今天的威胁形势需要IPS来阻止更广泛的威胁,同时最小化误报。
漏洞是已知的攻击,具有已知的模式,可以被IPS、web应用程序防火墙(WAF)或反病毒签名匹配。
异常是指网络中的异常行为,例如高于正常水平的CPU使用率或网络流量。必须检测和监视异常(在某些情况下,还必须阻止或减轻异常),因为它们可能是以前从未见过的新攻击的症状。通常,通过行为分析可以更好地检测异常,如基于速率的IPS签名、DoS策略和协议约束检查。
IPS引擎负责本课中显示的大部分特性:IPS和协议解码器。它还负责应用控制,基于流的反病毒保护,web过滤,电子邮件过滤,以及在单臂嗅探模式基于流的DLP。
协议解码器根据协议规范解析每个包。一些协议解码器需要端口号规范(在CLI中配置),但通常协议是自动检测的。如果流量不符合规范——例如,如果它向你的服务器发送格式不正确或无效的命令——那么协议解码器就会检测到错误。
FortiGuard IPS服务是IPS签名更新最频繁的服务。FortiGuard研究团队识别并构建新的签名,就像反病毒签名一样。所以,如果你的FortiGuard服务合同到期,你仍然可以使用IPS。然而,就像反病毒扫描,签名没有更新的时间越长,IPS扫描变得越来越无效,旧的签名不能防御新的攻击。
FortiGuard软件包的默认自动更新时间表已更新。以前,频率是两个小时内重复出现的随机间隔。从FortiOS 7.0开始,频率是自动的,更新间隔是根据型号和有效订阅的百分比计算的。更新周期为1小时以内。
例如,FG-501E有78%的有效合同。根据这个设备型号,FortiOS计算出每10分钟更新一次的时间表。说明系统事件日志大约每10分钟产生一次,可以对其进行验证。
IPS是FortiGuard的订阅,包含僵尸网络特征库。僵尸网络IP数据库是ISDB更新的一部分。僵尸网络域数据库是反病毒升级的一部分,只有僵尸网络签名需要订阅FortiGuard IPS许可证。
扩展特征库包含对性能造成重大影响的攻击的附加特征,或者由于其本质不支持阻断。实际上,由于扩展数据库的大小,对于磁盘或RAM较小的FortiGate型号来说,扩展数据库是不可用的。但是,对于高安全性的网络,可能需要启用扩展签名数据库。
在配置FortiGate时,你可以更改每个使用签名的传感器的动作设置。
默认的动作设置通常是正确的,除了以下情况:
● 你的软件供应商发布了一个安全补丁。继续扫描FortiGate资源的exploit waste。
● 你的网络有一个自定义应用程序,其流量不经意地触发了IPS签名。你可以禁用该设置,直到通知Fortinet,以便FortiGuard团队可以修改签名以避免误报。
向传感器添加签名的第二种方法是使用过滤器。FortiGate将添加与过滤器匹配的所有签名。
然后,配置持续时间,在较长的时间内阻断恶意客户端。这可以节省系统资源并阻止重复攻击。FortiGate在暂时被屏蔽期间不会跟踪该客户的统计数据。
因此,将最可能匹配的过滤器或签名放置在列表的顶部。避免使用太多的过滤器,因为这会增加计算和CPU使用。另外,避免在每个过滤器中创建非常大的签名组,这会增加RAM的使用。
在发生假阳性爆发的情况下,你可以将触发的签名添加为单个签名,并将处理措施设置为监视。这允许你使用IPS日志监视签名事件,同时调查假阳性问题。
只能对个人签名配置IP豁免。每个签名可以有多个豁免。
选择允许以允许流量继续到达目的地。选择监视以允许流量继续到达其目的地并记录活动。选择阻断以静默地删除匹配该表项中包含的任何签名的流量。选中重置,表示签名触发时生成TCP RST报文。选中默认Default,表示采用签名的缺省动作。
隔离允许你在设置的持续时间内隔离攻击者的IP地址。你可以将隔离持续时间设置为任意天数(天、小时或分钟)。
如果启用数据包日志记录,FortiGate会保存匹配签名的数据包的副本。
保持时间范围为0天和0小时(默认值)至7天。
僵尸网络和C&C有三种可能的行动:
● 禁用:不扫描对僵尸网络服务器的连接
● 阻断:阻断对僵尸网络服务器的连接
● 监视器:记录到僵尸网络服务器的连接
如果你认为某些流量应该阻断,但却经过了策略,则需要将允许日志流量配置为所有会话。这将记录由该防火墙策略处理的所有流量,而不仅仅是被安全配置文件阻断的流量。这可以帮助你识别错误的负面事件。
需要经常查看IPS日志。这些日志是关于针对你的网络的各种攻击的宝贵信息来源。这有助于你制定行动计划,并将重点放在特定事件上,例如,对关键漏洞进行修补。
如何利用客户机和服务器之间的非对称处理或带宽来攻击该功能呢?
