网络安全讲座之八:IDS系统(9)
防火墙会产生其它的连接问题。如果你试图连接处于防火墙保护下的代理,通常会因为防火墙只允许某些流量通过而失败。为了解决上述问题,请为该连接定义防火墙规则。
定义策略和建立规则
一旦你定义了策略,便可以开始使用它。你可以观看在Policy Library tree下的策略。然而,这个列表只是提供了潜在的策略。如果你希望更改工作中的代理,则点击活动的管理者图标然后是从Policy Library tree起源的策略。
ITA View分三次列出一些或全部的策略。不要对这种重复感到迷惑:程序列出了活动的策略和任何你可能使用策略,还列出至少两个域的策略:缺省的所有代理和缺省的NT。第三个tree列出了你可能增添到缺省域中的策略。当然,你可以重命名这些缺省的域,也可以增加新的域。第四个tree列出了事先定义好的策略,你可以剪切并粘贴到策略库中,并激活它们。在观看Active Policies tree时你无法看到特殊的规则短语和条款。你可以在Policies tree的管理者名称(如Student10)下看到这些信息。
规则的建立
同eTrust Intrusion Detection一样,ITA的规则也包含一些子元素。这些对确定ITA监测哪些网络和主机以及采取哪些行为有所帮助。所有ITA的策略都包含三个部分:选择、忽略和动作。
如果你希望确定一种特别的活动,例如NetBus连接或Land攻击,则 Select元素来定义。ITA针对你定义好的规则来实施特殊的行为。一旦你使用一个Select段并定义了事件,ITA就知道这个事件了。
然而,ITA并不知道针对这个事件采取什么行动。Ignore段就是用来满足这个需要的。ITA将忽略任何你放在Ignore段中的条款,即使你已经定义过了。在Action段中的条款将决定ITA对你所定义的事件采取什么行为。如果你把相同的事件同时置于Ignore和Action段中的话,ITA不会对该事件采取行动。通常,Ignore段被用来处理误报。ITA规则使用Boolean逻辑。如果Select段被激活或为真,ITA将查看任何的Ignore和Action段。例如,在Action段中规定ITA将事件记录到日志文件中,而且Ignore段中没有覆盖这条逻辑的话,ITA将采用在Action段中定义的规则。
对规则排序
你可以决定每条规则的重要性顺序。每条规则可以具有0到100的值。0到33的值表示这条规则是个警告,34到66表示为中等程度的安全问题,而67到100表示已经发生了严重的安全问题。ITA并不会自己将这些新的规则进行排序,你需要投入事件正确地对它们排列优先级顺序。
Indirect, Filter和Disable三个复选框对定义规则来说并不是必须的。这些只是ITA在应用规则时进行附加控制的。Indirect选项只允许当其它ITA规则引用时才运行,Filter选项将被其它规则检测到的事件删除掉,Disable在ITA检测时删除掉整个的规则。
进行查询
你可以使用ITA View进行查询。从ITA View的主界面,单击New按钮你可以定义并进行查询。Define New Filter对话框允许你连接管理者,然后直接从管理者向代理进行查询。从这里,你可以存储或装入事先定义好的能够帮助你快速了解某台主机安全状况的查询(例如filters)
由于这个程序独立于ITA Admin运行,你必须重新登录管理者。这项要求加强了安全性,而且保证了一个程序的崩溃并不会影响到管理和查询代理。
在连接好代理后,你可以开始进行查询。你的查询受限于你在ITA View中建立和激活的规则。你还可以根据优先级来进行查询。或者使用查询文本框,或者从管理者对象窗口向查询列表窗口拖拽查询项,然后选择Go。在查询对话框中的内容将覆盖在查询列表窗口的输入内容。
购买IDS注意事项
在选择产品时,请注意下列问题,见表
要点 | 问题 |
产品支持 | 谁你们公司所在区域的联系人?他们什么时候工作?什么是你的申报策略?他们什么时候可以进行支持?支持的花费是多少?有没有免费支持号码? |
产品培训 | 提供什么形式的培训?培训包括在产品中吗?花费有多少? |
升级策略 | 管理者和代理升级的频率有多快?升级需要花费吗?第一年的升级是免费的吗?如何通知进行升级?有没有对升级的建议过程? |
公司声誉 | 有哪些公司使用你们的产品?能否让我同使用过你们公司产品的系统管理员接触来了解情况? |
IDS功能 | 在IDS饱和前能处理的流量?如何通知我这些问题? |
产品的可扩展性 | 策略能够制定到什么复杂程度?该IDS可以处理多少种攻击特征和策略?策略能够细致到什么程度?我可以自己制定策略吗?产品研发的时间有多长? |
网络支持 | 哪种网络系统该IDS系统支持得最好?在UNIX,Novell和NT中各有什么缺点?你的产品缺省情况下能检查出什么sendmail漏洞?可以支持那种操作系统或设备(如路由器)。 |
加密 | 管理者和代理是否使用公钥加密?使用哪种公钥? |
有些IDS厂商不希望泄漏他们的产品的细节。然而,你要弄清楚是该公司不愿意泄漏这些重要信息,还是根本就没搞懂这些产品。
建立基线是你在审计过程中应当采取的第一步。在建立基线时,先在网络活动的峰值期间运行IDS一段很短的时间。下面的连续将告诉你更多的关于整个网络活动的情况。掌握这些信息是唯一能够确定你所运行的网络是否“正常”的标准。确定在员工工作期间发生了哪种类型的活动。这些情况有助于你捕获那些有工业间谍或其它安全伤害的雇员行为。另外可以在晚间运行IDS,因为这是攻击者从外界进行攻击的最常见时段。