立即登录 注册新帐号

http://www.chutianz.com - 楚天站长站

会员投稿 匿名投稿 投稿指南 RSS订阅 楚天站长站推荐:
搜索: 您的位置主页 > 服务器 > 安全防护 > 阅读资讯:企业需要什么样的IDS 测试IDS重要尺度

企业需要什么样的IDS 测试IDS重要尺度

2011-11-27 23:59:04 来源:www.chutianz.com 【 】 点击:我要投稿 发表评论

  通常,对企业网安全性的请求越高,需要采用的防备措施就越周密。那么,对于现实中的企业网,必不可少的防护措施有哪些?

  首先,我们需要选用防火墙作为防御非法进侵的大门,通过规矩定义,我们告诉防火墙和路由器: 符合某些条件的信息可以被放行,不符合某些条件的信息需要被拒尽。同时,我们还可以应用PKI加密认证和VPN通道技巧,让“正当”的信息达到目标地。

  其次,对服务器系统进行加固,提高安全防护程度。对系统的安全加固是个长期的工作,用户需要随时进行漏洞检查,做到随时发明随时弥补。

  第三,选用优良的进侵检测系统(Intrusion Detection System,IDS)。在安全防护系统中,若不良来访者被答应拜访,它会对企业网做出令网络治理者无法把持的事情,假如系统配备了IDS,这种损坏性行动将被克制。我们知道,网络总是要供给服务的,对于一些常用的服务如浏览和E-mail收发等,防火墙只做到答应或者拒尽各种各样拜访者拜访这些服务,无法判定具有攻击行动的拜访是否会摧毁防火墙。这就似乎门卫难以判定每个来访者是办事者还是偷盗者一样。假如墙角(或其他什么地位)安装了微型摄像机,能够监督来访者的一举一动,保安职员便可以根据来访者的行动及时发明不法分子,及时报警,确保办公与居住职员的安全。

  IDS在国内已经呈现一段时间了,它是网络安全防护系统的重要组成部分。目前,它在国内的利用还不够广泛,人们还没有充分利用这个利器更好地保护企业网。作为大多数技巧职员来说,先容IDS的材料相对较少,而市场上类似的产品却多如牛毛,如何准确选择合适各自企业利用的产品,是每个人都关心的话题。本文将从应用者的角度先容选择IDS的几个要害技巧点,盼看能为用户的选购给予帮助。

  需要提示用户留心的是,在IDS方面做得出色的产品必定很实用,但并不能说它就是一个优良的安全产品,由于除此之外,它还应当附带很多附属功效,即让用户感到简略、好用。作为一个真正的IDS产品,其重要功效应包含以下几个方面。

  检测进侵。

  远程治理。

  抗欺骗才能。

  自身安全性。

  下面,我们将分辨对这4个方面进行分析。

  一、检测进侵

  IDS最重要的功效是检测非法进侵。能够智能地报告进侵者的非法行动是检验IDS性能优劣的重要条件。用户安装上IDS后,在缺省情况下,应当对各个服务可能碰到的攻击进行告警检测。我们可以选择一些损坏性比拟大的攻击,比如远程溢出攻击(只要攻击成功,即可全面把持盘算机系统),用它对IDS进行一下测试。面对这种攻击,假如IDS产品没有反应,那么附加功效再多,也是一个检测非法进侵才能低下的产品。

  二、远程治理

  IDS的机制是监督网络上的流量,假如所要监督的网络不止一个Hub或交换机,就要在每个Hub或交换机上安装网络引擎。这样我们就需要一个把持台和日志分析程序来治理和分析多个网络引擎及它们产生的告警。用户有时盼看坐在办公室中实时查看和治理机房里的IDS,作为产品供给商,应当满足用户的这种需求,为用户供给远程治理功效,只是需要留心把这个功效和IDS的另一个功效(即远程告警)区离开。事实上,IDS还应当能够支撑各种各样的远程告警方法,像打电话、发邮件等等。不过这种交换是单向的,用户只能被动地得到信息,而不能主动把持远程的网络引擎。

