什么是IPS?如何对其进行调整

时间:2022-05-26

前言

IPS(Intrusion Prevention System)是一种基于攻击特征检测入侵行为的安全机制,可以检测缓冲区溢出、木马、蠕虫、SQL注入等多种攻击,并支持告警、阻断等响应方式。

01

   了解IPS

IPS处理流程如图1-1所示,最核心的处理就是将解析出的报文特征与IPS特征库中的签名进行匹配,如果匹配了签名,则被认为是入侵。然后根据IPS配置文件的配置进行响应处理。本文档主要介绍IPS的配置调整思路。

图1-1 IPS处理流程


IPS配置文件用于决定IPS防御哪些签名对应的攻击、对攻击采取何种响应。

IPS特征库中包含针对各种攻击行为的海量签名,但是实际网络环境中业务类型可能比较固定,如果设备对所有签名都响应可能产生误报,影响对关键攻击事件的处理和调测。建议配置尽量精确的IPS配置文件,挑选反应实际网络状况的签名进行防御。

IPS配置文件的组成如下:

1.1 签名过滤器

一系列过滤签名的条件集合,过滤条件包括:签名的威胁类别、对象、协议、严重性、操作系统等,只有同时满足所有过滤条件的签名才能被筛选出来。

另外还需要在签名过滤器中配置响应动作:采用签名的缺省动作(推荐)、所有签名配置统一动作。

例如:企业提供Windows操作系统的Apache Web服务器供外部用户访问,按如下数据配置签名过滤器。

  • 对象:服务端
  • 操作系统:Windows
  • 应用程序:apache
  • 协议:HTTP
  • 动作:采用签名的缺省动作

1.2 例外签名

例外签名用来指定检测例外,例如查看IPS日志发现存在针对SQL数据库漏洞的攻击,但实际网络环境并不存在SQL数据库。此时可以将此类签名加入例外签名,IPS就不再检测这些签名了。例外签名是IPS调整的关键手段。

02

 为什么要调整IPS?

如上文所述,精确配置IPS配置文件才能减少误报,但是现实情况网络环境复杂,无法一次性配置到位。另外针对恶意攻击要及时溯源,从根本上解决问题。因此IPS初始部署后,管理员要结合日志分析持续处理误报、修复攻击事件、调整配置。

特征库中的签名都来源于实际攻击,为什么会有误报呢?因为IPS在实际运行过程中,攻击的认定需要依赖网络环境、业务类型等上下文等综合分析。

如果IPS将不应该当做攻击的流量当做攻击,就是所谓的“误报”。误报是IPS特性的一个“副产品”,无法完全避免。以下列举几个可能产生误报的原因:

  • IPS检测是基于签名进行模式匹配的,有时合法流量中也存在签名中的某些特征。


  • IPS不清楚真实的业务意图,将需要正常使用的业务认定为攻击。例如网络中运行漏洞扫描软件用于安全加固,IPS会将扫描行为认为是攻击,但实际上是要正常使用的。


  • 正常的应用程序,但是编码没有遵循RFC。


  • IPS未识别出来的应用程序。

IPS调整的一大主要工作就是处理误报。如果不处理这些误报,IPS会上报大量的干扰视线的攻击警告信息,无法真实反应网络的安全状态,管理员无法及时处理真正的攻击事件。管理员需要持续分析IPS日志中的警告信息,对确认是误报的警告,配置例外规则。

消除误报后,IPS日志会减少很多,管理员可以集中精力修复攻击事件、调整配置。例如:

  • 在内网服务器和PC上安装补丁、升级软件修复操作系统及软件的漏洞。


  • 将攻击源加入黑名单。


  • 随着对网络中业务类型的熟悉,调整IPS配置文件中的签名筛选条件,包括操作系统、协议、应用程序等,使IPS检测更精准。


IPS调整是一个持续的过程,当然执行调整的频率越高,花费的时间也就会越短。

03

 IPS初始部署最佳实践

IPS配置的核心步骤就是先配置IPS配置文件,然后在安全策略中引用IPS配置文件使其生效。

初始部署阶段推荐使用缺省IPS配置文件,然后通过分析日志进行IPS调整。

3.1 初始部署使用缺省IPS配置文件

IPS的配置不是一蹴而就,是个动态调整的过程。建议初始阶段先使用设备缺省的IPS配置文件,使设备快速工作起来,然后持续分析IPS日志并进行IPS调整。当管理员清楚了网络中的业务类型、知道需要防御哪些攻击类型时,就可以自定义符合实际网络状况的IPS配置文件了。

