連接埠掃瞄.ppt

設定IDS 為了徹底發揮IDS的功效，因此必須事先完成許多規劃動作。 在建立合適的政策之前，必須先獲取資訊、執行必要的管理。 即便是更加複雜的系統，也必須建立、驗證、測試才能發展政策。 建立IDS政策的步驟如下： 1.定義IDS的目標。 2.選擇監視的目標。 3.選擇回應的方式。 4.設定門檻。 5.建置政策。 定義IDS的目標 IDS的目標可做為IDS政策的需求。可能的目標如下： 可偵測的攻擊類型。 可防範的攻擊類型。 偵測違反政策的情況。 落實使用政策。 落實連線政策。 收集證據。 攻擊識別 攻擊識別是IDS最常見的用途。 IDS可以用來找尋可能代表攻擊行為的特定事件類型。 大部分的攻擊特徵並不容易辨識。 HIDS可能會發生 － 在短時間之內，單一帳號連續嘗試登入失敗的規則。 識別這種攻擊類型的唯一方法，就是蒐集每一個系統的記錄，並進行關連式交叉分析。 如果HIDS可以關聯交叉分析各個系統的記錄，就有可能識別出這種攻擊類型。 監視政策 設定成監視政策的IDS，就是追蹤各種行為是否符合公司政策。 NIDS也可以用來檢查路由器或防火牆的組態設定。 落實政策 需要進一步地組態設定監視政策。 在落實政策方面，需要將IDS設定成 － 偵測到違反政策的時候必須採用的行動。 在『監視政策』的範例中，落實政策IDS不僅可以辨識嘗試連線到網站黑名單的連線需求，也可採取防止連線的動作。 事件應變 在確認事件之後，IDS會變成最有價值的工具。 雖然IDS可以做為確認事故的起因，但在確認事件之後，IDS可以成為收集證據和記錄證據的工具。 在扮演這種角色的時候，NIDS或許可以設定成找尋某些特定的連線，並提完整流量的記錄。 HIDS或許可以設定成留存目標系統上，特定帳號所有記錄入口的記錄。 選擇監視的目標 選擇監視的目標，是依據IDS希望達成的目標和IDS可以發揮功效的環境而定。 配置IDS的另外一種選擇，就是配置在防火牆上，單純用來監視成功入侵防火牆的流量。 在這種情況下，可能無法確認外送的流量（詳見圖13-3）。 在選擇監視的目標之後，接著就可以配置偵測器。 偵測器可以配置在防火牆的外部、內部網路、機密系統，或用來收集、處理記錄檔案的系統上。 關鍵的部分就是在決定配置IDS偵測器的時候，偵測器必須能夠看到例如網路流量或記錄入口等特定事件。 如果偵測不到可以通過防火牆的事件時，那麼也不適合將偵測器配置在防火牆的內部。 如果只有Windows NT網路的主要網域控制器會登載特定的事件時，就應該在主要網域控制器安裝HIDS軟體，甚至如果攻擊者可能實際找到網路某處的工作站時，該工作站也應該要安裝HIDS偵測器。 何時需要配置NIDS偵測器，也是另一種需要考量的重點。 網路使用交換式集線器時，且NIDS偵測器只能連接到交換式集線器的連接埠，那麼NIDS偵測器也就無法發揮功效。 交換式集線只會將偵測器本身的流量，傳送到偵測器連接的連接埠。 在交換式網路的情況下，使用交換式集線器的監視連接埠或網路分配器的其中一種，就成了NIDS偵測器的配置方式。 圖13-4顯現這兩種配置方式的組態。 利用監視連接埠可能會和網路管理員發生衝突，這是因為這個連接埠一般都是做為網路的移難排解用途。 許多交換式集線器只允許一次監視一個連接埠（某些製造商稱為跨接『spanning』）。 一般都不會允許監視交換式集線器的骨幹線路。 交換式集線器的骨幹可能每秒傳送幾個GB（gigabit，1024MB）的流量，但是NIDS卻利用100BaseT（每秒100MB）連線，所以可能無法正常運作。 類似這樣的連線方式都可能會妨礙NIDS傳輸資訊，最後也將會導致連線終止，所以一般來說盡可能不要採用這種組態。 分配器是一種介於兩個設備之間的線路（例如路由器和交換式集線器之間的線路）被動式連線方式。 分配器和NIDS偵測器會連線到同一部媒體共享式集線器。這樣就可以允許偵測器監視流量。 13-2-3 選擇回應的方式 就像選擇監視目標一樣，也是依據希望IDS達成的目標來選擇回應方式。 當事件發生同時，可以選擇被動式回應（不會直接回應攻擊者的行為）或主動式回應（直接回應攻擊者的行為）。 被動式回應並非表示默許持續發生事件，而是選擇IDS本身不要直接回應事件的處理方式。 選擇自動回應或是人工控制回應時，也必須謹慎地斟酌。 被動回應 在偵測到入侵的行為時，最常見的就是被動式回應的行為類型。 原因非常簡單：因為被動式回應比較不會中斷合法流量，而且也是最容易達到完全自動化的方式。 被動式回應採取的動作，多半都是進一步收集資訊，且在必要的情況下通知有權採取回應行為的人。 迴避： 迴避或忽略已經嘗試過的攻擊，是現今最常見的回應方式。 比較複雜的IDS也可以採取這種回應方式。IDS可以設定成忽略專門