ids設備怎麼看配置
Ⅰ 如何在CentOS上配置基於主機的入侵檢測系統(IDS)的教程
所有系統管理員想要在他們生產伺服器上首先要部署的安全手段之一,就是檢測文件篡改的機制——不僅僅是文件內容,而且也包括它們的屬性。
AIDE (「高級入侵檢測環境」的簡稱)是一個開源的基於主機的入侵檢測系統。AIDE通過檢查大量文件屬性的不一致性來檢查系統二進制文件和基本配置文件的完整性,這些文件屬性包括許可權、文件類型、索引節點、鏈接數、鏈接名、用戶、組、文件大小、塊計數、修改時間、添加時間、創建時間、acl、SElinux安全上下文、xattrs,以及md5/sha校驗值在內的各種特徵。
AIDE通過掃描一台(未被篡改)的Linux伺服器的文件系統來構建文件屬性資料庫,以後將伺服器文件屬性與資料庫中的進行校對,然後在伺服器運行時對被修改的索引了的文件發出警告。出於這個原因,AIDE必須在系統更新後或其配置文件進行合法修改後重新對受保護的文件做索引。
對於某些客戶,他們可能會根據他們的安全策略在他們的伺服器上強制安裝某種入侵檢測系統。但是,不管客戶是否要求,系統管理員都應該部署一個入侵檢測系統,這通常是一個很好的做法。
在 CentOS或RHEL 上安裝AIDE
AIDE的初始安裝(同時是首次運行)最好是在系統剛安裝完後,並且沒有任何服務暴露在互聯網甚至區域網時。在這個早期階段,我們可以將來自外部的一切闖入和破壞風險降到最低限度。事實上,這也是確保系統在AIDE構建其初始資料庫時保持干凈的唯一途徑。(LCTT 譯註:當然,如果你的安裝源本身就存在安全隱患,則無法建立可信的數據記錄)
出於上面的原因,在安裝完系統後,我們可以執行下面的命令安裝AIDE:
# yum install aide
我們需要將我們的機器從網路斷開,並實施下面所述的一些基本配置任務。
配置AIDE
默認配置文件是/etc/aide.conf,該文件介紹了幾個示例保護規則(如FIPSR,NORMAL,DIR,DATAONLY),各個規則後面跟著一個等號以及要檢查的文件屬性列表,或者某些預定義的規則(由+分隔)。你也可以使用此種格式自定義規則。
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512
例如,上面的例子說明,NORMAL規則將檢查下列屬性的不一致性:許可權(p)、索引節點(i)、鏈接數(n)、用戶(u)、組(g)、大小(s)、修改時間(m)、創建時間(c)、ACL(acl)、SELinux(selinux)、xattrs(xattr)、SHA256/SHA512校驗和(sha256和sha512)。
定義的規則可靈活地用於不同的目錄和文件(用正則表達式表示)。
條目之前的感嘆號(!)告訴AIDE忽略子目錄(或目錄中的文件),對於這些可以另外定義規則。
在上面的例子中,PERMS是用於/etc機器子目錄和文件的默認規則。然而,對於/etc中的備份文件(如/etc/.*~)則不應用任何規則,也沒有規則用於/etc/mtab文件。對於/etc中的其它一些選定的子目錄或文件,使用NORMAL規則替代默認規則PERMS。
定義並應用正確的規則到系統中正確的位置,是使用AIDE最難的一部分,但作一個好的判斷是一個良好的開始。作為首要的一條規則,不要檢查不必要的屬性。例如,檢查/var/log或/var/spool里頭的文件的修改時間將導致大量誤報,因為許多的應用程序和守護進程經常會寫入內容到該位置,而這些內容都沒有問題。此外,檢查多個校驗值可能會加強安全性,但隨之而來的是AIDE的運行時間的增加。
可選的,如果你使用MAILTO變數指定電子郵件地址,就可以將檢查結果發送到你的郵箱。將下面這一行放到/etc/aide.conf中的任何位置即可。
MAILTO=root@localhost
首次運行AIDE
運行以下命令來初始化AIDE資料庫:
# aide --init
根據/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名為/var/lib/aide/aide.db.gz,以便AIDE能讀取它:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz
現在,是時候來將我們的系統與資料庫進行第一次校對了。任務很簡單,只需運行:
# aide
在沒有選項時,AIDE假定使用了--check選項。
如果在資料庫創建後沒有對系統做過任何修改,AIDE將會以OK信息來結束本次校對。
生產環境中管理AIDE
在構建了一個初始AIDE資料庫後,作為不斷進行的系統管理活動,你常常需要因為某些合法的理由更新受保護的伺服器。每次伺服器更新後,你必須重新構建AIDE資料庫,以更新資料庫內容。要完成該任務,請執行以下命令:
# aide --update
要使用AIDE保護生產系統,可能最好通過任務計劃調用AIDE來周期性檢查不一致性。例如,要讓AIDE每天運行一次,並將結果發送到郵箱:
# crontab -e
0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" [email protected]
測試AIDE檢查文件篡改
下面的測試環境將演示AIDE是如何來檢查文件的完整性的。
測試環境 1
讓我們添加一個新文件(如/etc/fake)。
# cat /dev/null > /etc/fake
測試環境 2
讓我們修改文件許可權,然後看看它是否被檢測到。
# chmod 644 /etc/aide.conf
測試環境 3
最後,讓我們修改文件內容(如,添加一個注釋行到/etc/aide.conf)。
echo "#This is a comment" >> /etc/aide.conf
上面的截圖中,第一欄顯示了文件的屬性,第二欄是AIDE資料庫中的值,而第三欄是更新後的值。第三欄中空白部分表示該屬性沒有改動(如本例中的ACL)。
結尾
如果你曾經發現你自己有很好的理由確信系統被入侵了,但是第一眼又不能確定到底哪些東西被改動了,那麼像AIDE這樣一個基於主機的入侵檢測系統就會很有幫助了,因為它可以幫助你很快識別出哪些東西被改動過,而不是通過猜測來浪費寶貴的時間。謝謝閱讀,希望能幫到大家,請繼續關注,我們會努力分享更多優秀的文章。
Ⅱ 防火牆和IDS是怎麼聯合起來工作的
如何配置天融信NGFW4000防火牆與IDS聯動策略ZDNET網路頻道時間:2008-03-28作者:論壇整理 | zdnet網路安全
本文關鍵詞:防火牆 防火牆技術 硬體防火牆
a. 假設你已經通過串口初始化了防火牆4000(配置介面IP、GUI 登錄許可權等),並按照以上拓撲圖連接好網路、創建了相關網路對象(如有疑問請參看「防火牆4000 管理配置」和「防火牆4000屬性配置」相關文檔或DEMO演示);還要確保已經安裝了IDS探測器管理軟體。
b. 要求:防火牆4000與IDS探測器組合應用,使得防火牆4000能夠保護重要的伺服器,阻止來自所有區域有意、無意的攻擊行為。實現方式如下:
c. 首先正確配置訪問策略等,保證lihua能夠正常訪問Server(如有疑問請參看「防火牆4000訪問策略配置」 相關文檔或DEMO演示);
d. 然後在防火牆管理器中選擇「Topsec」主菜單,雙擊「防火牆-IDS聯動配置」菜單,將彈出「防火牆與IDS聯動密鑰生成向導」對話框,見下圖:
e. 在對話框里輸入防火牆IP:202.102.234.250和IDS IP:202.102.234.110,並點擊「下一步」按鈕,將產生防火牆與IDS探測器共同的認證密鑰(請記住此密鑰),隨後此密鑰將自動傳送到防火牆中,見下圖:
f. 第三步是將防火牆產生的密鑰通過IDS管理器導入到IDS探測器中,並在IDS管理器中正確配置聯動規則;
g. 當防火牆與IDS一起聯動時,防火牆會立即切斷非正常的網路訪問,此時可通過選取防火牆管理軟體中「Topsec」→「查看IDS聯動狀態」菜單進行聯動狀況的監控;
h. 詳細操作請參看DEMO演示(實際演示環境IP地址與文檔說明不同,且探測器使用「北方計算中心網路監測預警系統」)。
注 意:
在配置防火牆與IDS聯動時,IDS探測器必須與防火牆保護伺服器同在一個區域;如果在配置環境中使用交換機,則必須將交換機的鏡像埠設置為IDS探測器的連接埠;防火牆中輸入的密鑰必須與IDS中配置的相同;若防火牆與IDS無法聯動,請檢查防火牆與IDS探測器是否連通,IDS管理器上聯動規則是否正確;
知識點:
防火牆與IDS聯動:聯動即通過一種組合的方式,將不同的技術與防火牆技術進行整合,在提高防火牆自身功能和性能的同時,由其他技術完成防火牆所缺乏的功能,以適應網路安全整體化、立體化的要求。
目前,實現入侵檢測系統和防火牆之間的互動一般有兩種方式:一種方式是實現緊密結合,即把入侵檢測系統嵌入到防火牆中,入侵檢測系統的數據來源於流經防火牆的數據流。所有通過的數據包不僅要接受防火牆的控制規則的驗證,還要判斷是否是有攻擊,以達到真正的實時阻斷。這樣實際上是把兩個產品合成到一起。但是由於入侵檢測系統本身也是一個很龐大的系統,所以無論從實施難度上,還是合成後的整體性能上,都會受很大的影響。
第二種方式是通過開放介面來實現互動,即防火牆或者入侵檢測系統開放一個介面供對方使用,雙方按照固定的協議進行通信,完成網路安全事件的傳輸。這種方式比較靈活,不影響防火牆和入侵檢測系統的性能。例如,我們天融信公司的「TOPSEC」協議,可供其他非防火牆設備廠商使用安全互動介面。
轉自:www.555773.com
Ⅲ IDS的主要功能有哪些
幾乎所有當前市場上的網路入侵檢測系統都是基於一種被動數據收集方式的協議分析
,我們可以預見,這種方式在本質上是有缺陷的。
毫無疑問,這樣的入侵檢測系統會監視整個網路環境中的數據流量,並且總是與一種
預定義的可疑行為模式來進行對照,甚至所謂的入侵行為分析技術也只是簡單地從單位時
間狀態事件技術上做了些組合工作,事實上離真正實用的復雜黑客入侵行為的剖析和理解
還有很遠的距離。
對於這種檢測技術的可靠性,我們可以通過自定義的三種可行性很強的攻擊方式來驗
證――插入攻擊、逃避攻擊和拒絕服務攻擊。我們可以看到,當一個入侵者實施了這樣的
入侵策略以後,所謂的入侵檢測系統便妥協了。我們的結論是這種入侵檢測系統不是放之
四海而皆準的,除非它們從根本上被重新設計過。
入侵檢測系統的作用及其功能
真正實用的入侵檢測系統的存在價值就是能夠察覺黑客的入侵行為並且進行記錄和處
理,當然,人們也會根據自己的需求提出需要強大的日誌記錄策略、黑客入侵誘導等等。
不同的入侵檢測系統存在不同的入侵分析特徵。一個企圖檢測Web入侵的系統可能只會
考慮那些常見的惡意HTTP協議請求;同樣道理,一個監視動態路由協議的系統可能只會考
慮網路是否存在RIP欺騙攻擊等等。目前國內市場上的大部分入侵檢測系統使用同一個入侵
行為定義庫,如著名的SNORT特徵庫,這說明我們在技術挖掘方面的投入還不夠,事實上我
國在基礎研究設施的投入上也存在嚴重不足。
入侵檢測系統現在已經成為重要的安全組件,它有效地補充和完善了其他安全技術和
手段,如近乎快過時的基於協議和埠的防火牆。入侵檢測系統為管理人員提供相應的警
告信息、報告可能發生的潛在攻擊,從而抵擋了大部分「只是對系統設計好奇」的普通入
侵者。
世界上已經開發出了很多種入侵檢測系統,我們可以用通用的入侵檢測體系結構(CI
DF:Common Intrusion Detection Framework)來定義常見的入侵檢測系統的功能組件。這
些功能組件通常包括事件產生器、分析引擎、存儲機制、攻擊事件對策。
許多入侵檢測系統在設計之時就僅僅被考慮作為警報器。好在多數商業化的入侵檢測
系統配置了可用的防禦性反攻擊模塊,起碼可以切斷TCP連接或動態地更改互動防火牆過濾
規則。這樣就可以阻止黑客沿著同一路徑繼續他的攻擊行為。一些入侵檢測系統還配置了
很好的攻擊誘騙模塊,可以為系統提供進一步的防護,也為進一步深入研究黑客行為提供
了依據。
IDS到底有那些不足
IDS的基本原理
對於比較普遍的兩種入侵檢測模式--基於網路的入侵檢測和基於主機的入侵檢測,我
們可以這樣考慮:基於主機的入侵檢測系統對於特定主機給予了定製性的保護,對於發生
在本地的、用戶級的、特徵性比較明顯的入侵行為有防範作用。但是,這種模式對於發生
在網路傳輸層的入侵通常是無可奈何的,想讓應用級特徵比較強的系統同時把系統級和網
絡底層技術實現得比較完善是不太現實的。雖然我們可以看到在偉大的Linux系統上實現了
Lids,畢竟象Solaris,NT這樣的系統,我們能夠了解的只是皮毛。
基於網路的入侵檢測系統需要監視整個網路的流量,匹配可疑行為特徵。它的技術實
現通常必須從網路和系統的底層入手,而且它同時保護的是網路上的一批主機,無論它們
使用的什麼系統。基於網路的入侵檢測系統顯然不會關心某一台主機之上正在進行著什麼
操作,只要這些操作數據不會擴散到網路上來。因為網路入侵檢測系統是以行為模式匹配
為基礎的,我們可以斷定它有匹配失誤的可能,有因為不能確定某種行為是入侵而將其放
行的可能。那麼當一個「聰明」的入侵者騙過了這種系統,順利地進入一台主機,該系統
的厄運開始了。
被動的網路監視器通常利用網路的混雜模式工作,它們直接從網路媒介獲得網路中數
據包的拷貝,而不考慮這些包本來是不應該被它們接收的。當然,這種被動的網路底層協
議分析總是「安靜地」存在於網路的某個地方,它只是根據網路媒介提供的這種特徵,在
其他主機不知不覺的時候將網路數據拷貝一份。同時,需要考慮到,根據引擎端實現平台
的不同,各平台實現的網路數據包捕獲機制的不同,在混雜模式下丟包的程度是不同的。
事實上,對於大多數還需要從內核讀取數據的應用級包過濾系統,只能考慮以更快的方式
把數據讀取到用戶空間,進而發送給其它進程。 這樣處理的化,要求從技術上增加用戶空
