入侵檢測系統(tǒng)���,顧名思義,就是能夠及時(shí)發(fā)現(xiàn)入侵行為的系統(tǒng)���。它通過對網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集網(wǎng)絡(luò)數(shù)據(jù)信息并對其進(jìn)行分析,從中鑒別網(wǎng)絡(luò)中違反安全策略的行為和被攻擊的跡象���。與其他安全產(chǎn)品相比,入侵檢測系統(tǒng)需要更加智能���,而不是像防火墻只是判斷這些數(shù)據(jù)符不符合安全策略���。一個(gè)好的入侵檢測系統(tǒng)能大大的提高網(wǎng)絡(luò)安全系數(shù)。
防火墻并不安全
防火墻是長期以來保障網(wǎng)絡(luò)安全最常用的工具���。它是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互連設(shè)備,它對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)按照設(shè)定的安全策略對其進(jìn)行檢查���,來決定哪些數(shù)據(jù)非法。這樣有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送���,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的���。
一般防火墻系統(tǒng)分為兩層,內(nèi)層是帶包過濾功能的路由器���,外層是代理服務(wù)器���。包過濾防火墻只接受代理服務(wù)器發(fā)出的服務(wù)請求和內(nèi)部網(wǎng)絡(luò)發(fā)起的服務(wù)連接���,代理服務(wù)器負(fù)責(zé)向公共網(wǎng)用戶提供內(nèi)部網(wǎng)絡(luò)允許的網(wǎng)絡(luò)服務(wù)���。
包過濾和代理技術(shù)的雙層防火墻系統(tǒng),從一定程度上提高了系統(tǒng)的安全性���。但它主要是用來拒絕未經(jīng)授權(quán)的用戶訪問,阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)���,同時(shí)允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源,如果使用得當(dāng)���,可以在很大程度上提高網(wǎng)絡(luò)安全性能���,但是防火墻雖然能對外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的防護(hù)���,但對來自內(nèi)部網(wǎng)絡(luò)的攻擊卻無能為力,事實(shí)上據(jù)統(tǒng)計(jì) 60 %以上的網(wǎng)絡(luò)安全問題來自內(nèi)部網(wǎng)絡(luò)���,而且網(wǎng)絡(luò)程序和網(wǎng)絡(luò)管理系統(tǒng)中可能存在缺陷。因此網(wǎng)絡(luò)安全單靠防火墻技術(shù)是不夠的。
因?yàn)榉阑饓τ兴陨淼木窒蓿?/p>
1.有欠靈活
防火墻是通過嚴(yán)格限制進(jìn)出流來保障網(wǎng)絡(luò)安全的���。但是這樣不可避免就會造成網(wǎng)絡(luò)本身過于封閉���,很多服務(wù)如Telnet,FTP...會被屏蔽掉���。
2.家賊難防
防火墻所執(zhí)行的任務(wù)是把住大門���,防止外部用戶非法獲得敏感數(shù)據(jù)或者非法操作���。可是它對內(nèi)部用戶的行為毫無約束���。這時(shí)內(nèi)部用戶無法無天也就不奇怪了���。
3.后門失守
防火墻把的是大門,可如果本網(wǎng)絡(luò)有后門呢���,且又被控制了呢���?這時(shí)防火墻形同虛設(shè)。
防火墻有這么多的局限���,這時(shí)人們就想到了"主動出擊"���,派出"入侵檢測系統(tǒng)"進(jìn)駐公司內(nèi)部,在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)巡邏���,隨時(shí)揪出入侵之?dāng)场?/p>
技術(shù)要求
入侵檢測技術(shù)是繼"防火墻"���、"數(shù)據(jù)加密"等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)。
一個(gè)好的網(wǎng)絡(luò)入侵檢測系統(tǒng)至少應(yīng)滿足這些功能要求:
1���、實(shí)時(shí)性:
如果網(wǎng)絡(luò)攻擊或者攻擊的企圖盡快的被發(fā)現(xiàn),這就有可能阻止進(jìn)一步的攻擊活動���,有可能把損失控制在最小限度。實(shí)時(shí)入侵檢測可以避免常規(guī)情況下���,管理員通過對系統(tǒng)日志進(jìn)行審計(jì)以辨別入侵行為時(shí)的低效和延遲���。
2���、可擴(kuò)展性:
