https://twcert2024.informationsecurity.com.tw/

觀點

安全政策搭配妥善的工具建構穩固的入侵偵測環境

2011 / 04 / 01
林矗宏
安全政策搭配妥善的工具建構穩固的入侵偵測環境

網路病毒防治對現今IT人員始終只能處於後知後覺的狀況。儘管擁有防毒軟體、防毒牆、IDS、IPS等工具,卻還是陷在舊病毒無法根除、新病毒無法早期發現的窘境;亦或是擁有分析的工具但卻因政策執行上的疏忽導致良機錯失。灑下大量的費用、利用數天的工作天停止生產,只為了配合防毒設備而改變整體網路架構,這些不僅耗時、費力,其每年可觀的病毒碼或掃瞄引擎更新及維護費用與實際成效仍失去相當的比例。以本公司為例,每年的更新費用與防毒系統的維護卻仍然讓蠕蟲問題癱瘓網路達5次以上。
因此如何利用完善公司政策流程將影響生產的因素降低,及如何利用可靠、低成本工具分析並阻止異常行為才是當前首要前提。

防毒政策與工具
導入入侵偵測工具可快速分辨網路異常行為,藉此以縮短尋找網路異常行為之主機,直接針對異常行為主機應用一連串公司防毒政策流程,除了於第一時間做到通知相關人員且於第一時間阻隔並解決異常行為。

防毒政策
如圖1所示,其整體流程依序可分為五大步驟:監控、分析、判斷、處理、同步知會。


(P)圖1  政策流程圖

以本公司為例,詳述五大流程步驟如下所述:
監控:監控目的在於利用SNMP、NetFlow、sflow、Mirror收集網路封包傳遞資訊,並提供網路管理者過去與現在的即時資訊,如圖2所示,如此才可利用這些資訊做出下一階段-分析。
(P)圖2 監控

分析:分析的目的在於利用監控所得的歷史資料來分析異常的連線數、封包數、Flow量等,例如於每2分鐘發現主機與主機的連線數超過500筆連線,則此狀況應密切注意是否為攻擊行為,如圖3所示。

事實上大部份攻擊主機皆會有所謂的準備時期,如圖4所示,在此時期其連線數與毀滅階段的連線數暴增的情況相比通常是較微量的,但若與正常主機比較的話仍可判別出其異常狀態,例如:每2分鐘發現主機與主機的連線數超過200筆連線;每筆連線接連線不同對外IP;所有連線都是小封包等。利用工具及時找出準備時期的主機並予以處理才是「預防重於治療」的確實應用。
(P)圖3 分析
(P)圖4 網路異常行為分析

判斷:經由監控所得的及時資料以機分析後的結果來判斷目前正在發生的異常行為對網路的影響層面為何,如圖5所示,如此以因應各種措施來防範。
(P)圖5 判斷

處理:該異常行為若是未知病毒或未知攻擊的情況下,為了避免情況擴散,通常先將該主機隔離,並請防毒公司第一時間判斷該主機是否有異常AP以利病毒碼即時更新,並直接將該主機作業系統重新安裝以恢復該主機生產作業。該異常行為若是為已知病毒的處理則利用防毒軟體或更新修正檔,如圖6所示。
(P)圖6 處理

同步知會:告知所有負責窗口,第一時間再通知相關對應客戶或使用者窗口,以建立緊急處理並降低影響生產因素,如圖7所示。
(P)圖7 同步知會

監控分析工具-NetPerf(L2 Function)
NetPerf分析工具在於主要為支援L2 Function的網路設備,主要功能在於利用Edge端Switch所預設提供的SNMP功能來收集流量、封包數量等資訊,如此可清楚該網路設備即時、完整的運作狀況。另外於非上班日時段也可持續提供即時的警訊給網管人員了解網路狀況。而簡易、清楚的操作介面更容易讓管理者操作方面明確。如圖8說明其架構。
(P)圖8 NetPerf架構

監控分析工具-LAN Policy(L3 Function)
LAN Policy分析工具在於主要為支援L3 Function的網路設備,主要功能在於利用骨幹以及Core Switch(核心路由器)所預設提供的NetFlow、sFlow、Mirror Port等功能來分析主機網路的連線行為,如此可清楚該網路即時、完整的運作狀況外,並利用網路設備已預設的ACLs功能來自動或手動鎖定以及解除該異常主機的網路服務。另外於非上班日時段也可持續提供即時的警訊給網管人員了解網路狀況。而簡易、清楚的操作介面更容易讓管理者操作方面明確。如圖9說明架構。
(P)圖9  LAN Policy架構