間的緩沖區尺寸,如在BSD(BPF)的系統上,能夠利用BIOCSBLEN ioctl調用來增加緩沖區尺
寸。
攻擊IDS的原理
入侵檢測系統地最重要的特徵莫過於其檢測的「精確性」。因此IDS要對捕獲到的數據
包進行詳細的分析,所以對IDS的攻擊就是針對IDS在分析數據時的弱點和漏洞。
網路IDS捕獲到網路上傳輸的數據包並進行分析,以便知道一個對象對另一個對象做了
什麼。IDS總是通過網路上交換的數據包來對終端系統上發生的信息行為進行判斷。假設一
個帶有錯誤UDP校驗和的IP數據包,大多數操作系統會丟棄這樣的數據。某些比較陳舊的系
統也可能會接受。IDS需要了解每一個終端系統的具體情況,否則IDS按照自己的方式構造
出來的邏輯在終端系統上的應用會有不同。某些操作系統有可能會接受一個明顯存在問題
的數據包,如允許一個有錯誤的校驗和的IP包。當然,IDS如果不進行分辨,必然會丟掉這
些本來終端系統會接受的數據。
就算IDS系統知道網路都有些什麼操作系統,它也沒有辦法通過查看一個包而知道是否
一個終端系統會接受這個包。原因很簡單,CPU耗盡、內存不足都可能導致系統發生丟包現
象。
IDS全部的信息來源就是它捕獲到的數據包。但是,IDS應該多了解一些關於終端系統
的網路行為,應該了解終端系統如何處理各種網路數據。但是,實際上,這是不可能的。
在處理所謂的拒絕服務攻擊時,存在兩種常見的情況:某些IDS系統在自己處於停機狀
態時,可以保持網路正常的信息流通,這種屬於「fail-open」型;另一種則是「fail-cl
osed」型,即當IDS系統出現問題時,整個網路也隨之癱瘓了。
網路檢測系統是被動的。它們不控制網路本身,也不會以任何方式維護網路的連接。
如果一個IDS系統是fail-open的,入侵者通過各種手段使IDS資源不可用了,那時IDS就沒
有任何防範入侵的作用了。正是因為這樣,IDS系統加強自身抗拒絕服務攻擊的能力顯得極
為重要。
當然,許多攻擊方式討論的都是針對基於嗅探模式的IDS系統。這些類型的攻擊都企圖
阻止協議分析,阻止特徵模式匹配,阻止IDS獲得足夠信息以得出結論。
針對入侵檢測系統弱點的攻擊探討
有時IDS系統會接受終端系統丟棄了的數據包。因為IDS認為終端系統接受並且處理了
這些數據,而事實上終端系統由於種種原因丟棄了這些數據包。一個入侵者就可以利用這
一點,製造那種他所想要入侵的主機會丟棄而IDS系統將接受並作出判斷的數據包,以使I
DS與終端系統得到不同的結論。
我們可以把這種攻擊稱為「插入式」攻擊。道理很簡單,假設一個入侵者發往終端系
統的數據是attack,但是,他通過精心構造在數據流中加入了一個多餘的t。對於終端系統
而言,這個t是被丟掉不被處理的;而對於IDS系統而言,它得到的最終上下文關系是attt
ack,這個結論使IDS認為這次行為並沒有對終端系統形成攻擊而不作處理,事實上,終端
系統已經接受了attack數據。
現在讓我們來分析一下這種方式的攻擊如何阻止特徵分析。特徵分析通常的方式是根
據固定模式判斷某個特定的字串是否被存在於一個數據流中,例如,對待一個phf的HTTP攻
擊,IDS通常檢查這個字串的存在與否,「GET /cgi-bin/phf?」, IDS系統判斷這種情況很
容易,只需要簡單的子串搜索功能便可以做到,然而,但是,如果一個入侵者通過插入式
攻擊的思想在這次HTTP請求中增加了這樣的內容,GET /cgi-bin/pleasedontdetectthisf
orme?,裡面同樣包含了phf,但是在IDS看來,味道已經不一樣了。
插入式攻擊的的結果就是IDS系統與終端系統重組得到了不一樣的內容。通常,插入式
攻擊在IDS沒有終端系統處理數據那麼嚴格的時候都存在。可能好的解決方法就是讓IDS系
統在處理網路中需要重組的數據的時候,作出嚴格的判斷和處理,盡可能地與終端系統處
理地效果一個樣。可是,引來了另外一個問題,這便是另一種攻擊方式,相對地叫做「逃
避式「攻擊模式。
相對的,有些數據包是IDS不會接受的,而終端系統卻會對這些數據作出處理。當然,
IDS由於不接受某些包,而會導致與這些數據相關的上下文關系無法了解。
問題的現象是因為IDS在對數據包進行審核處理的時候過於嚴格,使得往往某些數據在
終端系統而言,是要進行接受重組處理的,而在IDS本身,僅僅是不作處理,導致許多攻擊
在這種嚴格的分析引擎的鼻子地下躲過。
逃避式攻擊和插入式攻擊都有效地愚弄了模式匹配引擎系統。結果都是入侵者使得ID
S與終端系統接受處理了不同的數據流,在逃避式攻擊中,終端系統比IDS接受了更多的內
容而遭受攻擊。
還是上面的phf的例子,入侵者發送了一個HTTP請求,使得原本的GET /cgi-bin/phf?
