教程篇(7.0) 11. FortiGate安全 & 入侵防御和拒绝服务 ❀ Fortinet 网络安全专家 NSE 4
Posted meigang2012
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(7.0) 11. FortiGate安全 & 入侵防御和拒绝服务 ❀ Fortinet 网络安全专家 NSE 4相关的知识,希望对你有一定的参考价值。
在本课中,你将学习如何使用FortiGate来保护你的网络免受入侵和拒绝服务(DoS)攻击。
本节课,你将学习上图显示的主题。
完成本节后,你应该能够实现上图显示的目标。
通过展示入侵防御系统(IPS)的能力,你应该能够实现一个有效的IPS解决方案,以保护你的网络免受入侵。
组织不断受到攻击。网络犯罪分子受到以前成功的高调黑客攻击和盗取数据的高利润黑市的驱使,继续增加他们对组织的攻击的数量和复杂性。许多组织鼓励自带设备(BYOD)和灵活的工作环境,这导致了随时随地数据消耗的爆炸式增长。这种使用增加了敏感数据暴露给公司边界外未经授权访问的风险。
今天的威胁形势需要IPS来阻止更广泛的威胁,同时最小化误报。
理解异常和利用之间的区别是很重要的。同样重要的是,要知道FortiGate的哪些特性为这些类型的威胁提供了保护。
漏洞是已知的攻击,具有已知的模式,可以被IPS、web应用程序防火墙(WAF)或反病毒签名匹配。
异常是指网络中的异常行为,例如高于正常水平的CPU使用率或网络流量。必须检测和监视异常(在某些情况下,还必须阻止或减轻异常),因为它们可能是以前从未见过的新攻击的症状。通常,通过行为分析可以更好地检测异常,如基于速率的IPS签名、DoS策略和协议约束检查。
FortiGate上的入侵防御系统使用特征库来检测已知的攻击。协议解码器还可以检测网络错误和协议异常。
IPS引擎负责本课中显示的大部分特性:IPS和协议解码器。它还负责应用控制,基于流的反病毒保护,web过滤,电子邮件过滤,以及在单臂嗅探模式基于流的DLP。
IPS引擎如何判断报文中是否包含攻击或异常报文?
协议解码器根据协议规范解析每个包。一些协议解码器需要端口号规范(在CLI中配置),但通常协议是自动检测的。如果流量不符合规范——例如,如果它向你的服务器发送格式不正确或无效的命令——那么协议解码器就会检测到错误。
缺省情况下,每个FortiGate固件版本都包含一组IPS签名。FortiGuard为IPS特征库添加新的特征。通过这种方式,IPS能够有效地对付新的漏洞。除非协议规范或RFC发生变化(这并不经常发生),否则协议解码器很少更新。IPS引擎本身的变化更加频繁,但仍然不是很频繁。
FortiGuard IPS服务是IPS签名更新最频繁的服务。FortiGuard研究团队识别并构建新的签名,就像反病毒签名一样。所以,如果你的FortiGuard服务合同到期,你仍然可以使用IPS。然而,就像反病毒扫描,签名没有更新的时间越长,IPS扫描变得越来越无效,旧的签名不能防御新的攻击。
FortiGuard软件包的默认自动更新时间表已更新。以前,频率是两个小时内重复出现的随机间隔。从Fortios 7.0开始,频率是自动的,更新间隔是根据型号和有效订阅的百分比计算的。更新周期为1小时以内。
例如,FG-501E有78%的有效合同。根据这个设备型号,FortiOS计算出每10分钟更新一次的时间表。说明系统事件日志大约每10分钟产生一次,可以对其进行验证。
IPS是FortiGuard的订阅,包含僵尸网络特征库。僵尸网络IP数据库是ISDB更新的一部分。僵尸网络域数据库是反病毒升级的一部分,只有僵尸网络签名需要订阅FortiGuard IPS许可证。
IPS特征库分为常规特征库和扩展特征库。常规特征库包含常见攻击的特征,这些特征很少或没有造成误报。它是一个较小的数据库,其默认操作是阻止检测到的攻击。
扩展特征库包含对性能造成重大影响的攻击的附加特征,或者由于其本质不支持阻断。实际上,由于扩展数据库的大小,对于磁盘或RAM较小的FortiGate型号来说,扩展数据库是不可用的。但是,对于高安全性的网络,可能需要启用扩展签名数据库。
FortiGate下载FortiGuard IPS包后,签名列表中会出现新的签名。在配置FortiGate时,你可以更改每个使用签名的传感器的动作设置。
默认的动作设置通常是正确的,除了以下情况:
● 你的软件供应商发布了一个安全补丁。继续扫描FortiGate资源的exploit waste。
● 你的网络有一个自定义应用程序,其流量不经意地触发了IPS签名。你可以禁用该设置,直到通知Fortinet,以便FortiGuard团队可以修改签名以避免误报。
IPS传感器中添加预定义签名有两种方式。一种方法是单独选择签名。在列表中选择一个签名后,该签名将以默认动作添加到传感器中。单击右键,可以修改签名的动作。
向传感器添加签名的第二种方法是使用过滤器。FortiGate将添加与过滤器匹配的所有签名。
你还可以通过添加基于速率的签名,在配置的时间范围内,当超过阈值时阻断特定流量。应该只对实际使用的协议应用基于速率的签名。然后,配置持续时间,在较长的时间内阻断恶意客户端。这可以节省系统资源并阻止重复攻击。FortiGate在暂时被屏蔽期间不会跟踪该客户的统计数据。
当IPS引擎将流量与每个过滤器中的签名进行比较时,顺序很重要。这些规则类似于防火墙策略匹配;引擎首先评估列表顶部的过滤器和签名,并应用第一个匹配项。引擎跳过后续的过滤器。
因此,将最可能匹配的过滤器或签名放置在列表的顶部。避免使用太多的过滤器,因为这会增加计算和CPU使用。另外,避免在每个过滤器中创建非常大的签名组,这会增加RAM的使用。
在发生假阳性爆发的情况下,你可以将触发的签名添加为单个签名,并将处理措施设置为监视。这允许你使用IPS日志监视签名事件,同时调查假阳性问题。
有时有必要从特定的签名中豁免特定的源或目的IP地址。此特性在出现假阳性爆发时非常有用。在调查并纠正假阳性问题之前,可以暂时绕过受影响的端点。
只能对个人签名配置IP豁免。每个签名可以有多个豁免。
当你创建一个新条目来添加签名或过滤器时,你可以通过单击动作来选择动作。
选择允许以允许流量继续到达目的地。选择监视以允许流量继续到达其目的地并记录活动。选择阻断以静默地删除匹配该表项中包含的任何签名的流量。选中重置,表示签名触发时生成TCP RST报文。选中默认Default,表示采用签名的缺省动作。
隔离允许你在设置的持续时间内隔离攻击者的IP地址。你可以将隔离持续时间设置为任意天数(天、小时或分钟)。
如果启用数据包日志记录,FortiGate会保存匹配签名的数据包的副本。
IPS签名过滤器可以配置保持时间选项。保持时间选项允许用户设置每个VDOM升级一次FortiGuard IPS签名后,签名保持的时间。在保持期内,签名模式为Monitor。为避免误报,新签名将在保持时间后启用。
保持时间范围为0天和0小时(默认值)至7天。
IPS签名过滤器选项包括CVE模式。CVE模式选项允许你根据CVE ID或CVE通配符过滤IPS签名,确保任何被该CVE标记的签名都被自动包含在内。
由于僵尸网络数据库是FortiGuard IPS合同的一部分,管理员可以启用扫描僵尸网络连接,以最大化其内部安全性。在应用防火墙策略的IPS配置文件上启用僵尸网络扫描。你也可以通过CLI开启僵尸网络连接扫描功能。
僵尸网络和C&C有三种可能的行动:
● 禁用:不扫描对僵尸网络服务器的连接
● 阻断:阻断对僵尸网络服务器的连接
● 监控:记录到僵尸网络服务器的连接
当需要应用IPS传感器时,需要先启用IPS,然后在防火墙策略中选择传感器。默认情况下,FortiGate记录所有安全事件。这意味着你可以看到任何被IPS阻断的流量。
如果你认为某些流量应该阻断,但却经过了策略,则需要将允许日志流量配置为所有会话。这将记录由该防火墙策略处理的所有流量,而不仅仅是被安全配置文件阻断的流量。这可以帮助你识别错误的负面事件。
如果启用了应用IPS的防火墙策略的安全事件记录功能,则可以通过日志&报表>入侵防御查看入侵防御事件。只有当FortiGate匹配到IPS签名的攻击企图时,入侵防御日志菜单才会出现。
需要经常查看IPS日志。这些日志是关于针对你的网络的各种攻击的宝贵信息来源。这有助于你制定行动计划,并将重点放在特定事件上,例如,对关键漏洞进行修补。
答案:B
答案:B
现在你了解了FortiGate上的IPS。接下来,你将将学习DoS。
完成本节后,你应该能够实现上图显示的目标。
通过展示拒绝服务(DoS)的能力,你应该能够保护你的网络免受常见DoS攻击。
到目前为止,你已经了解了匹配非法命令和无效协议实现的签名。这些很容易被确认为攻击。
如何利用客户机和服务器之间的非对称处理或带宽来攻击该功能呢?
