45-安全防护
本章节下载: 45-安全防护 (1.22 MB)
目 录
在IPv4局域网中,通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
在IPv6局域网中,通过ND协议将IP地址转换为MAC地址。由于 ND 协议并未提供认证机制,导致网络中的节点不可信,也使攻击者有机可乘,可针对 ND 协议发起一系列攻击。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。
受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。
设备的防ARP/ND攻击功能有效识别ARP/ND欺骗攻击和ARP/ND flood攻击,对疑似攻击的行为告警,并配合IP-MAC绑定、主动保护发包及关闭ARP/ND学习等,有效防范ARP/ND攻击造成的损害。
通过菜单“安全设置>安全防护>ARP/ND攻击防护>防ARP欺骗”使用该功能。
图1-1 防ARP欺骗设置页面
表1-1 防ARP欺骗详细信息描述表
配置项 |
说明 |
关闭ARP学习 |
缺省情况下启用ARP学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃。有关IP-MAC绑定配置的更多信息,请参考IPMAC绑定。 |
主动保护 |
开启该功能后,设备会按照指定的时间间隔发送主动保护列表上的免费ARP报文。免费ARP报文是一种特殊的ARP报文,该报文携带的发送端IP地址和目的IP地址都是本机IP地址,源MAC地址是本机MAC地址,目的MAC地址是广播地址。其他设备收到免费ARP报文后,如发现报文中的IP地址与设备自身的IP地址相同,会向免费ARP报文的发送设备返回应答,告知该设备的IP地址冲突。 |
时间间隔 |
发送主动保护列表上的ARP的时间间隔,缺省配置为1秒 |
如图所示,在防ARP欺骗设置页面中,选择主动保护列表下的<新建>按钮,将弹出如下页面。
图1-2 主动保护列表页面
表1-2 主动保护详细信息描述表
配置项 |
说明 |
接口 |
ARP报文发送接口 |
接口保护 |
在保护列表中加入接口地址 |
更新ARP列表 |
勾选复选框后,会更新设备的整个ARP表 |
IP地址&MAC地址 |
广播ARP报文的IP和MAC |
如下图所示,通过菜单“安全设置>安全防护>ARP/ND攻击防护>防ND欺骗”使用该功能。
图1-3 防ND欺骗设置页面
表1-3 防ND欺骗详细信息描述表
配置项 |
说明 |
关闭ND学习 |
缺省情况下启用ND学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃 |
ND反向查询 |
点选启用或者不启用ND反向查询功能 |
IP地址数检查 |
每个MAC对应的IP地址的最大值,参数为0不检查,如果mac地址对应的IP地址数量多于设定值则产生告警 |
主动保护 |
点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文 |
时间间隔 |
发送主动保护列表上的ND时间间隔,缺省配置为1秒 |
在防ND欺骗设置页面中,选择主动保护列表下的<新建>按钮,将弹出如下页面。
图1-4 主动保护列表页面
表1-4 主动保护详细信息描述表
配置项 |
说明 |
接口 |
ND报文发送接口 |
接口保护 |
在保护列表中加入接口地址 |
IP地址&MAC地址 |
ND报文的IP和MAC |
通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND防护 > ARP表”进入ARP表显示界面,可以查看设备上通过ARP学习到的所有MAC地址及IP地址,如下图所示。
图1-5 ARP表项显示
勾选一个条目并点击<IP-MAC绑定>或在操作列下点击图标,可将指定的条目创建IP-MAC绑定;如图1-6所示;点击<一键绑定>对所有条目创建IP-MAC绑定。
点击<新增静态ARP>,可以手动添加静态ARP信息,如图1-7所示。静态ARP是不受ARP老化机制的影响。
详细配置请参见下表。
表1-5 新增静态ARP详细配置描述表
配置项 |
说明 |
IP地址 |
静态ARP的IP地址,只支持IPv4地址。 |
自动获取MAC地址 |
点击<自动获取MAC地址>,系统根据所填IP地址自动学习到MAC地址。 |
MAC地址 |
Mac地址必须是单播地址。 |
接口 |
可选择自动检测或绑定接口。 |
勾选一个条目并点击<转换静态>可将选中的ARP转换为静态,如下图所示。
图1-8 将选中的ARP转换为静态
转换后会新增一条静态ARP记录。转换后的APR记录可进行编辑或删除操作,如下图所示。
图1-9 转换后的静态ARP
通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ND表”进入ND表显示界面,可以查看设备上通过ND学习到的所有MAC地址及IP地址,如下图所示。
图1-10 ND表项显示