在IDS處理的結論中變成了GET /gin/f,當然,這個結論對於大多數IDS系統來說,幾乎沒
有任何意義。
從技術上來看, 插入式和逃避式這兩種對付檢測系統的方式也不是這容易就被入侵者
所利用,因為實現這種攻擊要求入侵具備相當的知識面和實踐能力。
現在的許多網路協議是簡單的並且容易分析的。比如一個普通的網路分析器就能夠容易的
判斷一個UDP DNS請求的目的。
其它的一些協議則復雜的多,在得出實際傳輸的內容之前,需要對許多單個的數據包
進行考慮。這樣的話,網路監視器必須總是監視內容的數據流,跟蹤包含在數據流中的信
息。例如,為了解析出一個TCP連接中發生了什麼,必須重組這次連接中的整個數據流。
象TCP這樣的協議,允許在IP最大包尺寸范圍內的任意大小的數據被包含於每一個分散
的數據包中,數據可以無序地到達目的地,每個數據包都具有一個序列號來表明自己在數
據流中的位置。TCP數據流的接受者有責任重新按照序列號進行數據包的重新排序和組合,
並解析出數據發送者的意思。這有一套TCP的數據重組機制來完成。在IP層,IP也定義了一
種自己的機制,叫做「碎片「,這種機制允許主機把一個數據包切分為更小的數據分片。
每一個片都有一個標記,標記自己原來屬於原始數據包的什麼相對位置,叫做」偏移值「
。IP實現允許接受這樣的IP碎片包,並且根據偏移值來重組原始數據包。插入式攻擊通過
增加一些數據包到數據流中導致終端系統重組很困難。被插入的數據包能夠改變數據流的
先後順序,進而阻止IDS正確地處理緊跟著的正確的數據包。包的插入重疊了老的數據,在
IDS系統上重寫了數據流。某些情況下,插入數據包,改變了數據流原來的意思。
逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容,被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的;IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下,入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。
「插入式」和「逃避式」IDS攻擊都不是很容易防範的,除非IDS通過了第二信息源的配合
,能夠對當前監視的網路拓撲結構以及對作為被監視對象的終端系統所能夠接收什麼樣的
數據包進行跟蹤分析,否則問題依然存在,這是目前必須要提出來的對被檢測網路的詮釋
技術,盡可能通過配合第二信息源的方式,讓IDS對它所檢測的網路中的終端系統以及網路
實際環境有一個成熟的了解。如果一個攻擊能夠造成實現插入任意的IP數據包,那麼,插
入一個UDP或者ICMP也是沒有問題的。所以可以看出IDS系統在IP層實現對這兩種入侵手段
的免疫將是很重要的。一個最容易的讓終端系統丟棄IP數據包的方式是讓數據包具有不正
確的IP頭部信息。如RFC731定義。入侵者所使用的這些頭部信息有問題的數據包在現實中
可能會遇到問題,除非攻擊對象IDS系統處在同一個區域網之內,例如如果version域不是
4,而是其他的值,這種數據包實際上是不會被路由的。當然,對於其他的一些域值,比如
IP包長度或者IP頭長度,一個不規范的長度將阻止IDS系統正確定位IP中的傳輸層的位置等
。
在IP頭域信息中,最容易被忽略的是校驗值。似乎對於一個IDS系統去校驗每一個捕獲的I
P數據包的校驗是沒有必要的。然而,一個帶有病態的校驗值的數據報對於大多數IP實現來
說都是不會被處理的。一個IDS系統在設計的時候考慮到有問題的校驗了么?如果沒有考慮
到校驗的必要性,那麼很難避免「插入式「攻擊。TTL域表示了一個數據包在到達目的系統
的過程中需要經過多少路由器。每一次,一個路由器轉發一個數據包,數據包所帶的TTL信
息將會被消耗。TTL消耗盡時,包也被丟棄了。所以,入侵者可以構建一個TTL的值,使得
發送的數據包剛好可以到達IDS系統,但是TTL剛好耗盡了,數據本來應該到達的目標卻沒
有到。相類似的另一個問題與IP頭部的DF標志有關。DF標志置位使得轉發設備即便是在包
超出標准大小尺寸的時候也不要對數據進行IP分片,緊緊通知簡單的丟棄掉這些包。
這兩個不明確的問題的解決要求IDS系統能夠了解它所監視的網路拓撲結構。
IP校驗和問題很好解決;一個IDS系統可以假設如果校驗和是錯誤的,那麼數據包將會被目
標系統所不接受。而IP的選項域的存在又導致一些不同的可能性。許多操作系統可以配置
為自動拒絕源路由數據包。除非IDS了解是否一個源路由數據包的目標主機拒絕這樣的數據
包,否則不可能正確處理這樣情況。
對IP數據包中的源路由項進行檢查或許是一個明顯的必要。然而,其他的一些選項也是必
須應該考慮的。例如,「timestamp「選項要求特定的數據包的接受者在數據包里放置一個
時間戳標記。如果這個選項出現問題,處理事件戳選項的代碼將強迫丟棄這個包。如果ID
S沒有如同終端系統那樣核實時間戳選項的話,便存在問題。
同一個LAN上的入侵者能夠指引鏈路層的數據幀到IDS系統,不必允許作為IP目標的主機看
到這個包。如果一個入侵者知道了IDS的MAC地址,他便能將他的欺騙包發往IDS系統,LAN
上的其他系統不會處理這個數據包,但是,如果IDS不檢查接受到的數據包的MAC地址,它
是不會知道發生了什麼情況的。
逃避式攻擊則是導致IDS系統在進行流重組的時候錯過了其中的部分關鍵內容,被IDS忽略
的數據包可能對於數據流的順序來說是至關重要的;IDS系統可能在逃避式攻擊之後不知道
該如何對這些數據下結論了。許多情況下,入侵者產生整個躲避IDS系統檢測的數據流是相
對簡單的。
因為終端系統將重組IP碎片,所以IDS系統能夠進行IP碎片重組也是重要的。一個不能正確
的重組碎片的IDS系統將是容易受到攻擊的,入侵者僅僅通過人工生產碎片便可以愚弄IDS
。IP碎片的數據流通常有序到達。但是,協議允許碎片以任何次序到達。一個終端系統必
