基于主机的入侵防御方案.ppt

1、Symantec Critical System Protection v5.0基于主机的入侵防御产品(IPS)Presenters NameDate.Symantec Critical System Protection2Symantec Confidential议程议程当前安全趋势SCSP简介SCSP的入侵防护功能(IPS)SCSP的入侵检测功能(IDS)SCSP的主要功能和特点总结 1 2 3 456.当前安全趋势.Symantec Critical System Protection4Symantec Confidential如何阻截已经射出的子弹？如何阻截已经射出的子弹？.Syman

2、tec Critical System Protection5Symantec Confidential月月天天小时小时分钟分钟秒秒程序程序病毒病毒Macro病毒病毒电子邮件电子邮件蠕虫蠕虫网络网络蠕虫蠕虫Flash蠕虫蠕虫之前之前自动化自动化之后之后自动化自动化感染期感染期特征特征响应期响应期被动，使我们时刻处于下风被动，使我们时刻处于下风阻截飞行中的子弹阻截飞行中的子弹我们已经面临这样一种感染形势，即最新威胁的传播速度已经超出了我们的响应能力如果我们想要赢得这场战争，那么我们必需改变我们的策略1990时间2005 感染期感染期特征响应期特征响应期.Symantec Critical Sys

3、tem Protection6Symantec Confidential留给我们的时间真的不多留给我们的时间真的不多箭已发出箭已发出在高峰期，每在高峰期，每 12 封电子邮件就有封电子邮件就有 1 封封被被 MyDoom 感染！感染！Code Red 的感染率每的感染率每 37 分钟就翻一番。分钟就翻一番。Slammer 每每 8.5 秒就翻一番，在秒就翻一番，在 10 分钟之分钟之内可感染内可感染 90%未受保护的服务器！未受保护的服务器！一旦有漏洞公开披露，一旦有漏洞公开披露，Blaster 只需只需 27 天就天就可摧毁网络！可摧毁网络！.Symantec Critical System

4、 Protection7Symantec Confidential典型的攻击步骤典型的攻击步骤Phase 1:Discover&MapPhase 2:PenetratePerimeterPhase 3:AttackResources Scanning&probing Denial of Service Spoofing Protocol exploits Passwordattacks Privilegegrabbing Trojan Horse Vandalism Audit TrailTampering Admin Changes Theft基于网络的 IDS/IPS基于主机的基于主机的

5、IDS/IPS.Symantec Critical System Protection8Symantec ConfidentialSymantec 集成的集成的IDS/IPS解决方案Phase 1:Discover&MapPhase 2:PenetratePerimeterPhase 3:AttackResources Scanning&probing Denial of Service Spoofing Protocol exploits Passwordattacks Privilegegrabbing Trojan Horse Vandalism Audit TrailTampering

6、 Admin Changes TheftSNS+SCSP赛门铁克能提供完整的入侵检测赛门铁克能提供完整的入侵检测/入侵防护解决方案入侵防护解决方案.Symantec Critical System Protection9Symantec ConfidentialSymantec Critical System Protection(SCSP)Symantec 的主机保护产品SCSP提供完成的主机入侵防护解决方案,他能提供攻击防护、终端控制和安全事件监控和审计等功能以确认企业内部多种平台的服务器的完整性和策略依从。.Symantec Critical System Protection10Sym

7、antec ConfidentialWhy Symantec Critical System Protection?维持系统的策略依从 加固系统 入侵检测 入侵防护 减少管理复杂程度 提升产品的管理能力 防止零日攻击 加固日志系统,日志转发,和日志监控 对无法立即安装补丁程序或锁定的系统提供防护 企业级的报表功能 通过简单，集中的策略创建管理系统降低企业用于资产保护的成本目的目的提供提供 怀有恶意的内部用户攻击系统 未知攻击针对:内存 文件系统 注册表 操作系统 应用 终端用户违背企业安全策略预防预防.Symantec Critical System Protection11Symantec

