- 入侵防御系统
- 拒绝服务攻击
- Web应用防火墙
- 最佳实践
- 故障排查
- 区分漏洞利用和异常
- 识别一个IPS包的不同组件
- 管理FortiGuard IPS 更新
- 选择一个适当的IPS签名数据库
- 配置一个IPS传感器
- 识别IPS传感器检测序列
- 将IPS应用到网络流量
通过演示IPS的能力,你应该能够实现一个有效的IPS解决方案来保护你的网络不受入侵。
今天的威胁环境要求IPS能够阻止更广泛的威胁,同时尽量减少误报。
漏洞是已知的攻击,已知的模式可以通过IPS、WAF或反病毒签名来匹配。
异常是网络中的异常行为,例如高于通常的CPU使用率或网络流量。异常必须被检测和监测(在某些情况下,被阻断或减轻),因为它们可能是一种新的、从未发生过的攻击的症状。异常通常通过行为分析得到更好的检测,例如基于率的IPS签名、DoS策略和协议约束检查。
IPS引擎负责本课程中所展示的大部分特性:IPS和协议解码器。它还负责应用控制、基于流的反病毒保护、网络过滤、电子邮件过滤和在单臂嗅探模式中基于流的DLP。
协议解码器根据协议规范对每个包进行解析。一些协议解码器需要一个规范端口号(在CLI中配置),但是通常,协议是自动检测到的。如果流量不符合规范——例如,如果它向您的服务器发送畸形或无效的命令——那么协议解码器就会检测到错误。
FortiGuard IPS服务最常更新IPS签名。FortiGuard研究小组确认并建立新的签名,就像反病毒签名一样。所以,如果你的防御服务合同到期,你仍然可以使用IPS。然而,就像反病毒扫描一样,IPS扫描在你的签名未更新的时间越长,就会变得越来越无效——旧的签名不会防御新的攻击。
扩展的签名数据库包含额外的签名,用于攻击,这些攻击会造成显著的性能影响,或者由于其性质而不支持阻 止。事实上,由于它的大小,扩展的数据库对于带有较小磁盘或RAM的FortiGate型号来说是不可用的。但是,对于高安全性的网络,你可能需要启用扩展签名数据库。
默认的动作设置通常是正确的,除了以下情况:
- 你的软件供应商将发布一个安全补丁。继续扫描漏洞将会浪费FortiGate的资源。
- 你的网络有一个带有流量的自定义应用程序,无意中触发IPS签名。您可以禁用设置,直到您通知Fortinet,以便FortiGuard团队可以修改签名以避免误报。
在传感器中添加签名的第二种方法是使用过滤器。FortiGate将添加与过滤器匹配的所有签名。
因此,在列表的顶部放置最可能匹配的过滤器或签名。避免使用太多的过滤器,因为这增加了评估和CPU的使 用。另外,避免在每个过滤器中创建非常大的签名组,从而增加RAM的使用。
如果出现假阳性的爆发,你可以将触发的签名添加为单独的签名,并设置动作为Monitor。这将允许你使用IPS日志监视签名事件,同时调查假阳性问题。
你仅可以对单个签名配置IP豁免权。每个签名都可以有多个豁免。
选择Pass以允许流量继续到达它的目的地。选择Monitor,以允许流量继续到其目的地并记录活动。选择 Block以静默地删除与过滤器中包含的任何签名相匹配的流量。每当触发签名时,选择Reset来生成TCP RST 数据包。
Quarantine允许你在一个固定的时间内隔离攻击者的IP地址。你可以将隔离时间设置为任何天数、小时或分钟。
如果您选择了Packet Logging,FortiGate保存与签名相匹配的数据包的副本。
如果你认为某些流量应该被阻止,但是正在通过策略,你应该将Log Allowed Traffic 更改为All Sessions。 这将记录由防火墙策略处理的所有流量,而不只是安全配置文件阻止的流量。这可以帮助你识别错误的负面事件。
你应该经常检查IPS日志。日志是关于你的网络中攻击的攻击类型的宝贵信息来源。这将帮助你制定行动计划并关注特定的事件,例如,修补一个关键的漏洞。
- 确定DoS攻击
- 配置DoS策略
通过演示在DoS中的能力,你应该能够保护你的网络免受常见的DoS攻击。
在客户端和服务器之间利用非对称处理或带宽的攻击,又如何呢?
