我們已經(jīng)接觸了手工和自動運(yùn)行的掃描程序。這些工具在審計過程中是非常有用的。你還使用了包嗅探器,這是另一個確定網(wǎng)絡(luò)中存在哪些活動類型的工具。入侵監(jiān)測系統(tǒng)會在兩方面引起你的注意。首先,這種保護(hù)網(wǎng)絡(luò)的形式變得越來越流行。你需要了解網(wǎng)絡(luò)當(dāng)前的結(jié)構(gòu)來確定配置是否合適。第二,你可能在推薦這種產(chǎn)品,因此,你必須知道如何為特殊的網(wǎng)絡(luò)情況推薦這種產(chǎn)品。
在測試過程中你可以使用多種類型的工具。這些工具在整個的審計過程中是必不可少的。它們會幫助你在枯燥乏味的分析過程中節(jié)省時間。
什么是入侵監(jiān)測
入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動進(jìn)行實(shí)時檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡(luò)活動,所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。例如,你的IDS可以重新配置來禁止從防火墻外部進(jìn)入的惡意流量。你應(yīng)當(dāng)理解入侵監(jiān)測系統(tǒng)是獨(dú)立于防火墻工作的。
入侵監(jiān)測系統(tǒng)IDS與系統(tǒng)掃描器system scanner不同。系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫來掃描系統(tǒng)漏洞的,它更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出你的主機(jī)的流量。在遭受攻擊的主機(jī)上,即使正在運(yùn)行著掃描程序,也無法識別這種攻擊。
IDS掃描當(dāng)前網(wǎng)絡(luò)的活動,監(jiān)視和記錄網(wǎng)絡(luò)的流量,根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量,提供實(shí)時報警。網(wǎng)絡(luò)掃描器檢測主機(jī)上先前設(shè)置的漏洞,而IDS監(jiān)視和記錄網(wǎng)絡(luò)流量。如果在同一臺主機(jī)上運(yùn)行IDS和掃描器的話,配置合理的IDS會發(fā)出許多報警。
入侵監(jiān)測的功能
大多數(shù)的IDS程序可以提供關(guān)于網(wǎng)絡(luò)流量非常詳盡的分析。它們可以監(jiān)視任何定義好的流量。大多數(shù)的程序?qū)TP,HTTP和Telnet流量都有缺省的設(shè)置,還有其它的流量像NetBus,本地和遠(yuǎn)程登錄失敗等等。你也可以自己定制策略。下面討論一些更常見的檢測技巧。
網(wǎng)絡(luò)流量管理
像Computer Associates’ eTrust Intrusion Detection(以前是SessionWall),Axent Intruder Alert和ISS RealSecure等IDS程序允許你記錄,報告和禁止幾乎所有形式的網(wǎng)絡(luò)訪問。你還可以用這些程序來監(jiān)視某一臺主機(jī)的網(wǎng)絡(luò)流量,eTrust Intrusion Detection可以讀取這臺主機(jī)上用戶最后訪問的Web頁。
如果你定義了策略和規(guī)則,便可以獲得FTP,SMTP,Telnet和任何其它的流量。這種規(guī)則有助于你追查該連接和確定網(wǎng)絡(luò)上發(fā)生過什么,現(xiàn)在正在發(fā)生什么。這些程序在你需要確定網(wǎng)絡(luò)中策略實(shí)施的一致性情況時是非常有效的工具。
雖然IDS是安全管理人員或?qū)徲嬋藛T非常有價值的工具,但公司的雇員同樣可以安裝像eTrust Intrusion Detection或Intrude Alert這樣的程序來訪問重要的信息。攻擊者不僅可以讀取未加密的郵件,還可以嗅探密碼和收集重要的協(xié)議方面的信息。所以,你首要的工作是要檢查在網(wǎng)絡(luò)中是否有類似的程序在運(yùn)行。
系統(tǒng)掃描,Jails和IDS
在本教程的早些時候,你學(xué)習(xí)到如何應(yīng)用不同的策略來加強(qiáng)有效的安全。這項任務(wù)需要在網(wǎng)絡(luò)中不同的部分實(shí)施控制,從操作系統(tǒng)到掃描器、IDS程序和防火墻。你已經(jīng)使用過系統(tǒng)掃描器,許多安全專家將這些程序和IDS結(jié)合起來。系統(tǒng)完整性檢查,廣泛地記錄日志,黑客“監(jiān)獄”和引誘程序都是可以同IDS前后配合的有效工具。
