IDS讓網(wǎng)絡(luò)入侵者無(wú)處藏身

隨著企業(yè)信息化水平的不斷提高，信息系統(tǒng)對(duì)業(yè)務(wù)的支撐作用更加明顯，但隨之而來(lái)的網(wǎng)絡(luò)信息安全問(wèn)題也日益突出,黑客攻擊無(wú)孔不入、手段層數(shù)不窮，如何有效的實(shí)現(xiàn)風(fēng)險(xiǎn)防控，未雨綢繆，保證網(wǎng)絡(luò)與信息系統(tǒng)的安全、可靠運(yùn)行是我們要面臨的考驗(yàn)。我們?nèi)绾文茉诖罅康木W(wǎng)絡(luò)流量中，識(shí)別出可能存在的威脅，對(duì)入侵能及時(shí)分析，預(yù)警，保障信息系統(tǒng)的保密性，完整性、可用性？網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS）給我們提供了手段。本文以天闐入侵檢測(cè)系統(tǒng)為例，介紹如何在企業(yè)網(wǎng)中進(jìn)行部署，并通過(guò)兩個(gè)實(shí)際監(jiān)測(cè)到的威脅事件，直觀地展示IDS在企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范中發(fā)揮的重要作用。

入侵檢測(cè)系統(tǒng)部署

圖1 系統(tǒng)部署示意圖

天闐入侵檢測(cè)與管理系統(tǒng)由管理控制中心和探測(cè)引擎兩個(gè)部分組成。管理控制中心負(fù)責(zé)威脅的展示、管理和配置等功能；探測(cè)引擎負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)，識(shí)別出流量中可能存在的威脅。本實(shí)例監(jiān)控企業(yè)網(wǎng)核心交換機(jī)上聯(lián)至總部廣域網(wǎng)的數(shù)據(jù)流，在核心交換機(jī)上，要對(duì)上聯(lián)至總部廣域網(wǎng)的端口作鏡像，鏡像端口通過(guò)光纖和探測(cè)引擎的抓包口相連接，探測(cè)引擎的管理口和管理控制中心服務(wù)器通過(guò)網(wǎng)線連入交換機(jī)，保持網(wǎng)絡(luò)聯(lián)通狀態(tài)。圖中虛線代表鏡像數(shù)據(jù)流，實(shí)線代表管理數(shù)據(jù)流。部署示意圖如圖1所示。

整個(gè)入侵檢測(cè)系統(tǒng)配置分三部分：引擎的配置、交換機(jī)的配置、管理控制中心的配置。

1.引擎配置：通過(guò)console口連接到探測(cè)引擎，默認(rèn)用戶名密碼：adm：venus70，登陸系統(tǒng)后，更改管理口IP地址/子網(wǎng)掩碼并添加路由。

IDS(config)#i p address 192.168.5.3

IDS(config)#route add 192.168.5.0/24 192.168.5.1

2.交換機(jī)鏡像端口配置

本實(shí)例中的交換機(jī)為H3C-12508，G1/5/0/1為 上聯(lián)到總部廣域網(wǎng)的接口，把交換機(jī)G1/5/0/1端口至總部廣域網(wǎng)的雙向流量鏡像到G1/5/0/15上，G1/5/0/15連接到探測(cè)引擎的抓包口。鏡像端口配置命令如下：

[h3c-12508]mirroringgroup 1 local

[h3c-12508]mirroringgroup 1 mirroring-port G1/5/0/1 both

[h3c-12508]mirroringgroup 1 monitor-port G1/5/0/15

3.管理控制中心的配置

管理控制中心需要安裝在一臺(tái)服務(wù)器上，IP地址為：192.168.5.6。 本 實(shí) 例中安裝操作系統(tǒng)為Windows 2003企業(yè)版，數(shù)據(jù)庫(kù)采用天闐入侵檢測(cè)系統(tǒng)安裝光盤自帶的Microsoft SQL Server 2005 EXPRESS EDITION,用來(lái)存放控制中心所需的數(shù)據(jù)結(jié)構(gòu)和產(chǎn)生的相關(guān)事件日志信息。安裝完數(shù)據(jù)庫(kù)后，安裝IDS，作為天闐入侵檢測(cè)的管理控制中心。

