演示目标:科IPS在线模式下InlineInterface Mode的响应行为。
演示环境:仍然使用图5.16所示的网络环境。
演示背景:在VLAN3的主机192.168.4.2上发起对主机192.168.4.1的漏洞扫描进行,确定该主机的安全漏洞,为入侵行为做准备,但是现在主机192.168.4.2对主机192.168.4.1的扫描流量要经过在线模式的IPS才能到达目标主机,此时IPS就能检测到扫描流量,但是默认情况下IPS对只对该进行进行报警,并不执行其它的其它行为,此时,需要调整相关的signature,使用阻止并过滤扫描进行为,然而思科的IPS可以提供的防御行为有很多种,那么在这个案例中,会帮助大家去理解每一种防御行为,然后测试典型的防御行为。
演示工具:X-Scan扫描器,思科的IPS系统。
演示步骤:
第一步:在192.168.4.2上使用X-scan对192.168.4.1进行漏洞扫描,图5.33所示为指定需要扫描的主机的IP地址范围,在这里是主机192.168.4.1,然后开始执行扫描如下图5.34所示,可以扫描出192.168.4.1开放的端口和漏洞。
第二步:现在到思科IPS系统上查看事件,如下图5.35所示,IPS报告了一个TCP端口扫描的事件,安全等级是Low(低),事实上也是,扫描是为攻击或者入侵做准备的黑客行为,也是一个非法行为的开始。但是这并不意味着真正的攻击或者入侵开始了,所以它的安全报警级别是低,就即便是这样,我们也不能让客户如愿以偿的进行“快乐扫描”,所以现在我们要分析TCP端口扫描事件的详细内容,请选中该事件,然后点击Details按钮。
得到如下图5.36所示的详细信息,可以看到触发该报警的SigID是3002,它指示着一个基于TCP SYN的扫描,并显示了攻击者和目标的IP地址,以及触发了目标那些端口。
第三步:现在开始做防御工作,因为触发SigID3002(TCP SYN扫描)默认的行为是报警,而此时,管理员认为这种单纯的报警行为是不足以达到阻止黑客扫描的目标,所以需要修改SigID3002的Actions选项,使其阻止黑客的扫描行为,首先如图5.37所示,通过SigID找到3002的signature的位置,然后单击Actions出现如图5.38所示的对话框,请选择Deny attacker Inline,该选项的意义是:触发signature的源主机的所有流量将被deny,不管是它访问别人或者别人访问该主机的流量都全部deny。然后点击OK,最后将配置应用,如下图5.39所示。
注意:如图5.38所示的Actions选项中有很多种防御行为的选择,这将在演示过程的最后环节来详细描述每一种行为的作用和意义!
第四步:现在主机192.168.4.2 ping一次192.168.4.1,如图5.40所示,能成功ping通,因为现在主机192.168.4.2并没有做出违规事件,此时在主机192.168.4.2上再次使用X-scan扫描主机192.168.4.1,结果如图5.41所示,什么内容也扫描不出来,因为主机192.168.4.2到192.168.4.1的所有扫描流量都被处于在线模式下的IPS拒绝了,此时,除了扫描流量被拒绝以外,主机192.168.4.2到任何主机的任何流量都会被拒绝,可以在主机192.168.4.2上再ping一次192.168.4.1结果如下图5.42所示,通信失败。
此时,可以通地monitoring\DeniedAttackers,可以看到如图5.43所示的黑名单,明显可看出主机192.168.4.2被放入的黑名单中,所以它不能与任何主机通信。如果要让主机192.168.4.2恢复通信能力,必须点击Clear list将其从被拒绝名单中清除,现在将其清除,让主机恢复通信能力,当完成清除后,再到主机192.168.4.2上ping 192.168.4.1,如图5.44所示,恢复通信能力。
当触发signature时,在Actions中有很多的防御行为,如下图5.45所示,现在我们逐个来分析这些不同防御行为的功能与差异,具体如下所述:
üDeny attacker inline:触发signature的源主机的所有流量将被deny,不管是它访问别人或者别人访问该主机的流量都通通deny。
üDeny attacker service pair inline: 触发signature的源主机去往目标特点端口号的流量全部被deny,匹配相同的源和目标的端口号。比如有一个attacker在telnet交换机S1时,执行了恶意代码,触发了signature的Deny attacker service pair inline,那么此时,这个attacker再去往telnet S2、S3、或者Rx都会被拒绝,因为你在执telnet行为时违规,那么就在所有目标端口是23的流量中拒绝你。但是attacker可以与该或者其它主机进行非23号端口的通信,比如ping等。
üDeny attacker Victim Pair inline:触发Signature的源主机(attacker)和目标主机Victim(受害者)之间的流量被deny,但是与其它通信点之间的流量可以正常进行。