成效及功能分析
即時防止網路攻擊型病毒在內部網路流竄及擴散至其它網段,並且省下負擔病毒碼更新成本且能有效、快速察覺異常行為的IP / MAC所在,簡單明瞭的視覺化介面功能以及相較於市面上優於其他同類型產品的價格效益等,皆可帶給公司顯著的效益,參見圖10之效益說明及表1之現有市場產品比較。


(P)圖10 效益分析圖


應用案例
以下實際以本公司應用案例說明此一應用,此一異常狀態主要在於發現某一主機不斷針對Core Switch(核心路由器)做ICMP的行為,其行為造成Core Switch(核心路由器)的負載升高並影響網路品質。

狀況說明
狀況1:NetPerf監控系統利用SNMP收集Core Switch(核心路由器)CPU Loading,並發現於中午12點開始Loading出現異常衝高之行為,如圖11所示。
(P)圖11  Net Perf 警示異常CPU Loading

狀況2:NetPerf監控系統利用SNMP收集Core Switch (核心路由器)各個介面的封包量及流量,並發現於中午12點開始封包量及流量出現異常衝高之行為,如圖12、13所示。
(P)圖12  NetPerf 警示異常封包流量
(P)圖13  NetPerf 警示異常流量

狀況3:LAN Policy監控系統利用NetFlow、sFlow、Mirror Portg收集Core Switch(核心路由器)的封包狀況並分析封包行為,發現於同一時間系統發出某一主機出現異常ICMP的連線,其ICMP數量於2分鐘內高達696筆,如圖14所示。

(P)圖14  LAN policy 警示異常主機

政策制定說明
本件Case中除了制定通報流程,其通報內容亦須針對以下兩種狀況等級以通報各部門確認所負責所有Job是否有影響並隨時注意相關訊息是否已解除或更嚴重影響,如此,可隨時應變。

等級1:內部各個主要的網路設備之「CPU在20%~40%」或是「Firewall CPU Loading在10%~15%」的情況下通告MIS各部門主管網路狀況為連線感覺較慢,除部份服務連線有斷斷續續情況產生外,其他Service仍可正常運作。建議防毒組此時盡量先將零散異常IP先行離線再做處置。

等級2:內部各個主要的網路設備之「CPU在50%以上」或是「Firewall CPU Loading在20%以上」的情況下通告MIS各部門主管網路狀況為連線已出現斷斷續續情況,所有Service運作異常緩慢或是出現連線失敗。除防毒組處理病毒分析與清除之外,網路管理部開始針對異常行為IP做自動阻隔機制,除降低網路設備Loading外亦隔離大量被感染IP以免繼續擴散。

狀況處理
本件Case中依照狀況等級為第一級,也就是「內部各個主要的網路設備之CPU在20% - 40%」,內部網路連線可感覺較為緩慢但各個服務未出現連線中斷情況!

處理1:通告MIS AP Team、MIS DB Team、MIS OA Team各主管及所有部門人員,需注意是否有任何系統出現異常狀況或是User反應系統問題。

處理2:通告防毒組於現場確認異常IP主機上是否有任何未知的執行程式。

處理3:發現Core Switch(核心路由器)CPU Lloading仍然增高且已經超過50%,因此為避免影響其他服務,經通報主管後直接利用LAN Policy對Core Switch(核心路由器)所預設的功能ACLs來直接下達封鎖該異常主機且發現在封鎖後Core Switch(核心路由器)CPU Loading降為15%上下。

處理4:防毒組於現場確認該主機正在執行某一支財務廠商所提供的測試程式,經停掉該程式之後即發現ICMP的封包減少,請該廠商確認該程式是否有問題。

結論
以本公司實際部署達半年之久以來,因網路型病毒發作而造成網路服務癱瘓的情形在今年前三季中確實不再出現,以曾經的5次/每年到現在0次/3季來看,完善的政策配合經驗以及清楚、精確的資訊,已經確實將該公司因為網路型病毒所造成的傷害降到最低,而其中缺少任何一項要素皆可能因此而再次造成重大傷害。

本文中所提出的兩套監控工具NetPerf以及LAN Policy可於參考介紹。
本文作者現任職於日月光集團技術資訊處專案工程師