Embed Size (px)
Citation preview
NetKeeper Signature 簡介自訂 Signature 初步
ART威播科技認證暨教育訓練中心
Ver. 1.0.0
2
Outline
• 何謂 Signature• IPS 偵測技術簡介• NetKeeper Signatures 基礎• NetKeeper Anomaly Detection Signatures • 支援控管軟體列表• TCP/IP 基礎• 自訂 Signature 初步• Exercises
何謂 Signature
4
Signature
• 又稱網路攻擊特徵、 Pattern 、政策• Signature 定義並描述了完整的網路攻擊特徵或應用程式的行為
• NetKeeper 則依據 signature 的定義,在龐大的網路流量中發掘這些封包特徵,並進而採取適當的回應方式
IPS 偵測技術簡介
6
IPS 偵測技術簡介
• Misuse-based Detection ( 誤用偵測 )• Anomaly-based Detection ( 異常偵測 )
7
Misuse-based Detection
• 又稱誤用偵測或網路攻擊特徵偵測 (signature-based detection)
• 分析已知網路攻擊行為或漏洞,建構攻擊特徵資料庫• 尋找足以辨識攻擊的特定的行為或特定字串
8
Anomaly-based Detection
• 又稱異常偵測• 偵測各項偏離預期正規的網路行為
– Protocol Anomaly ( 通訊協定異常 )– IP/Port Scan Anomaly (IP/Port 掃瞄異常 )– Traffic Anomaly ( 網路流量異常 )– Evasion Attacks ( 閃躲攻擊 )– Encrypted IM/P2P detection ( 加密 IM/P2P 偵測 )
• Skype 2.5 login/file Xfr/Video; Winny P2P
NetKeeper Signatures 基礎
10
NetKeeper Signatures 基礎
• Anomaly-based detection vs. Misused-based Detection
• Signature 說明• 嚴重程度• 預設丟棄封包原則• 攻擊種類• 誤判狀況 / 漏判狀況• 參考出處
• Signature 備份• Signature 與
Device 同步• BroadWb BSST 電子報
• 技術服務
11
Anomaly-based detection vs. Misused-based Detection
• In NetKeeper, the first 59 signatures are anomaly-based detection signatures
• In NetKeeper, the 60th signatures to 2000+ signatures are misused-based detection
12
Anomaly-based detection vs. Misused-based Detection
• Anomaly-based – 核心程式負責– 需要透過更新核心程式更新
• Misusused-based – 攻擊辨識碼負責– 需要透過更新攻擊辨識碼更新
13
Signature 說明
在 BEMS上,可看到每一條 Signature的詳細說
明
14
嚴重程度
• Level 5 (Serious)– Run arbitrary code or gain system privileges;
DoS/DDoS; famous attacks
• Level 4 (High)– Known serious vulnerability; Worms
• Level 3 (Medium)– Medium threat; access controls
• Level 2 (Low)– Threat not severe; E.g., IM, P2P, ICQ, Skype
• Level 1 (Little)– Normal traffic; Informational
15
預設丟棄封包原則
• 嚴重程度等級 4 、 5 ,預設丟棄封包
• 嚴重程度 3 ,預設大部分不丟棄封包,僅極少數丟棄封包
• 嚴重程度 1 、 2 ,預設不丟棄封包
16
攻擊種類
• NetKeeper 將所有內建 signatures 分成12 項攻擊種類
• 可點選政策 / 樹狀列表觀察攻擊種類
17
攻擊種類
• DoS/DDoS– 阻斷服務攻擊
• Buffer Overflow– 緩衝溢位攻擊
• Access Control– 存取控制
• Scan– 掃瞄攻擊
• Trojan Horse– 木馬程式
• Others– 其他
• P2P– 點對點傳輸軟體
• Instant Messenger – 即時聊天軟體
• Virus/Worm– 病毒 / 蠕蟲
• Porn– 色情
• Web Attacks– Web 攻擊
• SPAM– 垃圾郵件
18
誤判狀況 / 漏判狀況
• 誤判狀況– False Positive
–網路封包被誤判成特定事件,但封包本質並非該事件
–例如,正常無惡意封包卻被判定成攻擊
• 漏判狀況– False Negative
– IPS 預期要偵測的網路行為卻沒有被發現
–例如,真正的攻擊封包流經 IPS但未被發現
19
參考出處
• CVE (Common Vulnerabilities and Exposures)–直接將 CVE 號碼輸入 Google, 即可獲得–例: CVE-2006-4868
