我们都知道,企业的网络目前威胁主要来自两个位置:一个是内部,一个是外部。来自外部的威胁都能被防火墙所阻止,但内部的攻击都不好防范。因为公司内部人员对系统了解很深且有合法访问权限,所以内部攻击更容易成功。
IDS为信息提供保护,已经成为深度防御策略中的重要部分。IDS与现实世界里的防窃报警装置类似,它们都对入侵进行监控,当发现可疑行为时,就向特定的当事人发出警报。IDS分为两类:主机IDS(HIDS)和网络IDS(NIDS)。HIDS安装在受监控主机上,拥有对敏感文件的访问特权。HIDS利用这一访问特权对异常行为进行监控。NIDS存在于网络中,通过捕获发往其他主机的流量来保护大量网络设施。
HIDS和NIDS都有各自的优点和缺点,完整的安全解决方案应包括这两种IDS,对于这一点比较难做到。不了解这一领域的人常常认为IDS就像一把万能钥匙,能解决所有安全问题。例如有的单位花了大笔的钱购置了商业IDS由于配置不当反而搞得连连误报,一下子就把数据库塞满了大量丢包进而崩溃。这种态度使人们以为只要将IDS随便安放在网络中就万事大吉了,不必担心任何问题,实际上远非如此。没有人会认为Email服务器直接连在Internet上就能正确运作。同样,你也需要正确的计划IDS策略,传感器的放置。下文以开源软件Snort的安装与维护为例,介绍正确地安装和维护IDS的思路和方法。
安装Snort
1、安装准备工作
我们在安装前我们要知道我们需要监控的内容,理想的状况是对一切进行监控。所有网络设备和任何从外部到企业的连接都处在Snort的监视之下。尽管这一计划对小公司只有几十台机器是很可能实现的,但是当大型企业中连接上天台网络设备时,这成了难以施展的艰巨任务。
为了加强snort检测的安全性,最好能为监控网段提供独立的智能交换机,如果你需要配置分布式的配置,可以吧服务器和控制台接在一个交换机上,二其他传感器放置在不同的物理位置,但这样的成本会有所增加。Snort IDS的维护问题是无法回避的。你迟早要对Snort特征更新并编写定制的规则,所以你还需要一个懂得维护IDS的专业人士。
