思科安全監(jiān)視、分析和響應(yīng)系統(tǒng)即MARS是思科網(wǎng)絡(luò)安全系統(tǒng)中的一個關(guān)鍵組件，它可幫助用戶的安全和網(wǎng)絡(luò)機(jī)構(gòu)識別、管理、抵御安全威脅。它可利用用戶原有的安全投資來識別、隔離非法行為并向用戶推薦正確的清除威脅的措施。但MARS的安全又如何實(shí)現(xiàn)呢？本文將討論保障MARS安全的手段和措施。

安全信息管理（SIM）系統(tǒng)可包含大量的敏感信息。這是因?yàn)樗梢越邮諄碜跃W(wǎng)絡(luò)安全系統(tǒng)的事件日志。這些日志包含可被用于攻擊敏感系統(tǒng)的信息。例如，入侵檢測系統(tǒng)（IDS）日志可包含網(wǎng)絡(luò)中的實(shí)際數(shù)據(jù)包。管理員可以通過免費(fèi)的數(shù)據(jù)包分析程序來分析某些數(shù)據(jù)包，來查找雇員用于訪問網(wǎng)站、電子郵件系統(tǒng)、網(wǎng)絡(luò)設(shè)備的用戶名和口令。

雖然安全人員總是鼓勵用戶選擇用于公司網(wǎng)絡(luò)的唯一口令，事實(shí)是許多用戶傾向于將同樣的口令既用于工作場所，又用于家庭的上網(wǎng)活動。如果一個雇員決定將工作場所的網(wǎng)絡(luò)口令用于個人的電子郵件口令，如果一個攻擊者采用電子郵件的明文身份驗(yàn)證，那么，此用戶也就是在公司網(wǎng)絡(luò)中造就了一個從事非法活動的賬戶。

作為一款可查看網(wǎng)絡(luò)拓?fù)涞陌踩畔a(chǎn)品，思科的安全監(jiān)視、分析、響應(yīng)系統(tǒng)（MARS）通常包含著一些較為敏感的信息。在監(jiān)視、分析、響應(yīng)系統(tǒng)（MARS）的范圍內(nèi)，感知網(wǎng)絡(luò)拓?fù)涞淖罹_方法是發(fā)現(xiàn)每一個網(wǎng)絡(luò)設(shè)備。這涉及到關(guān)于MARS的配置訪問信息，對設(shè)備的身份驗(yàn)證，檢索接口信息并定期重新發(fā)現(xiàn)這種信息。在用戶接口的范圍內(nèi)，無論是命令行接口和Web用戶界面，都可對設(shè)備的身份驗(yàn)證信息進(jìn)行偽裝，以防止非法用戶使用控制臺獲取未經(jīng)授權(quán)的信息。不過，如果攻擊者獲得了對操作系統(tǒng)的訪問權(quán)，或者獲取了對設(shè)備的物理訪問權(quán)，攻擊者就可以使用這種權(quán)力檢索包含在硬盤上的所有信息，而這種信息又可能包含設(shè)備的身份驗(yàn)證信息。他還可以使用這種訪問安裝后門，以便于在日后的任何時間實(shí)施遠(yuǎn)程訪問。

本文將描述保障監(jiān)視、分析、響應(yīng)系統(tǒng)（MARS）安全的建議，包括物理的和邏輯的兩個方面。除探討了對安全、網(wǎng)絡(luò)、其它設(shè)備的監(jiān)視之外，還提詳細(xì)探究了監(jiān)視、分析、響應(yīng)系統(tǒng)（MARS）與其它MARS通信的TCP端口和UDP端口。

物理安全

如果用戶不解決物理安全問題，就不能正確地解決網(wǎng)絡(luò)安全問題。這是一個常識問題。任何一個懷有惡意的家伙如果獲得了對目標(biāo)系統(tǒng)的物理訪問，那么所有的網(wǎng)絡(luò)安全措施都將毫無意義。

作為管理員，要保障安全管理網(wǎng)絡(luò)上的主機(jī)和MARS位于一個受保護(hù)的設(shè)施中。至少，這些設(shè)備應(yīng)當(dāng)鎖在一個無法被沒有特定業(yè)務(wù)需要的人員訪問的房間中。理想情況下，安全管理位于實(shí)施了強(qiáng)健的安全的數(shù)據(jù)中心中。擁有訪問設(shè)施權(quán)限的人員需要擁有安全徽章，并需要進(jìn)入之前，在紙介質(zhì)上或電子方式簽名且記錄訪問的時間。

MARS設(shè)備的固有安全性

對所有MARS設(shè)備的管理訪問是通過SSL進(jìn)行的，可采用HTTPS協(xié)議和SSH協(xié)議。這些協(xié)議分別使用TCP 的443端口和22端口，有著固有的安全性，因?yàn)樗鼈兪褂昧思用堋⑸矸蒡?yàn)證和授權(quán)等機(jī)制。實(shí)現(xiàn)同樣功能的HTTP和Telnet等協(xié)議,由于沒有加密，所以在MARS設(shè)備上是被禁用的。

MARS設(shè)備是強(qiáng)化的的Linux服務(wù)器，它運(yùn)行著各種服務(wù)，包括Oracle、Apache HTTP服務(wù)器等等。通過軟件更新，可以減少M(fèi)ARS設(shè)備上的各種服務(wù)和驅(qū)動程序中新發(fā)現(xiàn)的漏洞。此外，將一些必要的服務(wù)或未用的服務(wù)禁用可以防止一些設(shè)備的潛在安全漏洞。

對操作系統(tǒng)的強(qiáng)化是增強(qiáng)安全的良好開端，但卻遠(yuǎn)遠(yuǎn)不夠。在考慮MARS設(shè)備的安全性時，用戶需要考慮MARS設(shè)備上信息的敏感性。用戶應(yīng)當(dāng)擁有一個健全的計(jì)劃，用以防止MARS被用作網(wǎng)絡(luò)攻擊工具。這也包括將此設(shè)備放置在受到防火墻或IDS保護(hù)的某個網(wǎng)絡(luò)部分。
如果沒有防火墻及IDS或IPS保護(hù)MARS，黑客就會通過管理協(xié)議或監(jiān)視安全或網(wǎng)絡(luò)設(shè)備的其它協(xié)議，想方設(shè)法查找漏洞。在構(gòu)建一些攻擊事件的審計(jì)索引時，防火墻或IDS/IPS準(zhǔn)許用戶限制受到攻擊的暴露程度。

舉個例子，可以考慮一下SSH，這種遠(yuǎn)程管理MARS的命令方法。前一段時間，在為MARS提供這種服務(wù)的OpenSSH應(yīng)用程序中曾出現(xiàn)一些漏洞。目前，在現(xiàn)有的SSH服務(wù)中并不存在已知的漏洞。不過，在未來的某個時間，可能會發(fā)現(xiàn)某個新的漏洞。有鑒于此，用戶需要限制計(jì)算機(jī)的功能，其目的是如果不連接到某個特定網(wǎng)絡(luò)，可以建立一個到達(dá)MARS設(shè)備的SSH連接。狀態(tài)檢查防火墻是提供這種限制的一種理想設(shè)備。定期更新的網(wǎng)絡(luò)IDS或IPS可以檢測某人是否正在使用一個已知的漏洞來損害MARS設(shè)備的安全性。

還有一個使用SSH的例子，涉及到針對MARS設(shè)備的強(qiáng)力口令攻擊。在這種攻擊中，攻擊者不斷地重復(fù)使用口令字典，使用某種腳本，試圖攻克管理MARS設(shè)備的管理員口令。MARS特別易于受到這種類型攻擊的威脅，因?yàn)楣芾韱T的名字眾所周知，而這正是可以使用SSH的唯一用戶名。此例使用了與第一個例子相同的方法。首先，將MARS放置在一個受保護(hù)的網(wǎng)絡(luò)上，采用一個狀態(tài)檢測防火墻將其與網(wǎng)絡(luò)的其余部分分離開，準(zhǔn)許用戶限制到達(dá)有限幾個設(shè)備或公司網(wǎng)絡(luò)的連接企圖。此外，網(wǎng)絡(luò)IDS或IPS可以檢測多次登錄企圖，不管是通過SSH或基于Web的方式。這種IDS檢測可以通知恰當(dāng)?shù)膫€人，IPS可以防止更進(jìn)一步的攻擊企圖。