FORTINET NIDS User Guide
FortiGate!NIDS!Guide
FortiGate NIDS 指南
FortiGate 用户手册 第四卷
版本 2.50 MR2
2003 年 8 月 6 日
© Copyright 2003 美国飞塔有限公司版权所有。
本手册中所包含的任何文字、例子、图表和插图,未经美国飞塔有限公司
的许可,不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、
传播或发布。
FortiGate NIDS 指南
版本 2.50 MR2
2003 年 8 月 8 日
注册商标
本手册中提及的产品由他们各自的所有者拥有其商标或注册商标。
服从规范
FCC Class A Part 15 CSA/CUS
请访问 http://www.fortinet.com 以获取技术支持。
请将在本文档或任何 Fortinet 技术文档中发现的错误信息或疏漏之处发送
到 techdoc@fortinet.com。
目录
目录
概述 ................................................................... 1
NIDS 模块 .................................................................... 1
使用 NIDS 检测模块检测入侵企图 .............................................. 1
使用 NIDS 预防模块预防入侵 .................................................. 1
使用 NIDS 响应模块管理消息 .................................................. 2
NIDS 检测和预防特性 .......................................................... 2
拒绝服务 (DoS) 攻击 ......................................................... 2
嗅探 ....................................................................... 2
权利提升 ................................................................... 3
NIDS 躲避 .................................................................. 3
关于本文档 ................................................................... 3
2.50 版中的新增内容 .......................................................... 3
文档约定 ..................................................................... 4
Fortinet 的文档 .............................................................. 5
Fortinet 技术文档的注释 .................................................... 5
客户服务和技术支持 ........................................................... 6
检测攻击 ............................................................... 7
特征组 ....................................................................... 7
特征举例 ..................................................................... 9
一般配置步骤 ................................................................ 11
NIDS 常规配置 ............................................................... 11
选择要监视的网络接口 ...................................................... 11
禁用 NIDS ................................................................. 11
配置校验和检验 ............................................................ 12
选择一个特征组 .............................................................. 12