  三、抗欺骗才能

  IDS的目标是抵制进侵者,然而进侵者会想方想法回避它。回避IDS的方法很多,总结起来可以分成两大类: 让IDS漏报和让IDS误报。

  1.IDS误报

  所谓IDS误报是指: 明明没有这个攻击,但是进侵者让IDS拼命告警,使不断增加的告警日志塞满硬盘,以致翻滚的告警屏幕把治理者搞得眼花纷乱。这样,真正的攻击就可以搀杂在数不清的虚伪告警中蒙混过关了。

  2001年3月,国外网络安全产品评测职员Coretez Giovanni发明另外一种让IDS误报的进侵: 快速地产生告警信息,克制IDS的反应速度,以致使IDS失往反应才能,甚至让系统呈现逝世机现象。当时,Coretez写了一个名为Stick的程序,作为IDS产品的测试用例。它的作用是: 可以读进Snort的规矩,然后按照Snort的规矩组包。由于Snort的规矩涵盖了尽大多数的攻击种类,所以IDS一旦匹配了按Snort规矩产生的攻击报文,即可发出告警信息。对于比拟著名的IDS像ISS Realscur和Snort,Stick都能给它们造成30s以上的停顿。所以,对于新呈现的IDS及其造成的迫害,用户尽不能疏忽。

  在发明新型IDS误报进侵方面,Stick功不可没。为了更好地测试用户选用的IDS产品,用户不妨从http://www.securityfocus.com/frames/?content=/templates/tools.html?id=1974高低载Stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,尽大多数的IDS都是从Snort得到众多鉴戒的,建议用户试用一下Stick。

  2.IDS漏报

  和IDS误报相比,漏报实在更危险。采用IDS技巧就是为了在发明进侵时给出告警信息。假如进侵者进侵成功而IDS尚未告警,IDS便失往存在的意义。笔者从国外网站上看到一篇文章,它对利用TCP连接特点让IDS做漏报进行了具体的描写,同时还给出一些实现漏报的措施,给笔者供给了一种新思路: IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很轻易地做到这一点。

  这种方法比拟合适智能化的IDS,好的IDS一般为了减少误报,会像现在一些高真个防火墙一样基于状态进行判定,而不是根据单个的报文进行判定。这样上面谈到的Stick对这种IDS一般不起作用。但是用户应当留心到,这种简略的IDS只是字符串匹配,一旦匹配成功,即可报警。

  2001年4月,又出了一个让IDS漏报的程序ADMmutate,据说它可以动态转变Shellcode。本来IDS依附提取公然的溢出程序的特点码来报警,特点码变了以后,IDS就报不出来了。但是程序还一样起作用,服务器一样被黑。这个程序的作者是ktwo,我们可以从http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz高低载该程序。用户不妨也试试它,以检测自己的IDS产品性能。不过,ADMmutate只能对依附检查字符串匹配告警的IDS起作用,假如IDS还依附长度和可打印字符等综合指标,则ADMmutate将很轻易被IDS监控到。

  IDS的实现总是在漏报和误报中徘徊,漏报率下降了,误报率就会提高; 同样误报率下降了,漏报率就会提高。一般地,IDS产品会在两者中取一个调和,并且能够进行调剂,以适应不同的网络环境。

  四、自身安全性

  毫无疑问,IDS程序本身的硬朗性是衡量IDS系统好坏的另一个指标。如上所述,Stick程序能让IDS结束响应,该IDS的硬朗性就值得猜忌。

  IDS的硬朗性重要体现在两个方面: 一是程序本身在各种网络环境下都能正常工作; 二是程序各个模块之间的通信能够不被损坏,不可仿冒。IDS用于各个模块间远程通信和把持,假如通信被假冒,比如假冒一个结束远程探测器的命令或者假冒告警信息,都是釜底抽薪的狠招。这就需要用户在模块间的通信过程中引进加密和认证的机制,并且这个加密和认证的机制的硬朗性要经受过考验。假如模块间的通信被切断,则需要良好的恢复重传机制。告警信息暂时没有发送出往,并不是丢弃,而是要本地保留,在适当的时候再发送。

感谢 的投稿 本文仅代表作者观点,与楚天站长站立场无关。

分享到:

数据统计中!!

tags:IDS,IDS, , ,,通常,,,,对,企业

 责任编辑:毛新红
  • 上一篇:小技巧:彻底清除系统的共享漏洞
  • 下一篇:一个不能少:在Vista中根据日期查找图片
  • 评论总数: 条 [ 查看全部 ] 网友评论