第第頁入侵監(jiān)測系統(tǒng)的構(gòu)架入侵監(jiān)測系統(tǒng)的構(gòu)架

發(fā)表于：2023-06-23來源：：點擊數(shù)：標(biāo)簽：

入侵監(jiān)測系統(tǒng)的構(gòu)架有兩種構(gòu)架的IDS可供選擇，每種都有它的適用環(huán)境。雖然主機級的IDS具有更強的功能而且可以提供更詳盡的信息，但它并不總是最佳選擇。網(wǎng)絡(luò)級IDS你可以使用網(wǎng)絡(luò)級的產(chǎn)品，象eTrustIntrusionDetection只需一次安裝。程序（或服務(wù)）會掃

入侵監(jiān)測系統(tǒng)的構(gòu)架

有兩種構(gòu)架的IDS可供選擇，每種都有它的適用環(huán)境。雖然主機級的IDS具有更強的功能而且可以提供更詳盡的信息，但它并不總是最佳選擇。網(wǎng)絡(luò)級IDS

你可以使用網(wǎng)絡(luò)級的產(chǎn)品，象eTrustIntrusionDetection只需一次安裝。程序（或服務(wù)）會掃描整個網(wǎng)段中所有傳輸?shù)男畔泶_定網(wǎng)絡(luò)中實時的活動。網(wǎng)絡(luò)級IDS程序同時充當(dāng)管理者和代理的身份，安裝IDS的主機完成所有的工作，網(wǎng)絡(luò)只是接受被動的查詢。

優(yōu)點和缺點

這種入侵監(jiān)測系統(tǒng)很容易安裝和實施；通常只需要將程序在主機上安裝一次。網(wǎng)絡(luò)級的IDS尤其適合阻止掃描和拒絕服務(wù)攻擊。但是，這種IDS構(gòu)架在交換和ATM環(huán)境下工作得不好。而且，它對處理升級非法賬號，破壞策略和篡改日志也并不特別有效。在掃描大型網(wǎng)絡(luò)時會使主機的性能急劇下降。所以，對于大型、復(fù)雜的網(wǎng)絡(luò)，你需要主機級的IDS。

主機級IDS

像前面所講的，主機級的IDS結(jié)構(gòu)使用一個管理者和數(shù)個代理。管理者向代理發(fā)送查詢請求，代理向管理者匯報網(wǎng)絡(luò)中主機傳輸信息的情況。代理和管理者之間直接通信，解決了復(fù)雜網(wǎng)絡(luò)中的許多問題。

技術(shù)提示：在應(yīng)用任何主機級IDS之前，你需要在一個隔離的網(wǎng)段進行測試。這種測試可以幫助你確定這種Manager-to-agent的通信是否安全，以及對網(wǎng)絡(luò)帶寬的影響。

管理者Managers

管理者定義管理代理的規(guī)則和策略。管理者安裝在一臺經(jīng)過特殊配置過的主機上，對網(wǎng)絡(luò)中的代理進行查詢。有的管理者具有圖形界面兒其它的IDS產(chǎn)品只是以守護進程的形式來運行管理者，然后使用其它程序來管理它們。

物理安全對充當(dāng)管理者的主機來說至關(guān)重要。如果攻擊者可以獲得硬盤的訪問權(quán)，他便可以獲得重要的信息。此外，除非必需管理者的系統(tǒng)也不應(yīng)被網(wǎng)絡(luò)用戶訪問到，這種限制包括I訪問。

安裝管理者的操作系統(tǒng)應(yīng)該盡可能的安全和沒有漏洞。有些廠商要求你使用特定類型的操作系統(tǒng)來安裝管理者。例如，ISSRealSecure要求你安裝在WindowsNTWorkstation而不是WindowsNTServer，這是由于在NTWorkstation上更容易對操作系統(tǒng)進行精簡。

特殊的考慮

每種IDS廠商對他們的產(chǎn)品都有特殊的考慮。通常這些考慮是針對操作系統(tǒng)的特殊設(shè)置的。例如，許多廠商要求你將代理安裝在使用靜態(tài)IP地址的主機上。因此，你也許需要配置DHCP和WINS服務(wù)器來配合管理者。這種特殊的考慮在一定程度上解釋了為什么大多數(shù)IDS程序用一個管理者來管理數(shù)臺主機。另外，安裝管理者會降低系統(tǒng)的性能。而且，在同一網(wǎng)段中安裝過多的管理者會占用過多的帶寬。