DoS攻击的目标是压倒目标—消耗资源,直到目标不能对合法流量作出响应。有很多方法可以做到这一点。高带宽的使用只是DoS攻击的一种类型。许多复杂的DoS攻击,如Slowloris,不需要高带宽。
若要阻止DoS攻击,请在位于攻击者和你想要保护的所有资源之间的FortiGate上应用DoS策略。
DoS过滤在包处理过程的早期完成,包处理过程是由内核处理的。
在TCP协议中,客户端发送SYN报文来发起连接。服务器必须响应一个SYN/ACK包,并将连接信息保存在内存中,同时等待客户端以ACK包进行确认。合法客户端快速应答并开始传输数据。但是恶意的客户端继续发送更多的SYN包,半打开更多的连接,直到服务器的连接表被填满。一旦服务器的表已满,它就不能接受更多的连接,并开始忽略所有新的客户端。
ICMP在故障排除过程中使用:设备响应成功或错误消息。然而,攻击者可以使用ICMP探测网络,寻找有效的路由和响应的主机。通过进行ICMP扫描,攻击者可以在制造更严重的漏洞之前获取有关你的网络的信息。
攻击者使用端口扫描来确定系统中哪些端口是活动的。攻击者向不同的目的端口发送TCP SYN请求。根据这些回复,攻击者可以映射出系统上运行着哪些服务,然后继续利用这些服务。
单个DoS攻击是来自单个地址的大量流量。它可以来自互联网,甚至可以来自你的内部网络。通常情况下,单个设备会产生许多连接或会话,并且可能会使用大量带宽连接到单个位置。这种攻击的一个变种是分布式拒绝服务攻击(DDoS)。它与单个DoS攻击有许多相同的特征,但主要的区别是多个设备同时攻击一个目的地。
可以对四种协议应用DoS保护:TCP、UDP、ICMP和SCTP。并且,你可以应用四种不同类型的异常检测协议:
● 洪水传感器检测到大量的特定协议,或协议中的信号。
● 扫描/扫描探测到映射哪个主机端口响应的探测尝试,因此,可能是脆弱的。
● 源签名查找来自单个IP地址的大量流量。
● 目的签名查找针对单个IP地址的大量流量。
当你第一次实现DoS时,如果你没有一个准确的网络基线,请注意不要完全阻塞网络服务。要防止这种情况发生,首先将DoS策略配置为记录,而不是阻塞。通过查看日志,可以分析和识别各种协议的正常级别和峰值级别。然后,调整阈值以允许正常峰值,同时应用适当的过滤。
flood、sweep和scan三个传感器的阈值定义为每秒最大会话数或报文数。源、目的传感器的阈值定义为并发会话。过高的阈值会在DoS策略触发之前耗尽资源。阈值过低将导致FortiGate降低正常流量。
答案:B
答案:B
现在你了解了如何保护你的网络免受FortiGate上DoS攻击。接下来,你将学习WAF。
完成本节后,你应该能够实现上图显示的目标。
通过在WAF中演示能力,你应该能够应用正确的WAF检查来保护网络中的服务器。
什么是WAF,为什么需要它?