勾选一个条目并点击<IP-MAC绑定>或在操作列下点击图标,可将指定条目创建IP-MAC绑定;点击<一键绑定>对所有条目创建IP-MAC绑定。
通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND Flood攻击”使用该功能,如下图所示。
图1-11 ARP/ND Flood攻击设置页面
表1-6 ARP/ND Flood攻击防护详细配置描述表
配置项 |
说明 |
启用防ARP flood |
点选启用防ARP Flood攻击 |
ARP攻击识别阈值 |
一秒内收到ARP报文的数量,缺省配置为300个/秒。 |
ARP攻击主机抑制时长 |
设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒。 |
启用防ND flood |
点选启用防ND Flood攻击。 |
ND攻击识别阈值 |
一秒内收到ND报文的数量,缺省配置为300个/秒。 |
ND攻击主机抑制时长 |
设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒。 |
如下图所示,通过菜单“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND 学习控制”使用该功能。
图1-12 ARP/ND学习控制页面
如图图1-12所示,点击“新建”,进入接口的ARP/ND控制子页面。
图1-13 接口ARP/ND学习控制子页面
表1-7 接口ARP/ND学习控制子页面详细配置描述表
配置项 |
说明 |
接口 |
选择接口 |
ARP控制 |
启用或不启用ARP控制 |
ND控制 |
启用或不启用ND控制 |
将接口ge1加入防ARP欺骗的主动保护列表中。保护的IP和MAC分别为:2.2.2.2和00:de:ad:00:00:0c。
(1) 进入“安全设置>安全防护>ARP/ND攻击防护>防ARP欺骗”,点击主动保护列表下面的<新建>按钮,进入主动保护列表配置页面
(2) 选择接口为ge1,输入要保护的IP和MAC地址,点击“添加到列表”。
图1-14 主动保护列表配置页面
(3) 点击<提交>按钮后,可以在防ARP欺骗页面看到已添加的主动保护列表信息。
图1-15 防ARP欺骗页面
如下图所示,公司内网有多台服务器设备,防止服务器被局域网内PC进行ND欺骗造成服务器无法正常访问。
图1-16 防ND欺骗配置举例组网图
(1) 进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > 防ND欺骗”;关闭ND学习,开启ND反向查询,设置每MAC地址IP数检查,开启接口主动保护,然后点击提交按钮提交配置。
图1-17 防ND欺骗配置
图1-18 启用防ND欺骗
进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > IP-MAC绑定”;绑定被保护服务器的IPMAC地址,勾选唯一性,然后点击提交按钮提交配置。
图1-19 配置IP-MAC绑定
进入“策略配置 > 安全设置 > 安全防护 > ARP/ND攻击防护 > ARP/ND Flood攻击”;设置阈值和抑制时长,然后点击提交按钮提交配置。
图1-20 配置ND Flood攻击防护
如下图所示,进入“数据中心>安全日志>安全防护日志”,进入安全防护日志显示页面,可以查看防ND欺骗日志。
图1-21 安全防护日志
在网络中,有时会有一些带有攻击性质的报文传输,通常这些报文能对目标主机进行破坏,异常报文攻击防护能对这些报文进行拦截并报日志。
通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御”进入异常包攻击防御的配置界面,如图1-22所示。
表1-8 异常报文攻击防护详细配置描述表
配置项 |
说明 |
Ping of Death |
ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。 配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。 |
Land-Base |
Land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。 配置了防land-base攻击功能后,设备可以检测出Lland-base攻击,丢弃攻击报文并根据配置输出告警日志信息。 |
Tear-drop |
tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃配置了防Tear-drop攻击功能后,设备可以检测出Tear-drop攻击,并输出告警日志信息。 因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。 |
Tcp flag |
TCP 异常攻击防护功能开启后,缺省情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。 |