須能夠重組無序到達的數據包分片。 IDS系統如果不能處理IP碎片無序到達這種情況的話
,也是存在問題的;一個入侵者能夠故意搗亂他的碎片來逃避IDS檢測。而且IDS必須在全
部的碎片都被接收到以後才進行碎片重組。當然了,接收到的分片必須被存儲下來,直到
分片流可以被重組為一個完整的IP數據包。一個入侵者如果利用分片的形式來對網路進行
flooding攻擊,那麼IDS系統通常會資源耗盡。
每個終端系統也必須處理這個問題。許多系統根據TTL來丟棄分片,而避免這種由於大量碎
片請求造成的內存不足。許多入侵者能夠刻意地通過構造病態的IP分片躲避傳統的包過濾
器,他們使用的是盡可能小的分片包,因為單個的分片所包含的數據不足以達到過濾規則
的長度。另外,出現的問題是重疊的分片處理問題,可能性是這樣的,具有不同尺寸和分
片先後到達系統,並且分片的數據位置處於重疊狀態,既是說,如果一個分片遲於另外一
個分片達到系統,兩個分片對於重組參數來說是同一個,這時新到的數據可能會覆蓋掉已
經先到達的老的一些數據。這便又提出了一個問題,如果一個IDS系統沒有能夠以它所監視
和保護的終端系統處理分片的方式處理分片包的話,可能面對同一個數據分片流,IDS系統
將重組出於終端系統得到的安全不同的數據包。一個了解這種IDS與終端系統之間矛盾的入
侵者可能會採用這種入侵方式。對於重疊分片的取捨是更加復雜的,對於這些又沖突的分
片數據是否被採納往往取決於他們所在的位置,而根據不同的操作系統的對IP碎片重疊情
況的不同處理也不一樣。有些情況,新的數據被承認而有的時候是舊的被承認,而新的被
丟棄。當然,IDS不能正確分析這種情況,將面臨「逃脫」式攻擊。
IDS系統並不是處理這種重疊分片出現問題的唯一IP實現,終端系統的IP驅動程序同樣會有
問題。或許正是因為IP碎片重組的困難和復雜才使得出現了那麼多不正確的處理。所以,
除非一個IDS系統准確的知道它所監視的系統都是什麼不同的IP驅動,否則精確地重組每一
個系統接受地數據是不可能的。
例如:Windows NT在處理重疊分片時,總是保留已有的數據。這與BSD4.4剛好相反。
IP包的選項域是應該考慮到的。當一個IP包被分片時,來自於原始數據包的選項是否應該
被攜帶到全部的分片中去。RFC791聲明某些IP選項如(security)將出現在每一個分片里
,而其它的一些必須只出現在第一個分片中。對於嚴格的IP實現將丟棄那些具有不正確選
項的分片。但是IDS許多系統不是這樣的。如果IDS沒能象終端系統那樣精確的處理這種情
況的話,將面臨前面提到的兩類攻擊。
對於IP第四代協議,現實是任何人都可以進行IP地址偽造。使IDS系統判斷出來好像是來自
多處的攻擊。對於無連接的協議來說,更為嚴重。
在面向連接的協議中,關於一次連接回話的起源問題基於是否一個可用的連接被產生了;
象TCP這樣的連接協議使用了序列號機制,這種機制提供了一種確認方法, 可是,對於無
連接協議,這種相對嚴格的確認機制卻是沒有的;可以看到,一個入侵DNS的破壞者其實可
以是來自任何地方。看來,IDS系統的管理者對於IDS系統給出的網路地址的准確性是應該
仔細考慮的。事實上,被IDS檢測到的大部分攻擊是通過TCP連接的。所以,IDS對TCP會話
數據流的重組能力成為關鍵。而假如IDS沒有能夠使用與它所檢測的網路中的終端系統同樣
的重組規則的話,將是脆弱的。對於正常的TCP連接,就像一次由遠程登錄發起的連接,這
很容易做到的。也存在許多實現TCP連接監視的方法。對於IDS而言,沒有一個對捕獲到的
TCP數據流如何進行處理的標准規范成了最主要的問題。
IDS系統為了能夠重建TCP連接的信息,TCP片段使用的序列號信息是必須知道的。我們可以
把這種IDS去判斷當前連接的可用序列號的過程叫「同步」。當然,在判斷序列號時出現問
題,可以叫「失去同步」。當IDS系統在一次TCP連接中失去序列號同步了,就不能夠對這
次連接的信息數據進行有效的重組了。在許多情況下,IDS系統由此變得不再處理這一次連
接中的任何數據信息。所以,入侵者通常把讓IDS系統失去同步作為一個主要目標。
TCP標準定義了一個流控制機制,用來阻止建立連接的一方發送過多的數據到連接的另外一
方;IDS追蹤TCP連接的每一方的window域的值。TCP也允許數據流中發送所謂的OOB數據(
帶外數據),它利用了定義的緊急指針。
對於網路中的終端系統,與之相關的每次連接的狀態信息的收集處理是沒有問題的,每種
TCP實現必須管理自己的TCB――TCP控制塊,以便理解那一次建立的連接情況。一個網路I
DS系統也必須能夠維護它所監視的每一次連接對應的TCB。
任何網路IDS系統都定義了針對所探測到的新的TCP連接而產生TCB的機制,同時也對那些不
再有關的連接進行釋放和消除工作。在討論IDS的TCP問題中,我們獨立地分析三個方面,
可以看到,在IDS處理這三種情況時可能出現問題。首先是TCP creation,通過它IDS決定對
一個新探測到地TCP連接產生TCB;其次是數據流重組,IDS根據它所維護地TCB信息對數據
流進行重組,當然這一步受到上一步地關聯;再者是TCB拆卸,IDS通過它撤銷一個TCB。通
過分析可以看到,「插入式」攻擊的實現將影響到以上提到的幾個方面,插入式攻擊使得
IDS系統分不清到底什麼數據事實上到達了終端系統。比如在數據流重組上下文關系中,數
據插入式攻擊使得一次可靠的TCP會話監視幾乎成為不可能的事;所以說IDS能夠針對插入
式攻擊做處理是非常重要的也是很難實現的。
對於IP協議,可以有幾種不同的方法可以實現往IDS系統中插入數據包,而對於TCP,問題
會復雜一些,但是同樣有一些手段能夠導致IDS去主動丟棄某些特定的數據包,以達到入侵
者的目的,無論如何,如果一個IDS系統不能夠以它所監視的終端相同的方式來處理TCP包
的話,對待」插入式「將受到威脅。
在一次TCP交互中,如果接收方對應回應了一個信息,那麼一個TCP片段就是被認可的,我