查看特征列表 .............................................................. 12
启用和禁用 NIDS 攻击特征 ................................................... 13
更新攻击定义 ................................................................ 14
创建用户定义的特征 .................................................... 15
创建用户自定义的特征 ........................................................ 15
用户定义特征提示 .......................................................... 17
常规配置步骤 ................................................................ 17
用户定义特征的语法 .......................................................... 17
语法约定 .................................................................. 17
完整的特征语法 ............................................................ 17
特征语法的细节 ............................................................ 19
管理用户定义的特征 .......................................................... 24
上载用户定义特征列表 ...................................................... 24
下载用户定义特征列表 ...................................................... 24
FortiGate NIDS 指南
iii
目录
预防攻击 .............................................................. 25
一般配置步骤 ................................................................ 26
启用 NIDS 攻击预防 ........................................................... 26
启用 NIDS 预防特征 ........................................................... 27
配置特征临界值 .............................................................. 31
配置 syn 淹没特征值 .......................................................... 32
举例:NIDS 配置 ............................................................. 33
预防 TCP 和 UDP 攻击........................................................ 33
管理 NIDS 消息 ......................................................... 37
记录攻击消息日志 ............................................................ 37
配置 FortiGate 设备发送报警邮件 .............................................. 38
启用 FortiGate 设备发送入侵报警邮件功能 ...................................... 38
定制报警邮件消息 ............................................................ 39
减少 NIDS 攻击日志和邮件消息的数量 ........................................... 39
自动减少消息 .............................................................. 39
术语表 ............................................................... 41
索引 .................................................................. 43
iv
美国飞塔有限公司
概述
NIDS 模块
FortiGate NIDS 指南 版本 2.50 MR2
FortiGate NIDS 是一个实时的网络入侵探测器,它使用攻击定义库库检测和预防