8、Confidential保护企业中的关键业务主机保护企业中的关键业务主机 数据中心数据中心数据库服务器互联网应用服务器Web服务器邮件服务器后台办公系统定制的应用系统公司内部公司内部文件服务器打印服务器远程访问网关分布式系统高风险的客户端高风险的客户端移动用户高管的台式机保存机密的系统访问关键任务的系统缺少物理安全访问的系统信息终端(触摸屏).Symantec Critical System Protection12Symantec Confidential主机安全产品的功能覆盖主机安全产品的功能覆盖分类分类SAV 10.0SCS 3.0CSP 5.0防病毒及间谍广告软件的移除主机防火墙网络攻

9、击操作系统加固应用加固系统资源的隔离和设备保护恢复被攻击的终端保护桌面电脑和服务器.SCSP的入侵防护功能.Symantec Critical System Protection14Symantec Confidential主动式预防主动式预防 攻击正在趋向简单化攻击正在趋向简单化主机程序主机程序邮件网站数据库操作系统操作系统服务服务应用程序应用程序服务服务邮件客户端办公软件浏览器交互式程序交互式程序每个程序只需要一组受限的资源、访问权限就能完成其正常工作但是很多程序通常有远远超出其工作需要的系统和资源的访问权限正常资源访问正常资源访问文件文件注册表注册表网络网络设备设备读/写 数据文件只读的

10、配置信息调用指定的端口及设备.Symantec Critical System Protection15Symantec Confidential攻击正在趋向简单化攻击正在趋向简单化(续续.)主机程序主机程序邮件网站数据库操作系统操作系统服务服务应用程序应用程序服务服务邮件客户端办公软件浏览器交互式程序交互式程序正常资源访问正常资源访问文件文件注册表注册表网络网络设备设备读/写 数据文件只读的配置信息调用指定的端口及设备暴露的资源暴露的资源攻击者攻击者“诱骗诱骗”程序去访问和修改程序去访问和修改额外的系统资源额外的系统资源.Symantec Critical System Protection

11、16Symantec ConfidentialSymantec CSP Solution Overview主机程序主机程序操作系统操作系统服务服务应用程序应用程序交互式程序交互式程序SCSP在每个程序或服务定制一个外壳(BCD),限定其访问行为文件文件注册表注册表网络网络设备设备读/写 数据文件只读的配置信息调用指定的端口及设备Behavior Control Descriptions(BCDs)限定每个应用程序允许访问的资源及其访问权限限定每个应用程序允许访问的资源及其访问权限.Symantec Critical System Protection17Symantec Confidentia

12、lUserApplicationsCore OSServiceWeb,Database,Mail,etc.Server security Agent Windows 2000/XP/2003,Solaris,Linux文件文件Pipes注册表注册表网络网络缓存溢出缓存溢出系统调用系统调用进程衍生进程衍生路径路径Server communications-Download policy&configuration updates-Upload logged eventsSCSP在操作系统的最底层进行防护在操作系统的最底层进行防护Behavior Control AgentKernel mode

13、intercept driverSCSP.Symantec Critical System Protection18Symantec Confidential防护能力防护能力缓存溢出保护操作系统加固注册表保护文件系统保护定制攻击防护策略主机防火墙功能移动设备控帛交互式程序控制超级用户/管理员权限控制操作系统审计日志的监控和响应.SCSP的入侵检测功能.Symantec Critical System Protection20Symantec ConfidentialAgent主机入侵检测主机入侵检测Agent安装在主机上代理程序安装在主机上代理程序文件注册表审计信息操作系统日志应用系统日志Ac

14、tSymantec IPS creates a“shell”around each program&service that defines acceptable behavior主控台报警主控台报警邮件通知邮件通知SNMP Trap禁用恶意帐户禁用恶意帐户保存事件信息供进一步分析保存事件信息供进一步分析 转发日志到管理服务器供报表和分析转发日志到管理服务器供报表和分析基于策略的自定义响应动作基于策略的自定义响应动作智能报警智能报警事件信息事件信息数据库数据库-资产数据资产数据-策略策略-运行状态运行状态事件数据事件数据管理服务器管理服务器.Symantec Critical System P