另外，許多IDS產(chǎn)品在快于10MB的網(wǎng)絡(luò)中工作起來會有問題。通常IDS的廠商要求你不要將管理者安裝在使用NFS或NFS+的UNIX操作系統(tǒng)上，因為這種文件系統(tǒng)允許遠程訪問，管理者會使它們?nèi)狈Ψ€(wěn)定和不安全。

除非特殊情況，你不應(yīng)將IDS的管理者安裝在裝了雙網(wǎng)卡或多網(wǎng)卡的用做路由器的主機上，或者安裝在防火墻上。例如，WindowsNTPDC或BDC也不是安裝大多數(shù)IDS管理者的理想系統(tǒng)，不僅因為管理者會影響登錄，而且PDC或BDC所必須的服務(wù)會產(chǎn)生trapdoor和系統(tǒng)錯誤。

管理者和代理的比例

管理者和代理的比例數(shù)字會因生產(chǎn)廠商和版本的不同而不同。例如，AxentIntruderAlert建議在UNIX或NT的網(wǎng)絡(luò)上不要使用超過100個代理，NetWare網(wǎng)絡(luò)中每個管理者不應(yīng)使用超過50個代理。然而，你需要建立基線來確定IDS結(jié)構(gòu)的理想配置。理想配置是指IDS可以在不影響正常地網(wǎng)絡(luò)操作的前提下實時監(jiān)測網(wǎng)絡(luò)入侵。

代理

由于代理負責(zé)監(jiān)視網(wǎng)絡(luò)安全，所以大多數(shù)的IDS允許你將代理安裝在任何可以接受配置的主機上。當(dāng)你在考慮產(chǎn)品時，你應(yīng)當(dāng)確保它可以和網(wǎng)絡(luò)上的主機配合工作。大多數(shù)的產(chǎn)品在UNIX,NT和Novell網(wǎng)絡(luò)環(huán)境中可以出色的工作。有些廠商也生產(chǎn)在特殊網(wǎng)絡(luò)環(huán)境下工作的代理，例如DECnet，mainframes等等。無論如何，你應(yīng)當(dāng)通過測試來選擇最適合你的網(wǎng)絡(luò)的產(chǎn)品。所有的代理都工作在混雜模式，并且捕捉網(wǎng)絡(luò)上傳遞的信息包。

理想的代理布局

請考慮將代理安裝在像數(shù)據(jù)庫，Web服務(wù)器，DNS服務(wù)器和文件服務(wù)器等重要的資源上。像eTrustIntrusionDetection這樣的基于掃描的IDS程序也許更適合在某些特定的時段掃描個別的主機。這個工具能夠確保你在占用最小帶寬的前提下監(jiān)視網(wǎng)絡(luò)活動。

下列是部分適合放置代理資源的列表：

·賬號、人力資源和研發(fā)數(shù)據(jù)庫

·局域網(wǎng)和廣域網(wǎng)的骨干，包括路由器和交換機

·臨時工作人員的主機

·SMTP，HTTP和FTP服務(wù)器

·Modem池服務(wù)器和交換機、路由器、集線器

·文件服務(wù)器

許多新的網(wǎng)絡(luò)連接設(shè)備限制了IDS掃描。

管理者和代理的通信

在你學(xué)習(xí)如何為網(wǎng)絡(luò)挑選產(chǎn)品時，需要明確管理者和代理的通信方式。大多數(shù)的IDS程序要求你首先和管理者通信，然后管理者會查詢代理。

通常，管理者和代理在通信時使用一種公鑰加密。例如，Axent的產(chǎn)品使用400位長Diffie-Helman加密。標(biāo)準(zhǔn)的SSL會話使用128位的加密。比較這兩種標(biāo)準(zhǔn)，你可以發(fā)現(xiàn)大多數(shù)的IDS廠商都采用安全的通信。

有些老的主機級的產(chǎn)品采用明文或經(jīng)過非常弱地加密的會話。這種功能很具諷刺意味，由于明文傳輸易遭受hijacking和Man-in-the-middle攻擊，這樣會嚴重地破壞你監(jiān)測和保護網(wǎng)絡(luò)安全。

有些管理者可以和其它管理者通信。這種管理者之間的通信可以節(jié)省帶寬并減輕你的管理負擔(dān)。通過使用組織結(jié)構(gòu)有可能避免這種通信。例如，AxentIntruderAlert（ITA）使用被稱作doma