IDS
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
主要检测方法
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
这两种模式的安全策略是完全不同的,而且,它们各有长处和短处:异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高;误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。但恶意行为千变万化,可能没有被收集在行为模式库中,因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。用户都采取两种模式相结合的策略
部署方式
直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
IDS签名:
入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文
所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单
恶意软件
恶意软件:是以多种途径感染合法用户计算机及予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备,并且表现出多种形式,有些形式包括病毒、蠕虫、木马、间谍软件等。
按照传播方式分类
按照功能分类
防网关病毒
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、 垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
利用反病毒特性保证网络的安全的场合:
内网可以访问外网,且需要经常从外网下载文件
内网部署的服务器经常接受外网用户上传的文件
反病毒功能主要是检测文件
图片不是可执行文件---静态文件
可执行文件---动态文件
1)反病毒网关的工作过程:
智能感知引擎对网络流量进行深层分析,识别流量对应的协议类型和文件传输的方向
判断文件传输使用的协议和文件传输的方向是否支持病毒检测
判断流量是否在可以信任的白名单中,在则不对文件做病毒检测
没有在白名单中则进行病毒检测,提取检测的文件特征,然后将特征与病毒特征库进行匹配,若匹配则为病毒文件,执行响应动作;若不匹配,则文件允许通过
2)NGFW可检测传输文件的协议:
FTP文件传输协议
HTTP超文本传输协议
POP3邮局协议(第三版本)
SMTP简单邮件传输协议
IMAP因特网信息访问协议
NFS网络文件系统
SMB文件共享服务器
3)NGFW支持的不同传输方向的文件:
上传:客户端向服务器发送文件
下载:服务器向客户端发送文件
4)白名单规则的匹配方式:
前缀匹配
后缀匹配
关键字匹配
精确匹配
5)当NGFW检测到病毒文件时的处理流程:
是否为病毒例外,若是则允许文件通过---病毒例外:病毒白名单,避免系统误报等原因造成文件传输失败,检测到某病毒为误报时,将对应病毒ID加入病毒例外,若有匹配则放行。
若不是则判断是否命中应用例外,若命中则执行响应动作---应用例外:为应用配置不同协议的响应动作,同一协议可承载多种应用。
若不是则执行配置文件中配置的协议和传输方式对应的响应动作
APT
对称加密
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
采用单钥密码的加密方法,同一个密钥可以同时用来加密和解密,这种加密方法称为对称加密,也称为单密钥加密。常用的单向加密算法:
1、DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;
2、3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高;
3、AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高,支持128、192、256位密钥的加密;
4、Blowfish
算法特征
1、加密方和解密方使用同一个密钥;
2、加密解密的速度比较快,适合数据比较长时的使用;
3、密钥传输的过程不安全,且容易被破解,密钥管理也比较麻烦;
加密工具
1、openssl,它使用了libcrypto加密库、libssl库即TLS/SSL协议的实现库等。TLS/SSL是基于会话的、实现了身份认证、数据机密性和会话完整性的TLS/SSL库。openssl官网。
2、gpg
优缺点
对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。
对称加密算法的缺点是在数据传送前,发送方和接收方必须商定好秘钥,然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的独一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
非对称加密
不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。
加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。由于不对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。
与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私 有 密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加 密,只有用对应的私有密钥才能解密;因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。 非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,它不适合于对文件加密而只适用于对少量数据进行加密。 经典的非对称加密算法如RSA算法等安全性都相当高。
DES
传统的DES由于只有56位的密钥,因此已经不适应当今分布式开放网络对数据加密安全性的要求。1997年RSA数据安全公司发起了一项“DES挑战赛”的活动,志愿者四次分别用四个月、41天、56个小时和22个小时破解了其用56位密钥DES算法加密的密文。在计算机速度提升后的今天,DES加密算法被认为是不安全的。
AES
AES是美国联邦政府采用的商业及政府数据加密标准,预计将在未来几十年里代替DES在各个领域中得到广泛应用。AES提供128位密钥,因此,128位AES的加密强度是56位DES加密强度的1021倍还多。假设可以制造一部可以在1秒内破解DES密码的机器,那么使用这台机器破解一个128位AES密码需要大约149亿万年的时间。(更深一步比较而言,宇宙一般被认为存在了还不到200亿年)因此可以预计,美国国家标准局倡导的AES即将作为新标准取代DES。