Netfilteriptables及Snort联动的实现.pdfVIP

_______________________________________________________________________________ Netfilter/iptables 与Snort 联动的实现 李国栋 ( 山东科技大学 信息科学与工程学院，山东 泰安271019) 摘 要：各种安全技术之间的联动能够弥补各自的缺陷,实现优势互补,从而建立一个全方位的防御体系。 联动是今后安全技术发展的一个方向。本文在详细地阐述网络入侵检测系统 Snort 和防火墙 Netfilter/iptables 扩展机制的基础上，描述了两者联动的设计和实现，并对其安全性进行了讨论。 关键词：防火墙；入侵检测；联动 1．引言 防火墙、入侵检测系统、漏洞扫描程序和防病毒软件等各种不同类型的安全技术和产品是用户安全和 可靠地使用网络所不可缺少的安全平台。但是,这些技术和产品具有高度的针对性,只能有效地解决网络安 全某一方面的问题,所起到的作用是有限的。为了提高网络安全防护的能力,达到最大程度的安全保证,就 必须从整体上进行考虑,综合应用各种网络安全技术和产品。为此,在安全领域内提出了联动的概念。联动 是指通过信息互通实现各种安全产品和技术之间的协同工作,其目标是构筑一个全方位的安全防护体系。 它的理论基础是安全事件的意义不是局部的，将安全事件及时通告给相关的安全系统，有助于从全局范围 评估安全事件的威胁，并在适当的位置采取动作。基于联动的思想，本文在简要概述了防火墙和网络入侵 检测系统及其各自的缺陷后，详细地阐述了Linux 平台下的防火墙Netfilter/iptables 和网络入侵检测 系统Snort 联动的设计和实现。 2 ．防火墙存在的安全问题 防火墙是一个基于安全规则在内部网络和外部网络之间执行访问控制的系统。逻辑上,防火墙是由分 离器和限制器组成；防火墙的物理实现方式可以有所不同,通常是一组硬件设备(路由器、主机)和软件的 各种组合。构造防火墙使用的两种基本技术是包过滤和应用代理（或者应用网关）。使用这两种基本技术 以不同的配置方式可以实现防火墙的不同体系结构。防火墙的体系结构主要由具有包过滤功能的路由器或 主机、双宿网关、屛蔽主机和屛蔽子网组成。 各种单独使用的防火墙，在安全方面主要存在以下问题： （1）正确设置防火墙的访问控制规则难以把握。如果规则定义过于严格，则限制了网络的互连互通； 如果规则定义过于宽松，则又可能带来安全隐患。 （2）防火墙的访问控制规则是静态的，不能动态地响应入侵行为的变化。 （3）防火墙不能防范不经由防火墙的攻击。例如内部恶意用户的攻击，或者内部用户私自拨号上网， 绕过了防火墙，就会造成一个潜在的后门攻击渠道。 （4）防火墙不能有效地防范基于协议和服务的攻击。内部的Web、Ftp、邮件服务器必须提供对外的 服务,由于防火墙对数据流的检查是粗粒度的,不能完全解析一些协议的细节,从而为攻击者提供了通过合 法的访问进行攻击的渠道。 _______________________________________________________________________________中国科技论文在线 3 ．网络入侵检测系统存在的问题 入侵检测系统 （IDS）是对系统的运行状态进行监视，以发现各种攻击企图、攻击行为或者攻击结果， 从而保证系统资源的机密性、完整性和可用性。IDS 由软件和硬件组合组成。网络入侵检测系统(NIDS)的 检测数据源来自网络，它把网卡设置为混杂模式，接受网络中传输的所有数据包,通过对数据包的检测判 断是否有入侵活动发生。 NIDS 对于下列攻击是无能为力的： （1）拒绝服务攻击。NIDS 采用旁路侦听方式监控网络，不加过滤地接受网络上的所有数据包。针对 NIDS 的拒绝服务攻击是通过增加网络流量，使之超过NIDS 的处理能力,导致NIDS 丢包而无法正常检测而 产生的入侵行为。 （2）具有主动响应功能的NIDS 发现入侵行为后，会发送Reset 包断开攻击的连接，或发送目的主机 或网络不可到达的信息。但这只对面向连接的攻击有效，如TCP 协议攻击，对于非面向连接的攻击,如UDP 协议攻击,除了报警，NIDS 是无能为力的。 4 ．Netfilter/iptables 与Snort 的联