各种各样的可疑的网络数据流和基于网络的直接攻击。任何时候只要发生网络攻击,
FortiGateNIDS 可以将事件记录进日志并给系统管理员发送报警邮件。
NIDS 由检测、预防和响应三个软件模块组成。关于 NIDS 模块的概述,请见:
·使用 NIDS 检测模块检测入侵企图
·使用 NIDS 预防模块预防入侵
·使用 NIDS 响应模块管理消息
使用 NIDS 检测模块检测入侵企图
NIDS 检测模块可以检测各种各样的可疑网络通讯和基于网络的攻击。
FortiGateNIDS 检测模块的核心是攻击特征。特征是指示出系统可能 正在受到攻击
的传输数据的模板或者其他编码。从功能上看,特征类似于病毒定义,每个特征都用
来检测特定类型的攻击。
FortiGate NIDS 使用了 1000D 多个攻击特征。为了保证您使用的是最新版本的攻
击特征,您需要定期更新您的攻击签名文件。您可以将 FortiGate 设备配置为自动检
查和下载包括了最新的特征的攻击定义的更新文件。或者您也可以手工下载攻击定义
的更新文件。详细信息请见
您也可以创建自己定义的特征。关于创建特征的详细信息请见 第 15 页 “ 创建
用户定义的特征” 。创建了签名之后,您可以将它上载到 FortiGate 设备。只有专业
IT 人员才能创建用户定义的特征。
您可以启用 FortiGate NIDS 的攻击消息功能。FortiGate 设备可以配置为将攻击
消息记录到攻击日志,并且可以将攻击消息编成报警邮件,最多发送到三个电子邮件
地址。
使用 NIDS 预防模块预防入侵
FortiGate 设备能够作到的不仅仅是简单地检测攻击,它还可以预防攻击。NIDS 预
防模块可以为您预防来自于破坏性的网络操作中的常规的 TCP、ICMP、UDP 和 IP 攻击。
您可以启用 NIDS 预防模块以按照默认的临界值设定预防一系列攻击。当 NIDS 检测到
一个与攻击定义匹配的入侵企图时,访问将被拒绝,或者数据包被丢弃从而防止网络
遭到破坏。
FortiGate 安装和配置指南
。
FortiGate NIDS 指南
1
NIDS 检测和预防特性 概述
NIDS 预防模块和 NIDS 检测模块一样,使用特征来检测攻击,并且它生成可以记录
进日志或作为报警邮件发送的攻击消息。然而,尽管 NIDS 预防模块和 NIDS 检测模块
十分相似,它们分别使用各自的特征并生成各自的消息。
当 FortiGate 设备接收到一个固件升级时,NIDS 预防模块中的特征列表将被更新。
新的特征无法从 Fortinet 下载或者由用户创建。
使用 NIDS 响应模块管理消息
任何时候当检测或者预防一次攻击时,NIDS 响应模块生成一个可以记录攻击日志
或生成最多可以发送到三个目的地址的电子邮件的消息。系统管理员可以利用这个信
息及时地处理来自网络的威胁。
NIDS 检测和预防特性
NIDS 可以检测和预防以下类型的攻击:
·拒绝服务 (DoS) 攻击
·嗅探
·权利提升
·NIDS 躲避
拒绝服务 (DoS) 攻击
拒绝服务攻击通过使网络连接过载、CPU 过载或者塞满硬盘来试图阻止对一个服务
或者一台计算机的访问。攻击者并不试图获得任何信息,但是他干扰了对网络资源的
访问。FortiGate NIDS 检测以下常规的 DoS 攻击:
·数据包淹没,包括 Smurf 淹没 (Smurf 是最先使用这种攻击的一个程序的名称)、
TCP 握手淹没、UDP 淹没和 ICMP 淹没。
·非法格式的数据包,包括死亡之 ping(Ping of Death),Chargen,死亡泪滴 (Tear
drop)、land 和 WinNuke。
嗅探
嗅探攻击试图取得所要攻击或侵入的网络和电脑的信息。使用所得的信息,攻击者
可以找到这个网络的弱点并加以攻击。FortiGateNIDS 可以检测以下类型的嗅探攻击:
·指纹识别
·ping 扫描
·端口扫描
·缓冲区溢出,包括 SMTP、FTP 和 POP3
·帐号扫描
·操作系统识别
2
美国飞塔有限公司
概述 关于本文档
权利提升
权利提升攻击试图利用系统的特征或者缺陷对电脑或网络实行未经授权的访问。
FortiGate NIDS 能检测以下类型的权利提升攻击:
·暴力攻击
·CGI 脚本攻击、包括 Phf、EWS、info2www、TextCounter、GuestBook、Count.cgi、
handler、webdist.cgi、files.pl、nph-test-cgi、nph-publish、任意 Form 和
Formmail。
·网页服务器攻击。
·网页浏览器攻击、包括 URL、HTTP、Java 脚本、Frames、Java 和 ActiveX。
·简单邮件传送协议 (SMTP)(发送邮件 ) 攻击。
·IMAP/POP 攻击。
·缓冲区溢出攻击。
·DNS 攻击,包括绑定和捕获。
·IP 欺骗。
·特洛伊木马攻击,包括后门 (BackOrifice 2K)、 IniKiller、 Netbus、NetSpy、
Priority、 Ripper、 Striker、和 SubSeven。
NIDS 躲避
关于本文档
随着攻击者变得越来越老练和狡猾,他们开发出一些新的技术来躲避 NIDS。
FortiGate NIDS 可以识别出以下躲避 NIDS 的技术:
·特征伪装
·特征编码
·IP 碎片
·TCP/UDP 分解
本指南在以下章节中包含了一般配置步骤,基于 Web 的管理程序和 CLI 操作,以及
配置举例:
·检测攻击 描述例如如何配置一般的 NIDS 设置以及如何配置特征列表以使 FortiGate
设备可以检测攻击。
·创建用户定义的特征 描述了您应当如何编写您自己定义的特征并将它添加到
FortiGate 设备。在添加了这些特征之后,它们可以用于检测攻击。
·预防攻击描述了如何使用特征来预防攻击。
·管理 NIDS 消息描述了如何配置 NIDS 以记录出现攻击时生成的日志消息并把它们发送
到指定的电子邮件地址。
·术语表定义了本文档中常用的术语。
2.50 版中的新增内容
FortiGate NIDS 指南
以下为 2.50 版中新增加的特点。
3
文档约定 概述
NIDS 攻击 ID 编号
每个 NIDS 攻击具有一个 ID 编号,当检测到攻击时 NIDS 生成这个编号,它出现在
报警邮件和攻击日志消息中。这样易于检索报警邮件或攻击日志消息中所涉及的攻击。
请见 第 12 页 “ 查看特征列表” 。
特征组
在 NIDS 攻击模块中,攻击特征现在被分组排列。当您启用一个组时,这个组中的
特征将被用于检测多种基于网络的攻击。当您禁用一个组时,这些特征将不被用于检
测攻击。您不能启用或者禁用单独的一个特征。请见 第 7 页 “ 检测攻击” 。
入侵预防
在早期的 NIDS 版本中,NIDS 只能检测攻击,不能预防攻击。现在 NIDS 可以配置
为预防来自破坏性的网络操作的常见 TCP、ICMP 和 IP 攻击。请见 第 25 页 “ 预防
攻击” 。
新的 CLI 命令
在 2.50 版中命令行界面有了很大的改变。命令的语法变得更加易于使用和更加高
效,很多命令名和关键词发生了变化,并且扩充了 CLI 帮助的内容。
文档约定
本指南使用以下约定来描述 CLI 命令的语法。
·尖括号 <> 所围的内容为可替换的关键词
例如:
要执行 restore config < 文件名 _ 字符串 >
您应当输入 restore config myfile.bak
<xxx_ 字符串 > 表示一个 ASCII 字符串关键词。
<xxx_ 整数 > 表示一个整数关键词。
<xxx_ip> 表示一个 IP 地址关键词。
·竖线和波形括号 {|} 表示从波形括号中的内容中任选其一。
例如:
set system opmode {nat | transparent}
您可以输入 set system opmode nat 或 set system opmode
transparent
·方括号 [ ] 表示这个关键词是可选的
例如:
get firewall ipmacbinding [dhcpipmac]
您可以输入 get firewall ipmacbinding 或
get firewall ipmacbinding dhcpipmac
4
美国飞塔有限公司
概述 Fortinet 的文档
Fortinet 的文档
从 FortiGate 用户手册的以下各卷中可以找到关于 FortiGate 产品的对应信息:
·
第一卷:FortiGate 安装和配置指南
描述了 FortiGate 设备的安装和基本配置方法。还描述了如何使用 FortiGate 的防
火墙策略去控制通过 FortiGate 设备的网络通讯,以及如何使用防火墙策略在通过
FortiGate 设备的网络通讯中对 HTTP、FTP 和电子邮件等内容应用防病毒保护、网
页内容过滤和电子邮件过滤。
·
第二卷:FortiGate 虚拟专用网络 (VPN)指南
包含了在 FortiGate IPSec VPN 中使用认证、预置密钥和手工密钥加密的更加详细
的信息。还包括了 Fortinet 远程 VPN 客户端配置的基本信息,FortiGate PPTP 和
L2TP VPN 配置的详细信息,以及 VPN 配置的例子。
·
第三卷:FortiGate 内容保护指南
描述了如何配置防病毒保护,网页内容过滤和电子邮件过滤,以保护通过
FortiGate 的内容。
第四卷:FortiGate NIDS 指南
·
描述了如何配置 FortiGate NIDS,以检测来自网络的攻击,并保护 FortiGate 不受
其威胁。
·
第五卷:FortiGate 日志和消息参考指南
描述了如何配置 FortiGate 的日志和报警邮件。还包括了 FortiGate 日志消息的说
明。
·
第六卷:FortiGate CLI 参考指南
描述了 FortiGate CLI,并且还包含了一个 FortiGate CLI 命令的说明。
FortiGate 在线帮助也包含了使用 FortiGate 基于 Web 的管理程序配置和管理您的
FortiGate 设备的操作步骤说明。
Fortinet 技术文档的注释
如果您在本文档或任何 Fortinet 技术文档中发现了错误或疏漏之处,欢迎您将有
关信息发送到 techdoc@fortinet.com。
FortiGate NIDS 指南
5
客户服务和技术支持 概述
客户服务和技术支持
请访问我们的技术支持网站,以获取防病毒保护和网络攻击定义更新、固件更新、
产品文档更新,技术支持信息,以及其他资源。网址:
http://support.fortinet.com。
您也可以到 http://support.fortinet.com 注册您的 FortiGate 防病毒防火墙或
在任何时间登陆到该网站更改您的注册信息。
以下电子邮件信箱用于 Fortinet 电子邮件支持:
amer_support@fortinet.com 为美国、加拿大、墨西哥、拉丁美洲和南美地区的客户提供服