DoS攻击的目标是压倒目标——消耗资源,直到目标无法响应合法的流量。有很多方法可以做到这一点。高带宽使用只是DoS攻击的一种类型。许多复杂的DoS攻击,比如慢速,不需要高带宽。
DoS过滤是在包处理过程的早期完成的,它是由内核处理的。
在故障排查过程中使用ICMP:设备响应成功或错误消息。然而,攻击者可以使用ICMP来探测网络,以获得有 效的路由和响应性的主机。通过执行ICMP扫描,攻击者可以在制作更严重的攻击之前获得关于你的网络的信息。
攻击者使用端口扫描来确定系统上哪个端口是活动的。攻击者将TCP SYN请求发送到不同的目的地端口。根据这些回复,攻击者可以映射出系统上运行的哪些服务,然后继续利用这些服务。
- 洪水传感器检测到该特定协议的大量内容,或协议中的信号。
- 打扫/扫描检测到探测主机的端口响应的探测尝试,因此可能是脆弱的。
- 源签名寻找来自单个IP的大量流量。
- 目的签名寻找为单个IP发送的大量流量。
当你第一次实现DoS时,如果您的网络没有一个准确的基线,请注意不要完全阻止网络服务。为了防止这种情 况发生,首先配置DoS策略来记录日志,而不是阻止。使用日志,您可以分析和识别每个协议的正常和峰值级 别。然后,在应用适当的过滤时,调整阈值以允许正常的峰值。
洪水、清扫和扫描传感器的阈值被定义为每秒会话或数据包的最大数量。源和目标传感器的阈值被定义为并发 会话。在DoS策略触发之前,过高的阈值会耗尽您的资源。太低的阈值将导致FortiGate丢掉正常的流量。
- 确定在FortiGate上的WAF的目的
- 识别常见的web攻击
- 配置一个WAF配置文件
通过演示WAF的能力,你应该能够应用正确的WAF检查来保护你的网络中的服务器。
一些FortiGate的功能是为了保护客户,而不是服务器。例如,FortiGuard web过滤会根据服务器的web页面的 类别来屏蔽请求。反病毒防止客户意外下载间谍软件和蠕虫。这两种方法都不能保护服务器免受(它不会发送 请求——它接收它们)来自恶意脚本或SQL注入攻击。保护web服务器需要一种不同的方法,因为它们受到其 他类型的攻击。这就是WAF所应用的地方。
WAF特性仅在代理检查模式下可用。
一种类型的攻击称为跨站点脚本(XSS)。如果web应用程序没有对其输入进行消毒,并拒绝JavaScript,那 么它最终会将XSS攻击存储在其数据库中。然后,当其他客户端请求重新使用该数据的页面时,JavaScript就 会嵌入到页面中。
JavaScript可以用一个页面做很多事情,包括重写整个页面并发出自己的请求。这是异步JavaScript和XML (AJAX)应用程序的基本机制。在这种情况下,XSS会导致无辜的客户端发送到由攻击者控制的另一台服务 器。例如,这可以将信用卡信息或密码从HTTP表单发送给攻击者。
SQL语言可以对数据做任何事情。例如,它可以下载用户的表,这样攻击者就可以运行一个密码破坏者。查询可以在尝试中为新的管理员日志添加新的条目,或者在尝试中修改日志,阻止管理员登录。
HTTP约束可以监视和控制许多HTTP头的数量、类型和长度,这也是输入。这可以防止恶意客户端故意的输入, 从而破坏您的服务器。这些限制可能因服务器的软件而异,但也会因其硬件而异。例如,如果一台服务器的 RAM有限,那么它可能更容易超载或崩溃,因为过多的头信息会导致超载,因为解析头文件并将它们存储在缓 冲区中需要RAM。
在配置WAF配置文件之后,它将被分配给一个或多个防火墙策略。
FortiWeb提供了更完整的HTTP协议理解和状态攻击保护。它可以执行漏洞扫描和渗透测试。它还可以重写 HTTP数据包,并基于HTTP内容路由流量。
或者,您可以配置FortiGate,将web流量转发到外部的FortiWeb,在那里发生WAF检查。这是很有用的,例如, 当您需要保护位于多个站点的服务器时,仅使用一个单独的FortiWeb。有了这个设置,FortiGate将把所有的 web流量转发到FortiWeb,如果流量匹配一个防火墙策略,它配置了一个WAF配置文件,可以进行外部检查。
关于FortiWeb的详细信息,请参阅NSE 6 FortiWeb 培训材料
- 确定IPS实施方法