們進一步可能分析回應的是RST信息還是ACK信息。IDS能夠通過對這些認可信息的辨識判斷
一個片段是否是存在問題的。包含在TCP包裡面的數據能夠被提取出來進行重組,而不去考
慮TCP的頭域的某些部分。這種不嚴格的處理情況使得容易做出對於「插入式「攻擊手段顯
得脆弱的TCP會話監視器,所以,在處理TCP數據的時候,先嚴格考慮TCP頭域的信息可用性
顯得很重要了。一個極易被忽略的頭域是「CODE「,這個頭域決定了TCP片段中發送的信息
的類型。這個域是一系列二進制標志位。可以看到,某些標志位的組合是不正常的,通常
在網路中導致包被丟棄掉。另外,許多TCP實現就不去接收沒有ACK位被設置的TCP片段中的
數據信息。
根據TCP的標準定義,TCP實現應該接受包含在SYN類型片段中的數據信息。而對這種定義的
理解卻變成了多種味道,導致一些TCP實現沒有正確地處理這類信息。如果一個IDS系統沒
能考慮SYN數據,那麼一個隨便的「逃避式」攻擊就可以對它進行威脅;反之,如果這個I
DS系統能夠很好地考慮SYN數據了,在針對某些沒有正確實現這種定義的終端系統的時候,
它顯得當不住入侵者刻畫的「插入式」攻擊。
另外的經常被忽略的TCP輸入處理問題是校驗和,全部的TCP實現被強制性地要求驗證網路
校驗,許多IDS系統不能做這種檢查;所以通過構建有錯誤校驗值的TCP片段就可以簡單地
插入數據包到IDS系統。
就像處理IP的選項域一樣,IDS能夠正確的處理TCP的選項域也是十分重要的。可是不幸的
是,由於TCP的選項域某些內容被產生和利用的時間還比較短,如timestamp、windows sc
ale這些選項;另外對於何時TCP的選項能夠出現在連接的上下文中,TCP有專門的規定。某
些選項在某些連接狀態或許就是不可用或者是非法的。RFC1323[13]中介紹了兩個TCP的選
項,這兩個選項被設計來增加TCP在高速環境下的可靠性和性能。但是規定這些選項僅僅可
以出現在非SYN的分段之中。
因為某些TCP實現會拒絕包含了這些沒有見過的選項的非SYN片段,所以IDS也不可盲目的都
接受這些有選項的數據包。另外,也有一些終端系統通過忽略這些選項,繼續處理這些數
據包;所以,可見IDS必須清楚地知道終端系統是如何處理各種數據包的,才能以相對於特
定的終端系統正確的處理方式來進行處理而避免如插入和逃避式攻擊。
RFC1323 定義了的另外一個叫做PAWS的概念,全稱是「protection against wrapped seq
uence numbers」。使用PAWS的系統將會跟蹤分段中的timestamps選項;根據分段中的tim
estamps響應值判斷數據包是否被丟棄,一個入侵者可以很簡單的產生一個人工的timesta
mp值,目的是使得支持PAWS的TCP堆棧不用作出進一步的處理就丟棄這個數據包。IDS不僅
僅需要知道是否終端系統支持PAWS,而且還需要知道終端系統對於timestamps的threshol
d的值是什麼。如果沒有這些信息,IDS將會錯誤地處理不正確地TCP片段,或者對一個片段
的合法性作出錯誤的猜測。如前面提到的三點,其中TCB creation(可以叫作TCB創造)是
第一點。一個IDS系統TCB創造策略決定了IDS如何開始記錄一次給定的TCP連接的數據信息
,比如象序列號等。這使得IDS可以同步一次需要監視的TCP會話。然而TCB創造是個麻煩的
問題。可以用多種方法可以被利用來判斷何時打開一個TCB,但是,這些方法中的每一個似
乎證明都是有問題的。TCB創造建立一次連接的初始化狀態,包括了連接序列號等信息;通
過對IDS的TCB的欺騙行為,入侵者能夠破壞那些與這一次被利用的連
Ⅳ 什麼叫做入侵檢測入侵檢測系統的基本功能是什麼
1. 入侵者進入我們的系統主要有三種方式: 物理入侵 、系統入侵、遠程入侵。
2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。
3. 入侵檢測系統由三個功能部分組成,它們分別是感應器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和
基於網路的入侵檢測系統。
5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。
6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。
二、選擇題
1. IDS產品相關的等級主要有(BCD)等三個等級:
A: EAL0 B: EAL1 C: EAL2 D: EAL3
2. IDS處理過程分為(ABCD )等四個階段。
A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段
3. 入侵檢測系統的主要功能有(ABCD ):
A: 監測並分析系統和用戶的活動
B: 核查系統配置和漏洞
C: 評估系統關鍵資源和數據文件的完整性。
D: 識別已知和未知的攻擊行為
4. IDS產品性能指標有(ABCD ):
A: 每秒數據流量
B: 每秒抓包數
C: 每秒能監控的網路連接數
D: 每秒能夠處理的事件數
5. 入侵檢測產品所面臨的挑戰主要有(ABCD ):
A: 黑客的入侵手段多樣化
B: 大量的誤報和漏報
C: 惡意信息採用加密的方法傳輸
D: 客觀的評估與測試信息的缺乏
三、判斷題
1. 有了入侵檢測系統以後,我們可以徹底獲得網路的安全。(F )
2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )
3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )
4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )
四、簡答題
1. 什麼是入侵檢測系統?簡述入侵檢測系統的作用?