15、rotection21Symantec ConfidentialSCSP入侵检测的工作模式入侵检测的工作模式SCSP一般通过监视系统、事件、安全日志和端口调用来判别是否有攻击发生SCSP一旦发现攻击，会立即作出相应的响应动作，基于主机入侵检测系统提供的响应方式比NIDS的要丰富SCSP还可以通过监视可编辑的文件系统列表、注册表的变化来判别是否有攻击事件发生可以监视、响应针对某台系统的任何存取、修改、配置等动作.Symantec Critical System Protection22Symantec ConfidentialSCSP策略，默认按操作系统归类未授权的系统配置更改未授权的管理权限更

16、改及滥用失败登录重要文件未授权访问和更改注册表的更改（针对Windows平台)SCSP的入侵检测功能的入侵检测功能是基于监控策略是基于监控策略,实时监控实时监控.Symantec Critical System Protection23Symantec Confidential日志的转发和合并日志的转发和合并日志文件及其归档是完成，准确和可验证的，所以这些日志可用于计算机犯罪的取证调证日志文件被保存在Agent本地，也可以被转发 可以设定过滤规则，只转发相关的安全事件到管理服务器 在Agent本地的完整日志文件也能通过SSL方式被转发到管理服务器，用于归档日志文件的完整性在日志转发和归档时完成

17、日志文件在被转发到管理服务器时均被压缩每条日志记录都是唯一的，可识别的.SCSP的主要功能和特点.Symantec Critical System Protection25Symantec ConfidentialSCSP 5.0 支持的系统平台支持的系统平台PlatformDesktopServerPreventionMonitoringMicrosoft WindowsWindows XPWindows 2000Windows 2000 ServerWindows Server 2003Windows 2000 ServerWindows Server 2003SolarisNot App

18、licableSolaris 8 32 and 64-bitSolaris 9 32 and 64-bitSolaris 8 32 and 64-bitSolaris 9 32 and 64-bitLinuxSuSE Linux ProfessionalSuSE Linux Enterprise Server 8RedHat Enterprise Linux 3.0SuSE Linux Enterprise Server 8RedHat Enterprise Linux 3.0AIXNot ApplicableNot Available this releaseAIX 5L(5.2 and 5

19、.3)HP-UXNot ApplicableNot Available this releaseHP-UX 11(11.11)HP-UX 11i v2(11.23)*The management server is currently supported on Windows platform only.Symantec Critical System Protection26Symantec ConfidentialSymantec Critical System Protection 5.0 产品框架Behavior Control AgentsBehavior Control Agent

20、s服务器服务器管理服务器管理服务器管理控制端管理控制端HTTPSJDBC代理注册代理注册策略配置策略配置事件记录事件记录策略配置策略配置代理配置代理配置实时监控实时监控用户和角色管理用户和角色管理SQL DataStore配置数据配置数据日志日志运行状态运行状态事件数据事件数据HTTPS产品框架产品框架26.Symantec Critical System Protection27Symantec ConfidentialSCSP代理程序代理程序(Behavior Control Agent)功能功能对于系统调用提供内核层的截获分析不用重启就能加载策略验证进程间衍生关系强制贯彻策略缓存溢出保护

21、收集具体日志信息User ApplicationsCore OSServiceCSP Agent文件Named Pipes注册表(Win only)网络控制内存(缓存溢出)操作系统调用设备Behavior Control AgentKernel mode intercept driverWindows 2000/XP/2003,Solaris,LinuxHTTPSWeb,DB,Mail,etc.SCSP管理服务器.Symantec Critical System Protection28Symantec Confidential注册表注册表网络网络文件文件只读读-写不能访问所有其它程序所有其它

