AIX的入侵预防

AIX 入侵预防检测不适当的、未授权的或可能被视为对系统有害的其他数据
以下描述了 AIX 提供的各种入侵检测类型。
相关信息也可以参阅：chfilt、ckfilt、expfilt、genfilt、impfilt、lsfilt、mkfilt、mvfilt和rmfilt命令。

• 入侵检测：描述入侵检测的概念。
  
• 从 SMIT 访问过滤规则：描述如何从SMIT配置规则。

入侵检测
入侵检测是监视和分析系统事件以拦截和拒绝所有未授权系统访问的尝试的操作。
在 AIX 中，这种对未授权访问或未授权访问尝试所进行的检测,是通过观察特定操作并对这些操作应用过滤规则来实现的。
注：必须在主机系统上安装 bos.net.ipsec 文件集以启用入侵检测。
检测技术构建于现有 AIX 因特网协议安全性(IPsec)功能之上。

• 模式匹配过滤规则
  模式匹配是将 IPsec 过滤规则用于过滤网络信息包。过滤模式可以是文本字符串、十六进制字符串或包含多个模式的文件。
  在建立了模式过滤规则并且在任何网络信息包的主体中检测到该模式之后，接着将生成预定义的过滤规则操作。
• 避免端口和避免主机过滤规则
  通过设置避免过滤规则，可以拒绝远程主机或远程主机及端口对访问本地机器
• 状态过滤规则
  状态过滤检查诸如源和目标地址、端口号以及状态之类的信息.这时,通过将 IF、ELSE 或 ENDIF 过滤规则应用到这些头标志，状态系统可在整个会话的上下文中(而不是在个别信息包及其头信息的上下文中)作出过滤决策。
• 定时规则
  定时规则指定在使用 mkfilt -v [4|6] -u 命令使过滤规则生效之后应用过滤规则的时间(秒)。

模式匹配过滤规则
模式匹配是将 IPsec 过滤规则用于过滤网络信息包.过滤模式可以是文本字符串、十六进制字符串或包含多个模式的文件。
在建立了模式过滤规则并且在任何网络信息包的主体中检测到该模式之后，接着将生成预定义的过滤规则操作。
模式匹配过滤规则仅适用于入站网络信息包。使用 genfilt 命令将过滤规则添加到过滤规则表中。
此命令生成的过滤规则称为手工过滤规则。使用 mkfilt 命令激活或停用过滤规则。 mkfilt 命令还可用来控制过滤记录功能。
模式文件可包含文本模式或十六进制模式列表(每行一个列表)。
模式匹配过滤规则可用来防御病毒、缓冲区溢出和其他网络安全性攻击。
如果模式匹配过滤规则的使用范围过广，并且模式数过多，则可能对系统性能产生反面影响。
最好使其应用保持在尽可能窄的范围。
例如，如果已知病毒模式适用于 sendmail，则在过滤规则中指定 sendmail SMTP 目标端口 25。
这允许所有其他流量通过而不会因模式匹配影响性能。

模式类型
有三个基本的模式类型：文本、十六进制和文件。模式匹配过滤规则仅适用于进入的信息包。
文本模式，文本过滤模式是类似以下格式的 ASCII 字符串：GET /../../../../../../../../

十六进制模式，十六进制模式类似以下格式：
0x33c0b805e0cd16b807e0cd1650558becc
7460200f05d0733ffb8c800b9fffff3abb00150
e670e47132c0e67158fec03c8075f033c033
c9b002fa99cd26fb4183f90575f5c3
注：十六进制模式由于以0x开头而不同于文本模式。