Winnuke |
Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。 配置了防Winnuke攻击功能后,可以检测出Winnuke攻击报文,丢弃攻击报文并根据配置输出告警日志信息。 |
Smurf |
这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。 Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。 |
IP-Spoof |
防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。 |
Jolt2 |
Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。 |
tcp sack |
当tcp 的mss很小,并且不停发布连续报文时,会触发漏洞。 |
配置异常报文攻击防护,开启Land-Base攻击防护和IP-Spoof攻击防护。
通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御”打开异常报文攻击防御显示页面,点击勾选Land-Base攻击防护和IP-Spoof攻击防护选项,如图1-23所示,点击<提交>按钮,配置完成。
如图1-24所示,通过菜单“策略配置>安全设置>安全防护>异常包攻击防御>IPv6异常包攻击”使用该功能。
图1-24 IPv6异常包攻击防御的配置界面
表1-9 IPv6异常包攻击详细信息描述表
配置项 |
说明 |
Winnuke |
winnuke报文攻击 |
Land-Base |
Land-Base报文攻击 |
TCP flag |
异常的TCP flag报文攻击 |
Fraggle |
Fraggle报文攻击 |
IP Spoof |
IP地址欺骗攻击 |
IPv6异常包攻击的配置和显示等都在一个页面。
配置设备 进行IPv6异常的TCP flag报文攻击防护功能。
如图1-25所示,通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > IPv6异常包攻击”打开显示页面,点击勾选TCP flag攻击防护选项,点击<提交>按钮,配置完成。
图1-25 IPv6异常包攻击配置页面
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。设备可以有效防范以上攻击,从而阻止外部的恶意攻击,保护设备和内网。当检测到此类扫描探测时,向用户进行报警提示。
通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > 扫描攻击防御”进入扫描攻击防御显示界面,如图1-26所示。点击<新建>按钮,进入新建扫描攻击防御界面,如图1-27所示。
在该页面上,显示所有配置的扫描攻击防护表项,同时能够<新建>、<编辑>和<删除>等。
表1-10 扫描攻击防御详细信息描述表
配置项 |
说明 |
选择接口 |
选择需要防护的接口 |
扫描阈频率 |
需要防护的阈值 |
加入黑名单 |
启用加入黑名单的选项 |
加入黑名单的时间 |
将源IP加入黑名单的时间 |
开启ge1接口的扫描攻击防御功能,采用缺省配置。
(1) 如图1-28所示,通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > 扫描攻击防御”打开显示页面,点击显示页面的<新建>按钮。
(2) 如图1-29所示,在弹出的新建页面中进行配置,勾选“启用端口扫描防护”和“启用IP扫描防护”,使用缺省配置。
(3) 点击<提交>按钮,完成扫描攻击防护的配置。
如图1-30所示,通过菜单“策略配置 > 安全设置 > 安全防护 > 异常包攻击防御 > 扫描攻击防御”打开扫描攻击防御显示页面,在显示页面中看到刚才配置的规则,如图1-30所示。
DoS攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
当前支持对以下四种攻击进行有效防范:
由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。
通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 目的IP防御”进入目的IP防御的显示界面,如图1-31所示。点击<新建>按钮,弹出目的IP防御的配置界面,如图1-32所示。
图1-31 目的IP防御显示界面
图1-32 新建目的IP防御界面
表1-11 配置说明
配置项 |
说明 |
指定保护主机的IP地址 |
指定保护地址范围 |
SYN Flood阈值 |
每秒发往目的IP的最大SYN报文个数 |
UDP Flood阈值 |
每秒发往目的IP的最大UDP报文个数 |
ICMP Flood阈值 |
每秒发往目的IP的最大ICMP报文个数 |
DNS Flood阈值 |
每秒发往目的IP的最大DNS报文个数 |
配置保护IP地址为1.1.1.1-1.1.1.10,开启UDP Flood防御阈值为1000的规则。
(1) 如图1-33所示,通过菜单“策略配置>安全设置>安全防护>DoS攻击防护>目的IP防御”打开显示页面,点击上面的<新建>按钮,如图1-34所示,在弹出的新建页面中进行配置。
图1-33 目的IP防御显示页面
图1-34 目的IP防御配置页面
(2) 完成配置后,点击<提交>按钮,规则创建成功。
通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 接口防御”进入接口防御显示界面,如图1-35所示。点击<新建>按钮后,将弹出新建接口防御界面,如图1-36所示。
表1-12 配置说明
配置项 |
说明 |
接口名 |
选择需要防护的接口名称 |
SYN Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值 对目标主机限制最大连接:设置目的主机的最大连接 |
UDP Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值 对目标主机限制最大连接:设置目的主机的最大连接 |
ICMP Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值 对目标主机限制最大连接:设置目的主机的最大连接 |
DNS Flood选项 |
对每台源主机进行流限制:设置源主机的流限制阈值 对目标主机限制最大连接:设置目的主机的最大连接 |
ge1接口,开启UDP flood防御,并设置其对源主机和目的主机的限制阈值都为1000。
通过菜单“策略配置 > 安全设置 > 安全防护 > DoS攻击防护 > 接口防御”,打开如图1-37所示接口防御的显示页面,点击<新建>按钮,在弹出的新建页面进行配置。配置完成后,点击<提交>按钮,完成接口防御的配置。
Address Resolution Protocol (ARP)是寻找IP地址所对应的MAC地址的一种协议。
在以太网中,对于处于同一子网的两个通信实体来说,一次IP通信过程大致如下:
当源端发送一个IP包之前,它必须知道目的端的MAC地址才可以完成封装,可是此时源端只能知道目的端的IP地址(通过用户的事先配置或者查路由表),这样就必须依靠ARP协议来完成目的端MAC地址的解析。因此源端发送一个包含目的IP地址的ARP 请求,目的端收到后向源端返回ARP应答,通告自己的MAC地址,源端获得目的端MAC地址后才可以将IP包封装在以太网头中发送出去。
由于网络中可能存在一些攻击软件仿冒某台主机上网,逃过跟踪。为了避免这种情况,设备实现了IP-MAC绑定功能,把用户的MAC和IP绑定起来。配置了IP-MAC绑定后,通过设备的报文的MAC和IP必须严格一致,否则报文将被丢弃。
通过菜单“策略配置>安全设置>安全防护>ARP攻击防护>IP-MAC绑定”进入IP-MAC绑定显示界面,如图1-38所示。点击<新建>按钮后,将弹出新建IP-MAC绑定界面,如图1-39所示。
图1-38 IPMAC绑定显示界面
图1-39 IP-MAC绑定添加
表1-13 配置说明
配置项 |
说明 |
名称 |
IP-MAC绑定项的名称 |
描述 |
规则描述信息 |
IP地址 |
绑定的IP地址 |
MAC地址 |
绑定的MAC地址 |
唯一性 |
绑定类型 开启表示一个MAC和一个IP地址唯一对应,关闭表示一个MAC地址和多个IP地址对应 |
配置名为test的IPMAC绑定规则,将IP地址2.2.2.2和MAC地址00:de:ad:00:00:0c进行绑定。
(1) 通过菜单“策略配置>安全设置>安全防护>ARP攻击防护>IP-MAC绑定”打开如图1-40的IPMAC绑定显示页面,点击<新建>按钮。
(2) 在弹出的新建页面中,对规则进行配置,完成后点击<提交>按钮。
图1-40 IPMAC绑定配置页面
在局域网中,通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网络中断或中间人攻击。
受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。
设备的防ARP攻击功能有效识别ARP欺骗攻击和ARP flood攻击,对疑似攻击的行为告警,并配合IP-MAC绑定、主动保护发包及关闭ARP学习等,有效防范ARP攻击造成的损害。
通过菜单“策略配置 > 安全设置 > 安全防护 > ARP攻击防护 > ARP表”进入ARP表显示界面,如图1-41所示。
图1-41 ARP表项显示
如图1-42所示,通过菜单“策略配置 > 安全设置 > 安全防护 > ARP攻击防护 > ARP Flood攻击”使用该功能。
图1-42 ARP Flood攻击设置页面
表1-14 ARP Flood攻击防护详细配置描述表
配置项 |
说明 |
启用 |
点选启用防ARP Flood攻击 |