apac_support@fortinet.com 为日本、韩国、中国、中国香港、新加坡、马来西亚、以及其
eu_support@fortinet.com 为英国、斯堪的纳维亚半岛、欧洲大陆、非洲和中东地区的客
关于 Fortinet 电话支持的信息,请访问 http://support.fortinet.com。
当您需要我们的技术支持的时候,请您提供以下信息:
·您的姓名
·公司名称
·位置
·电子邮件地址
·电话号码
·FortiGate 设备生产序列号
·FortiGate 型号
·FortiGate FortiOS 固件版本
·您所遇到的问题的详细说明
务。
他所有亚洲国家和澳大利亚地区的客户提供服务。
户提供服务。
6
美国飞塔有限公司
检测攻击
FortiGate NIDS 指南 版本 2.50 MR2
NIDS 检测模块能够检测大量的可疑网络通讯和基于网络的攻击。
本章描述了如何配置常规的 NIDS 设置和 NIDS 检测模块特征列表。在常规 NIDS 设
置中,您需要选择要监视基于网络的攻击的接口。您还需要决定是否启用校验和检验
功能。校验和检验功能测试被监视的接口收到的数据包的完整性。
在特征列表中,您可以根据需要启用和禁用特征组。每个特征组包含了一定数量的
特征,或者攻击定义。当起用一个特征组时,这个特征组中所包含的特征将被用于检
测多种基于网络的攻击。当禁用一个组时,其中所包含的特征将不被用来检测攻击。
无论何时当 NIDS 检测到一个攻击时,它将生成一条 NIDS 响应消息。您可以将这个
消息添加到攻击日志,还可以将它编写成电子邮件最多发送到三个目的地。有关的详
细信息请见 第 37 页 “ 管理 NIDS 消息” 。
本章叙述了以下内容:
·特征组
·特征举例
·一般配置步骤
·NIDS 常规配置
·选择一个特征组
·更新攻击定义
特征组
FortiGate NIDS 指南
FortiGate NIDS 使用了 1000D 多个攻击特征。这些特征被分组排列,每个组检测
一种不同类型的攻击。NIDS 检测模块中的分组使用名称按照字母顺序排列。如果选择
了查看一个特定的组的细节,您将看到它内部包含的特征的完整列表。
默认情况下,所有的组都被启用了,您可以选择禁用一个组使得这个组中的特征不
再被用来检测攻击。无法启用或者禁用单独的一个特征。
您可以禁用一个特征组,以提高系统的性能,减少 NIDS 生成的日志消息和报警邮
件的数量。例如,NIDS 检测到大量的网页服务器攻击。如果您没有提供对防火墙后边
的网页服务器的访问,可以禁用所有的网页服务器攻击特征。
表 1: NIDS 特征分组
特征组名 说明
后门 检测使用后门技术穿过系统保护机制的攻击。
7
特征组 检测攻击
表 1: NIDS 特征分组 ( 续 )
特征组名 说明
损伤 检测违反了系统安全策略的攻击。
ddos 检测分布式拒绝服务攻击。
dns 检测使用 DNS 的攻击。
dos 检测拒绝服务攻击。
权利提升 检测基于权利提升的攻击。
finger 检测使用 Finger 协议的攻击。
ftp 检测使用 FTP 协议的攻击。
icmp 检测使用 ICMP 协议的攻击。
imap 检测使用 IMAP 协议的攻击。
misc-traffic 检测使用混杂的有害通讯技术的攻击。
netbios 检测使用 NETBIOS 协议的攻击。
pop2 检测使用 POP2 协议的攻击。
pop3 检测使用 POP3 协议的攻击。
rlogin 检测用户远程登录以获取计算机网络中的信息的攻击。
rpc 检测使用 RPC 协议的攻击。
scan 检测不同类型的端口扫描和相关的嗅探攻击。
shellcode 检测包含了特种操作系统的命令解释器代码的攻击。
smtp 检测使用 SMTP 协议的攻击
snmp 检测使用 SNMP 协议的攻击。
sql 检测利用 SQL 漏洞的攻击。如果 FortiGate 设备保护的网页服务器或者
telnet 检测使用 Telnet 协议的攻击。
tftp 检测使用 TFTP 协议的攻击。
web-apache
web-attacks
web-cgi
web-client
web-coldfusion
web-domino
web-frontpage
web-iis
web-misc
web-netscape
web-php
web-tomcat
端口扫描 检测对一个主机的一定范围内的服务端口地址发送客户请求以找出活动
http 解码 检测使用 HTTP 协议的攻击。
backorifice 检测使用 Back Orifice 木马来监视或篡改微软 Windows 操作系统的攻
rpc 解码 检测包含了 RPC 记录的攻击。
tcp 重组 检测使用 TCP 协议的攻击。
IP 碎片 检测使用破碎的 IP 数据包进行的攻击。
其他应用程序运行 MS-SQL 或者 MS-SQL/SMB,则启用此特征组。
检测基于网页的攻击,包括利用 CGI, ColdFusion, FrontPage, IIS,
客户端和 PHP 的漏洞进行的攻击。
的端口并利用这个服务的漏洞进行的攻击。
击。
8
美国飞塔有限公司
检测攻击 特征举例
表 1: NIDS 特征分组 ( 续 )
特征组名 说明
包格式 检测使用非标准头的包或者超长包进行的攻击。
用户定义 检测新的使用用户自行定义的特征的攻击。请见 第 15 页 “ 创建用
户定义的特征” 。
特征举例
