安装入侵检测系统后的注意事项

/ns/wz/net/data/20030523210818.htm

在经过数月的评估、测试、购置等工作，部署好入侵检测系统后，别以为事情就已完成，其实还有很多等待你去做。
　　入侵检测系统（Intrusion Detection System IDS）如同一个三岁的早熟小孩，需要你时刻注意他，否则他就不高兴。这种说法可能有些离谱，但IDS确实不象其它安全系统那样，在安装后可以置之不理，而是需要与你沟通，需要你的特别留意。

　　防火墙有可能不需要你的理会，因为它只是默默地驻守在网络的旁边，隔断所有不受欢迎的网包，保护你的网络不受拒绝服务攻击或惹上其它与IP有关的麻烦。 认证系统、VPN 以及其它大部分安全设备也都不需要你的理会。你越不理会它们的存在，它们越能各尽其职。

　　相反，IDS需要你不断地敦促才能"进入状态"，这样才会告诉你它正在扫描端口，有无诸如"SYN风暴" 及其它各种各样的"鬼东西"正在攻击你的网络及系统。所以，如果你考虑把IDS作为网络安全架构的一部分，你就不仅要考虑哪些方案最能满足你的需要，还要考虑你在"安装后的生活状况"。也就是说，你将如何监控你的系统，谁去监管这些系统，以及最重要一点--IDS半夜三更发出警报时，你该怎麽办？

不仅仅是"即插即用"

　　要好好利用IDS，因为安装后不仅意味着你拥有探测器及监控器，同时，你将拥有技术和人力资源的定制权、监控权、反应权及改正权。

　　定制 是指更精细地调校IDS，使IDS有能力找出与你网络有关的事件。统计数据显示：大部分攻击是由来自企业内部DMZ (非军事区)的人发动的，所以这个寻找过程不仅限于消除来自网上的假警报。

　　监控 是指对IDS资源的理解，包括知道什么是假警报以及如何调查及处理那些看来是真的警示。

　　反应 是指当有真警报发生时所采取的行动。攻击者究竟想达到什么目的？攻击者来了没有？如果你的Web 服务器已被破坏，你要做什么？把服务器关掉，还是进入离线状态？是否要发动反击？你是否准备进行犯案分析，来判断真正发生了什么事情，然后采取法律行动？

　　改正是指堵塞漏洞--漏洞的范围很广泛，可以是一个配置不良的服务器，或是一个过时的安全政策和一个不充分安全的网络边界。

　　IDS 监控及程序 在把整个安全架构捆绑在一起时，你有没有考虑清楚到底要监控什么？你有没有决定一旦发生事故后要采取什么行动？一旦检测到入侵事件， 你有没有一套纠正问题的机制？ 如果你不能回答这些问题，你就没有资格讨论网络安全这一问题。

入侵检测系统：回顾

　　在深入探讨如何监控IDS 及如何对攻击或滥用等行为报告反应前，我们应该先回顾现在市场上最常见的IDS系统。一般来说，IDS 由探测器及管理器组成，探测器负责寻找出攻击， 而管理器整理探测器收集的数据并把结果报告给操作员。

　　IDS探测器基本上分两类： 基于网络的和基于主机的。基于网络的探测器负责嗅探网络的连接，监视例如TCP包的流量等，看看有没有被攻击的迹象；基于主机的探测器在你重要的系统服务器、工作站或用户机器上运行，监视OS或系统事件级别的可疑活动。这些探测器可寻找潜在的可疑活动（如尝试登录失败）。IDS管理器则是一个中央监控中心，不断接收来自探测器及警报器的数据。

　　基于网络的IDS 基于网络的IDS如同"超级"探测器，即它们在TCP/IP层（或更低层）监视流量，看看有没有已知的攻击模式（如Ping-of-death 或Web 服务器的攻击）。这些系统的工作极富挑战性，因为探测器看不到网上所有流量的交换环境。此外，绝大部分基于网络的IDS只能找出与黑客攻击类似的滥用模式。基于网络的IDS容易出现假警报。例如，当你的Web 服务器已超载，不能够再处理更多的连接请求时， IDS会以为你正在受到拒绝服务的攻击，但是真实的情况并不是这样。通常，基于网络的IDS不会搜索其它可疑活动，如某个邮递工作人员试图访问你公司的财务数据等。当然，网络嗅探器可以被调校成只搜索某一类攻击，但要找出每种攻击情景是个相当费事的过程。假如很多破坏安全的事件是由内部人所为，而你只用IDS监视网络边界来搜索攻击，这在某种程度还不能达到你投资IDS的目的。

