安全设备使用指南之用IPS追踪入侵者

对于中小型企业来说病毒问题，黑客问题越来越让网络管理员烦恼，网络中充斥着简单容易用的黑客攻击攻击，很多人都通过漏洞扫描工具实现攻击企业内部计算机和服务器的目的，甚至一些内部无聊者也会没事用扫描器扫扫内部网段，访问别人的隐私。目前来说使用IPS类入侵防御系统往往可以有效的追踪入侵者的足迹，正巧笔者所在公司购买了一套价格高昂的IPS入侵防御硬件系统，接下来笔者就将自己在日常维护与管理过程中遇到的几次真实的追踪入侵者的经历写出来和各位IT168安全频道的读者分享。

　　一，设备简介：

　　IPS也叫入侵防御系统，通过IPS我们可以在第一时间发现入侵者并根据入侵者的信息进行防御和封锁，从而避免黑客或漏洞型病毒对内网计算机的攻击，笔者使用的产品是华为3COM公司的Tippingpoint 400入侵防御系统，他可以容许最大支持400Mbps带宽速度的网络，同时支持连接四个网段分支，支持10/100/1000BaseT线缆以及SX或LX型的光缆。(如图1)

 

 

 

　　二，用IPS追踪入侵者：

　　下面笔者就从实际出发讲解一次真正的发现入侵者并通过IPS入侵防御系统来防范入侵攻击的例子。

　　第一步：通过管理地址和正确的用户名，密码访问IPS管理界面。

　　第二步：由于本文主要讲解的是如何通过IPS找到攻击入侵者，所以我们首先冲日志记录中寻找蛛丝马迹——LOG SUMMARY。笔者选择audit log(登录记录)。(如图2)

 

 

　　小提示：

　　不管内网遭受到什么样的攻击，只要我们的IPS正常工作并且合理配置过滤规则，基本上都可以有效的防范对应的入侵，因此IPS自身的安全往往成为网络管理员关注的话题，攻击入侵黑客也往往利用一些工具直接对IPS设备进行攻击，毕竟IPS被入侵后将其作为跳板攻击内网其他网络设备将变得更加轻松。

　　第三步：在audit log登录信息记录日志中我们可以清晰的看到成功登录以及密码验证错误的次数，在登录时尝试使用的用户名字段也可以通过右边的显示查看出来，同时尝试登录用户的访问方式以及自身IP地址还有访问时间都历历在目。(如图3)

 

 

　　第四步：经过分析我们发现了在最近一段时间总有如下几个IP地址对IPS进行了扫描，这说明这几个IP地址在对IPS进行攻击——2008-09-03 17:36:35

　　206.186.79.97，2008-09-03 12:36:35 203.189.89.116，2008-09-02 20:13:59 85.17.137.5。这些攻击者使用的登录方式都是CLI命令行访问方式，结合IPS来说就是SSH或者telnet。

　　第五步：笔者又通过IPS自身的日志备份功能把这些日志信息保存到了本地硬盘，通过Download按钮下载。(如图4)

 

 

　　第六步：默认情况IPS会自动打开一个IE浏览器窗口，里面详细写清了每次登录的基本信息状况，我们可以直接将其另存为TXT格式的文本文件，然后通过统计工具或者简单的搜索功能快速定位攻击者IP地址和其他基本信息。(如图5)

 

 

　　第七步：经过统计我们发现上面提到的几个IP地址在短时间内触发了多个不同用户名的登录，例如在2点4分内仅仅一分钟就尝试了包括ben，robert,ronald等在内的几百个用户名。(如图6)

 

 

　　第八步：当然在登录日志记录列表中不光记录没有顺利登录成功的信息，如果顺利登录那么该条信息也会保存在日志记录中。(如图7)

 

 

　　第九步：通过分析日志记录信息我们可以基本定位出是哪几个IP地址经常攻击我们的IPS，然后我们通过网络中的IP地址反查工具来搜索IP地址对应的地理位置，针对其地址位置进行分析。(如图8)

 

 

　　第十步：当我们知道了攻击者的IP地址后就可以直接在IPS或者外部路由交换设备上通过访问控制列表或者设备自身的过滤功能将这些攻击者对应的IP信息排除出去，禁止他们对内网以及IPS设备的访问，从而杜绝了他们再次使用暴力的方法对密码进行尝试。