
3、限制可访问的服务和审计
对于网络方面的限制和要求,基本都可以再防火墙上进行实现。
日志功能通常比路由器等常规网络设备更加完备。
防火墙的防御盲区
没有绝对的安全
防火墙不能防御已授权服务中的恶意攻击。
防火墙不能防御不通过防火墙的访问。
防火墙自身的操作系统存在缺陷。
故障处理思路
防火墙与外网的连接丢包严重,网络延迟高,需要检查防火墙的状态,首先检查性能,即内存及CPU使用情况,判断异常设备:然后断开异常设备,若故障现象消失,则可以判断是设备遭受了攻击。当故障设备遭受DoS攻击、遭受木马攻击或故障设备感染病毒,都会出现上述状况;若故障设备遭受ARP攻击,则影响的不只是网中的1台设备。出现该故障时,恢复备份配置、防火墙初始化以及升级防火墙软件版本均不能解决问题,需要在防火墙上增加访问控制策,过滤对该设备的访问通信量。
多重安全网关
多重安全网关称为统一威胁管理(UTM,Unified Threat Management)被称为新一代防火墙,能做到从网络层到应用层的全面检测。UTM的功能有ACL、防入侵、防病毒、内容过滤、流量整形、防DOS。
WAF
waf的定义
web application firewall,Web应用防护系统,只专注于Web安全的防御
waf的工作模式
分别是:透明代理、反向代理和插件模式
透明代理和大部分防火墙的工作模式相同:在客户端和服务端通信不做任何改变的情况下,对http流量进行请求和转发,为了解密HTTPS流量,WAF必须和服务端同步HTTPS对称秘钥。
透明代理的优点是容易部署,缺点是它无法修改或者响应http的请求,只能控制请求的通过或者拒绝。
反向代理要求客户端将请求的目标地址指向WAF,而不是服务端。
反向代理WAF本质上是一个web服务,可以充当一个前置的认证平台,对所有请求进行身份校验和身份管理。
反向代理的缺点:对硬件要求更高,且一旦宕机,就无法响应客户端的任何请求。
插件模式,不再是一个独立的安全产品,而是以插件的形式依附于web服务器本身,为WEB安全提供防护。
对应waf插件部署的缺点,
会额外消耗服务器资源,对web服务器本身的性能产生影响
对于waf的所有改动会直接影响到服务端。
插件模式的waf,它本身升级必须和服务端一起进入评估和测试流程,会增加额外工作量。
将WAF植入服务端的逻辑中,常用的技术 是 AOP ASPECT Oriented Programming,面向切面编程。
waf对请求内容分析的三种手段
签名匹配、正则匹配、行为分析
签名匹配:和杀毒软件中病毒库的概念类似,WAF也可以维护一个攻击样本库。样本库中存有已知攻击请求的散列签名,只要HTTP请求内容的散列签名在这个样本库,就说明HTTP请求中携带了攻击内容。
正则匹配:签名匹配需要请求完全一致才能够检测出来,而正则匹配只需要部分特征就可以检测。WAF可以通过抽象一些攻击特征的正则表式,对HTTP请求进行检测。比如,如果请求的某个参数中出现了单引号,那么很有可能就是黑客发起的SQL注入攻击。
行为分析:除了针对单次请求的分析之外,WAF还可以针对连续的访问请求特征进行提取和分析。为什么要这么做呢?这是因为,很多时候,我们无法准确判断单次请求是不是攻击请求,但是如果疑似的攻击请求频繁出现,我们就基本能够确定了。也就是说一个用户不会频繁地访同同一个页面,而黑客需要对一个漏减点发起多次尝试,才能够实现攻击的效果。
IDS-入侵检测系统
IDS的定义
对内网中的行为进行检测,及时发现已经入侵内网中的黑客。入侵检测系统 Intrusion Detection System
IDS类型
根据检测内容的不同,IDS可以分为两种类型:NIDS(Network Intrusion Detection System,网络入侵检测系统) 和HIDS (Host-based Intrusion Detection System,基于主机型入侵检测系统)
第一种类型:NIDS
不具备网络请求拦截的能力。
检测逻辑就是对请求的内容进行正则匹配,不具备分析上下文的能力。 因此,NIDS一般只能够对单次的攻击请求进行检测。
第二种类型:HIDS
运行在每一个服务器中,监控行为更丰富
执行的系统命令
发起和接受的网络请求
运行的进程、监听的端口号等
系统关键文件的完整性
其他黑客可能留下痕迹的地方
IPS
ips强调拦截。
ips工作原理:
获取数据包;
对数据包进行分类;
匹配过滤器;
判断数据包是否命中;
数据包的放行或阻断;(如果判断无攻击迹象则放行数据包,如果发现攻击,立即采取防御措施:告警、丢弃数据包、切断此次应用会话、切断此次TCP连接)
IPS-入侵防御系统
入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的理资源升销,是一种侧重于风险控制的安全产品。这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。
如何评价入侵防护系统
针对越来越多的蠕虫、病毒、间谋软件、垃圾邮件、DDoS等混合威胁及黑客攻击不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的续性和可用性
