从现实来看,市场上所大行其道的IDS产品价格从数十万到数百万不等,这种相对昂贵的奶酪被广为诟病,所导致的结果就是:一般中小企业并不具备实施IDS产品的能力,它们的精力会放在路由器、防火墙以及3层以上交换机的加固上;大中型企业虽然很多已经上了IDS产品,但IDS天然的缺陷导致其似乎无所作为。但我们还不能就此喜新厌旧,因为IDS是必需的一个过程,具有IDS功能的IPS很可能在几年后彻底取代单一性IDS的市场主导地位,从被动应战到主动防御是大势所趋。
其实IDS的技术手段并不很神秘,接下来本文会用一种“顺藤摸瓜”的脉络,给大家介绍一个较简单的IDS入门级构架。从市场分布、入手难易的角度来看,选择NIDS作为范例进行部署,比较地恰当。本文以完全的Windows平台来贯穿整个入侵检测流程,由于篇幅所限,以定性分析角度来陈述。
预备知识
IDS:Intrusion Detection System(入侵检测系统),通过收集网络系统信息来进行入侵检测分析的软件与硬件的智能组合。
对IDS进行标准化工作的两个组织:作为国际互联网标准的制定者IETF的Intrusion Detection Working Group(IDWG,入侵检测工作组)和Common Intrusion Detection Framework(CIDF,通用入侵检测框架)。
IDS分类:Network IDS(基于网络)、Host-based IDS(基于主机)、Hybrid IDS(混合式)、Consoles IDS(控制台)、File Integrity Checkers(文件完整性检查器)、Honeypots(蜜罐)。
事件产生系统
根据CIDF阐述入侵检测系统(IDS)的通用模型思想,具备所有要素、最简单的入侵检测组件如图所示。
根据CIDF规范,将IDS需要分析的数据统称为Event(事件),Event既可能是网络中的Data Packets(数据包),也可能是从System Log等其他方式得到的Information(信息)。
没有数据流进(或数据被采集),IDS就是无根之木,完全无用武之地。
作为IDS的基层组织,事件产生系统大可施展拳脚,它收集被定义的所有事件,然后一股脑地传到其它组件里。在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。
大家知道,对于事件产生和事件分析系统来说,眼下流行采用Linux和Unix平台的软件和程序;其实在Windows平台中,也有类似Libpcap(是Unix或Linux从内核捕获网络数据包的必备软件)的工具即Winpcap。
Winpcap是一套免费的, 基于Windows的网络接口API,把网卡设置为“混杂”模式,然后循环处理网络捕获的数据包。其技术实现简单,可移植性强,与网卡无关,但效率不高,适合在100 Mbps以下的网络。
相应的基于Windows的网络嗅探工具是WinDump(是Linux/Unix平台的Tcpdump在Windows上的移植版),这个软件必须基于Winpcap接口(这里有人形象地称Winpcap为:数据嗅探驱动程序)。使用WinDump,它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况,可以在一定程度上有效监控来自网络上的安全和不安全的行为。
这两个软件在网上都可以免费地找到,读者还可以查看相关软件使用教程。
下面大略介绍一下建立事件探测及采集的步骤:
1. 装配软件和硬件系统。根据网络繁忙程度决定是否采用普通兼容机或性能较高的专用服务器;安装NT核心的Windows操作系统,推荐使用Windows Server 2003企业版,如果条件不满足也可使用Windows 2000 Advanced Server。分区格式建议为NTFS格式。
2. 服务器的空间划分要合理有效,执行程序的安装、数据日志的存储,两者空间最好分别放置在不同分区。
3. Winpcap的简单实现。首先安装它的驱动程序,可以到它的主页或镜像站点下载WinPcap auto-installer (Driver+DLLs),直接安装。
注:如果用Winpcap做开发,还需要下载 Developer's pack。