- 为IPS检查的流量启用全SSL检查
- 识别IPS的硬件加速组件
通过展示识别IPS实现最佳实践的能力,你应该能够在FortiGate上部署一个IPS解决方案,这将是高效和有效的。你还应该能够对被检查的流量进行全面的SSL检查,并确定IPS的硬件加速组件。
你还必须评估适用的威胁。如果你的组织只运行Windows,那么就不需要扫描Mac OS的漏洞。同样重要的是要考虑到流量的方向。有许多IPS签名只适用于客户端,以及许多只适用于服务器的签名。创建特定于你想要保护的资源的IPS传感器。这将确保FortiGate不会用无关的签名扫描流量。
最后,IPS并不是一个设置-遗忘的实施。你必须定期监视异常的流量模式,并根据你的观察调整你的IPS配置文件配置。你还应该定期审计你的内部资源,以确定某些漏洞是否仍然适用于你的组织。
这张幻灯片上的示例展示了为保护服务器的SSL检查配置文件的配置。当应用于入站通信时,该策略将能够可 靠地对加密通信进行IPS和WAF检查,因为FortiGate将能够解密加密的会话并检查数据包的所有部分。
需要注意的是,DoS策略没有能力分配SSL检查配置文件。这是因为DoS不需要SSL检查来最大化它的探测能 力,因为它不检查数据包的负载。DoS只检查某些会话类型及其相关卷。
支持一种名为NTurbo的功能的FortiGate型号可以将IPS处理卸载到NP4、NP6或SoC3处理器。如果在配置系 统全局下可以使用命令np-accel-mode,那么FortiGate型号就支持NTurbo。
一些FortiGate型号也支持将IPS模式匹配卸载到CP8或CP9的内容处理器。如果命令cp-accel-mode在配置IPS global下可用,那么FortiGate型号支持IPS模式匹配加速到它的CP8或CP9处理器。
- 排除FortiGuard IPS 更新故障
- 解决IPS高CPU使用问题
- 管理IPS打开故障事件
- 调查假阳性检测
通过演示故障排查能力,你应该能够识别、调查和管理在FortiGate上的IPS部署的一些常见问题。
你应该定期检查最新的更新时间戳。你可以在GUI中验证它。如果有任何迹象表明IPS定义没有更新,您应该进 行调查。一定要确保FortiGate有正确的DNS解析连接到update.fortiguard.net。如果有机会,在 FortiGate和互联网之间有任何中间设备,确保正确的防火墙规则允许在443端口上进行通信。任何对这种流量 进行SSL检查的中间设备也会导致更新的问题。
最后,你可以使用FortiGuard更新调试来实时监控更新事件。
如果由IPS引起的高CPU使用问题,您可以使用诊断测试应用程序IPSmonitor命令和选项5来隔离问题可能在哪 里。选项5支持IPS旁路模式。在这种模式下,IPS引擎仍在运行,但它并没有检查流量。如果CPU使用率在此 之后有所下降,那么它通常表明被检查的流量对于该FortiGate型号来说太高了。
如果在启用了IPS旁路模式之后,CPU使用率仍然很高,那么它通常会在IPS引擎中显示出一个问题,您必须向 Fortinet的支持团队报告。您可以使用选项2完全禁用IPS引擎。如果您希望在您完成故障排查后恢复IPS检查, 请再次使用选项5。
另一个需要记住的建议是:如果您需要重新启动IPS,请使用选项99,如这张幻灯片所示。这保证了所有与IPS 相关的进程都能正确地重新启动。
经常的IPS打开故障事件通常表明IPS无法满足流量需求。所以,试着识别模式。最近的流量增加了吗?吞吐量 需求增加了吗?在白天的特定时间,是否会打开fail open触发器?
调和和优化你的IPS配置。为被检查的流量类型创建专门的IPS配置文件,并在不需要IPS保护的策略上禁用IPS 配置文件。
- 管理FortiGuard IPS 更新
- 配置一个IPS传感器
- 将iIPS应用于网络流量
- 确定DoS攻击
- 配置DoS策略
- 识别常见的web攻击
- 配置一个WAF配置文件
- 确定IPS实施方法
- 解决常见的IPS问题
通过掌握本课程所涵盖的目标,你已经获得了配置、维护和排除你的FortiGate的IPS解决方案所需的技能和知识。