一款优秀的网络入侵防护系统应该具备以下特征
·满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;
·提供供针对各类攻击的实时检测和防御功能同时具备丰富的访问控制能力,在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
·准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
·全面、精细的流量控制功能,确保企业关键业务持续稳定运转;
·具备丰富的高可用性,提供BYPASS硬件、软件)和HA等可靠性保障措施;
·可扩展的多链路IPS防护能力,避免不必要的重复安全投资;
·提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户需要;
·支持分级部署、集中管理,满足不同规模网络的使用和管理需求。
评估指标
评估指标在分析IDS的性能时,主要考虑检测系统的有效性、效率和可用性。有效性研究检测机制的检测精确度和系统检测结果的可信度,它是升发设计和应用DS的前提和自的是测试评估IDS的主要指标,效率则从检测机制的处理数据的速度以及经济性的角度来考虑,也就是侧重检测机制性能价格比的改进。可用性主要包括系统的可扩展性用户界面的可用性,部暑配置方便程度等方面。有效性是开发设计和应用DS的前提和自的,因此也是测试评估IDS的主要指标,但效率和可用性对IDS的性能也起很重要的作用。效率和可用性渗透于系统设计的各个方面之中。
检测率、虚警率及检测可信度
IDS本身的抗攻击能力
其他性能指标
延迟时间
负荷能力
入侵检测5种统计模型
操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内多次失败的登录很有可能是尝试口令攻击;
方差:计算参数的方差并设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;多元模型:即操作模型的扩展,它通过同时分析多个参数实现检测;
马尔柯夫过程模型:即将每种类型的事件定义为系统状态,用状态转移矩来表示状态的变化,当一个事件发生时,如果在状态矩阵中该转移的概率较小则该可能是异常事件;
时间序列分析:即将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力有时也会给入侵者以机会,因为入侵者可以通过逐步训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
蜜罐
什么是蜜罐
检测模式存在的问题:
第一,分析结果总会出现漏报和误判,对于用户和安全人员,都是困扰
第二,分析的规则都是人工产生的,会存在滞后性,当新型攻击出现时,很难及时更新IDS的检测规则。
关于如何提升分析的准确性,对于未知的攻击,我们又该如何及时发现呢?蜜罐就是一种能满足这两点需求的入侵检测工具。
理论上,蜜罐由安全人员部署在网络的各个节点中,其他开发人员都不会知道蜜罐的存在,也不会向蜜罐发起任何请求。
蜜罐的类型
蜜罐的类型主要分为两种:低交互蜜罐和高交互蜜罐
低交互蜜罐,模拟,不提供真实的服务功能。
高交互蜜罐,真实,不加任何限制,只是用来做详细的记录而已。
高交互蜜罐更有吸引力,能更大概率的发现入侵行为。
蜜罐的评价
优势:
蜜罐几乎不会产生误报
蜜罐内的所有行为都是真实的黑客攻击行为,因此数据量小、价值高
不需要已知的攻击样本,根据黑客的行为我们甚至能够发现新的攻击方式
缺点:
非常依靠运气,必须有黑客找到蜜罐。
网闸
网闸,又称安全隔离与信息交换系统(GAP),是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强而且有效地防范了信息外泄事件的发生
主要是指把两个或两个以上可路由的网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)
三类GAP技术:
实时开关、单向连接和网络开关
网络隔离技术原理
每一次数据交换,隔离设备经历了数据的接受、存储和转发三个过程
由于这些规则都是在内存和内核中完成的,因此速度上有保证,可以达到100%的总线处理能力
物理隔离的一个特征,就是内网与外网永不连接!内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发
即使外网在处在最坏的情况下,内网也不会有任何破不,修复外网系统也非常容易
RISP
对比WAF,RASP的优势和劣势
对于RASP来说,它知道应用的正常逻辑是什么,也知道应用接收输入后实际的逻辑是什么,如果实际逻辑和正常逻辑不一致,就必然发生了攻击。基于这种检测方式,RSAP基本不会产生误报或漏报。
RASP能够防范未知的攻击,
RASP基本不用维护规则
RASP的劣势
迁入业务逻辑,需要开发人员配合,推广难度较大
其次,解决方案并不通用。影响性能
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!