| 出版日期:2004-11-22 总期号:1366 本年期号:87 |
|
 |
“冰之眼”看破攻击
——绿盟科技IDS机理分析 李军 由于边界防护技术仅提供依照策略的访问控制,被“授权”的内部和远程用户仍可以利用防火墙无法察觉的攻击方式尝试窥探、滥用以及其他对内部网络的恶意行为。防火墙并不会监测被授权用户的行为,它的侧重点也不是内部威胁。防火墙被允许一定程度的访问,这就有可能为跨网络的漏洞窥探和潜在的攻击打开大门。 因此,如何在进行严格的边界访问控制的前提下行之有效地对业务网络中的潜在攻击和非授权访问行为进行实时的检测,并做出及时的响应就成为用户当前最为关心的问题。 绿盟科技“冰之眼”网络入侵检测(NIDS)系统是收集各种信息,由内置的专家系统进行分析,发现其中潜在的攻击行为的一种网络安全设备。绿盟NIDS系统捕获分析网络中的所有报文,发现其中的攻击企图,根据事先制定的策略通知管理员或自行采取保护措施。 如图,已在两台Cisco3550交换设备上部署了两个绿盟科技的“冰之眼”网络入侵检测探测器。首先在Cisco3550交换机上做端口镜像,把需要监控的主机/端口或VLAN流量镜像到SPAN端口上,“冰之眼”入侵检测探测器将从两台交换机的SPAN口实时捕捉数据包,根据所需保护网络的自身特点(如使用的操作系统、应用系统类型)来设置合理有效的安全策略和入侵检测模式,进行入侵行为检测和分析,发现问题及时报警。 用户还需要准备一台Windows系统的主机,用于安装“冰之眼”入侵检测控制台。经过配置,两个“冰之眼”入侵检测系统的探测器连接到此控制台上进行集中监控、安全策略制定和检测规则的配置。如果未来业务网络中加入了新的网络探测器,同样也可将告警信息发送到此控制台上进行集中的管理和分析。“冰之眼”入侵检测控制台将实时地监控重要网络中的数据访问和系统事件,及时发现攻击行为,作出分析证据,并对可疑的访问行为进行自动响应。 一方面,利用“冰之眼”网络入侵检测系统独特的攻击结果判定功能,可以重点关注过往攻击成功的安全事件,单独设定安全策略;另一方面,也可以根据用户业务特点过滤一些低风险或者不可能成功的攻击行为,从而减少管理员关注日志告警的工作量,也使得重要攻击行为能够得到重点体现。 “冰之眼”网络入侵检测系统也能够针对用户业务特点自定义某些特定的安全规则,例如敏感内容信息过滤,设置自定义的关键字过滤检测规则,通过与防火墙的联动或自身发送的TCP Killer数据包,将涉及敏感信息的TCP会话阻断,防止信息泄露或者一些非法的网络信息传递。 安全领域不存在静止的安全,任何的变化都可能引起安全问题的出现,例如网络结构的调整,新的应用的启用,新的安全漏洞和新的攻击手法的出现等等,所以任何时候,安全都是动态的。在这种情况下,有效地使用和维护入侵检测产品的安全策略,才能使之发挥其最大的效应,因此,我们建议如下: 1.保障规则升级。每周定时检查厂商(绿盟科技)网络入侵检测规则的升级模块,自动在线升级入侵检测规则库,或者离线下载或使用厂商(绿盟科技)提供的定期升级包,自动推送升级包到本地入侵检测系统。 2.设置日志自动备份策略。设置报警日志定期备份策略,防止出现日志溢出或意外丢失的情况。 3.实行定期分析与报告策略。每月对报告进行综合分析,对疑难问题,寻求安全厂商(绿盟科技)的支持。 4.采取防火墙联动策略。必要的情况下,可预先配置和防火墙的联动,并制定启用联动的安全策略。 
绿盟科技“冰之眼”网络入侵检测系统拓扑图 |
||||||||||||||||||||||||||||
