文章介绍了如何使用FortiGate设备进行入侵防御系统(IPS)和拒绝服务(DoS)攻击的防护。IPS通过特征库和协议解码器检测已知攻击,而DoS防护关注资源消耗型攻击。FortiGuard服务提供签名更新,以保持对新威胁的防护。文章强调了配置IPS签名和DoS策略的重要性,以及监控和调整以应对网络环境的变化。
在本节课中,你将学习如何使用FortiGate来保护你的网络免受入侵和拒绝服务(DoS)攻击。
这节课,你将学习上图显示的主题。
通过展示入侵防御系统(IPS)的能力,你应该能够实施有效的IPS解决方案,以保护你的网络免受入侵。
理解异常和漏洞之间的区别是很重要的。同样重要的是,要知道哪些FortiGate功能可以针对每种类型的威胁提供保护。
漏洞是已知的攻击,具有已知的模式,可以通过IPS、web应用防火墙(WAF)或反病毒签名进行匹配。
异常是指网络中的异常行为,例如CPU使用率或网络流量高于正常水平。异常必须被检测和监控(在某些情况下,还必须被阻止或缓解),因为它们可能是一种从未见过的新攻击的症状。通过行为分析通常可以更好地检测异常,例如基于速率的IPS签名、DoS策略和协议约束检查。
FortiGate的IPS通过特征库检测已知攻击。协议解码器也可以检测网络错误和协议异常。
IPS引擎负责本课中展示的大部分功能:IPS和协议解码器。它还负责应用控制、基于流的反病毒保护、网页过滤和电子邮件过滤。
IPS引擎如何判断报文中是否存在攻击或异常?
协议解码器根据协议规范解析每个数据包。一些协议解码器需要端口号规范(在CLI上配置),但通常,协议是自动检测到的。如果流量不符合规范,例如,如果它向你的服务器发送了格式错误或无效的命令,那么协议解码器就会检测到错误。
默认情况下,每个FortiGate固件版本中都包含一组初始IPS签名。用于升级IPS特征库。这样,IPS对新的漏洞仍然有效。除非协议规范或RFC发生变化(这种情况不经常发生),否则协议解码器很少更新。IPS引擎本身的变化更频繁,但仍然不经常。
FortiGuard IPS业务更新IPS签名的频率最高。FortiGuard研究团队识别和构建新的签名,就像反病毒签名一样。因此,如果你的FortiGuard服务合同到期,你仍然可以使用IPS。然而,就像反病毒扫描一样,IPS扫描的效率也会随着签名时间的延长而提高,旧的签名将无法抵御新的攻击。
FortiGuard包的默认自动更新计划已经更新。此前,频率是两个小时内反复出现的随机间隔。从FortiOS 7.0开始,频率是自动的,更新间隔是根据型号和有效订阅的百分比计算的。更新间隔在1小时内。
例如,FG-501E有78%的有效合同。基于这个设备型号,FortiOS计算出更新时间表为每10分钟一次。你可以验证系统事件日志,大约每10分钟生成一次。
IPS是FortiGuard订阅,包括僵尸网络特征库。僵尸网络IP数据库是ISDB更新的一部分。僵尸网络域数据库是AV更新的一部分,只有僵尸网络签名需要FortiGuard IPS许可证订阅。
IPS特征库分为常规特征库和扩展特征库。常规特征库包含了一些常见攻击的签名,这些攻击的签名很少会造成假阳性或没有假阳性。它是一个较小的数据库,其默认动作是阻止检测到的攻击。
扩展签名库包含了额外的签名,用于对性能影响较大的攻击,或因其性质不支持阻断的攻击。事实上,由于其大小,扩展数据库不适用于磁盘或内存较小的FortiGate型号。但是,对于高安全性的网络,你可能需要启用扩展签名数据库。
FortiGuard下载一个FortiGuard IPS包后,签名列表中会出现新的签名。当通过配置FortiGuard,可以更改每个使用签名的传感器的操作设置。
默认的动作设置通常是正确的,除了以下情况:
● 你的软件供应商发布了一个安全补丁。继续扫描漏洞会浪费FortiGate资源。