DoS攻击的目标是压倒目标—消耗资源,直到目标不能对合法流量作出响应。有很多方法可以做到这一点。高带宽的使用只是DoS攻击的一种类型。许多复杂的DoS攻击,如Slowloris,不需要高带宽。
DoS过滤在包处理过程的早期完成,包处理过程是由内核处理的。
ICMP在故障排除过程中使用:设备响应成功或错误消息。然而,攻击者可以使用ICMP探测网络,寻找有效的路由和响应的主机。通过进行ICMP扫描,攻击者可以在制造更严重的漏洞之前获取有关你的网络的信息。
攻击者使用端口扫描来确定系统中哪些端口是活动的。攻击者向不同的目的端口发送TCP SYN请求。根据这些回复,攻击者可以映射出系统上运行着哪些服务,然后继续利用这些服务。
● 洪水传感器检测到大量的特定协议,或协议中的信号。
● 扫描/扫描探测到映射哪个主机端口响应的探测尝试,因此,可能是脆弱的。
● 源签名查找来自单个IP地址的大量流量。
● 目的签名查找针对单个IP地址的大量流量。
当你第一次实现DoS时,如果你没有一个准确的网络基线,请注意不要完全阻塞网络服务。要防止这种情况发生,首先将DoS策略配置为记录,而不是阻塞。通过查看日志,可以分析和识别各种协议的正常级别和峰值级别。然后,调整阈值以允许正常峰值,同时应用适当的过滤。
flood、sweep和scan三个传感器的阈值定义为每秒最大会话数或报文数。源、目的传感器的阈值定义为并发会话。过高的阈值会在DoS策略触发之前耗尽资源。阈值过低将导致FortiGate降低正常流量。
FortiGate的一些特性旨在保护客户端,而不是服务器。例如,FortiGuard的web过滤功能是根据服务器的网页类别对请求进行屏蔽。反病毒可以防止客户端意外下载间谍软件和蠕虫。这两种方法都不能保护服务器(服务器不发送请求,而是接收请求)免受恶意脚本或SQL注入的伤害。保护web服务器需要一种不同的方法,因为它们会受到其他类型的攻击。这就是WAF应用的地方。
WAF功能只能在代理检测模式下使用。
一种攻击称为跨站点脚本攻击(XSS)。如果web应用程序没有对其输入进行消毒并拒绝JavaScript,它最终会将XSS攻击存储在数据库中。然后,当其他客户机请求重用数据的页面时,JavaScript现在嵌入到页面中。
JavaScript可以对页面做很多事情,包括重写整个页面和发出自己的请求。这是异步JavaScript和XML (AJAX)应用程序的基本机制。在这种情况下,XSS导致无辜的客户端传输到由攻击者控制的另一个服务器。例如,这可以将信用卡信息或密码从HTTP表单传输给攻击者。
SQL语言可以对数据做任何事情。例如,它可以下载用户表,以便攻击者可以运行密码破解程序。查询可以为新的管理员登录尝试添加新条目,或者修改登录尝试,从而阻止管理员登录。
HTTP约束可以监视和控制许多HTTP报头的数量、类型和长度,这些也是输入。这可以防止恶意客户机利用意外输入来危害服务器。这些限制可能因服务器的软件而异,也可能因服务器的硬件而异。例如,如果服务器的RAM有限,则可能更容易因报头数量过多而超载或崩溃,因为解析报头并将其存储在缓冲区中需要RAM。
配置WAF配置文件后,该配置文件将被分配给一个或多个防火墙策略。
FortiWeb提供了更完整的HTTP协议理解和状态攻击保护。它可以执行漏洞扫描和渗透测试。它还可以重写HTTP数据包,并基于HTTP内容路由流量。
或者,你可以配置FortiGate,将web流量转发到外部FortiWeb, WAF检查就在这里进行。例如,当你必须使用一个FortiWeb保护位于多个站点的服务器时,这是很有用的。通过这种设置,FortiGate将所有的web流量转发到FortiWeb,如果流量匹配配置了WAF配置文件的防火墙策略,并启用了外部检查。