Signature都會列參考出處,可至這些參考出處獲得更詳細的說明
21
參考出處
• BID (Bugtraq ID)– www.securityfocus.com/bid/bid– http://www.securityfocus.com/bid/17462
22
Signature 備份
匯入Signature
匯出Signature
請定期備份 Signature狀態,方便日後復原
23
Signature 與 Device 同步
當 Signature資訊有所調整,儲存變更鈕會變成綠色,請按此鈕,確認 BEMS上的 Signature資訊與 Device同步。
24
NetKeeper Anomaly Detection Signatures
• Protocol Anomaly ( 通訊協定異常 )• IP/Port Scan Anomaly (IP/Port 掃瞄異常 )• Traffic Anomaly ( 網路流量異常 )• Evasion Attacks ( 閃躲攻擊 )• Encrypted IM/P2P detection ( 加密 IM/P2P 偵
測 )– Skype 2.5 login/file Xfr/Video; Winny P2P
25
Protocol Anomaly ( 通訊協定異常 )
• BAD_TCP_WINDOW• BAD_TCP_CHECKSUM• BAD_TCP_FLAG• ICMP SMURF• UDP SMURF• OVER_PING_MAX_NUMBE
R• OVER_PING_LENGTH• DROP_TCP_CONN• OVER_TCP_CONN• BAD_TCP_STATE• IP_BAD_DF_MF• IP_BAD_IP_OPTION
• IP_BAD_IGMP_L4_SIZE• IP_BAD_ICMP_L4_SIZE• IP_BAD_UDP_L4_SIZE• IP_BAD_TCP_L4_SIZE• IP_BAD_FLAG_UF• IP_BAD_LENGTH• IP_BAD_VERSION• IGMP BAD• IP TRUNCATED• IP OVERSIZE• UDP LAND• CLASS C TCP
BROADCAST• TCP LAND
依據 RFC相關標準規範制訂
建議將 BAD_TCP_STATE disable
26
IP/Port Scan Anomaly (IP/Port 掃瞄異常 )
• 在網路攻擊發起初期,駭客需要對內部網路送出各類刺探封包 (probing packets) ,藉以瞭解欲攻擊網路的內部架構以及內部運作主機的 IP位址 /開啟埠號。
• 常用的掃瞄技術 – 主機掃瞄 (host scanning) – 網路掃瞄 (network scanning) – 埠號掃瞄 (port scanning)
27
IP/Port Scan Anomaly (IP/Port 掃瞄異常 )
• TCP_Port_Scan• UDP_Port_Scan• TCP_Port_SYN_Scan• TCP_Port_FIN_Scan• TCP_Port_NULL_Scan• TCP_Port_XMAS_Scan
• IP_Sweep
28
Traffic Anomaly ( 網路流量異常 )
• IP FLOOD• IGMP FLOOD• ICMP FLOOD• UDP FLOOD• TCP FLOOD• TCP SYN
• 可針對網路流量異常政策調整其觸發門檻值
29
Evasion Attacks ( 閃躲攻擊 )
• 高明的駭客會利用各種進階的閃躲技術,逃避 IDS/IPS 的偵測:– TCP_OVERLAP_WEIRD– FTP CMD TELNET OPCODE EVASION– RPC INCOMPLETE SEGMENT– RPC LARGE FRAGSIZE– RPC MULTIPLE RECORD– RPC FRAG TRAFFIC– NOP SLED ANOMALY– FTP BOUNCE ATTACK– IP FRAGMENT TIMEOUT– IP FRAGMENT BOINK– IP FRAGMENT ATTACK– IP FRAGMENT OVERSIZE– IP FRAGMENT TEARDROP
30
Encrypted IM/P2P detection ( 加密 IM/P2P 偵測 )
• NetKeeper 內建 anomaly detection signatures, 阻擋利用進階加密技術的 IM/P2P :– P2P Winny login attempt -1
– SKYPE_VIDEO
– SKYPE_FILE TRANSFER
– SKYPE_LOGIN
BroadWeb IPS機台 核心程式版本 NK Plugin NK/ Eulen Pattern
NK 3000P 3.6.20 1.4.14 3.49
NK 3000T 3.5.20 1.4.14 3.49
NK 5105 1.0.10 1.4.14 3.49
Eulen /Eulen Admin 2.0.2 不需要 3.49
註:需要安裝 BEMS 1.1,才能將 NK Plugin更新至 1.4.14版本
核心程式及P
lugin
需符合右列最低要
求
支援控管軟體列表
32
支援控管軟體列表
• P2P– Gnutella– FastTrack– eDonkey2000– BitTorrent– DirectConnect– PiGo– PP365– WinMX– POCO– Winny– Foxy– iMesh– ClubBox
• IM– MSN
– ICQ
– AIM
– iChat
– Yahoo Messenger