　　基于主机的IDS 这种检测系统采取不同的方法搜索攻击模式。基于主机的IDS与嗅探器不同，检测事件要靠操作系统的日志，因此它不能目击发生在网络层的攻击。 如同基于网络的IDS，这些基于主机的IDS迫使你定义清楚哪些是你认为不合法的活动，然后就把这种安全政策转换成IDS规则。基于主机的IDS也可以被配置成搜索某类指定的攻击而忽略其它的模式。同样，调校探测器的过程也是非常费时的。

混合型IDS
　　供应商已知道纯粹基于主机或基于网络的IDS拥有很多功能上的局限性，所以，大约在一年前，他们就开始推出新系统。他们把这两类IDS的最好功能结合起来，形成了新的IDS探测架构。ISS 的RealSecure,、NAI 的CyberCop 及ODS 网络公司的CMDS 就采取了这种混合方法来提供入侵检测的解决方案。

　　RealSecure 原本依赖基于网络的探测器探测，但现在也包括了基于主机的入侵检测系统。ISS也融合了监控路由器系统日志的功能，所以，现在你的路由器也可以是个IDS探测器。CyberCop现在不仅提供基于主机的IDS，它也正在朝融合架构的方向发展，把网络嗅探器放在它们的主机代理中。而CMDS 同时使用网络及主机信息来搜索攻击模式。

智能IDS管理器

　　典型的IDS，不管是基于主机的、基于网络的或是两类型的混合，仍然需要你对它们进行调校及定制。但有一种新型的IDS，名叫"智能系统"IDS，它可以减轻你部分工作量。 这种系统不只可以从特别的探测器中读取数据，还可以从网络中每一台设备读取信息。它们会聆听路由器及操作系统的系统日志，吸纳防火墙的日志文件及IDS探测器信息，然后通过整理这批数据来判断你的网络究竟发生了什么事情。

　　这样的智能系统也试图通过智能调校灵敏度以消除假警报。 例如：CMDS就有一个检测不正常活动的工具，它可在某段时间内收集网络的数据，然后用基于网络的方法建立新的用户简表。一旦建立了新的简表，所有超出简表范围的事件都会触发警报。例如，如果用户Bob一般都是在正常工作时间登录网络，但有一次，Bob半夜三点钟从家里登录并开始下载文件。虽然Bob并没有做错事，IDS同样会向你发出警报。

　　其它产品也开始相继融合了类似的高级智能功能。例如CyberSafe 的Centrax 融合了安全政策、评估及监控功能，成为单一的管理控制台。 ISS 的RealSecure 的Fusion 技术就是结合了多个探测器的结果，不论这些探测器是基于主机的还是网络的、路由器或防火墙的，根据横跨这些设备的多阶段事件，IDS就可以作出明智的决定。例如，由网络探测器检测出缓冲器溢出，同时，主机探测器检测到根登录，这两者结合就可能是非法操作，IDS便会发出警报。

　　其它供应商也正在努力改进系统，使IDS更能减轻行政管理的负担。Axent 的NetProwler 可以先扫描你的网络，看看网络有哪些系统，然后自动配置适当的网络型探测器来分辨有哪些是可能或不可能发生的攻击，以及有哪些攻击可能会成功。因为有的安全管理人员可能想知道什么时候网络被攻击，而另一些只想消除不可能的攻击所引致的假警报（例如针对NT发动的攻击在攻击Solaris 系统）。

监控IDS：真正的挑战

　　不管你选择网络型的或是主机型的监控（如CMDS这类的智能系统、HP Open-View 的标准监控器），你最后还是要对IDS向你报告的信息作出反应。所以，当有真的警报发生时，你该做什么？如果你要计算投资IDS后有什么回报的话，这可能是个最重要、但却最容易被忽略的问题。

