| |
入侵检测和防范:不仅仅是防火墙 |
|
威盾防火墙 2014-12-04 |
| |
入侵检测系统(Intrusion Detection System,IDS)以及它们的近亲---入侵防范系统(Intrusion Prevention System,IPS)是网络安全的入侵警报器。我们知道,防火墙只能阻止通信量,而一个IDS能够检测出恶意通信量(如果存在恶意通信的话),然后向系统管理员或者IT安全人员发出警报。而IPS则不仅仅能察觉恶意入侵,还能试图对其修复。
对于拥有错综复杂的网络的大公司,很自然的需要安装和设置这种检测系统以及防范系统。IDS和IPS通常是较大规模网络安全结构的一部份,并且是随着防火墙一道安装的。
但是对于只有小型网络和若干IT工作人员的中小型企业(SMB)来说,IDS可能显得有点奢侈。而且,还需要有工作人员能全天全周侯待命以监控IDS。然而,中小型企业光有防火墙来实施保护是不够的。
这里有两种使用IDS和IPS的低预算方案,中小型企业可以考虑尝试。你可以使用适合较小公司小型网络的产品,或者也可以利用外包商们专为中小型企业提供的检测和预警服务。
但在你做任何决定之前,请先考虑一下评测IDS或者IPS的基本标准:你的网络的规模和范围,需要保护的数据和基础设施的类型,以及IDS将如何融入你现有的事故应对策略。
网络的规模和范围:你的网络的规模和范围是很重要的,因为IDS就像任何其他网络中的应用程序,可能影响网络性能。IDS只是一种安全硬件,和你的防火墙以及病毒、垃圾邮件、内容管理过滤器一样。对于一个极小的网络来说,它会是一个很大的负担。如果是这样的话,具有良好处理能力的防火墙,会比完备的IDS更好控制。记住,防火墙能阻止不必要的通信量,但并不总会记录它。IDS记录不必要的通信量,但不一定能阻止它,除非还有IPS。所以防火墙和IDS就像是硬币的正反面,功能互补。
另外,最近有很多产品结合了IDS、防火墙、过滤以及其他功能,成为一种全能便利的应用软件。当中小型企业在考虑为小型网络购买一个价廉物美的设备时,可以考虑考虑这种产品。
数据和基础设施类型:中小型企业绝不能单单依赖IDS来实施保护。IDS应该是一个多层防御系统的一部份,这个防御系统还应包括防火墙、安全进入管理、和桌面服务器硬件硬化。
另外,要想真正有效实施保护,入侵检测系统必须被安装在防火墙的两边以及内网和外网的通信量流入的网关处。IDS并不是独立工作。它需要检测从各方来的通信量,无论是来自内部的还是外部的。把不同网段的检测结果进行比较,那么就能确定攻击的来源或者试图入侵的恶意程序了。内部攻击相当普遍,而且可以被确定,例如通过IDS对内部(而不是外部)网段可疑活动的检测。
为了让IDS融入你当前的应对策略,应当对你的服务器上存储的东西进行详细的风险分析:
1. 是可能导致客户身份暴露或者对你公司提起诉讼的重要客户信息吗?还是不仅仅关乎个人利益的人口和销售数据呢?
2. 你的服务器存储了私人公司信息或者计划吗?
3. 你的服务器存储了包括工资税和社会安全号码的员工信息吗?
