网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
有效使用IDS/IPS的最佳方法
文章来源: 51CTO 文章作者: xiaoxiao 发布时间: 2006-02-08   字体: [ ]
 

  在我们根据用户点播发布的题为“有效使用IDS和IPS的秘密”的网络直播中,嘉宾主讲人Jeff Posluns提供了使用IDS/IPS实施积极的安全漏洞管理的技巧并且深入考察了一个企业的安全状态。下面是Jeff在现场直播中答复的用户提出的一些问题。

  问:是应该仅仅由一个信息系统安全小组的成员接收IDS警报,还是多个成员以及公司管理层的成员应该接收这种警报?

  :你的这个问题的答案应该是基于下列事实的决策:

  1.来自IDS的很多警报都是错误的报告。
  2.来自IDS的很多警报都与紧急的问题无关。
  3.来自IDS的很多警报都不需要立即采取行动。
  4.来自IDS的少数警报需要进行调查。
  5.很少的警报需要立即采取行动。

  这是我对这个问题的想法。如果有一个人要接受拜访或者有一个接受拜访的计划,只有这个人是应该通知的人。如果你已经花了很多时间、努力和金钱调整你的报警系统,你不会得到很多警报并需要跟踪这些警报。也许一个票务系统是最合适的。在这种情况下,IDS系统创建一张票,安全小组的一个成员负责接收传呼和报警。如果这张票在四个小时之内没有更新,那就用寻呼机呼叫一位经理。我曾看到过这样工作的票务系统。

  问:由于IPSes可能阻止正常的通信,IPSes充满了危险吗?

  : IPSes在历史上引起的问题比解决的问题多。但是,采用今天的技术,错误地封锁正常通信的情况很少发生。要记住,你不能购买和安装一个IPS,然后就撒手不管让它自己做一切事情。IPS或者IDS需要像小孩一样给予照料;让它自己学习,但是,你要尽可能纠正它的错误,把你的智慧传给它。

  我已经看到过大概200个运行IPS的案例,其中我能够回忆起出现问题的只有3个。这些问题都是http服务器之间不正常的通信造成的,IPS把这些通信检测为坏的通信。一旦规则修复之后,就没有很多值得担心的问题了。

  问:我使用一种名为Snort的入侵检测系统,在我的印象中并没有大量的错误警报。我真的没有像信任OTS技术那样信任这个系统。我遗漏了什么东西吗?

  :默认的Snort规则在大多数网络中都不需要调整。你很可能看到许多错误的ICMP(互联网控制消息协议)警报,并且可能看到某些错误的DNS和HTTP警报。如果你安装“Bleeding Edge”规则,你会看到更多的东西。

  要有效地采用Snort系统,你可能需要花几天的时间调整这些规则,关闭某些东西和修改其它一些东西。

  使用Snort系统的好处是你将得到更新、修改规则、创建你自己的规则和制定输出的内容。如果你寻求插入一个解决方案,ISS、NAI、思科和其它产品等商业软件是可以考虑的。如果你是一个希望花几天时间甚至几个星期时间学习的技术人员,那么,Snort是一个较好的选择。

  我建议你与SourceFire联系一下。那里的人有商用的Snort系统。你问一下他们关于错误报告的事情,以及他们能够采取什么措施。我曾看到过在应用中的IDS设备。这种设备需要进行的调整比默认的开源软件Snort系统要少。

  问:IDS能够检测到端口扫描吗?如何进行检测?

  :IDS有几种方法识别端口扫描:

  1.IDS能够查找对同一个地址的几个相连的端口进行连接的企图(例如,在五秒钟试图连接端口X、X1和X2)。
  2.IDS能够查找对某些不常用的端口或者某些特洛伊木马程序常用的端口实施的连接活动(例如,试图连接31337、12345端口,或者在10秒钟之内连接2个以上的端口)。
  3.IDS 能够查找在某一个特定时段内一个主机和另一个主机之间的连接次数(例如,在10秒钟之内同一个IP地址的主机发出10次以上的连接请求)。这种方法是 DNS服务器经常被误认为是端口扫描主机的一个原因。ns1.securitysage.com网站称,当你的计算机使用一个DNS服务器的时候,它将随机地从高的端口到低的53端口连接ns1.securitysage.com网站,ns1.securitysage.com网站通常用53端口对这同一个连接进行应答。对于IDS来说,这就像ns1.securitysage.com网站正在对另一个主机进行端口扫描一样 ,在几秒钟之内发出几个查询。

--
原文链接: http://security.ccidnet.com/art/231/20060207/423529_1.html

 
推荐文章
·技术知识入门:反NIDS技术应用介
·入侵检测系统逃避技术和对策的介
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
·入侵检测术语全接触
·IDS:网络安全的第三种力量
·我们需要什么样的入侵检测系统
·IDS的数据收集机制
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·IDS逃避技术和对策
·理解IDS的主动响应机制
·警钟再鸣 防御在入侵的
·四项下一代入侵检测关键
相关分类
相关文章
·新型蜜罐提高入侵检测准
·网络向导之IDS/IPS的购
·四项下一代入侵检测关键
·入侵检测系统逃避技术和
·IPS的快跑与慢走—简析I
·IDS没死:国内IDS产品发
·用MRTG在IIS 6.0上实现
·警钟再鸣 防御在入侵的
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $