爱　拼　才　会　ＷＩＮ

防火墙是一种主要的周边安全解决方案。虽然防火墙能够在网络级提供访问控制，但好几个通信端口都是开放的。借助这些端口，外部用户能够与机构内的交换机通信。例如，邮件和Web服务器都要求，外部能够访问某些端口。通过这些端口，黑客可以穿过防火墙攻击服务器，将其作为公司网络的入口。

入侵检测系统（IDS）是防火墙的补充解决方案，可以防止网络基础设施（路由器、交换机和网络带宽）和服务器（操作系统和应用层）受到拒绝服务（DoS）袭击。由于问题比较复杂，先进的IDS解决方案一般都包含两个组件：用于保护网络的IDS（NIDS）和用于保护服务器及其上运行的应用的主机IDS（HIDS）。

最近，思科添加了HIDS组件，对其现有NIDS产品进行了扩展。本文将介绍原有NIDS与新HIDS组件在Cisco IDS解决方案中的结合，并探讨整个IDS解决方案应该解决的安全问题。这些问题包括在受到普通袭击时识别黑客执行的操作，以及主要袭击技术的分类和介绍。Cisco IDS解决方案注重两个组件的主要特性。最后，本文还将分析组合解决方案覆盖的范围，并探讨不同组件相互配合的能力。

袭击剖析
黑客侵入系统的目的是获得保密数据，获得其社会圈子的关注（多次损坏Web站点），或者利用DoS技术损坏站点。DoS袭击的目标是联网设备和服务器，目的是阻碍，至少降低，服务器对合法用户的可用性。 在试图穿过系统时，黑客一般都会采用安静而有预谋的方式，步骤如下：

熟悉网络
熟悉网络的目的是尽可能了解受害站点。黑客将使用各种网络映射工具全面了解服务器或设备。确定联网设备后，还将搜索其端口，以便找到端口上的监督程序。一切都完成之后，黑客将掌握地址范围、网络上的各种主机以及其上运行的监督程序。

"拥有"系统
这个阶段的目标是损坏设备。借助警戒程序，借助监督程序，黑客可以集中精力攻克特定监督程序。他们通过执行易损性评估工具寻找可以利用的漏洞。发现易损性之后，黑客将利用自己编写的程序或者互联网上提供的数百种现成"kiddie程序"发起攻击。利用这些程序，黑客可以在设备执行代码，某些情况下，还可以将程序上载到受袭设备中。

接下来，黑客将提交其权限和管理访问权力。借助前面加载的程序，黑客可以利用其它本地易损性获得访问权限。如果不能上载程序，他们将通过搜索配置和记录文件来寻找纯文本密码。他们将执行密码破解工具，寻找管理帐户的用户名和密码对。最后，黑客将隐藏其踪迹，使之能秘密侵入设备。在这个阶段，黑客"拥有了"设备，并可以继续寻找他们更加感兴趣的信息或其它新目标。

利用信任
入侵的目标之一是确定哪些设备相信受袭机器，并充分利用这种关系。例如，黑客可能安装窃听器，寻求与可信方进行通信，获得以纯文本发送的密码。假设受袭机器是Web服务器，黑客将找到后端数据库服务器以及用于与数据库通信的通信程序，并利用它们侵入数据库服务器。

获得访问权限[不使用行话]
接入数据库后，黑客可以访问保密数据，例如信用卡及其它客户记录，或者对数据进行操作。

"拥有"网络
下一个步骤是接管企业内的所有易损系统。在这个阶段，黑客将完全消除防火墙或加密等障碍。他们可以继续熟悉网络，并利用其它薄弱环节。

根据思科安全咨询小组的统计，黑客完全可能至少拥有75%的网络。

袭击技术
袭击技术可分为三类：网络袭击、操作系统（OS）袭击和应用。

网络袭击
网络袭击针对通信基础设施，例如路由器和交换机等联网设备，或者服务器上的联网层协议（第3层及以下层次）。侵入路由器之后，黑客一般都能获得访问和操作配置设置的权力，因而能影响通信流量的路由。第3层（及以下层次）袭击多数为DoS袭击，主要针对服务器的联网模块。在这种情况下，目标是破坏服务器，至少要使之出现流量泛滥，从而阻碍用户与服务器的合法通信。