ARP攻击识别阈值 |
一秒内收到ARP报文的数量,缺省配置为300个/秒 |
攻击主机抑制时长 |
设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为60秒 |
如图1-43所示,通过菜单“策略配置 > 安全设置 > 安全防护 > ARP攻击防护 > 防ARP欺骗”使用该功能。
图1-43 防ARP欺骗设置页面
表1-15 防ARP欺骗详细信息描述表
配置项 |
说明 |
ARP防欺骗攻击 |
点选启用ARP防欺骗攻击 |
关闭ARP学习 |
缺省情况下启用ARP学习,关闭后只要是不匹配IP-MAC绑定表的报文都将被丢弃 |
主动保护 |
点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文 |
时间间隔 |
发送主动保护列表上的ARP的时间间隔,缺省配置为1秒 |
点选图1-44防ARP欺骗设置页面中的保护列表下的<新建>按钮后,将弹出如下页面。
表1-16 主动保护详细信息描述表
配置项 |
说明 |
接口 |
ARP报文发送接口 |
接口保护 |
在保护列表中加入接口地址 |
IP地址&MAC地址 |
广播ARP报文的IP和MAC |
将接口ge1加入防ARP欺骗的主动保护列表中。保护的IP和MAC分别为:2.2.2.2和00:de:ad:00:00:0c。
(1) 先选中图1-45防ARP欺骗设置中的ARP防欺骗攻击<启用>按钮,可以看到主动保护列表下的<新建>按钮可选了,点击后会弹出主动保护列表的配置页面。
(2) 选择接口为ge1,输入要保护的IP和MAC地址,点击“添加到列表”。
(3) 如图1-46所示,点击<提交>按钮后,可以在防ARP欺骗页面看到我们加入的ge1接口。
图1-46 防ARP欺骗页面
行为模型(又名DNS隧道),是隐蔽信道的一种,通过将其它协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为一种隐蔽信道提供了条件,从而可以利用它实现诸如远程控制,文件传输等操作,现在越来越多的研究证明DNS 隧道也经常在僵尸网络和APT攻击中扮演者重要的角色,因此DNS隐蔽隧道检测势在必行。
设备通过对DNS隐蔽隧道特征的提取和特征综合分析,来实现对DNS隐蔽隧道的检测,从而阻止DNS隧道带来的威胁。
通过菜单“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>,进入如图1-47所示页面。各个配置项含义如表1-17所示。
图1-47 DNS隧道配置页面
表1-17 DNS隧道配置各项含义表
标题项 |
说明 |
开启 |
是否开启dns隧道功能 |
日志 |
记录dns隧道日志(在安全日志-行为模型日志) |
检测宽松度 |
严格、适中、宽松,默认适中。严格的阈值为50,适中的阈值为100,宽松的阈值为200 |
检测方式 |
所有、基于异常报文、基于流量模型 |
处理动作 |
允许或拒绝 |
使用预置白名单 |
设备配置的DNS服务器地址,默认勾选(开启后不会在走dns-tunnel流程)dns透明代理和dns缓存不算在里面 |
添加自定义白名单 |
64个 |
针对公司内部网络,设备需要开启DNS检测功能避免内网用户被远程黑客控制成为僵尸网络和APT攻击,公司出口开启了DNS服务功能,先检测分析日志。
(1) 在DNS隧道模块里直接启用使用预置白名单;
(2) 自定义白名单加入了运营商提供的DNS服务器。
图1-48 行为模型组网图
(1) 启用DNS隧道,在导航栏中选择“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>启用DNS隧道检测记录日志,处理动作为允许,如图1-49所示。
图1-49 编辑DNS隧道检测
(2) 点击<提交>按钮,提交配置。
在导航栏中选择“数据中心>日志中心>安全日志>行为模型日志”。查看分析行为模型日志,如图1-50所示。
(3) 启用DNS隧道,在导航栏中选择“策略配置>安全设置>安全防护>行为模型”,编辑DNS隧道检测,点击<编辑>启用DNS隧道检测记录日志,处理动作为拒绝并加入黑名单1小时,如图1-51所示。
图1-51 编辑DNS隧道检测
(4) 点击<提交>按钮,提交配置。
在导航栏中选择“数据中心>日志中心>安全日志>行为模型日志”。查看,如图1-52所示。
在导航栏中选择“数据中心>系统监控>黑名单记录”。查看黑名单记录,被检测出来的DNS服务器地址加入黑名单,如图1-53所示。
暴力破解是指攻击者通过穷举的方法登录相应服务从而获得可以登录的用户名密码对。通过检测出流量中的暴力破解行为并进行阻断。用户可配置是否开启暴力破解防御,服务类型,支持的服务类型包括ftp、telnet、smtp、http、imap、mssql、mysql、oracle、pop3、postgres,各个服务单独配置暴力破解检测时长和阈值,配置是否把攻击者加入黑名单。
如图1-54所示,在导航栏中选择“策略配置>安全设置>安全防护>防暴力破解”,进入防暴力破解的配置界面。
