游客 219.238.168.x
未注册
|
[广告]: q
m
安全审计系统的实现和对抗 [转]
安全审计系统的实现和对抗
1. 安全审计系统概述
安全审计系统是对特定网络、特定主机实现行为控制和审计的系统。基于网络ids和主机ids技术,在安全控制和行为监管上进行了增强。
目前,安全审计系统从功能上分为网络行为审计、主机操作审计和混合审计3类,网络行为审计主要包括:网络通信控制、网络流量控制等;
主机操作审计包括:主机日志查看、文件控制、设备控制和操作控制等;
混合审计融合了网络审计和主机审计的功能,一般以商业系统形式出现。
从需求分析分为:内网审计和外网审计。
内网审计适用于单位园区网,侧重于对园区网内部的控制;
外网审计适用于园区网与外网可互联互通的环境,侧重于记录内网对外网的访问行为。
本文主要论述内网安全审计,商业的内网安全审计包括网络审计和主机审计功能。
2. 内网安全审计系统功能需求
从安全审计适用行业对象分析,使用安全审计系统的行业一般是对数据安全要求较高的行业,一般要求安全审计系统实现以下功能:
○ 拨号行为控制:允许/禁止内网用户通过MODEM或ADSL拨入外网
○ 网络通信控制:允许/记录/禁止内网主机之间相互通信
○ 主机特性控制:记录主机软件、硬件特征,能够实现计算机资产管理
○ 主机文件控制:允许/记录/禁止对主机指定文件的操作
○ 主机设备控制:允许/记录/禁止使用主机本地设备,如:U盘、软光驱、并口、串口、打印机等。
○ 操作行为控制:记录/察看主机操作者行为,包括:当前屏幕、键盘输入
○ 其他要求:各行业、各单位需要实现的定制功能。
3. 内网安全审计系统实现
内网安全审计系统从实现技术上主要包括:正向连接+进程插入、反向连接+进程插入方式。
3.1 正向连接+进程插入:
该方式采用c/s架构,监控端为审计中心,被监控端为主机传感器;主机传感器安装在被监控计算机上,采用端口复用技术;监控端发送审计规则到被监控端某端口,被监控端执行相应规则。
此类方式实现比较简单,较早时期出现的pcanywhere和冰河即采用该方式。
该技术的优点可以总结为:
A. 平时被监控端与监控端无网络连接,使用netstat –an 或Active Ports等工具只能看到开放的端口,不能发现与监控端的网络连接,具有一定的隐蔽性;
B. 在监控端发送规则或查询信息时,有短暂的网络通信,平时对网络流量没有可监测的流量,适用于被监控机器较多的网络。
但是,其技术缺点在于:
A. 被监控主机采用被动开放端口方式,监控端不能实时了解被监控端是否开机,因此,个别系统的监控端采用定时轮讯机制;
B. 由于被监控端始终需要开放某端口,因此使用netsatat –an或Active Ports等工具可以查看到开放的端口和进程,即使主机传感器采用插入线程方式,通过与未安装主机传感器机器的比对,依然能否发现。
3.2 反向连接+进程插入:
该方式也采用c/s架构,监控端为审计中心,被监控端为主机传感器;主机传感器安装在被监控计算机上,插入某系统进程,主动连接监控端;监控端发送审计规则到被监控端,被监控端执行相应规则。
此类方式实现较为复杂,最近的pcshare即采用该方式。
该技术的优点可以总结为:
A. 被监控端与监控端始终有网络连接,监控端可以实时检查被监控端有无开机
B. 被监控端使用反向连接技术,在被监控端开放随机端口与监控端连接,即使使用端口过滤工具也无法有效遏制
但是,其技术缺点在于:
A. 由于被监控端与监控主机始终有网络连接,因此使用netsatat –an或Active Ports等工具可以查看到监控端ip、被监控端进程,因此使用该技术的安全审计系统要求编程人员具有深厚的技术功能,在主机传感器防杀能力上具有独到之处。
B. 同样,由于被监控端始终与监控主机有网络连接,对于被监控主机较多的网络而言,其网络流量是可以察觉的。
4. 安全审计系统技术对抗
所有的内网安全审计系统均可以被突破。
4.1 客户端失效突破
一般采用的方法为:杀进程、封网络连接和寄身OS
杀进程
无论哪种插入线程的方法均可以被杀掉,即使个别主机传感器使用两个或多个父进程调用,在杀掉父进程后即可杀掉监控进程。
封网络连接
无论采用正向连接或反向的安审系统,在被监控端使用防火墙都可以限制主机传感器与审计中心的连接。
寄身OS
该方法对于所有的内网安全审计系统都是一击必中的,具体可使用双系统或虚拟机实现。
4.2 冒用监控主机突破
通过在网内部署一台其他的安全审计系统监控端或本审计系统监控端即可以实现对被监控主机的规则更改。具体实现办法依不同审计系统而定。
5. 备注
虽然,所有的审计系统均可以实现对抗,但是,从实践的角度分析,对于非技术狂热人员而言,无论部署何种审计系统在一定时期、一定范围内都是可以达到必要的效果的。
6.常用工具
Active Ports 网络连接查看、杀进程工具
HijackThis 进程查看、杀进程工具
ha-killbox 进程替换工具
icesword 去除插入进程工具
LP_Check 隐藏账户检测工具
Procexp 进程调用查看工具
Winxp sp2防火墙 防火墙工具
等。
|
|
