WSG的入侵防御和木馬檢測模塊基于snort特征庫,可以檢測和阻止各類網絡攻擊,這兩個模塊會對網絡中的數據通信進行檢測還原,匹配其中的木馬特征,一旦匹配到特征時就觸發告警和阻斷。
WSG的入侵防御和木馬檢測模塊基于snort特征庫,可以檢測和阻止各類網絡攻擊,這兩個模塊會對網絡中的數據通信進行檢測還原,匹配其中的木馬特征,一旦匹配到特征時就觸發告警和阻斷。
網絡滲透攻擊會嚴重威脅到企業的網絡安全和數據安全。攻擊者會有針對性地對某個目標網絡進行攻擊,以獲取其內部的商業資料,進行網絡破壞等。一旦其獲取了目標網絡中網站服務器的權限,還會利用此臺服務器,繼續入侵目標網絡,獲取整個網絡中所有主機的權限。為了實現滲透攻擊,攻擊者采用的攻擊方式絕不僅此于一種簡單的Web腳本漏洞攻擊。攻擊者會綜合運用遠程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式,逐步控制網絡。
防御網絡滲透攻擊,主要從如下方面入手:
采用安全的網絡架構,杜絕未知接入。
部署網絡安全設備,精確識別和抵御攻擊行為。
配置策略阻止未知來源的網絡連接。
主管部門發出的安全風險報告,一般只能定位到局域網的公網IP。網管技術人員要處理解決該安全事件,還需要定位到具體的終端電腦。這個定位工作非常考驗網管的技術,沒有對應的技術儲備,加上沒有合適的工具的話,你就只能一臺電腦一臺電腦的殺毒了。
在如何檢測局域網內感染了木馬病毒的電腦?一文中,我們介紹了如何通過WSG上網行為管理網關的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說,開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下,由于特征庫版本不一致,或者檢測技術不一樣,也可能存在并沒有檢測到的情況。這時候,我們還可以通過自定義規則的方式,來擴大檢測的內容。在本文中,我將介紹如何自定義檢測規則。
挖礦軟件會占用電腦的大量運算資源和電力資源,而且會引起主管部門的關注。局域網內有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情,對成百上千臺電腦一臺一臺的進行排查簡直就和大海撈針一樣,需要耗費大量的時間和人力。所以很多網管人員面對上級部門發來的整改函一籌莫展。
因為局域網出口做了NAT網絡地址轉換,上級部門只能檢測到公司的公網IP,所以只能靠公司內部的網管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查,通過檢查程序列表和任務管理器來找挖礦程序。
本文中,我將介紹如何用WSG上網行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網行為管理是部署在局域網內部的,所以可以檢測到本地挖礦電腦的IP地址和MAC地址,從而準確的定位到具體電腦。
企業出于工作的需要,一般會映射一些內網主機供外網訪問。比如:ERP系統、財務系統、CRM系統,甚至一些內網主機的遠程桌面等等。分公司、出差員工在外網通過互聯網就可以訪問到內網資源,給工作帶來了很大的便利。但是,不加限制和保護的端口映射訪問,給網絡安全帶來了很大的挑戰。
端口映射的內網主機安全,主要考慮如下幾點:
1. 被映射的內網主機要安裝防火墻,并且確保已經打了各項安全補丁。
2. 限制訪問端的IP地址,阻止從其他地區連入。一般可以在網關防火墻上進行配置,限制能訪問映射主機的IP地址。
3. 避免常用的端口。比如你用默認的3389端口,那么攻擊程序立刻就知道這是遠程桌面服務,從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。
4. 部署入侵防御,一旦發現外網攻擊時,可以及時阻止攻擊者的IP地址。從而保護內網主機。
近年來公安部持續推出護網行動,以戰養兵,推進關鍵信息基礎設施的安全監測、應急響應等保障能力。為積極響應護網行動,做好安全防守工作;本文中,我將結合WSG上網行為管理網關來介紹網絡邊界的安全防護工作。服務器安全、內網安全并不在本文討論的課題內。
當前網絡安全形勢嚴峻,來自外網的攻擊與日俱增。局域網一不小心就會受到病毒、蠕蟲、勒索軟件的攻擊,導致嚴重的損失。本文中,我將結合WSG網關(WFilter NGF)來介紹如何阻止外網的攻擊。請注意,本文只討論如何阻止網絡攻擊,單機的防護是另外的課題不在本文的討論范圍內。阻止外網攻擊主要包括如下部分:
入侵檢測系統IDS(“Intrusion Detection System”)可以對網絡、系統的運行狀況進行監視,發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。而入侵防御系統IPS(“Intrusion Prevention System”)在入侵檢測的基礎上添加了防御功能,一旦發現網絡攻擊,可以根據該攻擊的威脅級別立即采取抵御措施。兩者的差別在于:
功能不同。入侵防御系統在入侵檢測的基礎之上還實現了防護的功能。
實時性要求不同。入侵防御必須分析實時數據,而入侵檢測可以基于歷史數據做事后分析。
部署方式不同。入侵檢測一般通過端口鏡像進行旁路部署,而入侵防御一般要串聯部署。
互聯網上存在著大量的惡意網站和釣魚網站,這些網站通過在網頁上掛木馬程序,利用瀏覽器和操作系統的漏洞來入侵訪問者的電腦。一旦中毒,會給局域網帶來不可預知的損失,極大的危害到局域網的網絡安全。
本文將介紹如何用WFilter NGF來屏蔽惡意網站,并且保護局域網不受惡意釣魚網站的攻擊。總體來說,有以下兩個途徑:
入侵防御系統(Intrusion Prevention System)是對防病毒軟件和防火墻的有效補充。IPS可以監視網絡中的異常信息,并且能夠即時的中斷、阻止、告警內外網的異常網絡行為。
在WFilter NGF中,我們集成了基于snort的入侵防御系統,該系統主要可以實現如下三個方面的功能:
保護內網的web服務器、文件服務器、郵件服務器。
檢測內網終端的木馬和惡意軟件。
檢測內網終端的異常網絡行為。
在本文中,我簡單介紹下如何實現這三個方面的功能。
企業內網的服務器都存有企業的重要信息,包括CRM用戶信息、技術資料等。所以內網服務器的信息安全是企業網絡管理的重點。內網服務器不但面臨外來的攻擊,也會受到來自內部的攻擊。在本文中,我將介紹如何用WFilter NGF的入侵防御模塊來保護內網服務器。網絡結構圖如下:
WFilter NGF用網橋部署模式,接在內網和服務器網段以及互聯網之間,既可以做外網上網行為管理,又可以保護服務器網段。
DDOS全稱Distributed Denial of Service,中文叫做“分布式拒絕服務”,就是利用大量合法的分布式服務器對目標發送請求,從而導致正常合法用戶無法獲得服務。DDOS會耗盡網絡服務的資源,使服務器失去響應,為實施下一步網絡攻擊來做準備。比如用KaLi_Linux的hping3就可以很容易的實現DDOS攻擊。
如圖,未受攻擊時,netstat -nat可以查看到只有少量的網絡鏈接。