包含文本模式的文件，文件可包含文本模式或十六进制模式列表(每行一个列表)。

避免端口和避免主机过滤规则
通过设置避免过滤规则，可以拒绝远程主机或远程主机及端口对访问本地机器
避免过滤规则可动态创建有效规则，在符合该规则的指定条件时，它将拒绝远程主机或远程主机及端口对访问本地机器。
由于攻击一般在端口扫描之后进行，因此避免端口过滤规则在通过检测此攻击行为而防止入侵方面特别有用。
例如,如果本地主机不使用服务器端口37(该服务器为时间服务器)，则远程主机不应正在访问端口 37，除非它正运行端口扫描。
在端口37上放置避免端口过滤规则，这样如果远程主机试图访问该端口，则避免过滤规则将创建有效的规则，该规则将阻止该主机在避免规则到期时间字段内指定的时间内作进一步访问。
如果避免规则的到期时间字段设置为0，则动态创建的有效避免规则将不会过期。
注：
1.避免端口过滤规则指定的到期时间仅适用于动态创建的有效规则。
2.只能通过 lsfilt -a命令来查看动态创建的有效规则。

避免主机过滤规则
当符合避免主机过滤规则的条件时，动态创建的有效规则将在指定的到期时间内阻止或避免来自远程主机的所有网络流量。

避免端口过滤规则
当符合避免端口过滤规则的条件时，在超过到期时间之前，动态创建的有效规则将只阻止或避免来自该远程主机的特定端口的网络流量。

状态过滤规则
状态过滤检查诸如源和目标地址、端口号以及状态之类的信息。这时，通过将 IF、ELSE 或 ENDIF 过滤规则应用到这些头标志，状态系统可在整个会话的上下文中(而不是在个别信息包及其头信息的上下文中)作出过滤决策。
状态检查将检查进入和外发的通信信息包。当使用 mkfilt -u 命令激活状态过滤规则时，在满足 IF 规则之前，将始终检查 ELSE 块中的规则。
在满足了 IF 规则或条件之后，在使用 mkfilt -u 命令重新激活过滤规则之前，将一直使用 IF 块中的规则。
ckfilt 命令将检查状态过滤规则的语法并将其以说明方式如下显示：
%ckfilt -v4
IPv4 过滤规则的开头。Rule 2
IF Rule 3
IF Rule 4
Rule 5
ELSE Rule 6
Rule 7
ENDIF Rule 8
ELSE Rule 9
Rule 10
ENDIF Rule 11
Rule 0

定时规则
定时规则指定在使用 mkfilt -v [4|6] -u 命令使过滤规则生效之后，应用过滤规则的时间(秒)。
到期时间通过 genfilt -e 命令指定。
注：定时器对 IF、ELSE 或 ENDIF 规则没有影响。如果到期时间是在避免主机或避免端口规则中指定的，则该时间仅适用于避免规则启动的有效规则。避免规则没有到期时间。

从 SMIT 访问过滤规则
要从 SMIT 配置过滤规则，完成以下步骤。
1.从命令行中，输入以下命令：smitty ipsec4
2.选择高级 IP 安全性配置
3.选择配置 IP 安全性过滤规则
4.选择添加 IP 安全性过滤规则
5. Add an IP Security Filter Rule
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[TOP] [Entry Fields]
* Rule Action [permit] +
* IP Source Address []
* IP Source Mask []
IP Destination Address []
IP Destination Mask []
* Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol [all] +
* Source Port / ICMP Type Operation [any] +
* Source Port Number / ICMP Type [0] #
* Destination Port / ICMP Code Operation [any] +
* Destination Port Number / ICMP Type [0] #
* Routing [both] +
* Direction [both] +
* Log Control [no] +
* Fragmentation Control [0] +
* Interface [] +
Expiration Time (sec) [] #
Pattern Type [none] +
Pattern / Pattern File []
Description []

Where "Pattern Type" may be one of the following
x none x#
x pattern x
x file x
x Anti-Virus patterns

操作字段的选项有：permit、deny、shun_host、shun_port、if、else 和 endif。
如果指定了模式文件，则在使用 mkfilt -a 命令激活过滤规则时，该文件必须为可读。
过滤规则存储在 /etc/security/ipsec_filter 数据库中。