表1-18 防暴力破解界面详细描述表
标题项 |
说明 |
启用 |
勾选启用/禁用防暴力破解功能 |
服务 |
选择监测的服务 |
Web登录保护 |
勾选启用/禁用web登录保护功能 |
url路径 |
Web登录保护的url |
攻击者加入黑名单 |
勾选启用/禁用攻击者加入黑名单功能 |
如图1-55所示,在导航栏中选择“策略配置>安全设置>安全防护>防暴力破解”,点击“请选择服务”弹出服务的配置界面。
表1-19 服务配置界面详细描述表
标题项 |
说明 |
协议 |
勾选需要开启防暴力破解功能的服务 |
检测时长 |
防暴力破解的检测周期 |
阈值 |
攻击次数,达到阈值触发防暴力破解记录攻击事件 |
对于密码明文传输的服务,从登录报文中提取出密码并判断出密码强度,若为弱密码则产生日志但不阻断登录。支持的服务包括ftp、imap、pop3、smtp、telnet。用户可以配置开启或者关闭弱密码检测功能,目标服务,弱密码密码强度。
如图1-56所示,在导航栏中选择“策略配置>安全设置>安全防护>弱密码防护”,进入弱密码防护的配置界面。
表1-20 防暴力破解界面详细描述表
标题项 |
说明 |
启用 |
勾选启用/禁用弱密码防护功能 |
服务 |
选择检测的服务 |
弱密码规则 |
勾选启用/禁用弱密码防护规则 |
自定义密码 |
配置自定义弱密码字典 |
如图1-57所示,在导航栏中选择“策略配置>安全设置>安全防护>弱密码防护”,点击“选择服务”弹出服务配置页面。
表1-21 服务配置界面详细描述表
标题项 |
说明 |
名称 |
服务名称 |
描述 |
服务的功能描述 |
如图1-58所示,在导航栏中选择“策略配置>安全设置>安全防护>弱密码防护”,点击“选择规则”弹出弱密码规则配置页面。
表1-22 规则配置界面详细描述表
标题项 |
说明 |
规则内容 |
勾选规则的详细描述 |
为保证内部网络的安全可靠运行,通常采用以下两种方式对内外网实施安全隔离:
(1) 内、外网物理隔离
内、外网进行物理隔离,严格上来讲,内外网根本就没有连通,不能相互通信,专职人员必须使用物理隔离的计算机才能访问内外网。
(2) 内、外网逻辑隔离
内、外网逻辑隔离,主要是通过划分VLAN等技术手段,隔离一些特殊群体,以实施更有针对性的安全防护,实现内部网络的相对独立性。同时在内外网连接处,一般安装防火墙或入侵检测系统对内网提供保护。
但是,非法外联和非法接入等行为,很容易对物理隔离和逻辑隔离的内部网络造成损害。
针对以上情况通过对内部网络终端或者服务器的外联行为进行识别,设定允许终端或者服务器外联的地址、外联地址的服务及端口来定义正常外联行为,定义的正常外联行为之外的所有外联行为全部作为非法外联。
如图1-59所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,进入非法外联防护策略的配置界面。
表1-23 非法外联防护界面详细描述表
标题项 |
说明 |
新建 |
新建策略 |
删除 |
删除勾选的策略 |
启用 |
启用勾选的策略 |
禁用 |
禁用勾选的策略 |
匹配次数清零 |
清空勾选的策略 |
操作-编辑 |
编辑该条策略 |
操作-删除 |
删除该条策略 |
如图1-60所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,进入非法外联防护策略的配置界面。点击“新建”创建策略。
表1-24 字典配置界面详细描述表
标题项 |
说明 |
启用 |
勾选启用策略 |
日志 |
勾选开启日志记录 |
动作 |
匹配策略的数据允许/拒绝通过 |
服务器地址 |
保护的内网服务器地址 |
服务器外联地址 |
内网允许访问的外网地址 |
如图1-61所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护”,点击“新建”进入非法外联防护策略的配置界面,在“服务器外联地址”中,点击“新建”弹出服务器外联地址的配置窗口。
表1-25 字典配置界面详细描述表
标题项 |
说明 |
允许外联地址 |
允许外联地址,支持ip和域名配置。 |
Tcp |
允许外联的tcp端口,最多支持128个端口。 |
Udp |
允许外联的udp端口,最多支持128个端口。 |
ICMP |
勾选是否允许ping包。 |
如图1-62所示,在导航栏中选择“策略配置>安全设置>安全防护>非法外联防护>非法外联学习”,进入非法外联学习的配置界面。
表1-26 非法外联学习界面详细描述表
标题项 |
说明 |
服务器地址 |
学习的服务器地址 |
学习时长 |
选择学习时长 |
进度 |
显示学习进度 |
外联地址白名单 |
不参与学习的外联目的地址 |
外联协议白名单 |
不参与学习的外联目的端口 |
开始 |
开始学习 |
添加服务器合法连接 |
学习到的外联地址添加到防护中服务器外联地址 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!