有关FortiWeb的详细信息,请参阅NSE 6 FortiWeb培训材料。
你还必须评估适用的威胁。如果你的组织只运行Windows,则不需要扫描Mac OS漏洞。考虑流量的方向也很重要。IPS签名有很多只适用于客户端,也有很多只适用于服务器的签名。根据需要保护的资源创建IPS传感器。这确保FortiGate不会扫描带有无关签名的流量。
最后,IPS不是一种设置后就忘记的实现。对于异常的流量模式,需要定期监控日志,并根据观察结果调整IPS配置文件的配置。你还应该定期审计内部资源,以确定某些漏洞是否仍然适用于你的组织。
上图的示例显示了为保护服务器而配置的SSL检查配置文件。当该策略应用于入方向的流量时,由于FortiGate可以对加密的会话进行解密,并对报文的各个部分进行检测,因此可以对加密的流量进行可靠的IPS检测和WAF检测。
需要注意的是,DoS策略不具备分配SSL检查配置文件的能力。这是因为DoS不需要SSL检查来最大化其检测能力,因为它不检查数据包负载。DoS只检查特定的会话类型和它们相关的卷。
支持NTurbo特性的FortiGate模型可以将IPS处理工作转移到NP6、NP7或SoC4处理器上。如果在config system global下配置了np-accel-mode命令,FortiGate型号支持NTurbo。
一些FortiGate型号还支持将IPS模式匹配卸载到CP8或CP9内容处理器。如果在config ips global下配置了cp-accel-mode命令,FortiGate型号支持对其CP8或CP9处理器进行IPS模式匹配加速。
你应该定期检查最近的更新时间戳。你可以在GUI上验证它。如果有任何迹象表明IPS定义没有更新,你应该进行调查。始终确保FortiGate从fortiguard.net有合适的DNS解析进行更新。如果FortiGate和internet之间有任何中间设备,请确保设置了正确的防火墙规则,以允许port443上的通信。任何对该流量执行SSL检查的中间设备也可能导致更新问题。
最后,你可以使用FortiGuard更新调试来实时监视更新事件。
如果存在由IPS引起的高cpu使用问题,你可以使用选项5的diagnose test application ipsmonitor命令来隔离问题的可能所在。选项5启用IPS旁路模式。在该模式下,IPS引擎仍在运行,但不进行流量检测。如果CPU使用在这之后下降,通常表明正在检查的流量对于FortiGate型号来说太高了。
如果启用IPS bypass模式后CPU使用率仍然很高,通常是IPS引擎有问题,需要向Fortinet Support报告。可以使用选项2完全禁用IPS引擎。如果需要在故障排除后恢复IPS流量检测,请再次使用选项5。
要记住的另一个建议是:如果需要重启IPS,请使用选项99,如上图所示。这样可以保证所有与IPS相关的进程都能正常重启。
频繁发生IPS故障打开事件,通常是IPS无法满足流量需求的表现。所以,试着去识别模式。最近交通量增加了吗?吞吐量需求增加了吗?故障是否在一天中的特定时间打开触发器?
调整和优化你的IPS配置。针对被检测的流量类型创建IPS配置文件,对不需要的策略禁用IPS配置文件。
通过掌握本课所涵盖的目标,你获得了配置、维护FortiGate IPS解决方案和故障排除所需的技能和知识。
2417
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
