入侵检测实战之全面问答
问:除了IDS外,还有什么入侵对策?
1、防火墙
有种观点说:防火墙是安全护卫的第一道防线,只要突破它,入侵者将随意驰骋被突破的网络。但是更好的说法应该是:防火墙是安全护卫的最后一道防线,在正确配置机器及良好运行入侵检测系统的前提下,用防火墙来避免script kiddies的幼稚和简单的攻击。有两点要注意:一是现在的许多路由器都可以配置成防火墙的过滤功能;二是防火墙通常只能抵抗外部攻击,对于内部破坏则显得力不从心。
2、口令验证系统
保证口令验证系统的稳固性是另外一个要采取的措施。或者采用系统内置的口令验证策略,比如Win2K的Kerberos验证,或者考虑购买单独产品以整合进增强的口令系统,比如RADIUS(远程认定拨号用户服务)或TACACS(TACACS是用于UNIX系统上有历史的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统)。这些验证系统都有助于消除Telnet、ftp、IMAP或POP等协议带来的明文口令问题。
3、虚拟专用网VPN
VPN通过Internet为远程访问创建安全的连接管道环境,其中使用的主要协议有PPTP和Ipsec。PPTP即PPP over TCP,使用它就可以为一台机器分配2个IP地址,一个用于Internet,另一个用于虚拟网。Ipsec是Win2K系统的新协议,它提高了传统IP协议的安全性。然而VPN也有其明显的弱点,虽然管道本身经过验证和加密处理是安全的,但是管道的两端却是开放的,这就可能造成入侵者从一个被安装了后门的家庭用户机器上大摇大摆地遛进安全管道、不被检查地访问内部网。
4、加密系统
随着个人隐私权的不断被重视,加密系统现在越来越“时髦”了。加密邮件可以使用PGP(Pretty Good Privacy)和SMIME(加密专用多用途Internet邮件扩展),加密文件也可以使用PGP,加密文件系统可以使用BestCrypt或者还是PGP。
问:IDS系统应该安放到网络的什么部位?
1、网络主机
在非混杂模式网络中,可以将NIDS系统安装在主机上,从而监测位于同一交换机上的机器间是否存在攻击现象。
2、网络边界
IDS非常适合于安装在网络边界处,例如防火墙的两端、拨号服务器附近以及到其他网络的连接处。由于这些位置的带宽都不很高,所以IDS系统可以跟上通讯流的速度。
3、广域网中枢
由于经常发生从偏僻地带攻击广域网核心位置的案件以及广域网的带宽通常不很高,在广域网的骨干地段安装IDS系统也显得日益重要。
4、服务器群
服务器种类不同,通讯速度也不同。对于流量速度不是很高的应用服务器,安装IDS是非常好的选择;对于流量速度快但又特别重要的服务器,可以考虑安装专用IDS系统进行监测。
5、局域网中枢
IDS系统通常都不能很好地应用于局域网,因为它的带宽很高,IDS很难追上狂奔的数据流、不能完成重新构造数据包的工作。如果必须使用,那么就不能对IDS的性能要求太高,一般达到检测简单攻击的目的就应该心满意足。
问:IDS如何与网络中的其他安全措施相配合?
1、建立不断完善的安全策略。这一点异常重要!谁负责干什么?发生了入侵事件后怎么干?有了这些,就有了正确行动的指南。
2、根据不同的安全要求,合理放置防火墙。例如,放在内部网和外部网之间、放在服务器和客户端之间、放在公司网络和合作伙伴网络之间。
3、使用网络漏洞扫描器检查防火墙的漏洞。
4、使用主机策略扫描器确保服务器等关键设备的最大安全性,比如看看它们是否已经打了最新补丁。
5、使用NIDS系统和其他数据包嗅探软件查看网络上是否有“黑”流涌动。
6、使用基于主机的IDS系统和病毒扫描软件对成功的入侵行为作标记。
7、使用网络管理平台为可疑活动设置报警。最起码的,所有的SNMP设备都应该能够发送“验证失败”的trap信息,然后由管理控制台向管理员报警。