● 你的网络中有一个自定义应用程序,其中流量无意中触发了IPS签名。你可以禁用该设置,直到你通知Fortinet,以便FortiGuard团队可以修改签名以避免误报。
在IPS传感器上添加预定义签名有两种方式。一种是单独选择签名。在列表中选择一个签名后,该签名会以默认动作添加到传感器中。然后,你可以右键单击签名,改变动作。
向传感器添加签名的第二种方法是使用过滤器。FortiGate会添加所有与过滤器匹配的签名。
IPS功能的目的是保护网络内部免受外部威胁。
你还可以添加基于速率的签名,当特定流量在配置的时间段内超过阈值时,阻断特定流量。
速率签名只适用于实际使用的协议。然后,配置持续时间以在较长时间内阻止恶意客户端。这样可以节省系统资源,并可以阻止重复攻击。FortiGate不会跟踪该客户端的统计数据,而它被暂时封锁。
当IPS引擎将流量与每个过滤器中的签名进行比较时,顺序是重要的。规则类似于防火墙策略匹配;引擎首先评估列表顶部的过滤器和签名,并应用第一个匹配。引擎会跳过后续的过滤器。
因此,将最可能匹配的过滤器或签名放置在列表的顶部。避免做太多过滤器,因为这会增加计算量和CPU使用率。此外,避免在每个过滤器中制作非常大的签名组,这会增加内存的使用。
在出现假阳性爆发时,可以将触发的签名添加为单个签名,并将处理措施设置为监控。这使你可以使用IPS日志监视签名事件,同时调查假阳性问题。
有时需要从特定的签名中豁免特定的源IP地址或目的IP地址。此功能在假阳性病毒爆发期间非常有用。你可以暂时绕过受影响的端点,直到你调查并纠正假阳性问题。
只能在单个签名上配置IP豁免。每个签名可以有多个IP豁免。
创建新条目以添加签名或过滤器时,可以单击动作选择动作。
选择允许允许流量继续到达目的地。选择监控允许流量继续到达目的地,并记录活动。选择阻断以静默地删除与条目中包含的任何签名匹配的流量。选中重置,当签名被触发时,生成一个TCP RST报文。选中默认,采用签名的默认动作。
隔离允许你在指定的时间内隔离攻击者的IP地址。你可以将隔离持续时间设置为任何天数、小时或分钟。
如果启用了数据包日志记录功能,FortiGate会保存与签名匹配的数据包的副本。
IPS签名过滤器选项包括CVE模式。CVE模式选项允许你基于CVE ID或使用CVE通配符过滤IPS签名,确保自动包含带有该CVE标记的任何签名。
由于僵尸网络数据库是FortiGuard IPS合同的一部分,管理员可以启用扫描僵尸网络连接,以最大限度地提高其内部安全性。在应用防火墙策略的IPS配置文件中启用僵尸网络扫描功能。也可以通过CLl启用僵尸网络连接扫描功能。
僵尸网络和C&C有三种可能的行动:
● 禁用:不扫描到僵尸网络服务器的连接
● 阻断:阻断与僵尸网络服务器的连接
● 监控:记录连接到僵尸网络服务器的日志
要应用IPS传感器,必须先启用IPS功能,然后在防火墙策略中选择该传感器。默认情况下,FortiGate会记录所有安全事件。这意味着你可以看到任何被IPS阻断的流量。
如果你认为某些流量应该被阻断,但正在通过该策略,则应该将记录许可流量的方法更改为全部会话。这将记录由该防火墙策略处理的所有流量,而不仅仅是被安全配置文件阻断的流量。这可以帮助你识别假阴性事件。
如果在应用IPS的防火墙策略中启用了安全事件登录,则在日志与报告页面的安全事件区域框中可以查看到已登录的事件。单击入侵防御,可以查看日志。
你需要经常查看IPS日志。这些日志是关于针对你的网络的攻击类型的宝贵信息来源。这有助于你制定行动计划并专注于特定事件,例如,修补关键漏洞。
答案:B
答案:B
干得漂亮!你已经了解了FortiGate上的IPS。现在,你将学习DoS。
通过展示拒绝服务(DoS)的能力,你应该能够保护你的网络免受常见的DoS攻击。
到目前为止,你已经了解了匹配非法命令和无效协议实现的签名。这些签名很容易被确认为攻击。
那些利用客户端和服务器之间的不对称处理或带宽的攻击呢?