在特征组中包含了独立的特征。如果您查看一个给定的组,您将看到这个组包含的
特征的完整列表。每个特征都有一个 ID 编号,名称和修订版本编号。
以下几个表格中包含了一些特征的例子:
·表 2 列出了可以用于检测拒绝服务攻击 (DoS)的特征。
·表 3 列出了可以用来检测嗅探攻击的特征。
·表 4 列出了可以用来检测漏洞攻击的特征。
注意:在列表中包含的值仅为举例。要查看特征组和组中包含的特征的完整的当前列表,请查看
一个运转中的 FortiGate 设备。
表 2: DoS 特征举例
攻击类型 特征组名称 特征 ID 举例 特征规则举例
拒绝服务 ddos 17563649 DDOS TFN 探测
dos 917505 DOS 晃动攻击
混合通讯 101974020 混合。通讯源端口为 20 到小于
ip 碎片 7405573 重复的第一段。
包格式 7602271 UDP 包头被截断
rpc 解码 6946820 不完整的 RPC 段
表 3: 嗅探特征举例
攻击类型 特征组名称 特征 ID 举例 特征规则举例
嗅探 finger 101711873 Finger 溢出 (>128) 企图
icmp 17956865 ICMP ISS Pinger
rlogin 102236167 rlogin root
rpc 286851134 RPC 端口映射请求状态
scan 102367236 扫描代理的企图
shellcode 1769486 linux 命令解释器命令代码
portscan 6553602 (spp_ 端口扫描 ) 端口扫描状态
tcpassembly 7274504 秘密活动 (FIN 扫描 ) 检测
1024。
FortiGate NIDS 指南
9
特征举例 检测攻击
表 4: 漏洞攻击特征
攻击类型 特征组名称 特征 ID 举例 特征规则举例
漏洞攻击 后门 101318672 Back door subseven 22
危害 101384193 Successful gobbles ssh 权利提升
dns 286064641 利用 Solaris tsig 的数据包
权利提升 101646338 利用 ssh CRC32 溢出 /bin/sh
ftp 101777411 带有 ? 的 FTP 命令 STAT
netbios 102039554 NETBIOS nimda .eml
rpc 102301722 RPC snmpXdmi 溢出企图
smtp 102498305 SMTP sendmail 8.6.9 版权利提升
sql 102629377 MS-SQL/SMB sp_start_job - 程序执
telnet 102694920 Telnet 错误登录
tftp 287309825 TFTP GET Admin.dll
web-attacks 102891521 试图利用网页攻击 ps 命令
web-cgi 102957107 Web-CGI 对 bnbform.cgi 访问
web-coldfusion 103088129 Web-ColdFusion cfcache.map 访问
web-frontpage 103219201 Web-FrontPage rad 溢出企图
web-iis 103284737 Web-IIS 对 repost.asp 文件的访问
web-misc 103350273 Web-Misc. 企图穿过站点脚本的企图
httpdecode 6684678 (spp_http_decode) 非法 URL 十六
backorifice 6881281 (spo_bo) Back Orifice 通讯检测
(GOBBLE)
行
进制编码
10
美国飞塔有限公司
检测攻击 一般配置步骤
一般配置步骤
要配置 NIDS 检测网络攻击的功能,您必须完成两个基本的步骤。首先您必须配置
常规 NIDS 设置。然后您必须查看特征列表,决定启用那个组来检测攻击 。默认情况
下,所有的特征组都被启用了。
按以下步骤配置 NIDS 以检测攻击:
1 配置常规 NIDS 设置。在选择了您希望 NIDS 监视的接口之后,您可以选择是否启用在
这些接口上的校验和检验。请见 第 11 页 “ NIDS 常规配置” 。
2 选择您希望 NIDS 用来检测基于网络的攻击的特征组。请见 第 12 页 “ 选择一个特
征组” 。
3 您可以选择将 FortiGate 设备配置为自动检查新版本的攻击定义。请见 第 14 页 “
更新攻击定义” 。
NIDS 常规配置
要启用 FortiGate NIDS,您必须至少选择一个要监视来自网络的攻击的接口。要
禁用 FortiGate NIDS,您必须取消对任何一个接口的选定。
注意:最多可以监视四个接口 (FortiGate-50 只能监视一个接口)。
选择要监视的网络接口
1 进入 NIDS > 检测 > 常规。
2 选择要检测网络攻击的网络接口。
您可以选择一个或多个网络接口。
3 单击应用以保存您所做的修改。
使用 CLI:
set nids detection interface < 名称 _ 字符串 > status enable
禁用 NIDS
1 进入 NIDS > 检测 > 常规。
2 取消对所有监视的接口的选定。
3 单击 应用 以保存您所做的修改。
使用 CLI:
FortiGate NIDS 指南
set nids detection interface < 名称 _ 字符串 > status disable
11
Loading...