第二步:在阻止日志(Block log)中我們可以看到所有被BLOCK阻止的有問(wèn)題數(shù)據(jù)包,顯示信息也非常詳細(xì),包括日志序號(hào)�����,丟棄的時(shí)間,問(wèn)題嚴(yán)重程度����,丟棄原因���,使用的協(xié)議,端口以及數(shù)據(jù)包的源地址與目的地址等信息���。當(dāng)然這里筆者要提一句的是我們不必針對(duì)所有BLOCK日志記錄都進(jìn)行分析�,IPS入侵防御系統(tǒng)為我們將這些被丟棄數(shù)據(jù)包的嚴(yán)重程度進(jìn)行了分級(jí)���,從低到高依次為“Low���,Minor����,Major,Critical”��,就筆者經(jīng)驗(yàn)來(lái)說(shuō)我們只需要關(guān)注Critical嚴(yán)重級(jí)的記錄信息即可����。(如圖2)
第三步:同時(shí)我們可以修改頁(yè)面顯示數(shù)量,最多支持每頁(yè)顯示600個(gè)丟棄數(shù)據(jù)包記錄信息����。通過(guò)分析筆者發(fā)現(xiàn)在2008年9月6日凌晨有一個(gè)Critical級(jí)別的記錄�����,通過(guò)標(biāo)題我們知道該漏洞是基于telnet協(xié)議的�,攻擊者IP為210.168.242.186���,被攻擊者是58.129.59.0�。(如圖3)
小提示:
可能有的讀者會(huì)產(chǎn)生疑問(wèn)——為什么被攻擊者是58.129.59.0呢?這個(gè)不是一個(gè)標(biāo)準(zhǔn)的IP地址啊!實(shí)際上這種記錄表明攻擊者是采取的廣播形式的攻擊���,針對(duì)58.129.59.0這個(gè)網(wǎng)段進(jìn)行了基于telnet協(xié)議的攻擊���。
第四步:我們通過(guò)點(diǎn)severity列對(duì)各個(gè)丟棄數(shù)據(jù)包的嚴(yán)重級(jí)別進(jìn)行排序,一般都是從高到低來(lái)排列����。在filter name過(guò)濾名稱處我們可以進(jìn)一步詳細(xì)查看具體內(nèi)容。(如圖4)
第五步:在過(guò)濾名稱具體信息處我們可以了解到該漏洞的產(chǎn)生以及具體實(shí)施過(guò)程����,通過(guò)description描述我們了解到這個(gè)基于telnet協(xié)議的攻擊實(shí)際上可能造成攻擊者使用任意用戶包括root帳戶來(lái)繞過(guò)telnet密碼驗(yàn)證。這是非常不安全的�,要知道日常開(kāi)啟telnet功能的設(shè)備基本都是路由交換設(shè)備��,所以如果他們被入侵者成功攻擊的話�����,企業(yè)內(nèi)網(wǎng)很容易被崩潰�,如果再利用路由交換設(shè)備的sniffer功能來(lái)監(jiān)聽(tīng)客戶端數(shù)據(jù)包的話�����,那么一些企業(yè)隱私和珍貴資料很可能被竊取�����。(如圖5)
第六步:了解到被攻擊的IP段以及漏洞利用協(xié)議是telnet后我們就可以因地制宜解決問(wèn)題了�,通過(guò)在路由交換設(shè)備上切換管理協(xié)議,將telnet轉(zhuǎn)換為更加安全的SSH協(xié)議即可��,由于篇幅關(guān)系筆者就不在這里闡述具體的操作和設(shè)置了����,感興趣的讀者可以參考之前的文章����。當(dāng)然如果你想進(jìn)一步了解該漏洞的相關(guān)信息可以通過(guò)下面的說(shuō)明連接來(lái)查看����。
第七步:我們反復(fù)之前的操作對(duì)所有嚴(yán)重級(jí)別危害的記錄進(jìn)行分析���,從而步步為營(yíng)的解決了企業(yè)內(nèi)網(wǎng)的所有安全隱患��。(如圖6)
第八步:擁有IPS可以讓我們的內(nèi)網(wǎng)更加安全����,很多時(shí)候我們會(huì)發(fā)現(xiàn)即使客戶端有漏洞�,IPS也可以為我們阻擋攻擊數(shù)據(jù)包,這就好比在本機(jī)安裝了防火墻一樣��,雖然本機(jī)系統(tǒng)補(bǔ)丁沒(méi)有安裝存在漏洞����,防火墻也可以不斷的過(guò)濾掉攻擊數(shù)據(jù)包。
通過(guò)IPS入侵防御系統(tǒng)筆者依次解決了以下幾個(gè)內(nèi)網(wǎng)安全隱患——
(1)地址相同的攻擊(數(shù)據(jù)包源地址與目的地址相同)
通過(guò)這個(gè)方法可以確定該地址的主機(jī)感染了病毒����,病毒偽造數(shù)據(jù)包進(jìn)行傳輸,從而造成數(shù)據(jù)包源地址與目的地址相同���。針對(duì)該機(jī)器查殺病毒解決問(wèn)題�。(如圖7)
(2)Web Browser Heap Buffer Overflow (General) 問(wèn)題:
這主要由客戶端上安裝了危險(xiǎn)IE瀏覽器插件造成的,定位感染主機(jī)和插件類別后卸載即可����。
(3)RealPlayer ActiveX Buffer Overflow:
RealPlayer ActiveX插件執(zhí)行縊出漏洞。
(4)PHP File Include Exploit:
利用PHP頁(yè)面的漏洞進(jìn)行攻擊��,通過(guò)分析數(shù)據(jù)包發(fā)現(xiàn)了存在PHP漏洞的主機(jī)���,修改PHP頁(yè)面信息解除漏洞問(wèn)題�����。
(5) IIS %255c Double Encoded in URI:
攻擊者利用IIS的unicode信息進(jìn)行攻擊�����,加強(qiáng)IIS頁(yè)面安全后解決此問(wèn)題�。
當(dāng)然我們的IPS入侵防御系統(tǒng)在統(tǒng)計(jì)漏洞上更加智能�,我們可以通過(guò)搜索功能來(lái)快速定位所有的嚴(yán)重級(jí)別的漏洞。在首頁(yè)點(diǎn)block log旁邊的查看標(biāo)志���,接下來(lái)選擇要搜索的日期段以及severity嚴(yán)重級(jí)別即可,當(dāng)然我們還可以更加細(xì)化針對(duì)某個(gè)漏洞進(jìn)行搜索��。(如圖8)
點(diǎn)搜索search按鈕后我們會(huì)發(fā)現(xiàn)要找的信息都羅列出來(lái)了,這樣我們就可以更好的快速解決企業(yè)內(nèi)網(wǎng)安全問(wèn)題�。(如圖9)
三,總結(jié):
在實(shí)際工作過(guò)程中IPS入侵防御系統(tǒng)確確實(shí)實(shí)為我這個(gè)網(wǎng)絡(luò)管理員提供了有力幫助���,通過(guò)他的日志記錄功能我們?cè)诘谝粫r(shí)間找到了內(nèi)網(wǎng)存在問(wèn)題的主機(jī)并且根據(jù)日志漏洞記錄信息有的放矢的排查故障解決漏洞問(wèn)題�。當(dāng)然IPS入侵防御系統(tǒng)自身還擁有自動(dòng)防御自動(dòng)操作的功能�,合理有效的利用此功能可以讓企業(yè)內(nèi)網(wǎng)安全管理更加智能化更加事半功倍。由于篇幅關(guān)系我們只能夠?qū)⒋斯δ艿慕榻B放到日后來(lái)講解了�。
