入侵監(jiān)測(cè)系統(tǒng)的構(gòu)架

第第頁(yè)入侵監(jiān)測(cè)系統(tǒng)的構(gòu)架入侵監(jiān)測(cè)系統(tǒng)的構(gòu)架

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

入侵監(jiān)測(cè)系統(tǒng)的構(gòu)架有兩種構(gòu)架的IDS可供選擇，每種都有它的適用環(huán)境。雖然主機(jī)級(jí)的IDS具有更強(qiáng)的功能而且可以提供更詳盡的信息，但它并不總是最佳選擇。網(wǎng)絡(luò)級(jí)IDS你可以使用網(wǎng)絡(luò)級(jí)的產(chǎn)品，象eTrustIntrusionDetection只需一次安裝。程序（或服務(wù)）會(huì)掃

入侵監(jiān)測(cè)系統(tǒng)的構(gòu)架

有兩種構(gòu)架的IDS可供選擇，每種都有它的適用環(huán)境。雖然主機(jī)級(jí)的IDS具有更強(qiáng)的功能而且可以提供更詳盡的信息，但它并不總是最佳選擇。網(wǎng)絡(luò)級(jí)IDS

你可以使用網(wǎng)絡(luò)級(jí)的產(chǎn)品，象eTrustIntrusionDetection只需一次安裝。程序（或服務(wù)）會(huì)掃描整個(gè)網(wǎng)段中所有傳輸?shù)男畔泶_定網(wǎng)絡(luò)中實(shí)時(shí)的活動(dòng)。網(wǎng)絡(luò)級(jí)IDS程序同時(shí)充當(dāng)管理者和代理的身份，安裝IDS的主機(jī)完成所有的工作，網(wǎng)絡(luò)只是接受被動(dòng)的查詢。

優(yōu)點(diǎn)和缺點(diǎn)

這種入侵監(jiān)測(cè)系統(tǒng)很容易安裝和實(shí)施；通常只需要將程序在主機(jī)上安裝一次。網(wǎng)絡(luò)級(jí)的IDS尤其適合阻止掃描和拒絕服務(wù)攻擊。但是，這種IDS構(gòu)架在交換和ATM環(huán)境下工作得不好。而且，它對(duì)處理升級(jí)非法賬號(hào)，破壞策略和篡改日志也并不特別有效。在掃描大型網(wǎng)絡(luò)時(shí)會(huì)使主機(jī)的性能急劇下降。所以，對(duì)于大型、復(fù)雜的網(wǎng)絡(luò)，你需要主機(jī)級(jí)的IDS。

主機(jī)級(jí)IDS

像前面所講的，主機(jī)級(jí)的IDS結(jié)構(gòu)使用一個(gè)管理者和數(shù)個(gè)代理。管理者向代理發(fā)送查詢請(qǐng)求，代理向管理者匯報(bào)網(wǎng)絡(luò)中主機(jī)傳輸信息的情況。代理和管理者之間直接通信，解決了復(fù)雜網(wǎng)絡(luò)中的許多問題。

技術(shù)提示：在應(yīng)用任何主機(jī)級(jí)IDS之前，你需要在一個(gè)隔離的網(wǎng)段進(jìn)行測(cè)試。這種測(cè)試可以幫助你確定這種Manager-to-agent的通信是否安全，以及對(duì)網(wǎng)絡(luò)帶寬的影響。

管理者M(jìn)anagers

管理者定義管理代理的規(guī)則和策略。管理者安裝在一臺(tái)經(jīng)過特殊配置過的主機(jī)上，對(duì)網(wǎng)絡(luò)中的代理進(jìn)行查詢。有的管理者具有圖形界面兒其它的IDS產(chǎn)品只是以守護(hù)進(jìn)程的形式來運(yùn)行管理者，然后使用其它程序來管理它們。

物理安全對(duì)充當(dāng)管理者的主機(jī)來說至關(guān)重要。如果攻擊者可以獲得硬盤的訪問權(quán)，他便可以獲得重要的信息。此外，除非必需管理者的系統(tǒng)也不應(yīng)被網(wǎng)絡(luò)用戶訪問到，這種限制包括I訪問。

安裝管理者的操作系統(tǒng)應(yīng)該盡可能的安全和沒有漏洞。有些廠商要求你使用特定類型的操作系統(tǒng)來安裝管理者。例如，ISSRealSecure要求你安裝在WindowsNTWorkstation而不是WindowsNTServer，這是由于在NTWorkstation上更容易對(duì)操作系統(tǒng)進(jìn)行精簡(jiǎn)。

特殊的考慮

每種IDS廠商對(duì)他們的產(chǎn)品都有特殊的考慮。通常這些考慮是針對(duì)操作系統(tǒng)的特殊設(shè)置的。例如，許多廠商要求你將代理安裝在使用靜態(tài)IP地址的主機(jī)上。因此，你也許需要配置DHCP和WINS服務(wù)器來配合管理者。這種特殊的考慮在一定程度上解釋了為什么大多數(shù)IDS程序用一個(gè)管理者來管理數(shù)臺(tái)主機(jī)。另外，安裝管理者會(huì)降低系統(tǒng)的性能。而且，在同一網(wǎng)段中安裝過多的管理者會(huì)占用過多的帶寬。