缺省IPS配置文件由华为安全专家团队根据不同场景制定,比较贴合实际,而且缺省已经将对应场景可能遭遇的高危攻击响应动作设置为阻断,能更好地避免网络遭受损失。

设备提供的缺省IPS配置文件如表1-1所示,可以选择一个与当前设备保护场景接近的IPS配置文件,并在安全策略中引用IPS配置文件。

例如:IPS功能部署在网络出口防火墙上,需要保护内网PC、对外提供服务的业务服务器不受侵害,您可以分别选择default、dmz两个缺省IPS配置文件。

[DeviceA] security-policy
[DeviceA-policy-security] rule name policy_protect_pc
[DeviceA-policy-security-rule-policy_protect_pc] source-zone trust
[DeviceA-policy-security-rule-policy_protect_pc] destination-zone untrust
[DeviceA-policy-security-rule-policy_protect_pc] source-address 10.3.0.0 24 // 内网PC区网段
[DeviceA-policy-security-rule-policy_protect_pc] profile ips default
[DeviceA-policy-security-rule-policy_protect_pc] action permit
[DeviceA-policy-security-rule-policy_protect_pc] quit
[DeviceA-policy-security] rule name policy_protect_dmz
[DeviceA-policy-security-rule-policy_protect_dmz] source-zone untrust
[DeviceA-policy-security-rule-policy_protect_dmz] destination-zone dmz
[DeviceA-policy-security-rule-policy_protect_dmz] destination-address 10.2.0.0 24  //服务器区网段
[DeviceA-policy-security-rule-policy_protect_dmz] profile ips dmz
[DeviceA-policy-security-rule-policy_protect_dmz] action permit

表1-1 缺省IPS配置文件

3.2 安全策略引用IPS配置文件注意事项

需要将IPS配置文件在安全策略中被引用,IPS功能才生效。也就是设备对符合安全策略匹配条件的流量,进行IPS检测。

当在安全策略中引用IPS配置文件时,注意安全策略的方向是访问发起的方向,而非攻击发起的方向。例如:企业内网PC访问外网服务器遭到恶意攻击,虽然攻击方向是从外网到内网,但是因为发起访问的方向是从内网到外网,因此入侵防御配置文件需要应用到内网访问外网的安全策略中,具体配置如表1-2所示。

表1-2 保护内网PC的安全策略

04

  IPS调整

IPS初始部署之后,管理员的主要工作转变为对IPS的持续调优,使IPS发挥最大的价值。

4.1 IPS调整思路

IPS调整主要是从IPS日志入手,分析日志信息是否符合预期,是否存在误报,哪些攻击事件需要修复。常用的调整思路如图1-2所示。

IPS调整之前强烈建议管理员详细了解网络拓扑和网络中的主机业务,对这些信息越了解,IPS调整越得心应手。

IPS调整的目标是减少误报、修复攻击事件。虽然IPS可以阻断攻击保护网络安全,但是针对攻击事件也要及时处理、修复,否则日志量一直非常大,影响管理员对一些影响业务的攻击事件处理。

图1-2 IPS调整思路


IPS上线的初期,IPS日志量会非常大,而且会有比较多的误报,一旦把这个阶段日志处理掉,后边就是一个持续的过程。IPS调整简要过程如下:

4.2 复制缺省IPS配置文件

背景信息

初始部署使用的缺省IPS配置文件不支持修改,在IPS调整之前复制缺省配置文件为新的配置文件,并应用到安全策略中。

操作步骤

【1】选中缺省的IPS配置文件,单击“复制”,输入新的名字。

【2】【可选】:复制之后,可以进一步编辑过滤器筛选使用的签名。

根据对网络的了解情况选择是否执行此步骤,也可以此步骤直接单击“确定”,后续通过分析日志再调整。签名过滤器的动作建议保持缺省设置(采用签名的缺省动作),签名的缺省动作是根据攻击的影响性设置的,可以更好地保护网络安全。

