第8章 IPS

NG-UTM 具備的 IPS ( Intrusion Prevention System) 入侵防禦功能可以立刻檢查網路封包是否含有攻擊/入侵的特徵值,
並立刻阻止有害的網路封包攻擊內部或是從內部攻擊外部。
• 為何需要 IPS ?
攻擊手法例如:SQL Slammer 是採用「緩衝溢位」(buffer overflow) 的攻擊,
因為防火牆開了 SQL 通訊埠,所以外界的人可以進到內部的 SQL Server,
攻擊者再利用緩衝溢位攻擊的程式碼,就可以攻擊內部的 SQL 伺服器,竊取他想要的資料。
而狀態檢測(Stateful Inspection)防火牆可以檢視對應 OSI 模型第 2 到第 4 層通訊協定的內容,
最常檢視及控管的項目為:Source IP Address(來源 IP 位址)、Destination IP Address(目的 IP 位址)、
Source Port Number(來源埠號)、Destination Port Number(目的埠號)、以及 Flag Fields(旗標欄位)。
• IPS 的運作
IPS 會檢查對應到 OSI 模型第 4 到 7 層的內容,是否有惡意的攻擊程式、病毒隱藏在 TCP/IP 的通信協定中,
透過詳細的內容檢查後,符合條件的特徵碼就會被標示出來,一旦發現後能夠即時地阻止封包,讓這些穿過防火牆的惡意封包無所遁形。
IPS 跟 Firewall 的差別就是 IPS 會做內容或行為檢查,IPS 的優劣就在於特徵值資料庫的多寡及更新速度,
也就是說 IPS 的資料庫有越多的特徵值,意味它能辨識越多不正常的內容或網路行為,
但是越多的檢查就需要越強的運算能力,否則反而會導致網路速度緩慢。
一般而言,IPS 的特徵值資料庫會依照危險程度分成高、中、低三種,再讓管理者決定放行或阻擋,
考量客戶端的實際網路環境及機器的運算能力,
在中小型網路架構的 IPS 設備只需要有完整的危險程度高、中(病毒、木馬程式等)的特徵值資料庫就足夠了。
要讓 IPS 正常運作,步驟如下:
1. 在【IPS 設定】中,建立一個群組,在群組中指定要阻擋還是記錄有問題的特徵值。
2. 在【管制條例】中選擇來源 /目的 IP 位址後再套用預先建立的群組。
IPS 的特徵值眾多,管理者套用不同的特徵值時,有可能誤將正常的網路封包阻擋,本來為了安全才使用 IPS 反而造成網路不順暢。
為了避免這樣的狀況,NG-UTM 將所有的 IPS 事件分成高、中、低 3 種風險事件,把管制行為分成阻擋跟記錄,
管理者可以先啟用記錄功能,然後再根據實際的需要設定阻擋機制。

Tip

影片參考|眾至NU系列 UTM教學 IPS說明與設定

8-1、IPS 設定

新增完成的 IPS 過濾設定會依群組名稱、模式、內容顯示於列表之中。
點選 image20 ,可新增 IPS:
【群組名稱】:IPS 群組的名稱,可以是任何文字的組合,例如:高風險阻擋。
【模式】:初階或進階模式,初階是按照特徵值的風險性,進階則是按照特徵值的類型。
· 初階模式
按照風險程度分高、中、低等級,括號內數字表示這個等級的特徵值數量,點選 image321 可以觀看詳細的特徵值名稱。
可選擇每一個等級要執行的動作(記錄 / 阻擋)。
IPS 初階模式

圖 248. 圖8-1 IPS 初階模式

· 進階模式
先選擇 IPS 特徵值分類,再根據所選的分類選擇它的風險程度是高、中、低等級。
IPS 進階模式

圖 249. 圖8-2 IPS 進階模式

按下確定後,會依所選的分類展開該分類底下的詳細特徵值名稱,可以直接勾選整個分類也可以個別勾選要執行的動作(記錄 / 阻擋)。

8-2、IPS 記錄

每個 IPS 的阻擋事件都會被記錄下來,讓管理者可以查詢,
今日 IPS 防護紀錄 會列出從凌晨 00:00 到進入此介面當下的紀錄,管理者另可在 IPS 紀錄搜尋 依條件查詢 IPS 防護紀錄。
每一筆紀錄包含事件發生的時間、IPS 種類、特徵值名稱、來源 / 目的 IP 位址、協定、來源 / 目的 Port、NG-UTM 執行的動作跟分類的風險程度。
IPS 阻擋及記錄

圖 250. 圖8-3 IPS 阻擋及記錄