22、程序操作系统核心功操作系统核心功能应用程序能应用程序明确允许的行为明确允许的行为明确禁止的行为明确禁止的行为 程序 子程序/进程 指令参数 用户模块化策略架构模块化策略架构进程集合进程集合进程进程进程绑定的规则进程绑定的规则Behavior Control Descriptions(BCDs)资源资源在维护现有规在维护现有规则的完整性时则的完整性时的新的的新的BCD被被添加添加.Symantec Critical System Protection29Symantec Confidential行为控制描述行为控制描述(BCD)的组件的组件行为控制描述(BCD)的组件定义的了进程访问系统资源时的

23、权限A BCD 包括如下的资源控制:文件访问注册表访问网络连接(接受 和 连接)Syscall缓存溢出.Symantec Critical System Protection30Symantec Confidential行为控制描述行为控制描述(BCDs):SCSP提供两种类型的行为控制描述(Behavior Control Descriptions BCDs):用于限定服务或应用程序的定制BCDs定义哪些行为是允许的其他所有行为都被限制的比如IIS服务只需要提供最基本的Web服务,不需要调用cmd.exe指令.通用 BCDs定义哪些行为被禁止其他所有行为都不受约束这样可以限定一般程序对于系统

24、关键信息的修改(比如:并不是所有的程序都需要对外网连接).Symantec Critical System Protection31Symantec Confidential拦截零日攻击拦截零日攻击有效的入侵防御技术，终止针对系统和应用的不断恶意攻击防止由于没有及时安装补丁引发的可疑代码传入和扩散防止攻击防止攻击 缓存溢出保护 应用程序的防护/隔离 各个操作系统功能的防护/隔离 注册表和文件夹的保护“最小权力”的贯彻 集成的防火墙隔离入埠和出埠通讯.Symantec Critical System Protection32Symantec Confidential操作系统加固操作系统加固通过缺

25、省策略锁定操作系统，应用和数据库预防未授权的可执行程序的传入和运行Operating System Protection Microsoft Windows SUSE Linux Sun SolarisApplication Protection Microsoft Exchange Server Microsoft InternetInformation Server Microsoft SQL Server Apache Web Server Sendmail Postfix.Symantec Critical System Protection33Symantec Confidentia

26、l预定义的应用程序安全策略，针对交互式程序策略Microsoft OfficeMicrosoft Outlook Internet Explorer预定义的应用程序安全策略，针对后台服务Microsoft ExchangeIISSQL Serveras well as Sendmail,Apache,and Postfix预定义的审计监控策略预定义的应用程序策略预定义的应用程序策略.Symantec Critical System Protection34Symantec Confidential维持策略依从维持策略依从对于交互式程序可以进行强制的行为控制预防由于用户失误引发的意外事件，比如不

27、小心运行的邮件附件对于移动存贮设备采用基于策略的控制，防止机密信息的外泄交互式程序控制交互式程序控制 Microsoft Outlook and Outlook Express Microsoft Office Programs Microsoft Internet ExplorerI/O 设备管理设备管理 预防 U盘 访问 预防 CD-ROM 刻录 预防没有VPN加密保护的无线连接.Symantec Critical System Protection35Symantec Confidential维持策略依从维持策略依从将书面策略付诸行动将书面策略付诸行动策略可以通过开关选项设备选项可以在多

28、个层次设定可以针对某一个具体应用进行控制如图所示：当Outlook打开邮件附件时，将会依照上述选项执行.Symantec Critical System Protection36Symantec Confidential减少管理复杂程度减少管理复杂程度单一的管理控制界面进行配置、部署和管理统一的报表和报警功能策略将按照Agent所在的操作系统和应用程序类型自动配置加载采用单一策略采用单一策略:Web,Database,Mail Servers 所有的应用程序安全配置 相同OS“家族”的各个版本采用简单的选项采用简单的选项:分布式系统的集中控制 基于目录的内部用户权限设定 允许特定的网络访问控制

