二,用IPS追踪问题主机:
日常网络管理过程中因为一台计算机感染病毒或存在系统漏洞又或者服务器被黑客攻击安装了后门而造成企业业务损失网络崩溃的事情比比皆是。下面我们就来看看如何通过IPS入侵防御系统来追踪问题主机,通过分析数据包特征编码定位漏洞。
第一步:首先我们通过管理地址访问IPS,IPS会将自己监控到的异常以日志的形式保存,所以我们直接分析日志信息即可。在首页或者EVENTS选项中选择block log(阻止日志)。(如图1)
第二步:在阻止日志(Block log)中我们可以看到所有被BLOCK阻止的有问题数据包,显示信息也非常详细,包括日志序号,丢弃的时间,问题严重程度,丢弃原因,使用的协议,端口以及数据包的源地址与目的地址等信息。当然这里笔者要提一句的是我们不必针对所有BLOCK日志记录都进行分析,IPS入侵防御系统为我们将这些被丢弃数据包的严重程度进行了分级,从低到高依次为“Low,Minor,Major,Critical”,就笔者经验来说我们只需要关注Critical严重级的记录信息即可。(如图2)
第三步:同时我们可以修改页面显示数量,最多支持每页显示600个丢弃数据包记录信息。通过分析笔者发现在2008年9月6日凌晨有一个Critical级别的记录,通过标题我们知道该漏洞是基于telnet协议的,攻击者IP为210.168.242.186,被攻击者是58.129.59.0。(如图3)
小提示:
可能有的读者会产生疑问——为什么被攻击者是58.129.59.0呢?这个不是一个标准的IP地址啊!实际上这种记录表明攻击者是采取的广播形式的攻击,针对58.129.59.0这个网段进行了基于telnet协议的攻击。
第四步:我们通过点severity列对各个丢弃数据包的严重级别进行排序,一般都是从高到低来排列。在filter name过滤名称处我们可以进一步详细查看具体内容。(如图4)
第五步:在过滤名称具体信息处我们可以了解到该漏洞的产生以及具体实施过程,通过description描述我们了解到这个基于telnet协议的攻击实际上可能造成攻击者使用任意用户包括root帐户来绕过telnet密码验证。这是非常不安全的,要知道日常开启telnet功能的设备基本都是路由交换设备,所以如果他们被入侵者成功攻击的话,企业内网很容易被崩溃,如果再利用路由交换设备的sniffer功能来监听客户端数据包的话,那么一些企业隐私和珍贵资料很可能被窃取。(如图5)
第六步:了解到被攻击的IP段以及漏洞利用协议是telnet后我们就可以因地制宜解决问题了,通过在路由交换设备上切换管理协议,将telnet转换为更加安全的SSH协议即可,由于篇幅关系笔者就不在这里阐述具体的操作和设置了,感兴趣的读者可以参考之前的文章。当然如果你想进一步了解该漏洞的相关信息可以通过下面的说明连接来查看。
第七步:我们反复之前的操作对所有严重级别危害的记录进行分析,从而步步为营的解决了企业内网的所有安全隐患。(如图6)
第八步:拥有IPS可以让我们的内网更加安全,很多时候我们会发现即使客户端有漏洞,IPS也可以为我们阻挡攻击数据包,这就好比在本机安装了防火墙一样,虽然本机系统补丁没有安装存在漏洞,防火墙也可以不断的过滤掉攻击数据包。
通过IPS入侵防御系统笔者依次解决了以下几个内网安全隐患——
(1)地址相同的攻击(数据包源地址与目的地址相同)
通过这个方法可以确定该地址的主机感染了病毒,病毒伪造数据包进行传输,从而造成数据包源地址与目的地址相同。针对该机器查杀病毒解决问题。(如图7)
(2)Web Browser Heap Buffer Overflow (General) 问题:
这主要由客户端上安装了危险IE浏览器插件造成的,定位感染主机和插件类别后卸载即可。
(3)RealPlayer ActiveX Buffer Overflow:
RealPlayer ActiveX插件执行缢出漏洞。
(4)PHP File Include Exploit:
利用PHP页面的漏洞进行攻击,通过分析数据包发现了存在PHP漏洞的主机,修改PHP页面信息解除漏洞问题。
(5) IIS %255c Double Encoded \ in URI:
攻击者利用IIS的unicode信息进行攻击,加强IIS页面安全后解决此问题。
当然我们的IPS入侵防御系统在统计漏洞上更加智能,我们可以通过搜索功能来快速定位所有的严重级别的漏洞。在首页点block log旁边的查看标志,接下来选择要搜索的日期段以及severity严重级别即可,当然我们还可以更加细化针对某个漏洞进行搜索。(如图8)
点搜索search按钮后我们会发现要找的信息都罗列出来了,这样我们就可以更好的快速解决企业内网安全问题。(如图9)