答:入侵檢測系統(Intrusion Detection System,簡稱IDS)是進行入侵檢測的軟體與硬體的組合,事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。 入侵檢測系統的作用主要是通過監控網路、系統的狀態,來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。
2. 比較一下入侵檢測系統與防火牆的作用。
答:防火牆在網路安全中起到大門警衛的作用,對進出的數據依照預先設定的規則進行匹配,符合規則的就予以放行,起訪問控制的作用,是網路安全的第一道關卡。IDS是並聯在網路中,通過旁路監聽的方式實時地監視網路中的流量,對網路的運行和性能無任何影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警,不但可以發現從外部的攻擊,也可以發現內部的惡意行為。所以說,IDS是網路安全的第二道關卡,是防火牆的必要補充。
3. 簡述基於主機的入侵檢測系統的優缺點?
答:優點:①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境
④成本低
缺點:①它在一定程度上依靠系統的可靠性,要求系統本身具有基本的安全功能,才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外,根本不檢測網路上的情況
4. 簡述基於網路的入侵檢測系統的優缺點?
答:優點:①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊
缺點:①網路入侵檢測系統只能檢查它直接連接的網段的通信,不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法,只可以檢測出普通的一些攻擊,而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流,處理加密的會話過程比較困難。
5. 為什麼要對入侵檢測系統進行測試和評估?
答:①有助於更好地描述IDS的特徵。②通過測試評估,可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估,確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果,可做出一些預測,推斷IDS發展的趨勢,估計風險,制定可實現的IDS質量目標(比如,可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果,對IDS進行改善。
6. 簡述IDS的發展趨勢?
答:①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向
Ⅳ IDS入侵檢測系統對一個100台電腦的小企業來說是不是高端配置
IDS入侵檢測系統 在安全標准中 是B+ 而現在的網路應用 比如WINDOWS UNIX等操作系統 包括防火牆 在安全標准中 等級皆為C-
舉這么個例子吧 防火牆是規則性的安全防護措施 就好像小區里的保衛 按照定的規則辦事 有小區出入證便可入內 而這里邊的最大問題是 所定的規則合理么?其實大部分的黑客行為都是合法的 就是鑽了防火牆的規則漏洞進入網路後進行破壞的
而IDS則根據B+等級的安全標准 判斷你現在的規則是否有不合理的地方-通過網路檢測-而制定更為合理的建議
Ⅵ IPS和IDS的區別
1、含義不同
IDS :入侵檢測系統
做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,實時監視系統會發現情況並發出警告。
IPS :入侵防禦系統
2、作用不同
IDS專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
IPS入侵防禦系統是電腦網路安全設施,是對防病毒軟體和防火牆的補充。 入侵防禦系統是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。
(6)ids設備怎麼看配置擴展閱讀:
IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。
IPS,最近幾年越來越受歡迎,特別是當供應商應對NAC市場的早期挑戰時,如感知部署和可用性難點。目前,大多數大型的組織都全面部署了IPS,但是在使用NAC之前,這些解決方案都被一定程度的限制以防止公司網路中發生新的攻擊。你可以配置所有的IPS探測器來中斷網路中惡意或其它不需要的流量。
Ⅶ 入侵檢測系統如何搭建
可以這樣做:給網站加一個防護產品,比如這個:WAF類的,然扣模擬入侵,可以用工具也可以手動。然後,從這個產品的後台查看防護記錄,就可以看到入侵記錄
Ⅷ 請教常用安全設備的配置和使用(防火牆、IDS等)
這個問題也太大了吧?一分都不賞誰高興敲那麼多東西啊!在現實世界中這些技術都是要收費才肯教的呢。
Ⅸ 防火牆、IDS和IPS之間有什麼區別
二者區別主要有以下幾點:
一、概念不同
1、IDS是英文「Intrusion Detection Systems」的縮寫,中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略,通過軟、硬體,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
2、入侵防禦系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。
二、系統類型劃分不同
1、IDS按入侵檢測的技術基礎可分為兩類:
一種基於標志的入侵檢測(signature-based),另一種是基於異常情況的入侵檢測(anomaly-based)。
2、IPS按其用途劃分為單機入侵預防系統(HIPS)和網路入侵預防系統(NIPS: Network Intrusion Prevension System)兩種類型。
三、防禦技術不完全相同
1、IDS實時入侵檢測在網路連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,並收集證據和實施數據恢復。
2、IPS入侵預防系統知道正常數據以及數據之間關系的通常的樣子,可以對照識別異常。有些入侵預防系統結合協議異常、傳輸異常和特徵偵查,對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。