追蹤
IDS所能做到的不僅僅是記錄事件,它還可以確定事件發(fā)生的位置,這是許多安全專家購買IDS的主要原因。通過追蹤來源,你可以更多的了解攻擊者。這些經(jīng)驗不僅可以幫你記錄下攻擊過程,同時也有助于確定解決方案。
入侵監(jiān)測系統(tǒng)的必要性
防火墻看起來好像可以滿足系統(tǒng)管理員的一切需求。然而,隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多,IDS由于能夠在防火墻內(nèi)部監(jiān)測非法的活動正變得越來越必要。新的技術(shù)同樣給防火墻帶來了嚴(yán)重的威脅。例如,VPN可穿透防火墻,所以需要IDS在防火墻后提供安全保障。雖然VPN本身很安全,但有可能通過VPN進(jìn)行通信的其中一方被root kit或NetBus所控制,而這種破壞行為是防火墻無法抵御的。基于以上兩點(diǎn)原因,IDS已經(jīng)成為安全策略的重要組成部分。
我們還需要注意的是,攻擊者可以實(shí)施攻擊使IDS過載,其結(jié)果可能是IDS系統(tǒng)成為拒絕服務(wù)攻擊的參與者。而且,攻擊者會盡量調(diào)整攻擊手法,從而使IDS無法追蹤網(wǎng)絡(luò)上的活動。
入侵監(jiān)測系統(tǒng)的構(gòu)架
有兩種構(gòu)架的IDS可供選擇,每種都有它的適用環(huán)境。雖然主機(jī)級的IDS具有更強(qiáng)的功能而且可以提供更詳盡的信息,但它并不總是最佳選擇。
網(wǎng)絡(luò)級IDS
你可以使用網(wǎng)絡(luò)級的產(chǎn)品,象eTrust Intrusion Detection只需一次安裝。程序(或服務(wù))會掃描整個網(wǎng)段中所有傳輸?shù)男畔泶_定網(wǎng)絡(luò)中實(shí)時的活動。網(wǎng)絡(luò)級IDS程序同時充當(dāng)管理者和代理的身份,安裝IDS的主機(jī)完成所有的工作,網(wǎng)絡(luò)只是接受被動的查詢。CA的Session Wall也是這種IDS產(chǎn)品,其主界面如下圖:
優(yōu)點(diǎn)和缺點(diǎn)
這種入侵監(jiān)測系統(tǒng)很容易安裝和實(shí)施;通常只需要將程序在主機(jī)上安裝一次。網(wǎng)絡(luò)級的IDS尤其適合阻止掃描和拒絕服務(wù)攻擊。但是,這種IDS構(gòu)架在交換和ATM環(huán)境下工作得不好。而且,它對處理升級非法賬號,破壞策略和篡改日志也并不特別有效。在掃描大型網(wǎng)絡(luò)時會使主機(jī)的性能急劇下降。所以,對于大型、復(fù)雜的網(wǎng)絡(luò),你需要主機(jī)級的IDS。
主機(jī)級IDS
像前面所講的,主機(jī)級的IDS結(jié)構(gòu)使用一個管理者和數(shù)個代理。管理者向代理發(fā)送查詢請求,代理向管理者匯報網(wǎng)絡(luò)中主機(jī)傳輸信息的情況。代理和管理者之間直接通信,解決了復(fù)雜網(wǎng)絡(luò)中的許多問題。
技術(shù)提示:在應(yīng)用任何主機(jī)級IDS之前,你需要在一個隔離的網(wǎng)段進(jìn)行測試。這種測試可以幫助你確定這種Manager-to-agent的通信是否安全,以及對網(wǎng)絡(luò)帶寬的影響。
管理者M(jìn)anagers
管理者定義管理代理的規(guī)則和策略。管理者安裝在一臺經(jīng)過特殊配置過的主機(jī)上,對網(wǎng)絡(luò)中的代理進(jìn)行查詢。有的管理者具有圖形界面兒其它的IDS產(chǎn)品只是以守護(hù)進(jìn)程的形式來運(yùn)行管理者,然后使用其它程序來管理它們。
物理安全對充當(dāng)管理者的主機(jī)來說至關(guān)重要。如果攻擊者可以獲得硬盤的訪問權(quán),他便可以獲得重要的信息。此外,除非必需管理者的系統(tǒng)也不應(yīng)被網(wǎng)絡(luò)用戶訪問到,這種限制包括Internet訪問。
安裝管理者的操作系統(tǒng)應(yīng)該盡可能的安全和沒有漏洞。有些廠商要求你使用特定類型的操作系統(tǒng)來安裝管理者。例如,ISS RealSecure要求你安裝在Windows NT Workstation而不是Windows NT Server,這是由于在NT Workstation上更容易對操作系統(tǒng)進(jìn)行精簡。
