« Back
in 思科 安全 read.

IPS基础2

安全术语:

脆弱点

攻击

命中

TVR 目标资源价值

只有针对脆弱点实施的攻击才会有命中
 

攻击源分类:

内部攻击

外部攻击

拨入攻击(外部用户通过ipsec、pptp等拨入进来,实施攻击)

 

IDS 混杂模式

IPS 支持in line模式

 

Cisco的入侵防御使用混合的检查方法:将sig和policy混合,可以更好的检查攻击。

基于sig的审查:4.0以前都是用这个,告警准确,缺点无法防范未知攻击。

基于policy的审查:5.0多了policy,可以防范未知攻击,告警不准确。

 

IDS逃避技术:

泛洪 发送大量正常流量过IPS,中间掺杂攻击流量

分片 一直发送分片,让IDS等待 不让它重组包,掺杂攻击流量

加密 发送加密流量,IDS不能读懂加密信息

乱码

IPS以后可以防范逃避

 

IPS接口类型:

command接口 又叫management接口 有IP,有路由能力(默认情况下只能1条默认路由,要添加其他路由可以用服务账号登陆到linux模式配置),可以发送block (默认开启)

monitor接口 又叫sensor接口 没有IP,接收数据包分析,发送tcp reset (默认关闭,如果需要使用,不仅需要激活接口而且要把接口放到VS里面)

 

工作模式:

混杂模式(promiscuous mode)4.0只支持混杂

流量复制一份给ids,混杂模式发送tcp reset时,要开启ingress注入

优点:不影响原始流量

缺点:后于攻击流量

 

在线模式(inline mode)5.0在线和混杂都支持

流量经过ids,能够更好的对atomic 攻击进行防御

优点:先于攻击流量

缺点:影响原始流量

 

bypass模式:

硬件bypass 在断电情况下,可以把ips当成一根网线使用(只支持4260,需要4-port GE bypass card)

软件bypass 如果ips丢包率达到一定数量

bypass的切换:1.接口down 2.超时 3.丢包率
 

误报率:错报、漏报

 

RR威胁率(risk rating):0-100的值,用于显示网络中实际攻击的威胁程度

由以下3个参数决定

1. tvr 资源重要程度

2. fr忠诚度(忠诚度越高,误报率越低)

3. 告警级别(告警高低)
 

META(事件关联):一个事件引起多个事件的告警