分享
 
 
 

IDS系统(2)

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

特殊的考虑

每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如,许多厂商要求你将代理安装在使用静态IP地址的主机上。因此,你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外,安装管理者会降低系统的性能。而且,在同一网段中安装过多的管理者会占用过多的带宽。

另外,许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上,因为这种文件系统允许远程访问,管理者会使它们缺乏稳定和不安全。

除非特殊情况,你不应将IDS的管理者安装在装了双网卡或多网卡的用做路由器的主机上,或者安装在防火墙上。例如,Windows NT PDC或BDC也不是安装大多数IDS管理者的理想系统,不仅因为管理者会影响登录,而且PDC或BDC所必须的服务会产生trap door和系统错误。

管理者和代理的比例

管理者和代理的比例数字会因生产厂商和版本的不同而不同。例如,Axent Intruder Alert建议在UNIX或NT的网络上不要使用超过100个代理,NetWare网络中每个管理者不应使用超过50个代理。然而,你需要建立基线来确定IDS结构的理想配置。理想配置是指IDS可以在不影响正常地网络操作的前提下实时监测网络入侵。

代理

由于代理负责监视网络安全,所以大多数的IDS允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时,你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT和Novell网络环境中可以出色的工作。有些厂商也生产在特殊网络环境下工作的代理,例如DECnet,mainframes等等。无论如何,你应当通过测试来选择最适合你的网络的产品。所有的代理都工作在混杂模式,并且捕捉网络上传递的信息包。

理想的代理布局

请考虑将代理安装在像数据库,Web服务器,DNS服务器和文件服务器等重要的资源上。像eTrust Intrusion Detection这样的基于扫描的IDS程序也许更适合在某些特定的时段扫描个别的主机。这个工具能够确保你在占用最小带宽的前提下监视网络活动。

下列是部分适合放置代理资源的列表:

?账号、人力资源和研发数据库

?局域网和广域网的骨干,包括路由器和交换机

?临时工作人员的主机

?SMTP,HTTP和FTP服务器

?Modem池服务器和交换机、路由器、集线器

?文件服务器

许多新的网络连接设备限制了IDS扫描。

管理者和代理的通信

在你学习如何为网络挑选产品时,需要明确管理者和代理的通信方式。大多数的IDS程序要求你首先和管理者通信,然后管理者会查询代理。

通常,管理者和代理在通信时使用一种公钥加密。例如,Axent的产品使用400位长Diffie-Helman加密。标准的SSL会话使用128位的加密。比较这两种标准,你可以发现大多数的IDS厂商都采用安全的通信。

有些老的主机级的产品采用明文或经过非常弱地加密的会话。这种功能很具讽刺意味,由于明文传输易遭受hijacking和Man-in-the-middle攻击,这样会严重地破坏你监测和保护网络安全。

有些管理者可以和其它管理者通信。这种管理者之间的通信可以节省带宽并减轻你的管理负担。通过使用组织结构有可能避免这种通信。例如,Axent Intruder Alert(ITA)使用被称作domain的层次结构来组织代理。

审计管理者和代理的通信

作为审计人员,你应该对用户名和密码进行核实,而不应保留缺省设置。同时,你还要确保通信要经过加密和尽可能的安全。

混合入侵检测

基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。

规则

就像应用防火墙,你必须为IDS建立规则。大多数的IDS程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供最佳的保护。通常建立的规则有两大类:网络异常和网络误用。企业级的IDS通常可以实施上百条规则。

不同厂商在使用审计的术语时有所差别。例如,eTrust Intrusion Detection用“rules”来讨论安全审计的规则,而Intruder Alert却使用“policies”。你将会了解到Intruder Alert使用“policies”时意味更深远,它允许你为个别策略建立规则。因此,在理解各个厂商的产品时,不要被术语所迷惑。

网络异常的监测

IDS程序会报告协议级别的异常情况。如果配置正确的话,它可以提示你有关NetBus,Teardrop或Smurf攻击。例如,如果存在过多的SYN连接,IDS程序会向你报警。

网络误用监测

网络误用包括非工作目的的Web浏览,安装未授权的服务(如WAR FTP服务),和玩儿游戏(如Doom或Quake)。你可以对其进行日志记录,阻塞流量或主动地制止。例如,你可以利用程序实施反击或设置“dummy”系统或网络进行诱导。

网络误用是物理的,操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。

常用检测方法

入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

特征检测

特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有