入侵检测(ID)FAQ

newmaker

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 关于入侵检测，有什么开放的标准存在么？ 目前为止入侵检测还没有成熟的开放标准。但是我们正在向这一方向努力。 Internet工程任务组(IETF)是制定互联网标准的实体。他们有一个工作小组专门致力于开发一个通用的IDS报警格式。该小组已经完成了需求调查的阶段，具体的设计方案已经基本结束，但是具体的细节可能会稍有变化。初步的实现工作可能会因为标准的最终确定而进行少量修改。现在的设计是通过类似HTTP的连接格式来发送基于XML的IDS警告。为了满足IDS分析的需要，并且使该协议能够以自然的方式穿越防火墙，人们为此做了许多工作。 我们欢迎更多的人员参与进来。IEFT工作组对任何想参与并且技术过硬的人都是开放的。这是因为个人总是能为了解决问题提出最佳的方法，而不是按照老板的日程来给出答案。 工作组的宗旨可以参考http://www.ietf.org/html.charters/idwg-charter.html，邮件列表：http://www.semper.org/idwg-public/工作组的文档可以查看http://www.silicondefense.com/idwgISO的T4委员会也为此付出了不少努力，提出了入侵检测框架。该项目的进展情况目前仍是未知的，FAQ作者也无法对此获得已知数据。 通用入侵检测框架（CIDF）是美国国防高级研究项目局（DARPA）为IDS数据交换而作出的一个尝试。CIDF并不是想做成一个可以影响商业产品的标准，它只是一个研究项目。现在的CIDF开发似乎已经停止。CIDF使用类似于Lisp的格式来交换入侵相关事件的信息，并且为使用这些消息定义了大量的系统原型。你可以在http://www.gidos.org上获得更多的信息。 如何在一个网络流量繁重的交换环境下实现入侵检测系统（基于网络）？ 在交换环境下实现入侵检测系统的主要困难，是由集线器和交换机的不同所造成的。集线器没有连接的概念，因此每从一个端口收到数据包，都会向其他的端口进行复制。然而交换机是基于连接的，当一个数据包从交换机的一个临时连接端口进入，该数据包会被转发到目的端口。因此在集线器环境下，我们可以把我们的探测器放到任何位置，但是对于交换机，必须使用某些手段才能够使探测器监视需要的流量。 目前的选择有TAPS（中文为水龙头的意思），集线器和跨越端口（spanning port，有些地方也称为Mirror Port镜像端口），跨越端口可以将交换机配置成对某个端口像集线器一样工作。例如在图一中，我们希望监视交换机和资源机（Resource Machine）之间的连接状况。为此我们可以让交换机把资源机端口的经过的数据传到IDS所在的端口上。我们可以传送资源机发出的数据包，或者收到的数据包，或者两者。某些现有的交换机无法保证将100％的监视流量传送到跨越端口上，因此即使入侵检测系统被设置成监视所有攻击，某些攻击行为也可能未被察觉。交换机有时也只允许传送一个端口的数据包，因此同时监视多个主机就非常困难，甚至不可能。 使用集线器或者TAP是差不多的解决方案。集线器或者tap被放置在被监视连接的中间，通常是位于两个交换机之间，或者交换机和路由器之间，或者服务器和交换机之间，等等。在图二中，集线器被放置在资源主机和交换机之间。这样，资源主机和交换机之间的网络仍然正常运行，但是由于集线器的特性，网络数据被复制到IDS上。这个和跨越端口有些类似，但是跨越端口只能监视单个主机。集线器上连接多台机器会使网络出现问题从而抵消交换机带来的好处，另外，使用一个容错集线器会大大增加成本。Tap被用来设计成对主连接（也就是从资源主机到交换机的连接）容错，并且用硬件实现，确保不会出错。 图三中，一个tap被用来监视一台资源主机。Tap是单方向的，只允许从交换机和资源主机之间到IDS的流量通过。这样就避免了IDS到交换机或者资源主机的流量，这个流量也不会再回到IDS。既然tap是单方向的，我们可以把网络流量从几个tap引导到hub上，最终由IDS来监视，这样就不会引起网络问题，参见图四。 什么是蜜罐？如何使用蜜罐？ 蜜罐是一些程序，这些程序可以模拟在你计算机的指定端口上运行的一个或多个网络服务。攻击者会认为你在运行某些有漏洞的服务，可以通过这些来攻破系统。蜜罐可以用来记录下所有的连接那些端口的活动，甚至包括攻击者的击键记录。这会为你提供某些联合攻击的预警。 有一个蜜罐程序叫做欺骗工具包（Deception Tool Kit），可以从http://www.all.net/dtk/index.html下载。你可以为每一个端口配置连接反应。 蜜罐上运行众所周知的服务器，比如说网页，邮件或者域名服务器，是和合适的，因为这些系统是经常被攻击的对象。