分布式DoS（Ddos）是一种新的网络袭击技术，即多个代理同时向目标发送大量分组。只需借助普通袭击技术，黑客就可以找到易损机器，进入它们，并安装DdoS代理。接下来，黑客可以激活正在网络上倾听并等待激活命令和目标地址的代理。激活之后，代理将向目标地址发送大量分组，从而达到拒绝访问目标的目的。

OS袭击
主流操作系统的设计思想是相同的：它们支持超级用户概念（UNIX上的根用户、Microsoft Windows上的管理员）。具有这种权限的用户可以超越操作系统（OS）规定的安全规程。例如，根用户可以访问任何文件或设备，生成用户，并分配访问权限。根用户的存在使OS成为黑客的主要攻击目标，因为一旦获得了访问权限，就可以控制服务器。

获得访问权限最有效的技术是利用缓冲器溢出易损性，因为缓冲器溢出非常普遍。例如，50%以上的计算机紧急响应部门（CERT）顾问都遇到过缓冲器溢出易损性问题。 .

借助缓冲器溢出易损性，黑客可以将恶意代码注入到另一个程序的地址空间，并以受袭程序为掩护执行这个程序。当袭击过程以管理员的名义执行时，恶意代码就会执行管理操作。一般情况下，注入的代码会用某个密码添加新的权限用户。这样，黑客就能获得以后侵入机器所需的权限帐户。

应用袭击
随着互联网的发展，出现了几种流行应用，例如Web服务器、电子邮件服务器和域名系统（DNS）服务器。这些监督程序是最容易暴露的目标，因为它们一直等待着接收通信信息，而且外部用户无需通过防火墙就能访问它们。基于此种原因，黑客非常注重寻找并利用这些应用中的易损点。

首要目标是Web服务器。最近进行的IIS Web服务器调查表明，每个月都会出现若干新易损点。在袭击Web服务器时，黑客将看似无害的恶意HTTP请求发送到防火墙，在此过程中利用Web服务器中的易损点，进而获得保密数据，或者在Web服务器上执行其恶意程序。

能够对Web服务器带来安全威胁的其它严重袭击是通用网关接口（CGI）程序。CGI程序是在Web上实施用户应用的主要手段。当Web服务器获得CGI请求时，将询问CGI程序，然后向它传递相关参数。许多定制应用的实施都不够完善，缺乏合理的参数输入检查。这些原因使黑客得以执行恶意操作，例如获得保密信息，或者将可执行程序上载到服务器等。

另一个易损监督程序是Berkeley 互联网名称域（BIND）DNS程序，它80%以上的UNIX DNS服务器软件都在互联网上运行 。DNS是互联网上的一项主要服务，为用户提供名称解析。例如，请用户请求访问www.cisco.com 域时，DNS服务器将返回用户请求的域的IP地址。众所周知，BIND容易受到许多远程袭击的攻击，包括缓冲器溢出。虽然人们在多年以前就意识到了这个问题，而且开发了许多补丁程序，但到目前为止，互联网上仍然有许多BIND服务器都没有获得补丁程序，因而很容易遭到袭击。

Cisco IDS解决方案
考虑到企业站点非常复杂，袭击技术多种多样，黑客数量只增不减，必须采用全面的解决方案才有有效预防黑客的袭击。这种解决方案应该能对抗多种袭击技术，并防止在典型袭击过程中执行恶意操作。由于Cisco IDS解决方案提供包含NIDS和HIDS组件的组合解决方案，因而能满足这个要求。NIDS主要预防网络袭击，HIDS则主要防止服务器遭受OS和应用袭击。