另外，許多IDS產(chǎn)品在快于10MB的網(wǎng)絡(luò)中工作起來會(huì)有問題。通常IDS的廠商要求你不要將管理者安裝在使用NFS或NFS+的UNIX操作系統(tǒng)上，因?yàn)檫@種文件系統(tǒng)允許遠(yuǎn)程訪問，管理者會(huì)使它們?nèi)狈Ψ€(wěn)定和不安全。

除非特殊情況，你不應(yīng)將IDS的管理者安裝在裝了雙網(wǎng)卡或多網(wǎng)卡的用做路由器的主機(jī)上，或者安裝在防火墻上。例如，WindowsNTPDC或BDC也不是安裝大多數(shù)IDS管理者的理想系統(tǒng)，不僅因?yàn)楣芾碚邥?huì)影響登錄，而且PDC或BDC所必須的服務(wù)會(huì)產(chǎn)生trapdoor和系統(tǒng)錯(cuò)誤。

管理者和代理的比例

管理者和代理的比例數(shù)字會(huì)因生產(chǎn)廠商和版本的不同而不同。例如，AxentIntruderAlert建議在UNIX或NT的網(wǎng)絡(luò)上不要使用超過100個(gè)代理，NetWare網(wǎng)絡(luò)中每個(gè)管理者不應(yīng)使用超過50個(gè)代理。然而，你需要建立基線來確定IDS結(jié)構(gòu)的理想配置。理想配置是指IDS可以在不影響正常地網(wǎng)絡(luò)操作的前提下實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)入侵。

代理

由于代理負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)安全，所以大多數(shù)的IDS允許你將代理安裝在任何可以接受配置的主機(jī)上。當(dāng)你在考慮產(chǎn)品時(shí)，你應(yīng)當(dāng)確保它可以和網(wǎng)絡(luò)上的主機(jī)配合工作。大多數(shù)的產(chǎn)品在UNIX,NT和Novell網(wǎng)絡(luò)環(huán)境中可以出色的工作。有些廠商也生產(chǎn)在特殊網(wǎng)絡(luò)環(huán)境下工作的代理，例如DECnet，mainframes等等。無論如何，你應(yīng)當(dāng)通過測(cè)試來選擇最適合你的網(wǎng)絡(luò)的產(chǎn)品。所有的代理都工作在混雜模式，并且捕捉網(wǎng)絡(luò)上傳遞的信息包。

理想的代理布局

請(qǐng)考慮將代理安裝在像數(shù)據(jù)庫(kù)，Web服務(wù)器，DNS服務(wù)器和文件服務(wù)器等重要的資源上。像eTrustIntrusionDetection這樣的基于掃描的IDS程序也許更適合在某些特定的時(shí)段掃描個(gè)別的主機(jī)。這個(gè)工具能夠確保你在占用最小帶寬的前提下監(jiān)視網(wǎng)絡(luò)活動(dòng)。

下列是部分適合放置代理資源的列表：

·賬號(hào)、人力資源和研發(fā)數(shù)據(jù)庫(kù)

·局域網(wǎng)和廣域網(wǎng)的骨干，包括路由器和交換機(jī)

·臨時(shí)工作人員的主機(jī)

·SMTP，HTTP和FTP服務(wù)器

·Modem池服務(wù)器和交換機(jī)、路由器、集線器

·文件服務(wù)器

許多新的網(wǎng)絡(luò)連接設(shè)備限制了IDS掃描。

管理者和代理的通信

在你學(xué)習(xí)如何為網(wǎng)絡(luò)挑選產(chǎn)品時(shí)，需要明確管理者和代理的通信方式。大多數(shù)的IDS程序要求你首先和管理者通信，然后管理者會(huì)查詢代理。

通常，管理者和代理在通信時(shí)使用一種公鑰加密。例如，Axent的產(chǎn)品使用400位長(zhǎng)Diffie-Helman加密。標(biāo)準(zhǔn)的SSL會(huì)話使用128位的加密。比較這兩種標(biāo)準(zhǔn)，你可以發(fā)現(xiàn)大多數(shù)的IDS廠商都采用安全的通信。

有些老的主機(jī)級(jí)的產(chǎn)品采用明文或經(jīng)過非常弱地加密的會(huì)話。這種功能很具諷刺意味，由于明文傳輸易遭受hijacking和Man-in-the-middle攻擊，這樣會(huì)嚴(yán)重地破壞你監(jiān)測(cè)和保護(hù)網(wǎng)絡(luò)安全。

有些管理者可以和其它管理者通信。這種管理者之間的通信可以節(jié)省帶寬并減輕你的管理負(fù)擔(dān)。通過使用組織結(jié)構(gòu)有可能避免這種通信。例如，AxentIntruderAlert（ITA）使用被稱作doma