网络安全初体验之IDS入侵检测完全详解.docVIP

　　网络安全初体验之IDS入侵检测完全详解～教育资源库 　　我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器，这是另一个确定网络中存在哪些活动类型的工具。入侵监测系统会在两方面引起你的注意。首先，这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二，你可能在推荐这种产品，因此，你必须知道如何为特殊的网络情况推荐这种产品。 　　在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。 　　什么是入侵监测 　　入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如，你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。 　　入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。 　　IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。 　　入侵监测的功能 　　大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP，HTTP和Tel流量都有缺省的设置，还有其它的流量像NetBus，本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的检测技巧。 　　网络流量管理 　　像puter Associates eTrust Intrusion Detection（以前是SessionTP，Tel和任何其它的流量。这种规则有助于你追查该连接和确定网络上发生过什么，现在正在发生什么。这些程序在你需要确定网络中策略实施的一致性情况时是非常有效的工具。 　　虽然IDS是安全管理人员或审计人员非常有价值的工具，但公司的雇员同样可以安装像eTrust Intrusion Detection或Intrude Alert这样的程序来访问重要的信息。攻击者不仅可以读取未加密的邮件，还可以嗅探密码和收集重要的协议方面的信息。所以，你首要的工作是要检查在网络中是否有类似的程序在运行。 　　系统扫描，Jails和IDS 　　在本教程的早些时候，你学习到如何应用不同的策略来加强有效的安全。这项任务需要在网络中不同的部分实施控制，从操作系统到扫描器、IDS程序和防火墙。你已经使用过系统扫描器，许多安全专家将这些程序和IDS结合起来。系统完整性检查，广泛地记录日志，黑客监狱和引诱程序都是可以同IDS前后配合的有效工具。 　　追踪 　　IDS所能做到的不仅仅是记录事件，它还可以确定事件发生的位置，这是许多安全专家购买IDS的主要原因。通过追踪，你可以更多的了解攻击者。这些经验不仅可以帮你记录下攻击过程，同时也有助于确定解决方案。 　　入侵监测系统的必要性 　　防火墙看起来好像可以满足系统管理员的一切需求。然而，随着基于雇员的攻击行为和产品自身问题的增多，IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。例如，VPN可穿透防火墙，所以需要IDS在防火墙后提供安全保障。虽然VPN本身很安全，但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制，而这种破坏行为是防火墙无法抵御的。基于以上两点原因，IDS已经成为安全策略的重要组成部分。 　　我们还需要注意的是，攻击者可以实施攻击使IDS过载，其结果可能是IDS系统成为拒绝服务攻击的参与者。而且，攻击者会尽量调整攻击手法，从而使IDS无法追踪网络上的活动。 　　入侵监测系统的构架 　　有两种构架的IDS可供选择，每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息，但它并不总是最佳选择。 　　网络级IDS 　　你可以使用网络级的产品，象eTrust Intrusion Detection只需一次安装。程序（或服务）会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份，安装IDS的主机完成所有的工作，网络只是接受被动的查询。 　　优点和缺点 　　这种入侵监测系统很容易安装和实施；通常只需要将程序在主机上安装一