我們已經接觸了手工和自動運行的掃描程序。這些工具在審計過程中是非常有用的。你還使用了包嗅探器,這是另一個確定網絡中存在哪些活動類型的工具。入侵監測系統會在兩方面引起你的注意。首先,這種保護網絡的形式變得越來越流行。你需要了解網絡當前的結構來確定配置是否合適。第二,你可能在推薦這種產品,因此,你必須知道如何為特殊的網絡情況推薦這種產品。
在測試過程中你可以使用多種類型的工具。這些工具在整個的審計過程中是必不可少的。它們會幫助你在枯燥乏味的分析過程中節省時間。
什么是入侵監測
入侵監測系統處于防火墻之后對網絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網絡活動,所以入侵監測系統是防火墻的延續。它們可以和你的防火墻和路由器配合工作。例如,你的IDS可以重新配置來禁止從防火墻外部進入的惡意流量。你應當理解入侵監測系統是獨立于防火墻工作的。
入侵監測系統IDS與系統掃描器system scanner不同。系統掃描器是根據攻擊特征數據庫來掃描系統漏洞的,它更關注配置上的漏洞而不是當前進出你的主機的流量。在遭受攻擊的主機上,即使正在運行著掃描程序,也無法識別這種攻擊。
IDS掃描當前網絡的活動,監視和記錄網絡的流量,根據定義好的規則來過濾從主機網卡到網線上的流量,提供實時報警。網絡掃描器檢測主機上先前設置的漏洞,而IDS監視和記錄網絡流量。如果在同一臺主機上運行IDS和掃描器的話,配置合理的IDS會發出許多報警。
入侵監測的功能
大多數的IDS程序可以提供關于網絡流量非常詳盡的分析。它們可以監視任何定義好的流量。大多數的程序對FTP,HTTP和Telnet流量都有缺省的設置,還有其它的流量像NetBus,本地和遠程登錄失敗等等。你也可以自己定制策略。下面討論一些更常見的檢測技巧。
網絡流量管理
像Computer Associates’ eTrust Intrusion Detection(以前是SessionWall),Axent Intruder Alert和ISS RealSecure等IDS程序允許你記錄,報告和禁止幾乎所有形式的網絡訪問。你還可以用這些程序來監視某一臺主機的網絡流量,eTrust Intrusion Detection可以讀取這臺主機上用戶最后訪問的Web頁。
如果你定義了策略和規則,便可以獲得FTP,SMTP,Telnet和任何其它的流量。這種規則有助于你追查該連接和確定網絡上發生過什么,現在正在發生什么。這些程序在你需要確定網絡中策略實施的一致性情況時是非常有效的工具。
雖然IDS是安全管理人員或審計人員非常有價值的工具,但公司的雇員同樣可以安裝像eTrust Intrusion Detection或Intrude Alert這樣的程序來訪問重要的信息。攻擊者不僅可以讀取未加密的郵件,還可以嗅探密碼和收集重要的協議方面的信息。所以,你首要的工作是要檢查在網絡中是否有類似的程序在運行。
系統掃描,Jails和IDS
在本教程的早些時候,你學習到如何應用不同的策略來加強有效的安全。這項任務需要在網絡中不同的部分實施控制,從操作系統到掃描器、IDS程序和防火墻。你已經使用過系統掃描器,許多安全專家將這些程序和IDS結合起來。系統完整性檢查,廣泛地記錄日志,黑客“監獄”和引誘程序都是可以同IDS前后配合的有效工具。
追蹤
IDS所能做到的不僅僅是記錄事件,它還可以確定事件發生的位置,這是許多安全專家購買IDS的主要原因。通過追蹤來源,你可以更多的了解攻擊者。這些經驗不僅可以幫你記錄下攻擊過程,同時也有助于確定解決方案。
入侵監測系統的必要性
防火墻看起來好像可以滿足系統管理員的一切需求。然而,隨著基于雇員的攻擊行為和產品自身問題的增多,IDS由于能夠在防火墻內部監測非法的活動正變得越來越必要。新的技術同樣給防火墻帶來了嚴重的威脅。例如,VPN可穿透防火墻,所以需要IDS在防火墻后提供安全保障。雖然VPN本身很安全,但有可能通過VPN進行通信的其中一方被root kit或NetBus所控制,而這種破壞行為是防火墻無法抵御的。基于以上兩點原因,IDS已經成為安全策略的重要組成部分。
我們還需要注意的是,攻擊者可以實施攻擊使IDS過載,其結果可能是IDS系統成為拒絕服務攻擊的參與者。而且,攻擊者會盡量調整攻擊手法,從而使IDS無法追蹤網絡上的活動。
入侵監測系統的構架
有兩種構架的IDS可供選擇,每種都有它的適用環境。雖然主機級的IDS具有更強的功能而且可以提供更詳盡的信息,但它并不總是最佳選擇。
網絡級IDS
你可以使用網絡級的產品,象eTrust Intrusion Detection只需一次安裝。程序(或服務)會掃描整個網段中所有傳輸的信息來確定網絡中實時的活動。網絡級IDS程序同時充當管理者和代理的身份,安裝IDS的主機完成所有的工作,網絡只是接受被動的查詢。CA的Session Wall也是這種IDS產品,其主界面如下圖:
優點和缺點
這種入侵監測系統很容易安裝和實施;通常只需要將程序在主機上安裝一次。網絡級的IDS尤其適合阻止掃描和拒絕服務攻擊。但是,這種IDS構架在交換和ATM環境下工作得不好。而且,它對處理升級非法賬號,破壞策略和篡改日志也并不特別有效。在掃描大型網絡時會使主機的性能急劇下降。所以,對于大型、復雜的網絡,你需要主機級的IDS。
主機級IDS
像前面所講的,主機級的IDS結構使用一個管理者和數個代理。管理者向代理發送查詢請求,代理向管理者匯報網絡中主機傳輸信息的情況。代理和管理者之間直接通信,解決了復雜網絡中的許多問題。
技術提示:在應用任何主機級IDS之前,你需要在一個隔離的網段進行測試。這種測試可以幫助你確定這種Manager-to-agent的通信是否安全,以及對網絡帶寬的影響。
管理者Managers
管理者定義管理代理的規則和策略。管理者安裝在一臺經過特殊配置過的主機上,對網絡中的代理進行查詢。有的管理者具有圖形界面兒其它的IDS產品只是以守護進程的形式來運行管理者,然后使用其它程序來管理它們。
物理安全對充當管理者的主機來說至關重要。如果攻擊者可以獲得硬盤的訪問權,他便可以獲得重要的信息。此外,除非必需管理者的系統也不應被網絡用戶訪問到,這種限制包括Internet訪問。
安裝管理者的操作系統應該盡可能的安全和沒有漏洞。有些廠商要求你使用特定類型的操作系統來安裝管理者。例如,ISS RealSecure要求你安裝在Windows NT Workstation而不是Windows NT Server,這是由于在NT Workstation上更容易對操作系統進行精簡。