NIDS检测器安装在多个位置上。最重要的位置是防火墙前面，负责监控进入机构的通信信息。另外，每个重要的网段都安装一个检测器。HIDS首先部署在面对互联网的服务器上，例如Web、邮件和DNS服务器。由于面向互联网的服务器与后端服务器相连，因此，HIDS也部署在公司防火墙内的所有其它主要服务器上。

Cisco IDS网络检测器
网络检测器能够为网络设备及服务器上的通信模块提供全面保护。其主要特性包括：

积极响应--系统包含对检测器设备的主动响应功能，用户只需修改Cisco路由器上的访问控制表（ACL）就能让系统自动回避或取消特定连接。回避功能可以临时启用，也可以长久保留。其它网络流量正常流动，只快速、有效地删除来自内部用户或外部入侵者的非法流量。这样，安全操作员就能够快速终止误操作，并防止入侵者访问网络。 全面检测网络袭击--包括检测对路由器和交换机的恶意袭击，检测面向服务器通信模块的第3层（或更低层次）袭击，检测探听或映射映射等企图，例如通常作为实际袭击前兆的呼叫清除和端口清除。

全面检测应用袭击--系统支持多种应用协议，例如HTTP、DNS、文件传输协议（FTP）及其它协议。另外，它还能检测针对易损CGI程序发起的多种通信袭击。

以独特的方式预防DoS--检测DdoS代理与黑客之间的通信，寻找知名的DdoS工具，例如Trin00和Tribe Flood Network（TFN）。

先进的IP分片重装和"Whisker"反IDS检测功能支持--许多产品已经能够预防用于穿越典型NIDS技术的分组分片及其它编码技巧技术， 但效果都不如Cisco IDS网络检测器。


Cisco IDS主机检测器
主机检测器能够为服务器上运行的服务器操作系统和应用提供全面保护。主机检测器安装在每台服务器上，用于保护OS和应用。系统利用呼叫截获技术提供纯主动式服务器安全系统。其主要特性包括：

现场预防OS和应用袭击--与只有在袭击成功之后才查看记录和反应的基于记录的HIDS不同，主机检测器能够在袭击发生之前在呼叫水平上预防袭击。

防止缓冲器溢出袭击--主机检测器能够发现注入代码的执行过程并防止系统受损。两个主要功能如下：

保护与用于提供代码的手段无关，即使注入代码未通过线路传输，也能防止袭击。 .

机制使用了即使袭击未知也能防止执行恶意代码的通用签名，对于厂商尚未提供任何补丁程序的未知缓冲器溢出，这种方法能够提供保护。
不断提高完整性--通过控制对二进制、配置数据及其它系统对象的访问，主机检测器能锁定系统。即使是超级用户，也无法篡改系统。通过配置，主机检测器可以不允许修改某些系统设置，以保证设置符合推荐的默认值。这些特性不但能强化服务器操作系统，还能显著提高系统的完整性。

Web服务器屏蔽--为保护领先的Web服务器（IIS、Apache和I-Planet），服务器检测器包括特殊屏蔽模块。这些模块基于行为模块，能提供两种主要特性：

防止其它程序访问特殊应用资源（甚至在权限用户执行的时候）

防止恶意使用Web服务器。借助Web服务器专用的行为模式，主机检测器能防止未知袭击，因为识别基于行为模式，且不是每次袭击都需要特殊签名。
防止安全套接层（SSL）加密的 HTTP袭击--NIDS不能对用SSL加密的HTTP请求进行解密。利用这个弱点，黑客可以通过对袭击加密绕过NIDS。加密后的恶意请求能够悄悄通过NIDS，然后由Web服务器解密并执行，从而成功地利用易损点。另一方面，主机检测器则与Web服务器相连，能够在解密后服务前立即截获请求。如果发现请求是恶意的，请求将被丢弃，而不会发送到Web服务器，这样就可以预防袭击。

