第二步:在阻止日志(Block log)中我們可以看到所有被BLOCK阻止的有問題數(shù)據(jù)包,顯示信息也非常詳細(xì),包括日志序號�,丟棄的時間����,問題嚴(yán)重程度�,丟棄原因,使用的協(xié)議���,端口以及數(shù)據(jù)包的源地址與目的地址等信息����。當(dāng)然這里筆者要提一句的是我們不必針對所有BLOCK日志記錄都進(jìn)行分析�����,IPS入侵防御系統(tǒng)為我們將這些被丟棄數(shù)據(jù)包的嚴(yán)重程度進(jìn)行了分級���,從低到高依次為“Low,Minor�����,Major,Critical”���,就筆者經(jīng)驗(yàn)來說我們只需要關(guān)注Critical嚴(yán)重級的記錄信息即可��。(如圖2)
第三步:同時我們可以修改頁面顯示數(shù)量����,最多支持每頁顯示600個丟棄數(shù)據(jù)包記錄信息��。通過分析筆者發(fā)現(xiàn)在2008年9月6日凌晨有一個Critical級別的記錄�,通過標(biāo)題我們知道該漏洞是基于telnet協(xié)議的,攻擊者IP為210.168.242.186����,被攻擊者是58.129.59.0。(如圖3)
小提示:
可能有的讀者會產(chǎn)生疑問——為什么被攻擊者是58.129.59.0呢?這個不是一個標(biāo)準(zhǔn)的IP地址啊!實(shí)際上這種記錄表明攻擊者是采取的廣播形式的攻擊�����,針對58.129.59.0這個網(wǎng)段進(jìn)行了基于telnet協(xié)議的攻擊���。
第四步:我們通過點(diǎn)severity列對各個丟棄數(shù)據(jù)包的嚴(yán)重級別進(jìn)行排序����,一般都是從高到低來排列。在filter name過濾名稱處我們可以進(jìn)一步詳細(xì)查看具體內(nèi)容����。(如圖4)
第五步:在過濾名稱具體信息處我們可以了解到該漏洞的產(chǎn)生以及具體實(shí)施過程,通過description描述我們了解到這個基于telnet協(xié)議的攻擊實(shí)際上可能造成攻擊者使用任意用戶包括root帳戶來繞過telnet密碼驗(yàn)證�。這是非常不安全的,要知道日常開啟telnet功能的設(shè)備基本都是路由交換設(shè)備��,所以如果他們被入侵者成功攻擊的話����,企業(yè)內(nèi)網(wǎng)很容易被崩潰,如果再利用路由交換設(shè)備的sniffer功能來監(jiān)聽客戶端數(shù)據(jù)包的話���,那么一些企業(yè)隱私和珍貴資料很可能被竊取����。(如圖5)
第六步:了解到被攻擊的IP段以及漏洞利用協(xié)議是telnet后我們就可以因地制宜解決問題了����,通過在路由交換設(shè)備上切換管理協(xié)議����,將telnet轉(zhuǎn)換為更加安全的SSH協(xié)議即可�,由于篇幅關(guān)系筆者就不在這里闡述具體的操作和設(shè)置了��,感興趣的讀者可以參考之前的文章��。當(dāng)然如果你想進(jìn)一步了解該漏洞的相關(guān)信息可以通過下面的說明連接來查看����。
第七步:我們反復(fù)之前的操作對所有嚴(yán)重級別危害的記錄進(jìn)行分析,從而步步為營的解決了企業(yè)內(nèi)網(wǎng)的所有安全隱患��。(如圖6)
第八步:擁有IPS可以讓我們的內(nèi)網(wǎng)更加安全���,很多時候我們會發(fā)現(xiàn)即使客戶端有漏洞���,IPS也可以為我們阻擋攻擊數(shù)據(jù)包,這就好比在本機(jī)安裝了防火墻一樣�,雖然本機(jī)系統(tǒng)補(bǔ)丁沒有安裝存在漏洞,防火墻也可以不斷的過濾掉攻擊數(shù)據(jù)包���。
通過IPS入侵防御系統(tǒng)筆者依次解決了以下幾個內(nèi)網(wǎng)安全隱患——
(1)地址相同的攻擊(數(shù)據(jù)包源地址與目的地址相同)
通過這個方法可以確定該地址的主機(jī)感染了病毒�,病毒偽造數(shù)據(jù)包進(jìn)行傳輸���,從而造成數(shù)據(jù)包源地址與目的地址相同���。針對該機(jī)器查殺病毒解決問題��。(如圖7)
(2)Web Browser Heap Buffer Overflow (General) 問題:
這主要由客戶端上安裝了危險IE瀏覽器插件造成的���,定位感染主機(jī)和插件類別后卸載即可。
(3)RealPlayer ActiveX Buffer Overflow:
RealPlayer ActiveX插件執(zhí)行縊出漏洞�。
(4)PHP File Include Exploit:
利用PHP頁面的漏洞進(jìn)行攻擊,通過分析數(shù)據(jù)包發(fā)現(xiàn)了存在PHP漏洞的主機(jī)���,修改PHP頁面信息解除漏洞問題�。
(5) IIS %255c Double Encoded in URI:
攻擊者利用IIS的unicode信息進(jìn)行攻擊���,加強(qiáng)IIS頁面安全后解決此問題��。
當(dāng)然我們的IPS入侵防御系統(tǒng)在統(tǒng)計(jì)漏洞上更加智能��,我們可以通過搜索功能來快速定位所有的嚴(yán)重級別的漏洞���。在首頁點(diǎn)block log旁邊的查看標(biāo)志,接下來選擇要搜索的日期段以及severity嚴(yán)重級別即可��,當(dāng)然我們還可以更加細(xì)化針對某個漏洞進(jìn)行搜索�����。(如圖8)
點(diǎn)搜索search按鈕后我們會發(fā)現(xiàn)要找的信息都羅列出來了����,這樣我們就可以更好的快速解決企業(yè)內(nèi)網(wǎng)安全問題。(如圖9)
三�,總結(jié):
在實(shí)際工作過程中IPS入侵防御系統(tǒng)確確實(shí)實(shí)為我這個網(wǎng)絡(luò)管理員提供了有力幫助,通過他的日志記錄功能我們在第一時間找到了內(nèi)網(wǎng)存在問題的主機(jī)并且根據(jù)日志漏洞記錄信息有的放矢的排查故障解決漏洞問題�。當(dāng)然IPS入侵防御系統(tǒng)自身還擁有自動防御自動操作的功能,合理有效的利用此功能可以讓企業(yè)內(nèi)網(wǎng)安全管理更加智能化更加事半功倍����。由于篇幅關(guān)系我們只能夠?qū)⒋斯δ艿慕榻B放到日后來講解了。
