思科安全監視、分析和響應系統即MARS是思科網絡安全系統中的一個關鍵組件，它可幫助用戶的安全和網絡機構識別、管理、抵御安全威脅。它可利用用戶原有的安全投資來識別、隔離非法行為并向用戶推薦正確的清除威脅的措施。但MARS的安全又如何實現呢？本文將討論保障MARS安全的手段和措施。

安全信息管理（SIM）系統可包含大量的敏感信息。這是因為它可以接收來自網絡安全系統的事件日志。這些日志包含可被用于攻擊敏感系統的信息。例如，入侵檢測系統（IDS）日志可包含網絡中的實際數據包。管理員可以通過免費的數據包分析程序來分析某些數據包，來查找雇員用于訪問網站、電子郵件系統、網絡設備的用戶名和口令。

雖然安全人員總是鼓勵用戶選擇用于公司網絡的唯一口令，事實是許多用戶傾向于將同樣的口令既用于工作場所，又用于家庭的上網活動。如果一個雇員決定將工作場所的網絡口令用于個人的電子郵件口令，如果一個攻擊者采用電子郵件的明文身份驗證，那么，此用戶也就是在公司網絡中造就了一個從事非法活動的賬戶。

作為一款可查看網絡拓撲的安全信息產品，思科的安全監視、分析、響應系統（MARS）通常包含著一些較為敏感的信息。在監視、分析、響應系統（MARS）的范圍內，感知網絡拓撲的最精確方法是發現每一個網絡設備。這涉及到關于MARS的配置訪問信息，對設備的身份驗證，檢索接口信息并定期重新發現這種信息。在用戶接口的范圍內，無論是命令行接口和Web用戶界面，都可對設備的身份驗證信息進行偽裝，以防止非法用戶使用控制臺獲取未經授權的信息。不過，如果攻擊者獲得了對操作系統的訪問權，或者獲取了對設備的物理訪問權，攻擊者就可以使用這種權力檢索包含在硬盤上的所有信息，而這種信息又可能包含設備的身份驗證信息。他還可以使用這種訪問安裝后門，以便于在日后的任何時間實施遠程訪問。

本文將描述保障監視、分析、響應系統（MARS）安全的建議，包括物理的和邏輯的兩個方面。除探討了對安全、網絡、其它設備的監視之外，還提詳細探究了監視、分析、響應系統（MARS）與其它MARS通信的TCP端口和UDP端口。

物理安全

如果用戶不解決物理安全問題，就不能正確地解決網絡安全問題。這是一個常識問題。任何一個懷有惡意的家伙如果獲得了對目標系統的物理訪問，那么所有的網絡安全措施都將毫無意義。

作為管理員，要保障安全管理網絡上的主機和MARS位于一個受保護的設施中。至少，這些設備應當鎖在一個無法被沒有特定業務需要的人員訪問的房間中。理想情況下，安全管理位于實施了強健的安全的數據中心中。擁有訪問設施權限的人員需要擁有安全徽章，并需要進入之前，在紙介質上或電子方式簽名且記錄訪問的時間。

MARS設備的固有安全性

對所有MARS設備的管理訪問是通過SSL進行的，可采用HTTPS協議和SSH協議。這些協議分別使用TCP 的443端口和22端口，有著固有的安全性，因為它們使用了加密、身份驗證和授權等機制。實現同樣功能的HTTP和Telnet等協議,由于沒有加密，所以在MARS設備上是被禁用的。

MARS設備是強化的的Linux服務器，它運行著各種服務，包括Oracle、Apache HTTP服務器等等。通過軟件更新，可以減少MARS設備上的各種服務和驅動程序中新發現的漏洞。此外，將一些必要的服務或未用的服務禁用可以防止一些設備的潛在安全漏洞。

對操作系統的強化是增強安全的良好開端，但卻遠遠不夠。在考慮MARS設備的安全性時，用戶需要考慮MARS設備上信息的敏感性。用戶應當擁有一個健全的計劃，用以防止MARS被用作網絡攻擊工具。這也包括將此設備放置在受到防火墻或IDS保護的某個網絡部分。
如果沒有防火墻及IDS或IPS保護MARS，黑客就會通過管理協議或監視安全或網絡設備的其它協議，想方設法查找漏洞。在構建一些攻擊事件的審計索引時，防火墻或IDS/IPS準許用戶限制受到攻擊的暴露程度。

舉個例子，可以考慮一下SSH，這種遠程管理MARS的命令方法。前一段時間，在為MARS提供這種服務的OpenSSH應用程序中曾出現一些漏洞。目前，在現有的SSH服務中并不存在已知的漏洞。不過，在未來的某個時間，可能會發現某個新的漏洞。有鑒于此，用戶需要限制計算機的功能，其目的是如果不連接到某個特定網絡，可以建立一個到達MARS設備的SSH連接。狀態檢查防火墻是提供這種限制的一種理想設備。定期更新的網絡IDS或IPS可以檢測某人是否正在使用一個已知的漏洞來損害MARS設備的安全性。

還有一個使用SSH的例子，涉及到針對MARS設備的強力口令攻擊。在這種攻擊中，攻擊者不斷地重復使用口令字典，使用某種腳本，試圖攻克管理MARS設備的管理員口令。MARS特別易于受到這種類型攻擊的威脅，因為管理員的名字眾所周知，而這正是可以使用SSH的唯一用戶名。此例使用了與第一個例子相同的方法。首先，將MARS放置在一個受保護的網絡上，采用一個狀態檢測防火墻將其與網絡的其余部分分離開，準許用戶限制到達有限幾個設備或公司網絡的連接企圖。此外，網絡IDS或IPS可以檢測多次登錄企圖，不管是通過SSH或基于Web的方式。這種IDS檢測可以通知恰當的個人，IPS可以防止更進一步的攻擊企圖。