安装入侵检测系统后的注意事项

在经过数月的评估、测试、购置等工作,部署好入侵检测系统后,别以为事情就已完成,其实还有很多等待你去做。
   入侵检测系统(Intrusion Detection System IDS)如同一个三岁的早熟小孩,需要你时刻注意他,否则他就不高兴。这种说法可能有些离谱,但IDS确实不象其它安全系统那样,在安装后可以置之不理,而是需要与你沟通,需要你的特别留意。
  防火墙有可能不需要你的理会,因为它只是默默地驻守在网络的旁边,隔断所有不受欢迎的网包,保护你的网络不受拒绝服务攻击或惹上其它与IP有关的麻烦。 认证系统、VPN 以及其它大部分安全设备也都不需要你的理会。你越不理会它们的存在,它们越能各尽其职。

  相反,IDS需要你不断地敦促才能”进入状态”,这样才会告诉你它正在扫描端口,有无诸如”SYN风暴” 及其它各种各样的”鬼东西”正在攻击你的网络及系统。所以,如果你考虑把IDS作为网络安全架构的一部分,你就不仅要考虑哪些方案最能满足你的需要,还要考虑你在”安装后的生活状况”。也就是说,你将如何监控你的系统,谁去监管这些系统,以及最重要一点–IDS半夜三更发出警报时,你该怎麽办?

不仅仅是”即插即用”

  要好好利用IDS,因为安装后不仅意味着你拥有探测器及监控器,同时,你将拥有技术和人力资源的定制权、监控权、反应权及改正权。

  定制 是指更精细地调校IDS,使IDS有能力找出与你网络有关的事件。统计数据显示:大部分攻击是由来自企业内部DMZ (非军事区)的人发动的,所以这个寻找过程不仅限于消除来自网上的假警报。

  监控 是指对IDS资源的理解,包括知道什么是假警报以及如何调查及处理那些看来是真的警示。

  反应 是指当有真警报发生时所采取的行动。攻击者究竟想达到什么目的?攻击者来了没有?如果你的Web 服务器已被破坏,你要做什么?把服务器关掉,还是进入离线状态?是否要发动反击?你是否准备进行犯案分析,来判断真正发生了什么事情,然后采取法律行动?

  改正是指堵塞漏洞–漏洞的范围很广泛,可以是一个配置不良的服务器,或是一个过时的安全政策和一个不充分安全的网络边界。

  IDS 监控及程序 在把整个安全架构捆绑在一起时,你有没有考虑清楚到底要监控什么?你有没有决定一旦发生事故后要采取什么行动?一旦检测到入侵事件, 你有没有一套纠正问题的机制? 如果你不能回答这些问题,你就没有资格讨论网络安全这一问题。

入侵检测系统:回顾

  在深入探讨如何监控IDS 及如何对攻击或滥用等行为报告反应前,我们应该先回顾现在市场上最常见的IDS系统。一般来说,IDS 由探测器及管理器组成,探测器负责寻找出攻击, 而管理器整理探测器收集的数据并把结果报告给操作员。

  IDS探测器基本上分两类: 基于网络的和基于主机的。基于网络的探测器负责嗅探网络的连接,监视例如TCP包的流量等,看看有没有被攻击的迹象;基于主机的探测器在你重要的系统服务器、工作站或用户机器上运行,监视OS或系统事件级别的可疑活动。这些探测器可寻找潜在的可疑活动(如尝试登录失败)。IDS管理器则是一个中央监控中心,不断接收来自探测器及警报器的数据。

  基于网络的IDS 基于网络的IDS如同”超级”探测器,即它们在TCP/IP层(或更低层)监视流量,看看有没有已知的攻击模式(如Ping-of-death 或Web 服务器的攻击)。这些系统的工作极富挑战性,因为探测器看不到网上所有流量的交换环境。此外,绝大部分基于网络的IDS只能找出与黑客攻击类似的滥用模式。基于网络的IDS容易出现假警报。例如,当你的Web 服务器已超载,不能够再处理更多的连接请求时, IDS会以为你正在受到拒绝服务的攻击,但是真实的情况并不是这样。通常,基于网络的IDS不会搜索其它可疑活动,如某个邮递工作人员试图访问你公司的财务数据等。当然,网络嗅探器可以被调校成只搜索某一类攻击,但要找出每种攻击情景是个相当费事的过程。假如很多破坏安全的事件是由内部人所为,而你只用IDS监视网络边界来搜索攻击,这在某种程度还不能达到你投资IDS的目的。

  基于主机的IDS 这种检测系统采取不同的方法搜索攻击模式。基于主机的IDS与嗅探器不同,检测事件要靠操作系统的日志,因此它不能目击发生在网络层的攻击。 如同基于网络的IDS,这些基于主机的IDS迫使你定义清楚哪些是你认为不合法的活动,然后就把这种安全政策转换成IDS规则。基于主机的IDS也可以被配置成搜索某类指定的攻击而忽略其它的模式。同样,调校探测器的过程也是非常费时的。

混合型IDS
   供应商已知道纯粹基于主机或基于网络的IDS拥有很多功能上的局限性,所以,大约在一年前,他们就开始推出新系统。他们把这两类IDS的最好功能结合起来,形成了新的IDS探测架构。ISS 的RealSecure,、NAI 的CyberCop 及ODS 网络公司的CMDS 就采取了这种混合方法来提供入侵检测的解决方案。

  RealSecure 原本依赖基于网络的探测器探测,但现在也包括了基于主机的入侵检测系统。ISS也融合了监控路由器系统日志的功能,所以,现在你的路由器也可以是个IDS探测器。CyberCop现在不仅提供基于主机的IDS,它也正在朝融合架构的方向发展,把网络嗅探器放在它们的主机代理中。而CMDS 同时使用网络及主机信息来搜索攻击模式。

智能IDS管理器

  典型的IDS,不管是基于主机的、基于网络的或是两类型的混合,仍然需要你对它们进行调校及定制。但有一种新型的IDS,名叫”智能系统”IDS,它可以减轻你部分工作量。 这种系统不只可以从特别的探测器中读取数据,还可以从网络中每一台设备读取信息。它们会聆听路由器及操作系统的系统日志,吸纳防火墙的日志文件及IDS探测器信息,然后通过整理这批数据来判断你的网络究竟发生了什么事情。

  这样的智能系统也试图通过智能调校灵敏度以消除假警报。 例如:CMDS就有一个检测不正常活动的工具,它可在某段时间内收集网络的数据,然后用基于网络的方法建立新的用户简表。一旦建立了新的简表,所有超出简表范围的事件都会触发警报。例如,如果用户Bob一般都是在正常工作时间登录网络,但有一次,Bob半夜三点钟从家里登录并开始下载文件。虽然Bob并没有做错事,IDS同样会向你发出警报。

  其它产品也开始相继融合了类似的高级智能功能。例如CyberSafe 的Centrax 融合了安全政策、评估及监控功能,成为单一的管理控制台。 ISS 的RealSecure 的Fusion 技术就是结合了多个探测器的结果,不论这些探测器是基于主机的还是网络的、路由器或防火墙的,根据横跨这些设备的多阶段事件,IDS就可以作出明智的决定。例如,由网络探测器检测出缓冲器溢出,同时,主机探测器检测到根登录,这两者结合就可能是非法操作,IDS便会发出警报。

  其它供应商也正在努力改进系统,使IDS更能减轻行政管理的负担。Axent 的NetProwler 可以先扫描你的网络,看看网络有哪些系统,然后自动配