如果数据风险不高,那么简单的防火墙就足以防止入侵。据说,黑客经常先闯入较低保护的系统作为后门,然后进入关键系统。低风险系统和存有高风险数据的服务器是隔离的吗?在安装IDS时,不仅要考虑数据风险级别,也要考虑系统结构和低风险到高风险的可进入性。
审查系统时,要检查它如何发送警报和发给谁。如果你的IT店只有一个人,那这个人能够应付得了没完没了的事故警报吗?而且其中很多可能是假警报。应该发送电子邮件吗?IDS系统还会产生大量日志数据,大多数起不到任何作用。评测数据---及时处理以检测出真正的入侵---确实不容易。这种情况下,可以考虑使用那些可以帮助审查警报数据,并且能从黑客例行试探网络的普通无用数据找出真正入侵的产品。
IDS方案
这里有两个有趣的为中小型企业设计的应用软件,它们分别来自iPolicy Networks Private有限公司和TriGeo网络安全公司。
iPolicy 3.0版,发布于去年12月,使用了被称之为Real-Time Vulnerability Correlation (RVC)的程序。IPolicy的RVC利用的是来自Nessus的数据(Nessus是Tenable网络安全公司的一种流行的扫描工具)以及eEye公司的Retina,Retina可以将实时威胁信息与Common Vulnerabilities and Exposures和BugTraq(两个IT安全界中有名的漏洞数据库)中的数据进行比较。用户可以根据资产的价值和风险级别来调整iPolicy,RVC然后通过资产的价值来确定威胁程度,并从它的IDS和IPS处发出警报。IPolicy还包括抗滤过性病毒保护;它还可以监控因特网协议语音传输网络、即时信息和其它点对点式的通信(即使它使用的是非标准端口或者忙碌端口)。
TriGeo的 Security Information Manager(安全信息管理器)因它的实时日志分析而出名,而且它像iPolicy一样能分析实况数据和网络行为以实行更细致入微的入侵检测。该产品能够把日志信息聚集合计成一个单一的实用报告。而不是从头至尾过滤多重日志,在通常情况下,TriGeo把每个时间排列整齐,那么,你的IT人员只需要扫一眼,便知道该采取何种行动。
中小型企业还可以通过外包给那些专门从事入侵监控和事故应对的公司来实施保护。有三种厂商向中小型企业提供这种服务:位于亚特兰大的互联网安全系统公司(Internet Security Systems Inc.),位于加州Redwood Shores的Qualys公司和位于加州Cupertino的Symantec公司。这些公司都有专门的工作人员,他们都是事故应对和处理入侵方面的专家。不需要使用硬件IDS,这些公司可以从他们的操作中心对中小型企业系统进行远程扫描和管理网络。
同样提供IDS应用软件的ISS公司,利用的是来自它的X-Force安全情报服务中心的信息,并且有一个门户网站,为客户提供实时更新。Qualys是先根据资产的价值和风险分级,然后根据级别进行监测。Symantec的DeepSight威胁管理系统能够通过分析公司系统的特定区域来检测攻击。
Symantec同时也是Sourcefire公司的一个安全管理服务供应商合作伙伴,Sourcefire公司是Snort的生产公司---著名的开源IDS软件。Snort也可以作为一个不需要外包支持的独立产品,是一个可靠的受欢迎IDS,中小型企业可以考虑使用Snort。
由于安全威胁已经混合在一起,从硬件到网络和软件,所以需要入侵检测来实施保护。入侵检测已经成为一个较大的安全保护的一部份,还包括防火墙和漏洞管理,网络接入控制和端点安全。IDS应当仅被视为中小型企业IT安全计划的一部份,不是全部。 |
|
| 相关内容: |
最新内容: |
威盾IIS网站防火墙[2014-11-25]
抵御黑客的入侵 进一步认识防火墙技术[2014-11-22]
让你瞧瞧黑客眼中的防火墙与路由器[2014-11-22]
数据库---防火墙[2014-11-22]
网站防黑客专家-威盾防火墙[2014-11-21]
网站防CC攻击方案-威盾IIS防火墙[2014-11-20]
|
防止ADSL被入侵的一些技巧[2014-12-04]
网络入侵、攻击与防范技术[2014-12-04]
服务器防入侵加固的几种做法[2014-12-04]
服务器如何防止黑客入侵[2014-12-04]
无形的栅栏--系统权限[2014-12-04]
ASP木马Webshell安全解决办案[2014-12-04]
|