一個(gè)已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時(shí),可以通過某種機(jī)制在無需對入侵檢測系統(tǒng)本身進(jìn)行改動的情況下���,使系統(tǒng)能夠檢測到新的攻擊行為���。并且在入侵檢測系統(tǒng)的整體功能設(shè)計(jì)上���,也必須建立一種可以擴(kuò)展的結(jié)構(gòu),以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴(kuò)展要求���。
3���、事件記錄:
作為一個(gè)完備的網(wǎng)絡(luò)入侵檢測系統(tǒng)���,對于檢測到的入侵事件必須具備完善的日志記錄和日志審計(jì)功能���。
4���、安全性:
入侵檢測系統(tǒng)必須盡可能的完善與健壯���,不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患���。
5���、有效性與易用性:
能夠保證設(shè)計(jì)的網(wǎng)絡(luò)入侵檢測系統(tǒng)是切實(shí)有效的���,即對于攻擊行為的錯(cuò)報(bào)與漏報(bào)能夠控制在一定范圍內(nèi)。并且系統(tǒng)應(yīng)該是友好的���,簡潔易用的。
應(yīng)用實(shí)例
下面以中科大國禎網(wǎng)絡(luò)入侵檢測系統(tǒng)為例來說明網(wǎng)絡(luò)入侵檢測系統(tǒng)的主要特性和配置方法���。
* 分布式系統(tǒng)設(shè)計(jì)������?梢罁(jù)不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)靈活配置整個(gè)系統(tǒng)���。
* 檢測速度快。感應(yīng)器通常能在微秒或毫秒級發(fā)現(xiàn)問題���。
* 安全性好���。系統(tǒng)各個(gè)模塊間采用先進(jìn)的加密傳輸���。
* 易于控制���。系統(tǒng)由感應(yīng)器、控制中心和反應(yīng)單元組成���。其中感應(yīng)器和反應(yīng)單元都是基于無人值守設(shè)計(jì)的���。用戶只須在控制中心掌控整個(gè)系統(tǒng)。
* 智能反擊���。系統(tǒng)在感應(yīng)器報(bào)警后會由控制中心下達(dá)反擊命令���,根據(jù)不同協(xié)議或切斷連接或數(shù)據(jù)包過濾���。
* 數(shù)據(jù)過濾。能對特定數(shù)據(jù)包實(shí)現(xiàn)過濾���,并可按用戶需求過濾一定時(shí)間���。
* 系統(tǒng)可擴(kuò)展性好。系統(tǒng)的分布式結(jié)構(gòu)設(shè)計(jì)和核心感應(yīng)器的結(jié)構(gòu)設(shè)計(jì)決定了系統(tǒng)的可擴(kuò)展性較好���。
* 隱蔽性和獨(dú)立性好���。感應(yīng)器不像一般主機(jī)在明處���,因而也不那么容易遭受攻擊���。而且它不運(yùn)行其他的應(yīng)用程序,不提供網(wǎng)絡(luò)服務(wù)���,故有利于保障網(wǎng)絡(luò)安全。
* 資源配置要求不高���。由于使用一個(gè)檢測器就可以保護(hù)一個(gè)共享的網(wǎng)段,所以不需要很多的檢測器���。但是,如果在一個(gè)交換環(huán)境下���,采用分接器(Tap),將其接在所有要檢測的線路上���。還有���,感應(yīng)器不占用被保護(hù)資源���。
* 容易捕獲證據(jù)���。網(wǎng)絡(luò)入侵檢測系統(tǒng)基于正在發(fā)生的網(wǎng)絡(luò)通訊進(jìn)行實(shí)時(shí)檢測,所以攻擊者無法轉(zhuǎn)移證據(jù)���。且系統(tǒng)具備完善的日志記錄功能和審計(jì)功能。這樣黑客就不能靠擦除系統(tǒng)記錄來掩蓋作案痕跡了���。
既然網(wǎng)絡(luò)入侵檢測系統(tǒng)這樣的好,那么該怎樣在具體的網(wǎng)絡(luò)環(huán)境中配置它呢���?下面(圖2)以安徽國禎環(huán)保節(jié)能科技股份有限公司廠區(qū)網(wǎng)絡(luò)為例來說明���。
該網(wǎng)絡(luò)采用1000M高速以太交換網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)為星型分級拓?fù)浣Y(jié)構(gòu)���。主干交換機(jī)���,即圖中一級節(jié)點(diǎn),采用Cisco4006(配一個(gè)WS-X4232-L3���,兩個(gè)WS-5484模塊)���,二級節(jié)點(diǎn)采用兩臺Cisco3524XL(各配一個(gè)WS-5484)交換機(jī);接入系統(tǒng)采用CISCO2621路由器(配 一個(gè)NM-8AM模塊)���。采用1000BASE-SX、100 BASE-FX���、100 BASE-TX標(biāo)準(zhǔn)���,構(gòu)造100/1000M的網(wǎng)絡(luò)帶寬���,提供到達(dá)桌面的100M連接。
可以看得出來���,該網(wǎng)絡(luò)有一級節(jié)點(diǎn)一個(gè),二級節(jié)點(diǎn)三個(gè)���,三級節(jié)點(diǎn)一個(gè)���。那么怎么把網(wǎng)絡(luò)入侵檢測系統(tǒng)配置在這個(gè)網(wǎng)絡(luò)中呢?