CiscoWorks VPN/安全管理解决方案（VMS）软件捆绑件

客户越来越需要一个能够管理Cisco VPN和安全基础设施的软件包。VMS捆绑件就能满足这个要求。VMS是思科的旗舰软件套件，其功能包括：

配置和监控网络和基于主机的IDS检测器

监控和维护企业虚拟专用网（VPN）

配置和监控防火墙安全性

执行软件分布等运作管理、变更管理和资产管理
借助这个捆绑件，用户可以同时管理 Cisco IDS主机检测器和Cisco网络IDS检测器。

如果想详细了解VMS捆绑件，请访问：


www.cisco.com/warp/public/cc/pd/wr2k/vpmnso/prodlit/index.shtml

在VMS捆绑件内，客户还可以收到有效期为90天的12个评测用IDS主机检测器代理，包括标准编辑和Web编辑代理。 如果从思科购买了代理许可证，代理的有效期可以顺延。

范围分析
本节将介绍Cisco IDS解决方案的范围。首先探讨遭遇典型袭击时IDS系统的作用，然后分析各种袭击技术。

在典型的入侵过程中，各种黑客操作如表1所示。NIDS和HIDS组合在一起能够提供无重叠覆盖。对于黑客集中实施DoS攻击的情况，我们将在后面的网络袭击一节中介绍。



表1 袭击种类

恶意操作 NIDS检测/预防 HIDS 检测/预防
PING SWEEP 是 -
端口扫描 是 -
利用OS或应用中的易损点在设备上执行程序 某些 是
上载可执行文件 某些 是
从配置和数据文件收集信息 - 是
访问密码细分文件 - 是
权限提升 - 是
安装窃听器 - 是
安装根工具 - 是


网络和DoS/DdoS袭击的种类如表2所示。网络检测器是预防这些袭击的主要工具。但是，在预防DdoS代理的安装方面，服务器检测器很有价值。



表2 袭击技术的种类

袭击 NIDS 检测/预防 HIDS检测/预防
针对路由器和交换机的袭击 是 -
第3层及以下层次的网络袭击 是 -
DdoS代理安装 - 是
DdoS通信 是 -


主机检测器在保护OS和提高系统完整性方面的主要价值如表3所示。



表3 服务器袭击类型

袭击/防范措施 NIDS检测/预防 HIDS检测/预防
缓冲器溢出 是/专用 是/通用
权限提升 - 是
锁定系统资源并强化 - 是
配置兼容性 - 是


Cisco IDS能够预防的其它应用袭击如表4所示。值得强调的是，它能够保护Web服务器。网络检测器和主机检测器都能监控HTTP袭击。系统甚至可以处理SSL加密袭击。网络检测器能够对薄弱的CGI程序提供保护。不仅如此，主机检测器内的应用屏蔽组件还能预防未知袭击，方法是锁定Web服务器资源，并防止恶意使用Web服务器。网络检测器还包括面向互联网的其它监督程序。



表4 应用袭击种类

袭击/防范措施 NIDS检测/预防 HIDS检测/预防
HTTP 是 是
CGI 是 -
预防SSL加密的Web袭击 - 是
DNS 是 某些
FTP 是 某些
为IIS、Apache和Netscape/iPlanet提供Web服务器资源保护 - 是
防止恶意使用IIS、Apache和Netscape/iPlanet 的Web服务器 - 是


结论

上述分析说明了添加主机检测器、扩展现有Cisco IDS解决方案的必要性，组合系统能够：

在遭受袭击时提供全程保护

检测和保护针对网络设备及服务器上的网络层模块（实施了第3层及更低层次协议）发动的网络袭击

保护服务器OS，锁定系统并提高其完整性

对Web服务器提供无与伦比的保护，包括监控HTTP袭击和预防恶意请求，保护易损的CGI程序，借助应用屏蔽技术预防未知袭击，以及防止遭受SSL加密袭击

在互联网上提供其它主要监督程序，包括FTP、DSN和供应点（POP）
系统还提供独特的防范功能。在网络级，回避用于阻止恶意连接。在服务器上，呼叫截获技术用于监控并在执行前拒绝呼叫，以免受损失。