【3】将新的IPS配置文件应用到安全策略,替换初始部署应用的缺省IPS配置文件。

4.3 查看日志报表分析攻击

背景信息

日志报表功能依赖设备硬盘,如果没有购买硬盘或者不支持硬盘,设备存储的日志数据量比较小而且重启后会丢失,对IPS调整的速度和频率要求更高。

通过查看日志和报表,可以方便地筛选关注的IPS攻击事件警告、查看攻击事件排行。

操作步骤

【1】查看威胁日志

在设备Web界面选择“监控 > 日志 > 威胁日志”,过滤威胁类型是“入侵”的日志即IPS日志。

从日志列表中可以查看到攻击行为的详细信息。

  • 查看威胁名称、发生次数、攻击者、攻击目标等入侵信息。


  • 单击威胁名称,可以查看到签名详细信息,包括该攻击针对的应用程序。再单击“详情”,跳转到华为安全中心网站查看详细的攻击信息、处理建议。
  • 这里的处理建议是管理员处理攻击事件的重要指导。


  • 通过“添加查询项”,可以搜索指定条件的日志。例如通过初步浏览发现某种威胁名称的日志非常多,想详细了解攻击来源,就可以搜索所有此威胁名称的日志统一查看攻击来源。

【2】查看威胁报表

威胁日志是零散的,报表提供了更直观的威胁排序,更容易发现趋势。

在设备Web界面选择“监控 > 报表 > 威胁报表”,过滤威胁类型是“入侵”的报表即IPS报表。

选择不同页签,查看不同维度的报表。

例如下图,在“威胁名称”页签可以查看Top威胁排行、发生的时间分布,单击威胁名称,选择“攻击详情”还可以直接查看此攻击的对应的攻击者和攻击目标。

筛选Top日志示例

通过日志报表,综合考虑日志数量、严重性、日志发生的频率、签名信息等圈定需要优先处理的日志。

【1】查看报表或日志,根据威胁名称筛选出发生次数最多的攻击。如果日志非常多,查看威胁名称维度的报表更直观,直接展示Top威胁名称。

例如Top2的威胁名称是如下两种,威胁次数之和占比70%以上,初步圈定先处理这两种日志。

【2】查看攻击对应签名的详细描述,再结合IP地址信息等分析该攻击事件是否需要处理。

这里以DNS区域传送尝试为例,正常情况下备用DNS服务器从主用DNS服务器同步数据会用到DNS区域传送。但是存在攻击者利用DNS区域传送漏洞获取获取域名信息的风险。因此需要进一步查看攻击者、攻击目标的IP地址:

  • 如果攻击者、攻击目标的IP地址分别是网络中正常使用的备用、主用DNS服务器,那么这种日志就是所谓的“误报”。此日志响应动作是告警不会影响正常业务,管理员根据情况决定是否配置例外签名以减少日志。


  • 如果攻击者是未知的IP地址,这种就要引起警觉,需要进一步加固DNS服务器的配置。按照签名对策信息的提示,修改主用DNS服务器的配置只允许合法的备用DNS服务器进行区域传送;同时将非法的攻击者IP地址加入黑名单。


总之,需要详细分析攻击信息,结合实际业务再决定如何处理。

4.4  处理误报

背景信息

随着入侵检测技术的不断提升,真正由IPS检测不准确引起的误报逐渐减少但是还存在。另外,IPS不清楚真实业务意图,只要符合签名特征的流量都认为是攻击,需要人为判断与业务的相关性。如果不处理误报,可能影响正常业务,另外无关日志过多也影响对真正攻击事件的处理。

是否属于误报,误报处理到何种程度,需要根据实际业务情况、对安全性的要求等因素综合考虑。以下列举几个常见误报处理的例子:

  • 网络中部署安全漏洞扫描器扫描内网主机,用于安全加固。IPS检测到扫描行为认为是攻击并产生日志。这种将正常使用的业务作为攻击就是“误报”,处理方式与管理员的要求有关,可以整体禁用这个攻击签名的检测,也可以只禁用对扫描器IP地址的检测。很明显后者更精确,不会放过非正常的扫描行为,但是例外配置稍微复杂。