　　要有效地监控系统，你需要在多个重要环节做好准备：

　　－IDS 监控及回应
　　－事件处理
　　－犯案分析及数据保留
　　－报告过程

IDS 监控及回应

　　首先，你要知道是谁在监控你的IDS系统。你有没有一个技术很好的安全专家坐在监控控制台前，等着警报发生并反应？答案很可能是没有。在大部分企业中，一线的回应人员多数没有经验。遗憾的是，市场上供应的IDS在这方面并不能提供有力的帮助。举例来说，虽然Cisco 的NetRanger 按照五个级别将警报分类，但仍然没有告诉你收到警报后该怎样做。

　　因此，只有拥有明确的监控指导，操作员才知道在警报发生时应该进行什么特定的操作。为什么要写下来？因为如果没有白纸黑字，对IDS事件的反应操作程度是非常难于控制的。

　　让我们来看两个例子。第一个：假设你的操作员发现某人对防火墙进行端口扫描。如果你明智地设置了防火墙及其它主机，那么，这种端口扫描就不会造成多大的威胁，所以，你的操作员只需要记下扫描的来源地址，然后继续工作即可。

　　第二个：假设你设置了VPN，让一个业务伙伴访问你的数据库服务器。现在，你的操作员发现了来自你业务伙伴网络的端口扫描行为，这就是个严重的潜在威胁。有可能是你业务伙伴的网络被破坏，或是来自你伙伴网络的某人试图攻入你的系统。谁能做出应对措施？是你的操作员，而不是IDS。

　　问题是，经验不足的操作员没有能力分清这两种攻击的轻重，所以，在没有书面的监控指导的情况下，他有可能对第一种情况反应过激，而对第二种则置之不理。

　　解译IDS报文：究竟这些警报意味着什么？

　　在上文中，我们提及的端口扫描是一种黑客惯用的初级攻击手法。至于那些更深奥的攻击又如何应付？你的操作员能否明白FIN扫描的重要性？利用dot-dot漏洞攻击又是什么？或是Statd 缓冲器过速？要弄明白IDS想要告诉你发生了什么事是非常不容易的，即使是满腹经纶的安全专家也需要打起十二万分的精神。在现阶段，不是每个IDS都能解释清楚它们的警报到底是什么意思。

　　至于解释警报，ISS的RealSecure 及NAI 的CyberCop Monitor 是当今两个最好的解决方案。当有警报发生时，只要点击警报，系统便会提供针对这种攻击提供更详细的资料。很多IDS也启动了数字签名的定义数据库：有攻击的解释、如何攻击、会有什么影响及如何对付。ISS 的帮助文件是可以自行制定的，你可以通过调校警报简表来使其个性化。Cisco 的NetRanger 也是一样。NetRanger 的数据库其实就是一系列的HTML文件。有一个可扩展的HTML数据库非常好，你可以针对每类攻击，把Cisco 的HTML文件换成你制定的事件反应操作流程，这样，你就可以把适合本企业的反应操作制定到企业的管理中了。

　　这样我们就面对了一个新问题：警报的定义。IDS 认为是初级的警报，有可能是你企业的高级警报，反之亦然。例如，一个statd 缓冲器过时操作、某个特定的UNIX漏洞等，可能对UNIX服务器特别有效，但对NT机器则毫无作用。所以，虽然大部分的IDS把这种漏洞归类为高级警报，但如果你的企业使用NT机器，那麽，这样的警报就没有丝毫价值。当然，如果你仍然想知道是谁试图攻击你的网络，这种报警还是有作用的。但事实是，知道哪些漏洞对你的企业会造成威胁才能更准确的避免损失的发生。

事件处理：攻击事件发生到你头上时， 你应该作什么？

　　现在你已选定或新建了有意义警报的IDS，你也写明了当一线监控员收到这些警报时要进行什么样的操作，但余下的一个问题尚待商榷：真正发生安全事故时，你该做什么？例如，假设CMDS已为输入数据的文员陈小姐定出了她的用户简表，并已警告你陈小姐试图以管理员身份登录到你的域控制器。天啊，这是真正的警报！又或者是，某黑客组织"du jour "在你的Web 服务器上针对从未公开的漏洞进行攻击，并把你的主页换上了他们的得意杰作。现在轮到你了，你该做什么？把服务器关掉？把硬盘格式化，重新安装操作系统？在你的IDS 增加自动反应功能，以便以后再有这样的攻击就堵塞此漏洞？问问供应商有没有对付这种漏洞的补丁？

