入侵监测系统的构架

　　 
　　入侵监测系统的构架
    　　有两种构架的IDS可供选择，每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息，但它并不总是最佳选择。

　　　　网络级IDS

　　　　你可以使用网络级的产品，象eTrust Intrusion Detection只需一次安装。程序（或服务）会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份，安装IDS的主机完成所有的工作，网络只是接受被动的查询。

　　　　优点和缺点

　　　　这种入侵监测系统很容易安装和实施；通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务攻击。但是，这种IDS构架在交换和ATM环境下工作得不好。而且，它对处理升级非法账号，破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以，对于大型、复杂的网络，你需要主机级的IDS。

　　　　主机级IDS

　　　　像前面所讲的，主机级的IDS结构使用一个管理者和数个代理。管理者向代理发送查询请求，代理向管理者汇报网络中主机传输信息的情况。代理和管理者之间直接通信，解决了复杂网络中的许多问题。

　　　　技术提示：在应用任何主机级IDS之前，你需要在一个隔离的网段进行测试。这种测试可以帮助你确定这种Manager-to-agent的通信是否安全，以及对网络带宽的影响。

　　　　管理者Managers

　　　　管理者定义管理代理的规则和策略。管理者安装在一台经过特殊配置过的主机上，对网络中的代理进行查询。有的管理者具有图形界面儿其它的IDS产品只是以守护进程的形式来运行管理者，然后使用其它程序来管理它们。

　　　　物理安全对充当管理者的主机来说至关重要。如果攻击者可以获得硬盘的访问权，他便可以获得重要的信息。此外，除非必需管理者的系统也不应被网络用户访问到，这种限制包括Inte.net访问。

　　　　安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如，ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server，这是由于在NT Workstation上更容易对操作系统进行精简。

　　　　特殊的考虑

　　　　每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如，许多厂商要求你将代理安装在使用静态IP地址的主机上。因此，你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外，安装管理者会降低系统的性能。而且，在同一网段中安装过多的管理者会占用过多的带宽。

　　　　另外，许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上，因为这种文件系统允许远程访问，管理者会使它们缺乏稳定和不安全。

　　　　除非特殊情况，你不应将IDS的管理者安装在装了双网卡或多网卡的用做路由器的主机上，或者安装在防火墙上。例如，Windows NT PDC或BDC也不是安装大多数IDS管理者的理想系统，不仅因为管理者会影响登录，而且PDC或BDC所必须的服务会产生trap door和系统错误。

　　　　管理者和代理的比例

　　　　管理者和代理的比例数字会因生产厂商和版本的不同而不同。例如，Axent Intruder Alert建议在UNIX或NT的网络上不要使用超过100个代理，NetWare网络中每个管理者不应使用超过50个代理。然而，你需要建立基线来确定IDS结构的理想配置。理想配置是指IDS可以在不影响正常地网络操作的前提下实时监测网络入侵。

　　　　代理

　　　　由于代理负责监视网络安全，所以大多数的IDS允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时，你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT和Novell网络环境中可以出色的工作。有些厂商也生产在特殊网络环境下工作的代理，例如DECnet，mainframes等等。无论如何，你应当通过测试来选择最适合你的网络的产品。所有的代理都工作在混杂模式，并且捕捉网络上传递的信息包。

　　　　理想的代理布局

　　　　请考虑将代理安装在像数据库，Web服务器，DNS服务器和文件服务器等重要的资源上。像eTrust Intrusion Detection这样的基于扫描的IDS程序也许更适合在某些特定的时段扫描个别的主机。这个工具能够确保你在占用最小带宽的前提下监视网络活动。

　　　　下列是部分适合放置代理资源的列表：

　　　　·账号、人力资源和研发数据库

　　　　·局域网和广域网的骨干，包括路由器和交换机

　　　　·临时工作人员的主机

　　　　·SMTP，HTTP和FTP服务器

　　　　·Modem池服务器和交换机、路由器、集线器

　　　　·文件服务器

　　　　许多新的网络连接设备限制了IDS扫描。

　　　管理者和代理的通信

　　　　在你学习如何为网络挑选产品时，需要明确管理者和代理的通信方式。大多数的IDS程序要求你首先和管理者通信，然后管理者会查询代理。

　　　　通常，管理者和代理在通信时使用一种公钥加密。例如，Axent的产品使用400位长Diffie-Helman加密。标准的SSL会话使用128位的加密。比较这两种标准，你可以发现大多数的IDS厂商都采用安全的通信。

　　　　有些老的主机级的产品采用明文或经过非常弱地加密的会话。这种功能很具讽刺意味，由于明文传输易遭受hijacking和Man-in-the-middle攻击，这样会严重地破坏你监测和保护网络安全。

　　　　有些管理者可以和其它管理者通信。这种管理者之间的通信可以节省带宽并减轻你的管理负担。通过使用组织结构有可能避免这种通信。例如，Axent Intruder Alert（ITA）使用被称作domain的层次结构来组织代理。

　　　　审计管理者和代理的通信

　　　　作为审计人员，你应该对用户名和密码进行核实，而不应保留缺省设置。同时，你还要确保通信要经过加密和尽可能的安全。

原文转自：http://www.ltesting.net