作为IDS的基层组织,事件产生系统大可施展拳脚,它收集被定义的所有事件,然后一股脑地传到其它组件里。在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。
大家知道,对于事件产生和事件分析系统来说,眼下流行采用Linux和Unix平台的软件和程序;其实在Windows平台中,也有类似Libpcap(是Unix或Linux从内核捕获网络数据包的必备软件)的工具即Winpcap。
Winpcap是一套免费的, 基于Windows的网络接口API,把网卡设置为“混杂”模式,然后循环处理网络捕获的数据包。其技术实现简单,可移植性强,与网卡无关,但效率不高,适合在100 Mbps以下的网络。
相应的基于Windows的网络嗅探工具是WinDump(是Linux/Unix平台的Tcpdump在Windows上的移植版),这个软件必须基于Winpcap接口(这里有人形象地称Winpcap为:数据嗅探驱动程序)。使用WinDump,它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况,可以在一定程度上有效监控来自网络上的安全和不安全的行为。
这两个软件在网上都可以免费地找到,读者还可以查看相关软件使用教程。
下面大略介绍一下建立事件探测及采集的步骤:
1. 装配软件和硬件系统。根据网络繁忙程度决定是否采用普通兼容机或性能较高的专用服务器;安装NT核心的Windows操作系统,推荐使用Windows Server 2003企业版,如果条件不满足也可使用Windows 2000 Advanced Server。分区格式建议为NTFS格式。
2. 服务器的空间划分要合理有效,执行程序的安装、数据日志的存储,两者空间最好分别放置在不同分区。
3. Winpcap的简单实现。首先安装它的驱动程序,可以到它的主页或镜像站点下载WinPcap auto-installer (Driver+DLLs),直接安装。
注:如果用Winpcap做开发,还需要下载 Developer's pack。
响应系统
响应系统是面向人、物的交互系统,可以说是整个系统的中转站和协调站。人即是系统管理员、物是其他所有组件。
详细说来,响应系统这个协调员要做的事很多:按照预置定义的方式,记录安全事件、产生报警信息(如E-mail形式)、记录附加日志、隔离入侵者、终止进程、禁止受害者的端口和服务、甚至反戈一击;可以采取人工响应和自动响应(基于机器的响应),两者结合起来会比较好。
响应系统的设计要素:
1. 接受自事件产生系统经事件分析系统过滤、分析、重建后的事件警报信息,然后交互给用户(管理员)查询并做出规则判断和采取管理行为。
2. 给管理员提供管理事件数据库系统的一个接口,可以修改规则库、根据不同网络环境情况配置安全策略、读写数据库系统。
3. 作用于前端系统时,可管理事件产生、分析系统(合称事件探测器),对该系统采集、探测、分析的事件进行分类、筛选,可针对不同安全状况,重新对安全规则进行洗牌。
响应系统和事件探测器通常是以应用程序的形式实现。
设计思路:响应系统可分为两个程序部分,监听和控制。 监听部分绑定某个空闲端口,接收从事件探测器发出的分析结果和其他信息,并转化存储文件到事件数据库系统中,作为管理员可根据用户权限调用来只读、修改以及特别的操作。控制部分可用GTK+来编写GUI,开发出较为直观的图形用户界面,目的主要是给用户一个更方便友好的界面来浏览警告信息。
事件数据库系统
在Windows平台下,虽然Access更易掌握,但采用SQL Server 2000构建会比Access有效,而且并不是很难入手,相关使用方法参见《Microsoft SQL Server 2000 联机丛书中文版》(2004)。
此系统主要功能:记录、存储、重排事件信息,可供管理员调用查看和对攻击审查取证使用。
此系统构造相对简单,只需利用到数据库软件的一些基本功能。
要协调各组件之间的有目的通信,各组件就必须能正确理解相互之间传递的各种数据的语义。可参考CIDF的通信机制,构建3层模型。注意各个组件之间的互操作性,保证安全、高效、顺畅。
整合在后续的工作中会不断进行,各个组件的功能也会不断完善。一个基本的、基于Windows平台的IDS框架就构建完毕。满足