傅彬　黃星磊　戴贊定　胡焰　鐘迪明

摘要：網(wǎng)絡(luò)安全中入侵檢測(cè)與防火墻的聯(lián)動(dòng)能夠彌補(bǔ)各自的缺陷，從而建立一個(gè)全方位的防御體系，是今后安全技術(shù)發(fā)展的一個(gè)重要方向。Linux平臺(tái)下基于IPv4網(wǎng)絡(luò)的入侵檢測(cè)與防火墻的聯(lián)動(dòng)系統(tǒng)目前已經(jīng)比較成熟，而基于IPv6的入侵檢測(cè)與防火墻聯(lián)動(dòng)系統(tǒng)的研究才剛剛起步。該文根據(jù)入侵檢測(cè)結(jié)果動(dòng)態(tài)地調(diào)整防火墻規(guī)章的機(jī)制，有效提升防火墻的機(jī)動(dòng)性和實(shí)時(shí)反應(yīng)能力，有效阻斷來(lái)自外部網(wǎng)絡(luò)的攻擊，實(shí)現(xiàn)網(wǎng)絡(luò)的整體防御。

關(guān)鍵詞：網(wǎng)絡(luò)安全；IPv6；防火墻；入侵檢測(cè)

中圖分類號(hào)：TP316 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）35-8367-02

1概述

網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代工作、生活不可或缺的一部分，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展在給人們帶來(lái)巨大好處的同時(shí)，也存在病毒、木馬、黑客攻擊等破壞我們網(wǎng)絡(luò)系統(tǒng)的行為，網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征，網(wǎng)絡(luò)安全保護(hù)成為重要的研究議題。

目前IPv6協(xié)議正處在不斷完善和發(fā)展中，正在由IPv4協(xié)議向IPv6協(xié)議過渡，它在不久的將來(lái)，尤其是隨著物聯(lián)網(wǎng)技術(shù)的推進(jìn)，將取代目前被廣泛使用的IPv4協(xié)議。隨著IPv6協(xié)議的不斷發(fā)展和推廣應(yīng)用，在過渡期間的網(wǎng)絡(luò)將不斷出現(xiàn)新的網(wǎng)絡(luò)安全問題。Linux平臺(tái)下基于IPv4網(wǎng)絡(luò)的入侵檢測(cè)與防火墻的聯(lián)動(dòng)系統(tǒng)目前已經(jīng)比較成熟，并得到應(yīng)用，但是Linux平臺(tái)下基于IPv6的入侵檢測(cè)與防火墻聯(lián)動(dòng)系統(tǒng)的研究才剛剛起步，未得到普及和應(yīng)用。

2防火墻和入侵檢測(cè)系統(tǒng)

防火墻是綜合了多種技術(shù)的高級(jí)訪問控制設(shè)備，是網(wǎng)絡(luò)安全防護(hù)體系的大門。傳統(tǒng)的防火墻的規(guī)則是靜態(tài)的，對(duì)于攻擊或異常行為不能做出實(shí)時(shí)反應(yīng)，也不能按照當(dāng)時(shí)的環(huán)境變化自動(dòng)調(diào)整其過濾規(guī)則。同時(shí)，防火墻具有防外不防內(nèi)的特點(diǎn)，對(duì)于內(nèi)部發(fā)起的非法行為或攻擊無(wú)法防御。

入侵檢測(cè)系統(tǒng)是對(duì)防火墻的有益補(bǔ)充，能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)可能操到的攻擊進(jìn)行實(shí)時(shí)檢測(cè)，是一種動(dòng)態(tài)的安全防護(hù)技術(shù)，其重點(diǎn)在于入侵行為的識(shí)別上，能在來(lái)自于網(wǎng)絡(luò)內(nèi)部和外部的入侵攻擊隊(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，但入侵檢測(cè)系統(tǒng)即使檢測(cè)到入侵，也只能進(jìn)行報(bào)警或有限的反擊，很難采取有效的方法進(jìn)行阻止或控制。

