云安全产品配置与应用 产品配置与实践 HIDS部署.docx

HIDS部署实验 【实验环境】 图3.2.101 实验环境 实验环境如图3.2.101所示，其中： Windows实验台IP地址：以172.20.3.32/16为例，具体可根据实际网络环境进行配置 本地主机：Windows XP操作系统、SimpleISES系统客户端、IE浏览器 本地主机IP地址：以172.20.1.32/16为例，具体可根据实际网络环境进行配置 【实验内容】 安装Sentinel并使用基本工具 利用Sentinel扫描检测文件完整性 HIDS部署实验 【实验原理】 基于主机的入侵检测(HIDS)通过监视与分析主机的审计记录检测入侵。SIV是system integrity verifiers的缩写，即系统完整性检测，主要用于监视系统文件或者Windows 注册表等重要信息是否被修改，以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现，比如著名的“TrIPwire”，它可以检测到重要系统组件的变换情况，但并不产生实时的报警信息。对一个Windows系统管理员来说，主机系统的安全是一个重要的课题也是一个挑战。Windows系统漏洞一向比较多，相对也容易被入侵。通常的做法是安装必威体育精装版的补丁(虽然补丁有时会引起新的漏洞)，安装防火墙等手段努力使自己的系统变得强壮，但是操作系统的漏洞总是隔三差五地出来，从这个角度可以很绝对地说，互联网上没有安全的主机，包括UNIX系统。对入侵者而言，利用漏洞进入系统往往只是第一步，如果想得到更多，如超级用户的密码，数据库的口令等，往往需要下点功夫，最便捷也是最有效的方法就是改动或特洛伊化受侵害的主机上的文件，如放置自己的后台程序，替代某些关键文件，安装后台进程，伪装成系统文件等。众所周知，一个操作系统的正常运行要靠系统程序的正常执行，而程序的运行又与其可执行文件休戚相关。所以，维护系统完整性是确保系统安全的一项基本工作。这里的系统完整性是指系统中可执行文件的完整性，也就是说系统中的程序文件没被非法修改。如果能做到这点，基本可以杜绝病毒或者木马的入侵，安全性也能得到保证。同理，流氓软件就更容易杜绝了。在Windows下发现流氓软件或者木马一般是通过进程管理软件，或者cport等工具来发现异常的进程或者非法的TCP连接，或者查看启动组里面未知的自启动项，然后来判断这个文件或者进程的合法性。但随着技术的发展，目前的木马技术也是日新月异。一些常用手段比如隐藏进程，隐藏文件，重用端口等已经非常普及。03年出现的黑客之门是其中的代表之一，它如果安装到系统中，已经可以做到没有独立文件，没有端口，没有启动项，没有进程，没有加载模块(DLL)，简直无从下手查杀。如果机器被入侵但是没能发现这些改变，此时的服务器真就是“人为刀俎，我为鱼肉”。为了改变这种被动的局面，需要一种文件完整性检查工具，使得当系统文件被恶意修改后能及时发现，从而为进一步处理创造条件。Sentinel是一款免费的Windows文件完整性检查工具，通过CRC32，MD4，MD5等算法来对比确定文件的状态，保存系统文件的状态，从而可以发现文件的异常变动。 HIDS部署实验 【实验步骤】 安装Sentinel 在Windows实验台直接默认安装即可。 使用Sentinel进行扫描 安装完毕首次运行Sentinel，提示是否要扫描保存状态，选确定，它会第一次扫描并且保存系统的状态，以后它就根据这个来对比。默认情况下只检查% SYSTEMROOT%system32目录下的文件。 当觉得系统有异常或者想做一个例行检查的时候，只需要运行一下，然后选择扫描(Scan)，选择要扫描的文件类型(DLL,DRV,SYS,OCX, EXE,COM,PIF,SCR)，一般情况下就是全选，如图3.2.102所示。然后点立即扫描目录(Scan Folder Now)。Sentinel接下来就会扫描所有的文件，并且跟以前的文件状态进行比较，可以比较清楚看到它的扫描状态，如图3.2.103所示。 图3.2.102 扫描设定 图3.2.103 扫描状态 扫描完毕，出一个状态显示已经扫描的文件、新文件数、失败的文件数(即更改的文件)等，如图3.2.104所示。接着点那个修复和更新失败的文件按钮，就显示所有变化的文件，如图3.2.105所示。文件后面有一个*NEW*说明是新增加的，否则就是被更改的文件。可以根据这个信息来进一步判断，新增或者更改的文件是否是合法的、有效的。我们在C:\WINDOWS\system32目录下新建一个xxx.dll来验证一下。 图3.2.104 检测结果 图3.2.105 警告信息 除了默认的SYSTEM32目录之外，还可以自定义多达20个其它目录，如图3.2.106所示，这样可以根据需要，来监视相应的目录文件变化