資源描述:
《solaris網(wǎng)絡環(huán)境部署hids配置實戰(zhàn)(上)》由會員上傳分享���,免費在線閱讀��,更多相關內(nèi)容在學術論文-天天文庫�����。
1��、Solaris網(wǎng)絡環(huán)境部署HIDS配置實戰(zhàn)(上)~教育資源庫 一��、IDS種類 1�����、NIDS-基于網(wǎng)絡的IDS 基于網(wǎng)絡的入侵檢測系統(tǒng)(Net�,NIDS)一般由兩部分組成:網(wǎng)絡流量傳感器和入侵檢測系統(tǒng)控制臺���。網(wǎng)絡流量傳感器一般被部署在網(wǎng)絡中心的核心交換機或部門交換機的鏡象端口(SPAN)上���。在網(wǎng)絡安全管理員的工作站上��,通過入侵檢測系統(tǒng)控制臺來接收�����、分析網(wǎng)絡傳感器傳來的日志來做報警處理��。也可以將網(wǎng)絡流量傳感器和入侵檢測系統(tǒng)控制臺集成在同一臺主機上同時進行檢測和分析的工作�����。 優(yōu)點: 成本較低��?����! 】杀O(jiān)測到主機級IDS監(jiān)測不到的活動�����?��! 『诳拖肭肿C據(jù)較困難��?���! 】?/p>
2、監(jiān)測到未成功或惡意的入侵攻擊����。 與操作系統(tǒng)無關��?! ∪毕荩骸 ∪艟W(wǎng)絡的規(guī)模過大,IDS往往會丟失許多包���,無法完全監(jiān)控網(wǎng)絡上所有的數(shù)據(jù)���。 若要采集大型網(wǎng)絡上的流量并加以分析��,往往需要更有效率的CPU處理速度��,以及更大的內(nèi)存空間�����。 2��、HIDS-基于主機的IDS 基于主機的入侵檢測系統(tǒng)(HostIntrusionDetectionSystem����,HIDS)通常是安裝在被重點監(jiān)測的主機之上,主要是對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷���。如果被監(jiān)視的某個對象活動十分可疑���,如具有某種特征或違反日常統(tǒng)計基線,入侵檢測系統(tǒng)就會采取相應措施����?��! ?yōu)點: 可以確
3���、認黑客是否成功入侵 監(jiān)測特定主機系統(tǒng)的活動 彌補網(wǎng)絡級IDS錯失監(jiān)測的入侵事件 較適合有加密及交換機﹝Se)的監(jiān)測與反應 不需另外增加硬件設備 缺陷: 所有的主機可能安裝不同版本或完全不同的操作系統(tǒng),而這些操作系統(tǒng)有各種不同的審核記錄��,因此必須針對各不同主機安裝各種HIDS?����! ∪肭终呖赡芙?jīng)由其他的系統(tǒng)漏洞入侵并得到系統(tǒng)管理員權限����,那么將會導致HIDS失去其效用?���! ost-basedIDSs可能會因為denial-of-service而失去作用?����! 《?����、IDS和其他安全工具的關系 1.IDS和防火墻的關系 防火墻是網(wǎng)絡安全的重要工具�����,不過它也存在權限
4、: 防火墻只能抵擋外部來的入侵行為����。 防火墻本身可能也存在弱點��,以及其他安全性的設定錯誤��?���! 〖词雇高^防火墻的保護,合法的使用者仍會非法地使用系統(tǒng)����,甚至提升自己的權限?�! 》阑饓H能拒絕非法的連接請求����,但是對于入侵者的攻擊行為仍一無所知?�! DS對于防火墻的作用如下: 防止防火墻和操作系統(tǒng)與應用程序的設定不當 監(jiān)測某些被防火墻認為是正常連接的外部入侵 了解和觀察入侵的行為意圖��,并收集其入侵方式的資料 監(jiān)測內(nèi)部使用者的不當行為 及時阻止惡意的網(wǎng)絡行為 IDS和防火墻的關系應當如下: 功能互補����,通過合理搭配部署和聯(lián)動提升網(wǎng)絡安全級別: 檢測來自外部和內(nèi)
5、部的入侵行為和資源濫用 在關鍵邊界點進行訪問控制 攻擊檢測更新迅速�����,實時的發(fā)現(xiàn)和阻斷 二者應當相輔相成����,在網(wǎng)絡安全解決方案中承擔不同的角色。如圖1����。 圖1IDS和防火墻的關系 三����、OSSEC 1.簡介 OSSEC屬于基于主機和應用的入侵檢測系統(tǒng),通過監(jiān)視企業(yè)重要服務器和各種應用以避免企業(yè)資源被攻擊�����、濫用和誤用����。在前文的介紹中��,我們把基于主機和基于應用的入侵檢測系統(tǒng)分成了兩大類�,不過在實際環(huán)境中����,往往會將二者結(jié)合在一起使用。這是因為二者采集信息的相同��,都是那些被監(jiān)視保護的主機����,而且黑客對主機進行侵入時,往往會同時攻擊操作系統(tǒng)和應用服務上的漏洞�。OSSEC
6、目前的最新版本是1.5��。OSSEC是一個非常典型的主機型入侵檢測系統(tǒng)�,我們可以通過了解它的體系結(jié)構(gòu)與工作原理來了解這一類型的入侵檢測技術?! SSEC是一款開源的多平臺的入侵檢測系統(tǒng),可以運行于:SecurityInformationManagement))解決方案中����。因其強大的日志分析引擎���,ISP(Interserviceprovider)(網(wǎng)絡服務提供商)�����、大學和數(shù)據(jù)中心用其監(jiān)控和分析他們的防火墻����、入侵檢測系統(tǒng)、網(wǎng)頁服務和驗證等產(chǎn)生的日志�。OSSEC的邏輯結(jié)構(gòu)如圖2?����! D2OSSEC的邏輯結(jié)構(gòu) OSSEC的邏輯結(jié)構(gòu)比較抽象���,我們看看它的三層體系結(jié)構(gòu)����,如圖3
7�����、?�! ?.工作原理 (1123下一頁友情提醒:�,特別!)Administrator�。是一個Unix和linux平臺下的命令行的用戶接口(GUI),主要起管理維護作用��,對OSSEC的大部分管理�����、配置工作都在這里進行��。它的主要作用為建立和斷開和Manager的連接����、組織和配置代理(Agent)、創(chuàng)建和管理各種類型策略�����、管理OSSEC用戶和用戶優(yōu)先級�����、在需要的時候更新Manager的許可證優(yōu)先級等等?���! ?2)EventVieinistrator安裝到一個管理工作臺上,這樣即可以顯示報警����,也可以配置策略�。此外,EventVieinistr