3系統(tǒng)模型分析

現(xiàn)有的入侵檢測(cè)系統(tǒng)和防火墻在功能上是相互獨(dú)立的，防火墻一般放置在內(nèi)網(wǎng)和外網(wǎng)的中間充當(dāng)網(wǎng)關(guān)使用，由于不能識(shí)別網(wǎng)絡(luò)流量中的攻擊行為，對(duì)于通過合法路徑進(jìn)入的網(wǎng)絡(luò)攻擊和來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊行為防火墻無(wú)能為力。雖然目前已有將初步的入侵檢測(cè)功能加入到防火墻功能中，但這會(huì)防火墻效率大大降低，所有的網(wǎng)絡(luò)流量都要通過防火墻進(jìn)行入侵檢測(cè)，這會(huì)嚴(yán)重影響防火墻的性能，導(dǎo)致網(wǎng)絡(luò)瓶頸的產(chǎn)生，只能適應(yīng)網(wǎng)絡(luò)規(guī)模較小和網(wǎng)絡(luò)流量不大的網(wǎng)絡(luò)，無(wú)法應(yīng)用于高速網(wǎng)絡(luò)檢測(cè)。

IDS一般采用旁路部署的方式進(jìn)行入侵檢測(cè)，可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，無(wú)需網(wǎng)絡(luò)流量流經(jīng)它，便可正常工作，不影響網(wǎng)絡(luò)的性能，但也存在缺陷。例如，IDS自身容易受到拒絕服務(wù)攻擊。而且，由于當(dāng)代網(wǎng)絡(luò)迅速發(fā)展，網(wǎng)絡(luò)傳輸速度大大加快，IDS檢測(cè)到攻擊，如不能及時(shí)有效的阻斷，仍將對(duì)網(wǎng)絡(luò)安全造成威脅。

由上面的分析可以看出，只有將入侵檢測(cè)與防火墻實(shí)現(xiàn)聯(lián)動(dòng)，根據(jù)檢測(cè)到的入侵信息改變防火墻的策略，從源頭上徹底切斷入侵行為，彌補(bǔ)兩者間的不足，將各自的能力發(fā)揮出來(lái)，從整體防御的角度保證網(wǎng)絡(luò)的安全。

Snort是Linux平臺(tái)下強(qiáng)大的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，SnortV2.8.1擴(kuò)展了新的是基于IPv6的檢測(cè)規(guī)則，是一個(gè)以開放源代碼的形式發(fā)布的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，它添加了IPv6解碼模塊，在數(shù)據(jù)包捕獲和檢測(cè)做了改進(jìn)，實(shí)現(xiàn)了對(duì)IPv6分段的重組，改進(jìn)了IPv6快速檢測(cè)算法，同時(shí)增加對(duì)IPv6/IPv4雙協(xié)議的支持。

IP6tables是Linux內(nèi)核提供的包過濾工具，通常用來(lái)建立、維護(hù)、檢查L(zhǎng)inux內(nèi)核過濾表，可以加入、插入或刪除核心包過濾鏈中的規(guī)則。IP6tables在語(yǔ)法上和IPtables基本相同，它是建立在Netfilter框架上的用戶空間管理工具，具有很好的擴(kuò)展性，支持128位地址。IP6tables提供了INPUT、FORWARD和OUTPUT3種過濾鏈表。用戶可以配置不同的過濾規(guī)則，每一條鏈可以有一條或數(shù)條規(guī)則，當(dāng)一個(gè)數(shù)據(jù)包到達(dá)相應(yīng)的過濾鏈表時(shí)，按照順序?qū)㈡溨械拿織l規(guī)則應(yīng)用到分組，直到找到一個(gè)匹配。如果該數(shù)據(jù)包不匹配任何一條規(guī)則，則根據(jù)預(yù)先定義的策略來(lái)處理該數(shù)據(jù)包。IP6tables配置命令的基本形式如下：

IP6tables–[AD]chain-namerule-specification

命令中各項(xiàng)解釋如下：

1）-A表示添加規(guī)則，-D表示刪除規(guī)則。

2）chain-name表示INPUT、FORWARD和OUTPUT3種過濾鏈表中的一種。

3）rule-specification確定了具體規(guī)則的內(nèi)容。

SnortSam是snort的入侵防范插件，是snort和IP6tables聯(lián)動(dòng)機(jī)制的核心，在整個(gè)聯(lián)動(dòng)的安全防護(hù)體系中起到了一個(gè)核心作用。它通過向snort規(guī)則添加新響應(yīng)來(lái)工作，規(guī)則一旦觸發(fā)將會(huì)使防火墻發(fā)生變化。它可以接收一個(gè)或多個(gè)入侵檢測(cè)系統(tǒng)的報(bào)警信息也可以和一個(gè)或多個(gè)防火墻進(jìn)行交互，可以基于所觸發(fā)的規(guī)則控制每個(gè)防火墻。整個(gè)網(wǎng)絡(luò)安全防護(hù)聯(lián)動(dòng)系統(tǒng)的邏輯拓?fù)浣Y(jié)構(gòu)如圖1所示。