　　事件处理是件很令人头疼的事情，虽然每种IDS都有能力按照警报的种类、严重程度及目标主机作出反应，但IDS在事件处理方面对你并没有多大的帮助。例如，NetProwler 的自动反应是传呼你或发送SNMP软中断。但值得注意的是，自动反应也存在缺点：它也可以被利用反过来攻击你。例如，如果攻击者知道拒绝服务攻击会导致系统自动传呼，他就有可能改变策略，他会从半夜到凌晨六点每隔一小时发动一次拒绝服务攻击。对此种攻击，企业不会蒙受什么损失，但要提醒你的是：你的管理人员第二天上班时会睡眼惺忪，因为昨夜他的传呼机每隔一小时就会响一次！

　　有时候，你想保留"犯罪现场"的原貌，但如果操作员的第一反应就是关掉被破坏的系统，那么你就有可能失去有价值的罪证。你有没有想过如何保留IDS日志文件、被攻击系统的硬盘内容、甚至是被破坏系统的存储图象？如果你决定起诉，你知道法庭需要你提供什么？这个级别的反应在什么时候最适用？所以，有书面的事件处理程序对正确应付IDS所提供的信息是非常有用的。没有这样的书面说明，操作员及管理人员在发生事故后作善后处理时就有可能会做错事。

事件反应计划：做好准备

　　有效的事件反应计划的第一要素是"易懂、易查、易练习"。 如果你的反应计划象一部放在桌上的"大英字典"，就可能没有人敢去翻阅。如同灾难救援政策一样，事件反应计划要经常演练，最好的程序是直接与IDS警报结合。但遗憾的是，现在没有一个IDS供应商能够有效地把实时反应程序融和在系统之中。NAI的Active Security Suite 在这方面领先于同类产品，因为他的Event Orchestrator 可以按照不同的警报触发一系列的行动。其它系统（例如 Cisco 的NetRanger）不过融和了如HP OpenView 等网络管理工具，而把反应行动留给你去处理。

　　所以，大部分IDS的自动反应或建议只是事件反应计划中很小的一部分。关键在于你企业的操作人员及管理人员想不想去处理警报，并能依据紧急反应程序去实施正确的处理办法。

报告过程： 管理的角度

　　现在假设你已有了很好的事件反应计划，也训练了操作人员，而且对IDS的工作表现也很满意，那么，最后一点你需要注意的就是报告。既然你花了那么大的力气布署IDS来保护你的网络，你也希望能够生成有用的报表（为你自己，也为管理层），看看IDS究竟看到了什么，是不是不遗余力地赶走那些令人讨厌的黑客。这样的报表对于加强网络保护措施是非常重要的。

　　IDS的最大用处是标出那些最常见的攻击模式，并提醒你要防范这些攻击。因为要把你所有的系统安装上最新的补丁是很不容易做到的，但是在用了IDS后，通过搜寻最普遍的攻击模式，你就可以有针对性地建立防范措施。

　　例如，如果你常常受到拒绝服务SYN风暴攻击，你就会在防火墙上安装保护SYN风暴的措施。或者是，如果你发现某人利用一个Microsoft 的新漏洞攻击你的NT服务器，你可能想加快安装最新的Microsoft补丁。虽然IDS 可以提供你如"漏洞排行榜"或是哪些是最易受攻击的服务器等信息，但你仍需要就是否采取行动与安全员工进行商议并做出决定。如果你不能将报表结果付诸行动，当真正发生事故时，你就会悔之晚矣。

24x7 的安全

　　在过去的一年中，入侵检测技术的价值不断提高，用途更为广泛。即将推向市场的主机型及网络型结合的探测器，以及针对网络需要的自动配置及调校的技术改良都使你部署IDS更为方便。IDS在一天24小时，一星期七天看守你网络。

　　最后要提醒你的是，你仍是决定是否安装监控系统并对警报作出适当反应的决策者。在有事件发生前，先把你的IDS精细调校并安装在网络之中，写下监控指导及报警准则，并制定事件的相关反应行动，这样你就把花费在IDS上的投资用到极致。仅仅使用"即插即用"的手法来使用IDS将会是你犯的最大一个错误。

=========================
文章类型:转载 提交:绝地苍狼 核查:NetDemon