SCSA第五天总结
程序员文章站
2024-03-09 11:42:41
...
一、全网行为管理
802.1x认证
概念:802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题
802.1X认证中用到了RADIUS协议认证方式,典型的C/S结构
认证模式:基于接口、基于MAC
认证方式:EAP终结、EAP透传(中继)
注意:AC是用EAP透传的方式
端口控制方式:自动识别、强制授权、强制非授权
802.1x认证流程:
以有线PC终端802.1x认证为例,说明整个802.1x认证流程:
第一步:客户端发起开始认证请求
第二步:交换机收到请求之后,要求客户端提交用户信息
第三步:客户端会提交用户信息给到交换机(当为哑终端无法提交用户信息时提交终端MAC信息,需要交换机配置MAB属性)
第四步:交换机收到用户信息之后,将数据封装成RADIUS报文发送到AC
第五步:AC完成校验,如果检验成功通过认证,发送认证成功报文给到交换机,交换机然后放通端口,如果检验失败,发送认证失败报文给交换机,交换机不放通端口
旁路重定向认证:
旁路认证流程:
1.终端访问业务或上网数据经过交换机,交换机镜像数据包到AC上,AC检查终端是否已经认证过了,如果没有认证,则发302重定向包;
2.终端接到302重定向包,到AC设备上进行认证;
3.认证通过后不再发重定向包,进行放行;认证不通过的,发reset阻断用户对业务的访问;
4.如果客户除了认证,还需要检查终端合规以后才能正常接入网络,则需要添加终端检查策略,在用户认证完成同时检查终端合规以后才能访问内网资源。
杀软检查和登录域检查功能说明----插件实现方式
准入插件检查杀软是否运行:
1、插件准入规则支持检测22款杀软有无运行,也支持杀软版本号检测
2、支持禁止上网,提示用户,只记录结果,违规修复和限制用户权限五种违规处理方式。限制用户上网支持选择【访问权限策略】和【用户限额策略】两种违规处理(动态权限)。
支持登录域检测和登录指定域检测:
1、支持登录域检测(PC以任意域账号登录即可检测合规)和登录指定域(PC以域账号登录到指定域中的一个即可检测到合规)
2、支持禁止上网,提示用户,只记录结果和限制用户权限四种违规处理方式。限制用户上网支持选择【访问权限策略】和【用户限额策略】两种违规处理(动态权限)。
杀软检查功能说明----流量实现方式
通过流量检查杀软是否运行,不需安装准入插件:
1、支持8种个人版杀软检查和4种企业版杀软(个人版杀软流量特征已定义,通过检查终端的流量特征来确定是否安装个人版杀软;企业版杀软需要指定中心端地址,通过检查终端和中心端是否有流量来判断是否安装企业版杀软)
2、违规操作支持定时重定向到指定网址和只记录结果。
3、终端与杀软中心端服务器之间的流量包需要经过AC
4、流量杀软检查违规处置,默认针对所有终端类型生效;可通过修改后台配置仅针对windows PC终端生效
5、流量杀软检查最多只检查10W在线用户是否违规
非法外联检测:
拨号行为:通过检查系统API接口或者函数判断拨号行为
网卡相关:通过检测相关API接口或函数和注册表相关信息来检测有无线网卡,有4G网卡和双网卡行为
连接外网:检测以下几个网站是否能ping通,如果可以则认为是可以连接外网www.taobao.com、www.jd.com、www.baidu.com、www.sangfor.com、www.ifeng.com
连接非法WIFI:通过检查系统的API接口或函数获取SSID信息,然后和白名单中设置的SSID作对比
连接非法网关:通过检查系统的API接口或函数获取所有物理网卡的网关,然后和白名单中设置的地址作比对
自定义外联:可设置IP/域名和端口,准入客户端去检测是否可以访问
二、下一代防火墙
传统防火墙(包过滤防火墙):
判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)
工作范围:网络层、传输层(3-4层)
和路由器的区别:
普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。
防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。
技术应用:包过滤技术
优势:对于小型站点容易实现,处理速度快,价格便宜
劣势:规则表很快会变得庞大复杂难运维,只能基于五元组
传统防火墙(应用代理防火墙):
判断信息:所有应用层的信息包
工作范围:应用层(7层)
和包过滤防火墙的区别:
包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。
应用代理防火墙工作7层,检查所有的应用层信息包,每个应用需要添加对应的代理服务。
技术应用:应用代理技术
优势:检查了应用层的数据
劣势:检测效率低,配置运维难度极高,可伸缩性差
传统防火墙(状态检测防火墙):
判断信息:IP地址、端口号、TCP标记
工作范围:数据链路层、网络层、传输层(2-4层)
和包过滤防火墙的区别:
包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。
是包过滤防火墙的升级版,一次检查建立会话表,后期直接按会话表放行。
技术应用:状态检测技术
优势:主要检查3-4层能够保证效率,对TCP防御较好
劣势:应用层控制较弱,不检查数据区
入侵检测系统(IDS)----网络摄像头
部署方式:旁路部署,可多点部署
工作范围:2-7层
工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头
目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。
分析方式:基于规则入侵检测;基于异常情况检测;统计模型分析呈现
入侵防御系统(IPS)——抵御2-7层已知威胁。
部署方式:串联部署
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通
目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
防病毒网关(AV)——基于网络侧识别病毒文件
判断信息:数据包
工作范围:2-7层
目的:防止病毒文件通过外网络进入到内网环境
Web应用防火墙(WAF)——专门用来保护web应用
判断信息:http协议数据的request和response
工作范围:应用层(7层)
目的:防止基于应用层的攻击影响Web应用系统
主要技术原理:
①代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制
②特征识别:通过正则表达式的特征库进行特征识别
③算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等
统一威胁管理(UTM)——多合一安全网关
包含功能:FW、IDS、IPS、AV
工作范围:2-7层(但是不具备web应用防护能力)
目的:将多种安全问题通过一台设备解决
优点:功能多合一有效降低了硬件成本、人力成本、时间成本
缺点:模块串联检测效率低,性能消耗大
下一代防火墙(NGFW)——升级版的UTM
包含功能:FW、IDS、IPS、AV、WAF
工作范围:2-7层
和UTM的区别:
与UTM相比增加的web应用防护功能;
UTM是串行处理机制,NGFW是并行处理机制;
NGFW的性能更强,管理更高效
防火墙的性能指标:
1.吞吐量
吞吐量:防火墙能同时处理的最大数据量
有效吞吐量:除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率
衡量标准:吞吐量越大,性能越高
2.时延
定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标
用于测量防火墙处理数据的速度理想的情况,测试的是其存储转发(Store and Forward)的性能。
衡量标准:延时越小,性能越高
3.丢包率
定义:在连续负载的情况下,防火墙由于资源不足,应转发但是未转发的百分比。
衡量标准:丢包率越小,防火墙的性能越高
4.背靠背
衡量标准:背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。
5.并发连接数
定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
衡量指标:并发连接数指标越大,抗攻击能力也越强。
二、终端安全检测和防御技术
应用控制策略可对应用/服务的访问做双向控制,AF存在一条默认拒绝所有服务/应用的控制策略。
基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。
基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、源端口、目的端口、协议号)来进行过滤动作,对于任何包可以立即进行拦截动作判断。
网关杀毒实现方式