DoS攻击的目标是压倒目标,消耗资源,直到目标无法响应合法的流量。实现这一目标的方法有很多。高带宽使用只是DoS攻击的一种类型。许多复杂的DoS攻击,如Slowloris,并不需要高带宽。
为了阻止DoS攻击,需要在攻击者和所有需要保护的资源之间的FortiGate上应用DoS策略。
DoS过滤是在数据包处理过程的早期完成的,由内核处理。
在TCP协议中,客户端发送一个SYN包来发起连接。服务器必须响应一个SYN/ACK包,并在等待客户端使用ACK包进行确认时将连接信息保存在内存中。合法客户端迅速ACK并开始传输数据。但恶意客户端继续发送更多的SYN包,半打开更多的连接,直到服务器的连接表被填满。一旦服务器的表满了,它就不能接受更多的连接,并开始忽略所有新的客户端。
ICMP用于故障诊断:设备响应成功或错误消息。然而,攻击者可以使用ICMP协议探测网络中的有效路由和响应主机。通过进行ICMP扫描,攻击者可以在制造更严重的漏洞之前获得关于你的网络的信息。
攻击者使用端口扫描来确定系统上哪些端口处于活动状态。攻击者向不同的目标端口发送TCP SYN请求。根据应答,攻击者可以映射出系统上正在运行的服务,然后继续利用这些服务。
单个DoS攻击是来自单一地址的流量泛滥。它可以来自互联网,甚至来自你的内部网络。通常情况下,一台设备会进行多次连接或会话,并且可能会使用很多带宽来连接到单个位置。这种攻击的一种变体是分布式拒绝服务攻击 (DDoS)。它与单个DoS攻击有许多相同的特征,但主要的区别是多个设备同时攻击一个目标。
可以对TCP、UDP、ICMP和SCTP四种协议应用DoS保护。
并且,你可以应用四种不同类型的异常检测协议:
● flood传感器检测到大量的特定协议或协议中的信号。
● sweep/scan检测探测尝试映射哪些主机端口响应,因此可能很脆弱。
● 源签名查找来自单个IP地址的大量流量。
● 目的签名查找以单个IP地址为目的地的大量流量。
当你第一次实现DoS时,如果你没有一个准确的网络基线,请注意不要完全阻断网络服务。要防止这种情况发生,首先将DoS策略配置为日志,而不是阻断。使用日志,你可以分析和识别每个协议的正常和峰值级别。然后,调整阈值以允许正常峰值,同时应用适当的过滤。
flood、sweep和scan传感器的阈值定义为每秒最大会话数或包数。源传感器和目的传感器的阈值定义为并发会话。阈值过高会在DoS策略触发之前耗尽你的资源。阈值过低会导致FortiGate丢弃正常流量。
答案:B
答案:B
干得漂亮!你已经了解了如何在FortiGate上保护你的网络免受DoS攻击。现在,你将了解IPS的最佳实践。
通过展示识别IPS实现最佳实践的能力,你应该能够在FortiGate上高效和有效地部署IPS解决方案。你还应该能够为IPS检查的流量应用完整SSL检查,并为IPS识别硬件加速组件。
在实施IPS之前,需要先分析你的网络需求。在所有策略中启用默认配置文件会迅速导致问题,其中最少的是误报。对所有网络流量执行不必要的检查会导致资源利用率高,这可能会阻碍FortiGate处理常规流量的能力。
你还必须评估适用的威胁。如果你的组织只运行Windows,则不需要扫描Mac OS漏洞。考虑流量的方向也很重要。有很多IPS签名只适用于客户端,也有很多签名只适用于服务器。创建特定于你希望保护的资源的IPS传感器。这可以确保FortiGate不会扫描无关紧要的签名流量。
最后,IPS并不是一种固定的实现。你需要定期监控日志,发现异常的流量模式,并根据实际情况调整IPS配置文件的配置。你还应该定期审计你的内部资源,以确定某些漏洞是否仍然适用于你的组织。
某些漏洞仅适用于加密连接。在其中一些情况下,如果无法解析有效载荷,FortiGate就无法可靠地识别威胁。出于这个原因,如果你想从你的IPS和WAF功能中获得最大的好处,你必须使用SSL检查配置文件。
上图示例显示了为保护服务器而配置的SSL检查配置文件。该策略应用于入站流量时,可以可靠地对加密流量应用IPS和WAF检测,因为FortiGate可以解密加密会话并检查数据包的所有部分。