一般來說反應(yīng)單元是置于網(wǎng)關(guān)上的���,如圖所示���?刂浦行碾S意放置于內(nèi)部網(wǎng)絡(luò)方便的地方���,這里把它置于中心機(jī)房。而感應(yīng)器乃系統(tǒng)的靈魂所在���,必須置于網(wǎng)絡(luò)流量集中的地方���。否則系統(tǒng)性能將得不到保證。這里把它置于3個(gè)二級節(jié)點(diǎn)和1個(gè)三級節(jié)點(diǎn)上���。
應(yīng)用效果
配置好系統(tǒng)后���,整個(gè)網(wǎng)絡(luò)對付攻擊的效果怎樣呢?
中科大國禎網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測到1200多種包括緩沖區(qū)溢出及拒絕服務(wù)攻擊和各種網(wǎng)絡(luò)掃描的網(wǎng)絡(luò)攻擊行為���。
為了測試系統(tǒng)性能���,我們進(jìn)行了一系列攻擊測試���。包括Ping of Death,SYN Flood���,UDP Flood���,Smurf,Unicode Attack以及使用著名的網(wǎng)絡(luò)掃描工具Nmap和Nessus以及Shadow Security Scanner產(chǎn)生網(wǎng)絡(luò)攻擊���。
在上述攻擊中���,我們的系統(tǒng)表現(xiàn)出了一個(gè)好的網(wǎng)絡(luò)入侵檢測系統(tǒng)所具備的實(shí)時(shí)高效���,安全有效���,日臻完善的優(yōu)點(diǎn)。
還有���,在網(wǎng)絡(luò)大負(fù)載時(shí)系統(tǒng)表現(xiàn)又怎樣呢���?實(shí)驗(yàn)證明我們的系統(tǒng)在40M/sec的網(wǎng)絡(luò)環(huán)境中和60M/sec的網(wǎng)絡(luò)環(huán)境中表現(xiàn)依舊相當(dāng)令人滿意���。在90M/sec的網(wǎng)絡(luò)環(huán)境中系統(tǒng)性能有所下降,但是仍能夠檢測到60%的網(wǎng)絡(luò)攻擊���。這是個(gè)尚待解決的普遍存在的問題���。
我們提出的網(wǎng)絡(luò)安全解決方案在上面的例子中已經(jīng)展示出來了。那就是結(jié)合防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點(diǎn)���,在企業(yè)局域網(wǎng)絡(luò)的出入口處配置防火墻���,以應(yīng)對基本的外部網(wǎng)絡(luò)攻擊,在內(nèi)部網(wǎng)絡(luò)中配置網(wǎng)絡(luò)入侵檢測系統(tǒng)���,以彌補(bǔ)防火墻的不足���,并負(fù)責(zé)在內(nèi)部網(wǎng)絡(luò)中巡邏,檢測來自內(nèi)部網(wǎng)絡(luò)的攻擊���。
關(guān)鍵詞標(biāo)簽:入侵檢測
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置