代理扫描模式:将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
流扫描模式:依赖于状态检测技术以及协议解析技术,简单的提取文件的特征与本地签名库进行匹配。
AF网关杀毒优势
支持各类主流协议文件传播杀毒,包括SMB v1/v2/v3协议,通过采用SAVE智能文件检测引擎(杀毒),大幅提高恶意文件识别率
支持对邮件正文中的恶意域名、URL进行检测
提供覆盖更广的杀毒能力,支持文档类、脚本类的非PE文件检查、office宏病毒的杀毒功能
杀毒文件的大小限制可以灵活调整,界面可调整的大小限制为1-20M
支持对压缩文件的检测,且可设置层级,界面可调整的层级最多16层
SAVE引擎优势
基于AI技术提取稳定可靠的高层次特征,拥有强大的泛化能力,能够识别未知病毒或者已知病毒的新变种;
对勒索病毒检测效果达到业界领先,影响广泛的如WannaCry、BadRabbit、Globelmposter等勒索病毒,save均有检出新变种的案例。同时,对非勒索病毒也有较好的检出效果;
轻量级,资源占用少,隔离网环境检测能力业界领先;
云+边界设备+端联动,依托于深信服安全云脑海量的安全数据,SAVE能够持续进化,不断更新模型并提升检测能力,未知威胁能够在云端分钟级返回检测结果并全网同步,构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全EDR的整体解决方案。
僵尸网络检测和防御技术
异常流量检测:
通过对当前的网络层及应用层行为与安全模型进行偏离度分析,能够发现隐藏的网络异常行为,并根据行为特征确定攻击类型,发现特征匹配无法发现的攻击。
外发流量异常功能是一种启发式的dos攻击检测手段,能够检测源IP不变的syn flood、icmp flood、dns flood与udp flood攻击。
外发流量异常功能的原理为:当特定协议的外发包pps超过配置的阈值时,基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内容,得出分析结论,并将发现的攻击提交日志显示。
其他检测方式:
与僵尸网络连接是最基础的判定方式,信息来源包括:上万台在线设备收集、与google等机构合作共享
对于未知的僵尸网络(存在大量DGA生成的C&C域名),通过模拟DGA算法总结特征/总结一般正常域名的构成 方式来判定未知的僵尸网络
危险的外联方式检测,如使用已知的(IRC、HFS)与僵尸网络进行通讯
使用标准端口传输非标准协议(如:在80端口中传输RDP协议)
对外发起CC攻击
对外传播恶意文件
对外发送shellcode
检测出下载恶意文件、恶意PDF等行为
检测出下载文件与后缀名不符
上下行流量不符
误判排除(AF僵尸网络防护排除方式有三种):
1. 发现某个终端的流量被AF僵尸网络规则误判,可以在僵尸网络功能模块下的排除指定IP,那么此IP将不受僵尸网络策略的拦截。
2. 发现某个规则引起的误判拦截所有内网终端流量,可以在【安全防护对象】-【僵尸网络规则库】找到指定规则禁用后,所有僵尸网络策略都不会对此规则做任何拦截动作。
3. 也可以直接在内置数据中心中,查询僵尸网络日志后使用“添加例外”排除。
误判排除(DNS场景):
通过蜜罐技术解决内网存在DNS服务器时,用于定位内网感染僵尸网络主机的真实IP地址。
防止配置过程中忽略蜜罐设置,导致后续无法溯源的问题,策略配置界面新增DNS服务器服务界面。
勒索病毒的防护措施:
1、事前加固:勒索病毒风险评估,精准评估勒索病毒进入点风险,配置勒索病毒专项策略,全面防护勒索风险
梳理资产暴露面,屏蔽勒索入侵进入点,对勒索常用端口、勒索常用漏洞、弱口令做事前的识别,并给出对应处理建议
2、事中积极防御:通过配置的勒索病毒专项策略,全面防护勒索风险
【1】持勒索专项防护策略自动生成,全面防护勒索黑客攻击。配置:【运行状态】-【勒索专项防护】-【勒索防护配置】
【2】通过安全策略深度检测入侵手段,对抗隐蔽勒索攻击,通过web应用防护、漏洞防护、内容安全、慢速**检测对勒索病毒做全面入侵防御,可根据勒索分析的日志展示,对勒索做进一步详细分析
3、事后快速响应与处置:隔离识别已失陷的主机,专项工具进行杀毒
【1】联动EDR查杀,隔离失陷资产,快速处置勒索病毒
【2】根据勒索分析的日志展示,对勒索做进一步详细分析, 功能:【勒索专项防护】
【3】勒索病毒分析,勒索安全事件分析入口:在【用户安全】-【点击某个勒索事件】-【处置恶意文件】
【4】勒索病毒分析,勒索安全事件分析入口:在【用户安全】-【点击某个勒索事件】-【处置恶意文件】