需要注意的是,DoS策略没有分配SSL检查配置文件的能力。这是因为DoS不需要SSL检查来最大限度地提高其检测能力,因为它不检查数据包的有效载荷。DoS只检查特定的会话类型及其关联的卷。
通常情况下,反病毒、IPS等需要检测的流量都由FortiGate上的CPU处理。然而,在特定的FortiGate型号上有专门的芯片,可以卸载这些检查任务。这可以释放CPU周期来管理其他任务,还可以加快需要安全检查的会话。
支持NTurbo功能的FortiGate型号可以将IPS处理卸载到NP6、NP7或SoC4处理器上。如果在config system global下有np-accel-mode命令,则FortiGate型号支持NTurbo。
一些FortiGate型号还支持将IPS模式匹配卸载到CP8或CP9内容处理器。如果在config ips global下有cp-accel-mode命令,FortiGate型号支持CP8或CP9处理器的IPS模式匹配加速。
答案:B
答案:A
干得漂亮!你已经了解了在FortiGate上实现IPS的一些最佳实践。现在,你将了解IPS故障诊断。
通过展示故障排除方面的能力,你应该能够识别、调查和管理在FortiGate上部署IPS时的一些常见问题。
发送FortiGate IPS更新请求到update.fortiguard.net的TCP端口443。你还可以将FortiGate配置为通过web代理连接以进行更新。
你应该定期检查最近的更新时间戳。你可以在GUl上验证它。如果有任何迹象表明IPS定义没有更新,你应该进行调查。总是确保FortiGate有适当的DNS解析update.fortiguard.net。如果碰巧在FortiGate和internet之间有任何中介设备,请确保有正确的防火墙规则来允许端口443上的流量。任何对此流量执行SSL检查的中间设备也可能导致更新问题。
最后,你可以使用FortiGuard更新调试实时监视更新事件。
IPS进程占用CPU的短峰值可能是由于防火墙的策略或配置文件的变化引起的。这些峰值通常是正常的。当FortiGate有数百个策略和配置文件,或许多虚拟域时,峰值可能会发生。IPS引擎持续高CPU使用不正常,需要排查。你可以使用上图中显示的命令以及显示的选项来排除这些问题。
如果IPS导致了高CPU使用问题,你可以使用带有选项5的diagnose test application ipsmonitor命令来隔离问题可能出现的地方。选项5启用IPS旁路模式。在这种模式下,IPS引擎仍在运行,但不进行流量检测。如果在此之后CPU使用率下降,通常表明被检查的流量对于那个FortiGate型号来说太高了。
如果启用IPS旁路模式后CPU使用率仍然很高,通常说明IPS引擎有问题,需要向Fortinet Support报告。你可以使用选项2完全禁用IPS引擎。如果你需要在故障处理完成后恢复对流量的IPS检测功能,请再次使用选项5。
另一个要记住的建议是:如果需要重新启动IPS,请使用选项99,如上图所示。这样可以保证所有与IPS相关的进程都能正常重启。
当IPS套接字缓冲区中没有足够的内存容纳新报文时,IPS将进入fail open模式。在这个状态下发生什么取决于IPS配置。如果启用了fail-open设置,一些新的数据包(取决于系统负载)将通过而不被检查。如果该设置被禁用,新的数据包将被丢弃。
频繁的IPS失败打开事件,通常表明IPS无法满足流量的需求。因此,尝试识别模式。最近交通量增加了吗?吞吐量需求增加了吗?失败打开是否在一天中的特定时间触发?
调整和优化你的IPS配置。创建针对被检测流量类型的IPS配置文件,对不需要的策略禁用IPS配置文件。
答案:A
答案:A
恭喜你!你已经完成了这节课。现在,你要复习本课所学到的目标。
通过掌握本节课所涵盖的目标,你将获得配置、维护和故障排除FortiGate IPS解决方案所需的技能和知识。
扫一扫
1044
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