提示：安裝IDS軟件時(shí)，如果遇到“創(chuàng)建數(shù)據(jù)庫(kù)失敗”，解決辦法：SQL Server服務(wù)需要改用本地系統(tǒng)賬戶啟動(dòng)服務(wù)，而非默認(rèn)的用戶。

安裝完畢后對(duì)入侵檢測(cè)系統(tǒng)管理控制中心配置：

打 開(kāi) 瀏 覽 器，在地 址欄中 輸入如：http://192.168.5.6，然 后輸入用戶名和密碼（默認(rèn)用戶 名 ：adm，密 碼 ：venus70）和驗(yàn)證碼，點(diǎn)擊登錄。

打開(kāi)“常用配置”、“組件管理”、“引擎配置”，點(diǎn)擊“新建”按鈕，添加引擎，設(shè)置好引擎的IP地址和填寫好引擎名稱，點(diǎn)擊“確定”即可，同樣的方法可以為此控制中心添加多個(gè)引擎。

在連接上引擎后要導(dǎo)入廠家提供的引擎授權(quán)文件。

通過(guò)“常用配置”、“組件管理”、“引擎配置”，點(diǎn)擊“授權(quán)圖標(biāo)”進(jìn)行授權(quán)設(shè)置，點(diǎn)擊“瀏覽”，然后選擇授權(quán)文件，點(diǎn)擊“導(dǎo)入”。查看“授權(quán)抓口數(shù)量”，為授權(quán)的數(shù)量。

為了保證入侵檢測(cè)系統(tǒng)具備最新攻擊的檢測(cè)能力，需要進(jìn)行事件庫(kù)、病毒庫(kù)更新。到啟明星辰網(wǎng)站上下載最新的事件庫(kù)和病毒庫(kù)文件。通過(guò)“常用配置”、“升級(jí)管理管理”，分別進(jìn)行事件庫(kù)和病毒庫(kù)的手動(dòng)升級(jí)，建議每周升級(jí)一次。

系統(tǒng)自帶五個(gè)系統(tǒng)策略集，可以直接拿來(lái)使用，也可以自己定義適合本單位使用的策略集，下面介紹如何自定義策略集，并把這個(gè)策略集下發(fā)到探測(cè)引擎上。

在“常用配置”、“策略管理”、“策略集”，點(diǎn)擊“新建”，自己定義名稱為“新的策略集”點(diǎn)擊“下一步”后，將“分組方式”選為“事件級(jí)別”，并勾選“高級(jí)事件”和“中級(jí)事件”，并點(diǎn)擊“提交”。

在“常用配置”、“策略管理”、“策略模板”點(diǎn)擊“新建”，自定義名稱為“新的策略模板”，將響應(yīng)方式設(shè)為“日志,報(bào)警”，并點(diǎn)擊“提交”。

在“常用配置”、“策略管理”、“策略集”，點(diǎn)擊編輯剛才建好的策略集，勾選所有策略項(xiàng)，并點(diǎn)擊右上角的“應(yīng)用模板”，在模板列表里選擇剛才建好的策略模板，并點(diǎn)擊“提交”按鈕。

在“常用配置”、“組件管理”、“引擎配置”，點(diǎn)擊“下發(fā)策略”。選擇剛才建好的策略集，點(diǎn)擊“提交”。

在“高級(jí)配置”、“檢測(cè)對(duì)象”、“病毒檢測(cè)配置”中，點(diǎn)擊“病毒檢測(cè)協(xié)議類型配置”按鈕，在彈出的頁(yè)面中，勾選“啟用”及所有協(xié)議。

數(shù)據(jù)庫(kù)維護(hù)工具可實(shí)現(xiàn)數(shù)據(jù)庫(kù)日志的自動(dòng)刪除，自動(dòng)備份，手動(dòng)刪除和手動(dòng)備份的工作。

在控制中心服務(wù)器上，選擇開(kāi)始菜單“程序”、“啟明星辰”、“IDS_Web”，點(diǎn)擊“數(shù)據(jù)庫(kù)維護(hù)”，可以執(zhí)行數(shù)據(jù)庫(kù)維護(hù)工具進(jìn)行自動(dòng)維護(hù)設(shè)置或進(jìn)行手動(dòng)維護(hù)。我們一般選擇自動(dòng)維護(hù)可以防止數(shù)據(jù)庫(kù)過(guò)度膨脹，確保系統(tǒng)工作正常。