蜜罐也可以用来替换正在被攻击的系统。 蜜罐（honeypot）是什么？为什么我们需要它？ 蜜罐是一个用来保护网络不受非授权访问的工具。蜜罐里并没有公司里关键的数据或者应用程序，但是却有很多有趣的数据来引诱黑客。蜜罐其实就是你网络中的一台计算机，它看起来似乎是一个正常的计算机，但实际上这个计算机被精心配置，可以吸引黑客与之相交互，并且能记录攻击的细节。蜜罐也可以称作是"替罪羔羊"，"圈套"。交互越真实，攻击者就会在蜜罐里呆得越久而不离开。而黑客呆在蜜罐的时间越久，关于他们的技术就越多的被了解。这些信息可以用来分辨黑客们究竟在寻找什么，他们的水平如何，他们使用什么样的工具。有了这些信息，人们就可以更好的对网络和主机进行防御。 蜜罐可以用来增强网络入侵和响应系统的部署。商用入侵检测和响应系统所存在的问题，就是不能发现新的或者先前未知的底层次的攻击、技术手段或者工具，另一个问题就是它不能发现以合法用户身份所作的行为。从某种意义上说，蜜罐也有可能发现不了新的攻击，但是蜜罐确实可以让你明白，你的网络里确实有黑客在做一些他们不应该做的事情。别的安全措施（包括入侵检测和响应）认为黑客是合法用户，可是蜜罐却能清楚的分辨出来。 如果一个大公司的人打电话过来，他／她想使用入侵检测，为此向你征求建议，你应该向他们推荐什么？ 首先应该考虑的方面取决于组织的要求和保证信息安全的迫切性。一个好的起点是调查过去的入侵事件所产生的影响。如果该公司最近曾被有黑客入侵，他们应该知道自己的处境有多危险。研究过去的入侵事件，以及公司对此的反应，有助于选择符合商业要求的入侵检测产品。例如，入侵检测系统能够在某人存入$X.xx的时候就发现这一入侵行为，并及时阻止该入侵行为的进一步发生。 事先就对预防入侵所投入的花费进行合理的估计是很有益的。入侵所带来的损失，包括停产的时间、负面的公共关系、由此所引起的股市价格波动、关键信息的破坏所造成的决策失误、对机密信息的非授权访问或者偷窃导致的同行竞争力的损失；除了以上所列，还包括对入侵事件的调查、立案、取证和制作报告所花的费用。 只了解入侵检测的好处是不够的，还需要对当前市场上入侵件产品有所熟悉。你得明白各种产品想达到的目标是什么。一方面了解商业实例的需求，另一方面又了解特定产品的功能，就能够选出适合公司入侵检测需要的产品。不幸的是，关于入侵检测并没有很多的参考书。网站、白皮书、产品手册和入侵检测的相关会议是获取信息的一个好的出发点。与其他已经实施入侵检测的组织进行的广泛交流也是很有益的。 下一步就是把这些材料提交给管理者。白皮书和演示文档能让管理层对入侵检测有一个了解。你的目标就是要建立一个入侵检测的商业实例。近期系统被入侵所带来的额外花费，即使只是一个小规模的事件，也会对你实施入侵检测很有帮助。当然，列举一些最近媒体上所报道的相关安全事件，也能让管理层坚定决心。如果能看到使用入侵检测产品所带来的明显的有说服力的好处，管理层是非常有可能同意的。 探测器（代理）和监视器之间的通信，应该加密么？ 理想状况下，探测器和监视器之间的通信，是应该加密的，这样就可以阻止信息被截取或者篡改。知识丰富的入侵者会寻找与入侵检测有关的流量，并且甚至有能力去截取该流量。入侵检测探测器会向监视器发送三种类型的数据： 当一个潜在的入侵行为被发现的时候，报警信息就会被发送到监视器。具体需要发送什么报警信息，跟产品的设置有关。 状态日至是探测器自身的操作日志。这些日至也是可配置的，其内容主要是报告探测器的运行状况，以及所维持的监测警报和修改的情况。 按照配置，其他信息也可以被传送，例如，引起警告的数据包或者日至数据也可以被复制并传送给监视器来做检查。 当然，所有这些入侵信息对入侵者来说也是有用的。例如一个入侵者可以截取并且删除数据或者警告，这样就不会有信息送给监视器。因此，监视器就不会收到警告信息，入侵行为也就不能被发觉。即使数据没有被改变，数据无法保证不被修改的这一个事实，使其不能在法庭上作为证据。对探测器的通信进行加密，虽然不能保证隐藏探测器的存在，但是却可以隐藏传送信息的内容，这样，就没有人能够截取明文的数据。监视器也因此有能力鉴别伪造的信息，因为这些信息是没有加密的。加密也能保证警报信息和随后的行为不是基于假的消息。 另一个保护通信的方法是为探测器和监视器使用专门的网络线路。入侵者无法进入单独的网络，这样就减少了不使用加密的威胁。探测器所产生的数据，并不是在它所检测入侵活动的网络上传送。这样做的另一个好处就是单独的网络不容易受到企图使入侵检测不能正常工作的拒绝服务的攻击。这个架构的缺点，就是单独为入侵检测维护网络，增加了成本。 入侵检测产品提供了不同的加密手段，请联系你的供货商来获取有关加密的更多信息。(end)

文章内容仅供参考 (投稿) (11/25/2004)