– TM
– GoogleTalk
– Skype
– IRC
– Odigo
– Rediff BOL
– Gadu-Gadu
• WEB IM
– 微軟官方 Web MSN
– ICQ官方 Web ICQ
– Web IM via Meebo.com
– Web IM via eBuddy.com
– Web IM via iLoveIM.com
33
支援控管軟體列表
• Streamed-media– RealPlayer– Windows Media
Player– H.323– iTunes– WinAmp– Radio365– QuickTime– QQLive– PPLive– Podcast Bar– Vagaa– Flash Media
Video– TVAnts
• Web Mail
– Yahoo– Hotmail– Gmail
• VPN Tunneling
– SoftEther– VNN– Hamachi– TinyVPN– PacketiX– HTTP-Tunnel– Tor– Ping-Tunnel
34
支援控管軟體列表
• 檔案下載– GetRight– FlashGet– Thunder
• On-line game ( 大陸 )
– QQ Game– OurGame– QQFO
Game– cga.com
Game
• 其他– YouTube.com
– PcAnywhere– VNC
35
TCP/IP 基礎
36
TCP/IP 基礎
• TCP/IP Model and TCP/IP Protocol Suite• TCP/IP Layering• TCP Communication Architecture• UDP Communication Architecture
37
TCP/IP Model and TCP/IP Protocol Suite
38
TCP/IP Layering
39
TCP Communication Architecture
40
UDP Communication Architecture
自訂 Signatures 初步
42
自訂 Signatures 初步
• Using Ethereal• Defining a New Defense Signature• Signature Examples
– SQL Slammer– Skype Activity
43
Using Ethereal
44
Using Ethereal
45
Using Ethereal
46
Using Ethereal
47
Defining a New Defense Signature
• Signature Attributes• Signature Information• IP Header• Content• ICMP Header• IGMP Header• TCP Header• UDP Header
48
Matching Offset and Matching Depth
49
Signatures Examples
• MS-SQL Slammer• Skype Activity
50
MS-SQL Slammer
51
MS-SQL Slammer
• Attack type:Dos/DDoS
• Affected O.S.:Windows 95/98; Window_2000/XP
• Protocol Type:UDP• Attack Severity:Serious• Recognize Condition:Packets happened 1
time(s) / 0 second.• Actions while being attacked:Block packet
and log event only• Schedule: Any• UDP Source Port: Don’t care• UDP Destination Port: 1434
52
MS-SQL Slammer (cont.)
• Direction: Non-directional• Source IP: Don’t care• Destination IP: Don’t care• Matching Offset: 0• Matching Depth: 0
53
MS-SQL Slammer
54
MS-SQL Slammer
55
MS-SQL Slammer
56
Skype Activity
安裝 Skype的電腦會定期透過HTTP通訊協定向外界詢問是否有更新版本,封包內容如下:
57
Skype Activity (cont.)
• Attack type: Access Control
• Affected O.S.:All• Protocol Type:TCP• Attack Severity:Low• Recognize Condition: Packets happened 1
time(s) / 0 second.• Actions while being attacked:Log event only• Schedule: Any• TCP Source Port:Don’t care• TCP Destination Port: 80
58
• Direction: Outgoing
Skype Activity (cont.)
59
• Source IP: Don’t care• Destination IP: Don’t care• Matching Offset: 0• Matching Depth: 0
Skype Activity (cont.)
60
Skype Activity (cont.)
