您的位置: 防火墙+IDS:不能100%抵挡攻击
下面以网址为WWW.XXX.ORG的企业为例,看一下它是如何成为黑客攻击目标的。
通常,黑客攻击一个网络一定有原因,或是出于某种利益关系,或是为了报复,有的甚至纯粹是为了好玩。一旦目标锁定以后,他就会收集关于目标网络的所有相关信息,例如IP地址、域名服务器、网络内的其他机器等。信息收集的途径很多,可以通过邮箱名、网页内容等公共信息。很不幸,WWW.XXX.ORG成为了攻击靶子。下一步,黑客将对目标进行扫描,发现漏洞。通过扫描器对目标进行扫描后发现,ftp://ftp.XXX.org(和http://www.XXX.org属于同一个单位,并且在同一个网段)有一个可写的目录存在。他编写了脚本并上传到了那个可写的目录中;从浏览器中调用脚本,再上传一些bindshell的程序,然后执行……由于以上这些看起来是正常的访问,防火墙没有拒绝。
现在telnet到端口XXX,得到了本地nobody权限的用户账号,因为cgi是以nobody身份运行的,并用相关命令找到运行的操作系统类型和版本,运行的是freebsd 3.4。这是一次普通的telnet连接,一般入侵检测为了提高性能,通常不会检测这种低级事件,即使检测到也不会报警,且报警管理员也不会发现,因为他们早已被太多的误报、漏报以及大量的无用信息搞得心烦意乱了。
为了不用缓冲区溢出或exploit等得到root权限,以免惊动入侵检测系统,黑客开始寻找本身配置的错误。经过长时间的搜索,他发现mysql是以root的权限运行的,并且可以本地运行,因为xxx.org还运行了需要mysql账号的程序,并且将其用户名/密码明文存放,所以,他可轻易获得mysql数据库的账号密码。他找到了端口重定向的工具,以便本地能使用mysql客户端。
在完全控制mysql后,就可以在任何地方以root的身份建立文件,这些文件将是666权限的,虽然无法覆盖其他文件,但它仍然是有用的,在root的文件夹建立一个文件,等待某人来运行su,就得到了一个suid的shell成为root。这下他想干什么就可以干什么了,可以把一个分区格式化,还可以把一些系统文件删除,可以留下方便下次进来的后门……然后擦掉在系统日志里的信息,退出。
从以上入侵中可以看到,防火墙和IDS无论设计得多么严密,它们毕竟要基于一定的规则进行被动防御,而系统总可能存在一些漏洞,这些漏洞也总可能被某些手段高明的黑客发现。所以说网络安全永远只是相对的,再坚固的防御、再高明的网管也不一定能挡住所有的入侵和攻击。那如何建立更合理的防御系统,被入侵后如何尽可能地挽回损失呢?必须从建立防火墙、IDS的网络安全体系,走向更高层面的防御,建立富有创造性、先进的主动防御体系。网络入侵取证将会是提升网络安全的有力武器之一。
网络入侵取证——网上的监控系统
在上面的实例里,如果网管只建立了常规的被动防御,就完全无法追查事件,甚至不知道曾经发生过什么,但是,如果有了网络入侵取证系统,情形就会完全不同。入侵取证系统可以完整地记录下网络上所有流量,同时还可对所保护的主机的日志进行实时转移和保护,并对记录的所有信息进行加密封存,在将网络上发生的事件完全记录的同时,还能保证记录的原始性、完整性、不可更改性。目前,入侵取证系统应该有以下功能:对所有流经被取证网段的网络数据进行高效、完整的记录;对被取证主机的系统日志实时记录,以防篡改;集中安全地存放网络和被取证机器的系统信息;通过多种技术实现所记录数据的原始性和不可更改性以符合法律对证据的要求;IP数据还原应用,重现入侵过程;随时可以对所有数据进行入侵分析。
在上述入侵发生时,网络上如果安装了入侵取证系统,情况就会完全不一样。在攻击发生以后,网管人员发现该服务器出现异常,无法正常提供服务,重新启动机器,发现机器无法启动。由于机器无法启动,一时没有任何可以参考的信息,所以不知道具体发生了什么情况。网络入侵取证系统则记录下了所发生的事情,可以根据网络取证分析找到入侵发生的过程和来源。首先,确定事件发生时大致的时间范围,并将取证机上该时间范围的数据拷贝到取证分析机上。接着,再用取证分析软件对这些数据进行分析,通过系统信息的分析,可以看到该段时间用户的登录信息和系统日志;通过应用还原分析,可以看到可疑的nobody用户和root用户的所有操作过程,发现了他进入系统和破坏系统所执行的命令、执行命令的时间以及所使用的IP地址; 通过入侵分析,找到了黑客入侵所采用的攻击方法。最后,根据取证分析得到的信息(IP地址、时间、登录的用户名等),找到了发起以上攻击的机器A。经公安部门协助追查,A为某大学的服务器,调出A的记录,经过排查,发现是IP地址为B的机器攻陷A后进行的攻击。再查B的IP地址,是电信局拨号上网分配的,调出电信记录,查到上网电话,发现机主就是该单位辞退的某位员工,一切一目了然。
其实在欧美等互联网发达国家,入侵取证早已成为安全热点,美国政府和银行目前在安全问题上最关注的就是如何实现取证。国内目前也出现了入侵取证产品,可以预见,入侵取证即将成为人们关注的中心,它将是我国互联网安全的一大进步,毕竟,它不仅仅着眼于简单防御,而是第一次与法律密切相关的互联网安全产品。可以预计,入侵取证系统将和防火墙、IDS一样成为网络安全最核心、最重要的产品。
但是入侵取证并不是万能的,它只是整个安全防御体系中的一个重要构成部分,它可以与防火墙、IDS等一起构成更为坚固的安全防御体系,而如果没有防火墙等基本安全设备,入侵取证的存在也就没有意义了。如果我们将网络安全产品与传统的保安产品做一个类比,入侵取证的概念就更清晰了: 防火墙好比网络上的防盗门,IDS好比网络上的红外线探测警报器,入侵取证系统就好比网络上的录像监控系统。而对于安全来说,一定是先有防盗门,然后才能考虑红外线探测警报器和录像监控系统。网络安全也一样,防火墙一定是最基本的设备,之后才可以考虑配置IDS和入侵取证系统。有了IDS和入侵取证,网络安全的水平一定会有一个质的飞跃。