  • IPS检测到针对IIS Web服务器的攻击,但是网络中部署的是Apache Web服务器,这种与实际业务不符的攻击也是误报。通常的处理就是在IPS配置文件中取消选择IIS应用类型或配置对应签名的例外。但是此种攻击也有潜在风险,攻击者可能从IIS攻击失败推测出实际的Web服务器类型,从这个角度来看又不能单纯当做误报,可以直接将攻击源阻断。


  • 注意结合攻击者、攻击目标IP地址分析,如果两者都是内网IP地址,有可能是误报。但是也需要进一步分析,可能是应用程序异常代码或配置错误引起的。例如某些缓冲区溢出攻击就是内部应用程序编码问题造成的。

判断为误报的攻击,IPS提供多种例外处理方式,具体见操作步骤。

操作步骤

【1】例外签名

例外签名在IPS配置文件范围内生效,通过配置例外签名修改签名的动作。例外签名有两种配置方式:在日志界面中单击威胁ID配置、在IPS配置文件中配置。第一种方式更便捷。

方式一:

在威胁日志中单击威胁ID,例如下图中将动作修改为放行,后续就不再检测这个签名了。“入侵防御”指的是例外签名生效的IPS配置文件,如果产生日志时的IPS配置文件为缺省的配置文件,这里需要选择为安全策略中当前引用的新IPS配置文件,缺省IPS配置文件不支持配置例外签名。

方式二:在IPS配置文件中增加例外签名。

【2】签名禁用

签名禁用全局生效,禁用后整个设备不再检测签名对应的攻击,需要谨慎使用。

【3】针对特定IP地址配置例外

以上介绍的例外签名和签名禁用都是针对所有受保护流量的,如果只针对特定IP地址的流量配置例外,必须结合安全策略的配置来实现。

例如:网络中部署的安全漏洞扫描器(10.1.1.1)正在执行主机扫描,IPS检测到攻击者是10.1.1.1、威胁名称为“1000207 漏洞扫描器攻击尝试 - N-Stalker”的攻击日志。管理员希望对10.1.1.1的扫描行为配置例外,但是其他IP地址的扫描行为需要视为攻击。

此时需要为10.1.1.1单独配置入侵防御配置文件和安全策略,如表1-3所示。注意在策略列表中例外IP的安全策略一定要在整体网段安全策略的前边,否则10.1.1.1的流量无法匹配第一条策略。

表1-3 基于特定IP地址配置例外


【4】修改IPS配置文件的签名过滤器

例如,产生了针对某种应用或操作系统的攻击,但是实际并没有使用对应的应用或操作,此时可以直接修改IPS配置文件中签名过滤器的筛选条件。支持修改操作系统类型、应用程序、协议等多种条件。

4.5 处理需要修复的攻击事件

背景信息

通过日志分析发现确实是攻击的事件,需要采取阻断攻击源、内网主机安全加固等措施杜绝后续攻击。这样需要分析处理的日志才会越来越少,网络才会越来越安全。

操作步骤

【1】查看日志报表分析攻击。

【2】根据IP地址、签名信息、应用类型等内容确定处理方式。

查看报表发现攻击者集中在某个外网IP,而且这个IP地址也不是业务访问使用的IP。在威胁日志界面将此IP地址加入黑名单。

配置禁止此IP地址的安全策略也可以达到同样效果。

如果发现某个内网IP地址产生大量异常攻击,而且与业务无关,很可能这台机器被控制了,可以先将此机器断网隔离杀毒。

查看攻击签名的详细信息,分析如何处理。

很多攻击都是针对操作系统或软件漏洞的,此时需要根据处理建议为内网机器安装最新的补丁、升级软件、修改软件配置等来加固系统。

木马、远程控制等高危攻击,一般情况下签名的缺省动作就是阻断。如果发现签名动作是告警,配置例外签名修改动作为阻断。

剩余一些尚不清楚如何处理、是否影响业务的日志可以继续观察。如果动作为阻断,可以配置例外签名修改动作为告警,待明确后再进一步处理。

4.6 应急处理:将所有签名动作修改为告警

当IPS检测影响正常业务时,又无法定位到具体的攻击时,可以应急将所有签名的动作修改为告警。

修改签名过滤器的动作为告警,此动作优先级高于签名本身的动作。修改后单击界面右上角的“提交”,使配置生效。


联系老师 微信扫一扫关注我们 15527777548/18696195380 在线咨询
关闭