4利用SnortSam插件實(shí)現(xiàn)snort與IP6tables聯(lián)動(dòng)

SnortSam有兩個(gè)基本的組成部分：插件和代理。插件是一個(gè)標(biāo)準(zhǔn)的snort輸出插件，用于當(dāng)規(guī)則觸發(fā)時(shí)向代理發(fā)送指令。這些指令以加密的方式發(fā)送。代理負(fù)責(zé)解密收到的指令，建立和移除防火墻規(guī)則。當(dāng)一條入侵信息觸發(fā)了Snort的一條入侵規(guī)則時(shí)，它能夠及時(shí)向插件傳送報(bào)警信息。插件根據(jù)傳遞過來(lái)的報(bào)警信息，生成FWsampacket或者FWsampacket6報(bào)警包，并引入TwoFish算法對(duì)對(duì)通信信息進(jìn)行加密后發(fā)往SnortSam，由于SnortSam輸出插件與代理間需要安全的通信，所以在為snort制定SnortSam輸出插件時(shí)，需要指定SnortSam代理所在主機(jī)和通訊口令。SnortSam接收到加密指令后由代理負(fù)責(zé)解密，自動(dòng)生成一條阻斷規(guī)則，并通過代理在防火墻IP6tables上實(shí)現(xiàn)。IP6tables執(zhí)行這個(gè)請(qǐng)求，并等待代理發(fā)布一個(gè)終止請(qǐng)求從而移除被阻斷的地址。當(dāng)?shù)竭_(dá)預(yù)定義的時(shí)間限制時(shí)，代理發(fā)送另一個(gè)請(qǐng)求刪除被阻斷的地址。如果在計(jì)時(shí)結(jié)束之前，該阻斷地址又一次發(fā)起攻擊，系統(tǒng)不會(huì)生成重復(fù)的防火墻規(guī)則，但會(huì)將計(jì)時(shí)器刷新，重新計(jì)時(shí)。

主要實(shí)現(xiàn)步驟如下：

1）新建規(guī)則文件snortsam.rules，并在此文件中編寫snort新規(guī)則，并將報(bào)警信息輸出至snortsam輸出插件，同時(shí)設(shè)置阻斷源IP數(shù)據(jù)包的時(shí)間。

2）在snort配置文件fwsam-snort.conf中添加新的輸出插件，使snort支持snortsam輸出，并設(shè)置snortsam輸出插件與代理間的通訊口令。

3）運(yùn)行snortsam代理，以入侵檢測(cè)方式運(yùn)行fwsam-snort。

5測(cè)試與結(jié)果

本系統(tǒng)采用典型的網(wǎng)絡(luò)掃描進(jìn)行測(cè)試，使用X-Scan和NMAP作為測(cè)試工具。利用X-Scan對(duì)Snort監(jiān)控的網(wǎng)絡(luò)進(jìn)行加載掃描，利用NMAP對(duì)Snort監(jiān)控的網(wǎng)絡(luò)進(jìn)行FIN、XMAS和NULL三種特殊形式的掃描，使用IP6tables實(shí)現(xiàn)聯(lián)動(dòng)。通過對(duì)攻擊方網(wǎng)絡(luò)數(shù)據(jù)流量的分析，在入侵?jǐn)?shù)據(jù)包觸發(fā)了Snort規(guī)則集后，會(huì)通過輸出插件向SnortSam報(bào)告，從而在防火墻上產(chǎn)生阻斷的訪問控制條目，達(dá)到阻斷源IP數(shù)據(jù)包的目的，實(shí)現(xiàn)了Linux平臺(tái)下基于IPv6的入侵檢測(cè)與防火墻聯(lián)動(dòng)。

參考文獻(xiàn)：

[1]方世林，劉利強(qiáng)，方欣，李毅.面向IPv6網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦開發(fā)與應(yīng)用，2012（3）：32-35.

[2]邵曉宇，楊善林，諸偉.基于Linux入侵檢測(cè)動(dòng)態(tài)防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2008（3）：156-159.

[3]孫勇，張恒，馬嚴(yán)，等.基于IPv6的入侵檢測(cè)與防火墻聯(lián)動(dòng)系統(tǒng)[J].計(jì)算機(jī)工程，2008（6）：151-154.