29、.Symantec Critical System Protection37Symantec ConfidentialIIS 通常有权使用图示中特定的系统资源取消这些选项将限制IIS每个功能模块能访问的资源如果在IIS配置界面上配置,则需要在每台运行IIS的服务器上单独配置.SCSP只需要配置一个策略,应用到每台IIS服务器上管理员只需要通过开关选项目配置安全策略管理员只需要通过开关选项目配置安全策略.Symantec Critical System Protection38Symantec ConfidentialSCSP的功能小结的功能小结防止零日攻击防止零日攻击加固系统加固系统维持策略依

30、从维持策略依从减少管理复杂程度减少管理复杂程度减少系统宕机时间降低清除攻击确保业务的持续性不依赖于基于特征的策略附软件提供多种保护策略控制特权用户默认策略即可有效保护系统和各种应用可信的安全系统系统安全策略的强制贯彻SCSP服务器版和客户端版本的采用相同的安全策略跨平台统一管理降低管理员负担.附注.Symantec Critical System Protection40Symantec Confidential.Symantec Critical System Protection41Symantec Confidential狙击波病毒特征狙击波病毒特征(W32.zotob.A/B/C/D/

31、E)利用微软于今年8月9日公布的安全漏洞Microsoft Security Bulletin MS05-039Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege(899588)电脑会不断重启中毒电脑主动连接到IRC服务器(),就会通过IRC被病毒传播者控制随机查找B类网址范围的其它可被感染主机修改系统中的hosts文件,将知名防病毒厂商的网址指向127.0.0.1,阻止用户从防病毒网站下载最新的病毒定义码和移除工具.Symantec Critical Syste

32、m Protection42Symantec Confidential通过基于主机的通过基于主机的IPS产品产品,保护关键主机不受病毒影响保护关键主机不受病毒影响SCSP在默认情况,就能保护主机不受狙击波的攻击限制系统服务可以访问的资源(无法向系统目录添加病毒程序)禁止系统服务随意对外建立连接(无法开启后门)禁止系统服务任意修改系统文件(无法修改注册表).Symantec Critical System Protection43Symantec ConfidentialSCSP Protected System针对狙击波的有效防御针对狙击波的有效防御Windows 2000/XP/2003 K

33、ernel文件文件注册表注册表设备设备系统资源系统资源端口端口Plug and Play Service入站连接入站连接(端口端口 135)连接远程主连接远程主机机(端口端口 8888)Plug and Play Service运行角本运行角本,下载下载病毒病毒修改注册表键值修改注册表键值在系统目录下添在系统目录下添加病毒文件加病毒文件Plug and Play Service启运后门程序启运后门程序,允许被允许被远程操纵远程操纵尝试感染其它尝试感染其它主机主机内存内存(缓存溢出缓存溢出).Symantec Critical System Protection44Symantec Confid

34、entialWindows 2000/XP/2003 KernelRPCServiceRPCServiceRPCServiceOpen Backdoor for Remote AccessOpen Connections to Infect OthersSample Exploit:MS BlasterFilesNamed PipesRegistry(Win only)Network ControlMemory(Buffer Overflow)OS CallsDevicesInbound Connect (Port 135)Create Outbound Connect(Port 4444)R

35、un Script to Download FileModify Registry KeysInsert File into Root Directory Symantec Protected System.Symantec Critical System Protection45Symantec Confidential主机程序主机程序操作系统操作系统服务服务应用程序应用程序服务服务交互式程序交互式程序正常资源访问正常资源访问文件文件注册表注册表网络网络设备设备读/写 数据文件只读的配置信息调用指定的端口及设备每个程序只需要一组受限的资源、访问权限就能完成其正常工作但是很多程序通常有远远超出其工作需要的系统和资源的访问权限漏洞点漏洞点邮件客户端办公软件浏览器邮件网站数据库DNARPCPrint Spooler.