üDeny connection inline:只针对TCP会话生效,触发Signature的源主机(attacker)的当前会话被deny,如果attacker重新发起连接,只要新的连接不再触发signature(不违规),那么新连接将被接受。
üDeny packet inline:只要是当前触发signature的包都会被拒绝。比如:有一台主机A去ping另一台主机B,此时你为signature2000和2004配置了action为Deny packet inline,那么,此时所有的ICMP包将被deny,而且是来一个就deny一个,但是主机A可以正常的访问主机B或者其它目标主机的其它服务。
üLog Attacker packet:只要是当前触发signature的源主机(attacker)的包全部被记录下来,可以在IP logging里面去查看并下载分析。
üLog Pair packet:只要是当前触发signature的源主机(attacker)和目标主机Victim(受害者)之间的包全部被记录下来,可以在IPlogging里面去查看并下载分析。
üLog Victim packet:只要是当前触发signature的Victim(受害者)的包全部被记录下来,可以在IP logging里面去查看并下载分析。
üProduce Alert: 产生报警,这是默认选项。
üProduce Verbose Alert:产生冗余报警,它包括触发signature的捕获分析。
üRequest Block connection:该选项在IPS与其它设备做联动时有效,比如:在某台路由器或者防火墙上完成Blocking时会使用到,Block connection指示添加扩展访问控制列表。
üRequest Block Host:该选项在IPS与其它设备做联动时有效,比如:在某台路由器或者防火墙上完成Blocking时会使用到,Block host指示添加标准访问控制列表。
üRequest SNMP Trap:向SNMP网管中心发送报警。
üReset TCP connection:针对TCP生效,将当前触发signature的TCP会话reset。
第五步:现在来模拟一个针对微软IIS的Unicode攻击,然后当攻击流量被IPS检测后,偿试使用Deny attackerservice pair inline的方式来进行入侵防御,并区别它去上一步中使用Deny attacker inline进行防御的差异。首先需要建设模拟Unicode攻击的环境,在VLAN3的服务器192.168.4.1上配置DNS、Web服务,关于这二项服务的部署由于不属于本课程的讨论范围,所以在这里不作过多描述,如果学生建设上述二项服务有困难,那么请教师部署上面描述的二项服务,并确保Vlan3的客户机192.168.4.2可以成功的DNS、Web服务,为后面安全违规入侵检测与防御做好准备工作。
第六步:如下图5.46所示,在Web客户机的IE中输入http://www.jinpei.com/..%c0%af..这样一个URL。其中“..%c0%af..”就是针对微软IIS的Unicode攻击的特征码。
注意:在此处只是直接通过在IE中输入“..%c0%af..”特征码来模拟针对微软IIS的Unicode攻击,当然也可以使用“%c1%1c”来模拟,关于Unicode攻击的原理不是本课程描述的重点,所以大家可以去查看更新的资料,而在这里不作过多描述。
第七步:此时回到IDM主机上来查看IPS检测Unicode攻击的效果,如下图5.47所示,显示了一个等级为高危的Unicode攻击的报警,可以选中该报警,点击Details..查详细信息如下图5.48所示,在详细信息中明确指示出了攻击的源主机和被攻击的主机,以及触发的SigID为5114,触发特征“..%c0%af..”等信息。
此时,在如下图5.49所示的环境中定位SigID5114,触发该SigID的行为只是报警,可以通过单击Actions按钮出现如下图5.50所示改变行为是Deny attacker service pair inline。然后再到Web客户机的IE中输入一次http://www.jinpei.com/..%c0%af..使其违规流量再次触发SigID5114。此时,攻击主机发起的会话被列入拒绝名单,如下图5.51所示。然后在IP Logging会记录下这个会话,以及会话开始的时间,如下图5.52所示。
提问:当完成上述行为后,此时到Web客户机的IE中输入一次http://www.jinpei.com进行正常的访问,或者访问别的目标Web服务器,能成功吗?但进行其它非Web流量类的通信可以吗,比如ICMP通信?
回答:不能成功进行任何Web访问,如下图5.53所示;但是可以进行其它非Web流量的通信,比如ICMP,如下图5.54所示,因为Deny attacker service pair inline的行为是触发signature的源主机去往目标特点端口号的流量全部被deny,匹配相同的源和目标的端口号。