在“自動(dòng)維護(hù)”中勾選“啟用日志自動(dòng)維護(hù)”，“備份時(shí)間設(shè)置”統(tǒng)一設(shè)為每月1日01：00進(jìn)行備份，在D盤根目錄下建立目錄：D:IDSdb_bak；“備份后續(xù)操作”選擇刪除源數(shù)據(jù)，并勾選“自動(dòng)收縮數(shù)據(jù)庫(kù)”。在“目標(biāo)數(shù)據(jù)庫(kù)設(shè)置”中輸入正確的數(shù)據(jù)庫(kù)IP、用戶名和密碼，測(cè)試連接通過(guò)后，點(diǎn)擊“保存”即完成配置。自動(dòng)維護(hù)程序會(huì)在滿足所配置的條件時(shí)自動(dòng)進(jìn)行數(shù)據(jù)庫(kù)維護(hù)工作。

4.系統(tǒng)全局展示

完成系統(tǒng)的配置后，我們就可以使用入侵檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)了。進(jìn)入入侵檢測(cè)與管理系統(tǒng)后，首頁(yè)展現(xiàn)給我們的是一個(gè)全局的頁(yè)面，可以看到發(fā)生威脅事件的一個(gè)概況及本級(jí)總流量曲線。如果有新增的事件類型，會(huì)在下面的狀態(tài)條中顯示。

圖2 事件詳細(xì)信息

提示：如果網(wǎng)絡(luò)中部署了桌面安全管理軟件，或者用一些漏掃工具檢測(cè)系統(tǒng)漏洞，入侵檢測(cè)系統(tǒng)會(huì)把這些行為視為攻擊行為，我們需要對(duì)這樣的事件進(jìn)行處理，處理結(jié)果為誤報(bào)，并且對(duì)后續(xù)相同事件可以選擇“相同事件+相同IP”進(jìn)行自動(dòng)處理。進(jìn)行處理選擇后下次該事件將不在界面中顯示，而直接標(biāo)注為誤報(bào)。這樣的自動(dòng)化流程大大簡(jiǎn)化了我們的操作。

威脅事件分析

下面通過(guò)兩個(gè)實(shí)際捕獲的威脅事件，看看應(yīng)用天闐入侵檢測(cè)系統(tǒng)對(duì)威脅事件的預(yù)警，分析并給出相應(yīng)的處理辦法。

新增事件一：把新增事件點(diǎn)開(kāi)，事件的名稱為TCP_Microsoft_windows_DNS解析遠(yuǎn)程代碼執(zhí)行漏洞，事件的級(jí)別為中級(jí)和事件發(fā)生的時(shí)間。

雙擊后可以看到事件的詳細(xì)信息，如圖2所示。

通過(guò)上面的事件詳細(xì)說(shuō)明，知道這是個(gè)試圖利用系統(tǒng)的MS11-030漏洞來(lái)非法獲得系統(tǒng)權(quán)限的攻擊事件，我們及時(shí)聯(lián)系到用戶，確認(rèn)使用的操作系統(tǒng)為Windows 7系統(tǒng)，而且相應(yīng)的漏洞沒(méi)有修補(bǔ)，讓用戶及時(shí)把補(bǔ)丁打上，并持續(xù)關(guān)注一段時(shí)間，是否有類似事件發(fā)生。

新增事件二：TCP_遠(yuǎn)程控制軟件_TeamViewer_遠(yuǎn)程控制。

看到這是一個(gè)通過(guò)遠(yuǎn)程控制軟件操作一臺(tái)計(jì)算機(jī)，查詢被控制的IP地址，發(fā)現(xiàn)為二級(jí)單位的一臺(tái)服務(wù)器，聯(lián)系到服務(wù)器的運(yùn)維人員，確認(rèn)是正常的遠(yuǎn)程維護(hù)行為，處理為誤報(bào)事件。

從這兩個(gè)實(shí)際捕獲的威脅事件，可以看到入侵檢測(cè)管理系統(tǒng)不僅能實(shí)時(shí)監(jiān)測(cè)到正在發(fā)生的入侵事件，通過(guò)事件詳細(xì)信息看到威脅的具體情況，快速地幫助網(wǎng)絡(luò)安全管理采取有效的處理措施。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，IDS讓入侵者無(wú)處藏身。