说起IPS恐怕对很多人来说是个非常神秘的网络设备,一般来说中小企业都不会购买专业的IPS入侵防御系统来提高企业内部的网络安全,IPS是从以前的入侵检测系统IDS发展来的,他可以根据入侵特征进行相应的设备配置联动,从而非常有效的阻止外部非法入侵者对企业内网和DMZ区服务器的攻击。正巧最近笔者所在公司购买了一台上百万的IPS系统,下面我们就来零距离接触神秘的IPS,让我们揭开他的面纱。
一、IPS的网络位置:
任何网络设备在企业整体网络中都有他的位置,IPS作为企业防黑的重要角色必然放置在内网与外网的连接处。一般来说IPS都是一个网络设备,也有一些企业使用软IPS,通过软件来模拟IPS从而实现相关功能,不过软件方面表现再好也不如硬件的处理速度快。
笔者企业选择的这个IPS系统是由华为3COM公司开发推广的tippingpoint入侵防御系统,使用的型号是400。在企业设备实施过程中将该入侵防御系统放到内外网连接处,一边连接内网核心交换机,另外一边连接外网网络接口。
二、步步揭开IPS神秘面纱:
下面我们就为各位IT168网络频道的读者介绍IPS是如何工作的,另外还将为各位介绍简单的入侵防御配置方法。
第一步:一般来说为了安全起见我们都应该开启IPS的远程HTTPS协议管理功能,这样可以提高设备安全。我们通过系统集成商提供的管理地址访问IPS系统。由于是HTTPS协议所以会涉及到证书的安装。(如图1)
第二步:选择安装证书我们将访问IPS登录界面。(如图2)
第三步:从IPS登录界面中我们可以了解该设备的名称以及型号,输入正确的管理员帐户信息与密码进入IPS系统,这里要特别注意由于网上有很多非法用户在使用扫描器不停的扫描,所以我们首先要做的就是在系统集成以及设备安装完成后更改缺省管理员帐户名以及默认密码,设置一个足够强大的字符串,要知道IPS被恶意登录意味着企业内网全部裸露在攻击者面前,不光无法阻止非法入侵行为,就连正常的网络通讯也会受到很大影响。(如图3)
第四步:登录到IPS系统后我们首先看到的是系统运行状态显示界面,当然由于目前大部分IPS系统都使用的是国外的核心,所以管理界面都是英文的。在首页中显示的主要是系统运行状态,日志记录摘要以及IPS设备的软硬件型号等。(如图4)
第五步:从上面的系统运行状态处我们可以看到当前设备接收以及阻止的数据容量大小以及设备的性能,包括内存,磁盘容量以及电力能源状况,绿灯表示一切正常,如果有红色显示就需要特别关注尽快解决了。而在系统状态下则是日志记录区域,这里罗列出了包括“alert log”警报日志(当系统被成功攻击或入侵时的记录),“audit log”登录日志(详细记录每个帐户访问的状况,包括顺利登录以及登录失败的),“block log”(阻止数据通讯的所有日志),“system log”系统日志,“packet trace log”数据包通讯日志等,每个日志记录区都能够保存成HTML格式的日志记录文件,同时还可以直接在IPS系统中通过右边的望远镜图标查询筛选相关信息。(如图5)
第六步:笔者以“audit log”登录日志为例进行简单介绍,当我们查看“audit log”登录日志详细信息时可以看到列出的一条条登录状况,包括登录时间,登录状况,访问IPS的源IP地址,使用的访问协议,当然尝试使用的用户名也在其中显示出来。例如笔者IPS中就罗列出了不少攻击者的信息,我们看第三条中的信息可知一二,首先攻击者的IP地址为211.144.87.122,使用的是CLI访问方式,这个应该是SSH或者TELNET,登录状态是失败,使用的登录帐号为ben。再结合其他错误信息我们可以清楚的了解到这个IP为 211.144.87.122一定是在通过类似扫描器的工具攻击我们的IPS系统,先后尝试了包括ben在内的几百个用户名和简单的字符密码进行测试。(如图6)
第七步:除了针对网络设备进行攻击的监控与防御外,我们的IPS系统还有一个最大的特点,那就是针对企业内网的各个网络设备进行入侵防御,我们可以通过查看block log functions这个日志信息来查看详细记录内容,IPS系统会将所监控发现的入侵攻击行为按照严重级别进行分类,红色代表比较严重的攻击,我们可以通过点severity按钮来按照严重级别排序。在block log记录信息中我们能够看到包括攻击者IP地址,端口信息,被攻击者IP地址,端口信息以及攻击者利用的漏洞信息等,可以说针对入侵攻击的行为了解得清清楚楚,同时在最后的hit count处我们可以了解被攻击的次数。例如笔者通过浏览发现在2008年9月2日晚上7点多IP地址为121.135.196.99的入侵者向 58.129.54.21的1433端口发动的攻击,利用的漏洞是MS-SQL hello buffer overflow的SQL SERVER HELLO益处漏洞。了解了这个信息后我们就可以针对IP地址为121.135.196.99的入侵者进行过滤了,同时还要提醒被攻击者及时更新补丁弥补漏洞。(如图7)
