网络安全讲座之八:IDS系统(1)
在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。
什么是入侵监测
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如,你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。
入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上,即使正在运行着扫描程序,也无法识别这种攻击。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
入侵监测的功能
大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP,HTTP和Telnet流量都有缺省的设置,还有其它的流量像NetBus,本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的检测技巧。
网络流量管理
像Computer Associates’ eTrust Intrusion Detection(以前是SessionWall),Axent Intruder Alert和ISS RealSecure等IDS程序允许你记录,报告和禁止几乎所有形式的网络访问。你还可以用这些程序来监视某一台主机的网络流量,eTrust Intrusion Detection可以读取这台主机上用户最后访问的Web页。
如果你定义了策略和规则,便可以获得FTP,SMTP,Telnet和任何其它的流量。这种规则有助于你追查该连接和确定网络上发生过什么,现在正在发生什么。这些程序在你需要确定网络中策略实施的一致性情况时是非常有效的工具。
虽然IDS是安全管理人员或审计人员非常有价值的工具,但公司的雇员同样可以安装像eTrust Intrusion Detection或Intrude Alert这样的程序来访问重要的信息。攻击者不仅可以读取未加密的邮件,还可以嗅探密码和收集重要的协议方面的信息。所以,你首要的工作是要检查在网络中是否有类似的程序在运行。
系统扫描,Jails和IDS
在本教程的早些时候,你学习到如何应用不同的策略来加强有效的安全。这项任务需要在网络中不同的部分实施控制,从操作系统到扫描器、IDS程序和防火墙。你已经使用过系统扫描器,许多安全专家将这些程序和IDS结合起来。系统完整性检查,广泛地记录日志,黑客“监狱”和引诱程序都是可以同IDS前后配合的有效工具。
追踪
IDS所能做到的不仅仅是记录事件,它还可以确定事件发生的位置,这是许多安全专家购买IDS的主要原因。通过追踪来源,你可以更多的了解攻击者。这些经验不仅可以帮你记录下攻击过程,同时也有助于确定解决方案。