FortiGate的一些特性旨在保护客户端,而不是服务器。例如,FortiGuard的web过滤功能是根据服务器的网页类别对请求进行屏蔽。反病毒可以防止客户端意外下载间谍软件和蠕虫。这两种方法都不能保护服务器(服务器不发送请求,而是接收请求)免受恶意脚本或SQL注入的伤害。保护web服务器需要一种不同的方法,因为它们会受到其他类型的攻击。这就是WAF应用的地方。
WAF功能只能在代理检测模式下使用。
我们来看一些针对web应用程序的攻击例子。
一种攻击称为跨站点脚本攻击(XSS)。如果web应用程序没有对其输入进行消毒并拒绝javascript,它最终会将XSS攻击存储在数据库中。然后,当其他客户机请求重用数据的页面时,JavaScript现在嵌入到页面中。
JavaScript可以对页面做很多事情,包括重写整个页面和发出自己的请求。这是异步JavaScript和XML (AJAX)应用程序的基本机制。在这种情况下,XSS导致无辜的客户端传输到由攻击者控制的另一个服务器。例如,这可以将信用卡信息或密码从HTTP表单传输给攻击者。
另一种非常常见的web攻击是SQL注入。就像XSS攻击一样,SQL注入的根本原因是web应用程序没有对输入进行消毒。如果攻击者在输入中输入SQL查询,比如html表单,web应用程序就会接受它,并将它传递给数据库引擎,数据库引擎会意外地运行查询。
SQL语言可以对数据做任何事情。例如,它可以下载用户表,以便攻击者可以运行密码破解程序。查询可以为新的管理员登录尝试添加新条目,或者修改登录尝试,从而阻止管理员登录。
WAF配置文件的一个组成部分是WAF签名。WAF签名与IPS签名的工作原理相同。FortiGate可以对匹配它们中的任何一个的流量采取行动。一些WAF签名被归类为扩展签名。它们更有可能造成误报,但有时需要在高安全性的环境中。
HTTP约束可以监视和控制许多HTTP报头的数量、类型和长度,这些也是输入。这可以防止恶意客户机利用意外输入来危害服务器。这些限制可能因服务器的软件而异,也可能因服务器的硬件而异。例如,如果服务器的RAM有限,则可能更容易因报头数量过多而超载或崩溃,因为解析报头并将其存储在缓冲区中需要RAM。
配置WAF配置文件后,该配置文件将被分配给一个或多个防火墙策略。
FortiWeb是一种专门的WAF设备。对于对web服务的保护至关重要的环境,你可以使用FortiWeb来补充FortiGate。
FortiWeb提供了更完整的HTTP协议理解和状态攻击保护。它可以执行漏洞扫描和渗透测试。它还可以重写HTTP数据包,并基于HTTP内容路由流量。
在大多数情况下,FortiWeb是作为一个独立的设备安装的,通常位于FortiGate和受保护的web服务器之间。你可以在线安装FortiWeb(跨设备的web流量)或离线安装FortiWeb(设备作为单臂嗅探器连接)。
或者,你可以配置FortiGate,将web流量转发到外部FortiWeb, WAF检查就在这里进行。例如,当你必须使用一个FortiWeb保护位于多个站点的服务器时,这是很有用的。通过这种设置,FortiGate将所有的web流量转发到FortiWeb,如果流量匹配配置了WAF配置文件的防火墙策略,并启用了外部检查。
有关FortiWeb的详细信息,请参阅NSE 6 FortiWeb培训材料。
答案:A
答案:B
现在你了解了如何在FortiGate上使用WAF保护服务器。接下来,你将学习IPS最佳实践。
完成本节后,你应该能够实现上图显示的目标。
通过展示识别IPS实现最佳实践的能力,你应该能够在FortiGate上高效地部署IPS解决方案。你还应该能够为IPS检查过的流量应用完整的SSL检查,以及为IPS识别硬件加速组件。
在实施IPS之前,需要对网络进行需求分析。跨所有策略启用默认配置文件很快会导致问题,其中最小的问题是误报。如果对所有网络流量进行不必要的检查,会导致资源利用率过高,从而影响FortiGate对常规流量的处理能力。
你还必须评估适用的威胁。如果你的组织只运行Windows,则不需要扫描Mac OS漏洞。考虑流量的方向也很重要。IPS签名有很多只适用于客户端,也有很多只适用于服务器的签名。根据需要保护的资源创建IPS传感器。这确保FortiGate不会扫描带有无关签名的流量。
最后,IPS不是一种设置后就忘记的实现。对于异常的流量模式,需要定期监控日志,并根据观察结果调整IPS配置文件的配置。你还应该定期审计内部资源,以确定某些漏洞是否仍然适用于你的组织。
某些漏洞只适用于加密连接。在某些情况下,如果FortiGate不能解析有效载荷,它就不能可靠地识别威胁。由于这个原因,如果你想从你的IPS和WAF特性中获得最大的好处,你必须使用SSL检查配置文件。
上图的示例显示了为保护服务器而配置的SSL检查配置文件。当该策略应用于入方向的流量时,由于FortiGate可以对加密的会话进行解密,并对报文的各个部分进行检测,因此可以对加密的流量进行可靠的IPS检测和WAF检测。
需要注意的是,DoS策略不具备分配SSL检查配置文件的能力。这是因为DoS不需要SSL检查来最大化其检测能力,因为它不检查数据包负载。DoS只检查特定的会话类型和它们相关的卷。
通常情况下,需要进行检测的流量(如反病毒、IPS等)由FortiGate的CPU处理。然而,在特定的FortiGate型号上有专门的芯片,可以卸载这些检查任务。这可以释放CPU周期来管理其他任务,并加速需要进行安全检查的会话。
支持NTurbo特性的FortiGate模型可以将IPS处理工作转移到NP6、NP7或SoC4处理器上。如果在config system global下配置了np-accel-mode命令,FortiGate型号支持NTurbo。
一些FortiGate型号还支持将IPS模式匹配卸载到CP8或CP9内容处理器。如果在config ips global下配置了cp-accel-mode命令,FortiGate型号支持对其CP8或CP9处理器进行IPS模式匹配加速。
答案:B
答案:A
现在你了解了在FortiGate上实现IPS的一些最佳实践。接下来你将学习IPS故障排除。
完成本节后,你应该能够实现上图显示的目标。
通过展示故障排除能力,你应该能够识别、调查和管理在FortiGate上部署IPS时出现的一些常见问题。
FortiGate发送IPS升级请求到fortiguard.net在TCP端口443进行升级。fortiguard.net在TCP端口443。你也可以将FortiGate配置为通过web代理连接进行更新。
你应该定期检查最近的更新时间戳。你可以在GUI上验证它。如果有任何迹象表明IPS定义没有更新,你应该进行调查。始终确保FortiGate从fortiguard.net有合适的DNS解析进行更新。如果FortiGate和internet之间有任何中间设备,请确保设置了正确的防火墙规则,以允许port443上的通信。任何对该流量执行SSL检查的中间设备也可能导致更新问题。
最后,你可以使用FortiGuard更新调试来实时监视更新事件。
IPS进程的CPU占用率的短峰值可能是由防火墙策略或配置文件的更改引起的。这些尖峰通常是正常的。当FortiGate拥有数百个策略和配置文件或许多虚拟域时,可能会出现峰值。IPS引擎持续高CPU使用是不正常的,你应该调查一下。你可以使用上图中显示的命令以及显示的选项来解决这些问题。
如果存在由IPS引起的高cpu使用问题,你可以使用选项5的diagnose test application ipsmonitor命令来隔离问题的可能所在。选项5启用IPS旁路模式。在该模式下,IPS引擎仍在运行,但不进行流量检测。如果CPU使用在这之后下降,通常表明正在检查的流量对于FortiGate型号来说太高了。
如果启用IPS bypass模式后CPU使用率仍然很高,通常是IPS引擎有问题,需要向Fortinet Support报告。可以使用选项2完全禁用IPS引擎。如果需要在故障排除后恢复IPS流量检测,请再次使用选项5。
要记住的另一个建议是:如果需要重启IPS,请使用选项99,如上图所示。这样可以保证所有与IPS相关的进程都能正常重启。
当IPS套接字缓冲区中没有足够的可用内存用于新数据包时,IPS将进入Fail Open模式。该状态下发生的情况取决于IPS的配置。如果启用了fail-open设置,一些新的数据包(取决于系统负载)将在没有被检查的情况下通过。如果该功能被禁用,新的报文将被丢弃。
频繁发生IPS故障打开事件,通常是IPS无法满足流量需求的表现。所以,试着去识别模式。最近交通量增加了吗?吞吐量需求增加了吗?故障是否在一天中的特定时间打开触发器?
调整和优化你的IPS配置。针对被检测的流量类型创建IPS配置文件,对不需要的策略禁用IPS配置文件。
在出现假阳性检测的情况下,首先确定是哪个签名生成了假阳性检测。你还应该检查流量是否命中了正确的策略和IPS传感器。在验证这些因素之后,你应该收集流量的样本。签名的动作为记录报文。将流量样本和命中的IPS日志提供给FortiGuard团队进行进一步调查。
答案:A
答案:A
恭喜你!你已经学完了这一课。现在,你将回顾你在这一课中涉及的目标。
上图展示了你在这节课中涉及的目标。
通过掌握本课所涵盖的目标,你获得了配置、维护FortiGate IPS解决方案和故障排除所需的技能和知识。
以上是关于教程篇(7.0) 11. FortiGate安全 & 入侵防御和拒绝服务 ❀ Fortinet 网络安全专家 NSE 4的主要内容,如果未能解决你的问题,请参考以下文章
教程篇(7.0) 01. FortiGate安全&简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 12. FortiGate安全 & SSL安全隧道 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 09. FortiGate安全 & 应用控制 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 10. FortiGate安全 & 反病毒 ❀ Fortinet 网络安全专家 NSE 4