入侵检测系统IDS FAQ（3）

领测软件测试网

　　 
　　入侵检测系统IDS FAQ
     2.4问：NIDS检测到一个入侵行为后做什么？

当发现一个入侵行为后，NIDS系统将采取诸多有力措施对付攻击，这主要包括：

* 重新配置防火墙禁止入侵者IP地址进入

* 播放一段.WAV音乐提醒管理者
* 发送SNMP TRAP信息包到管理控制台
* 将事件记录到系统日志文件中
* 给管理员发送电子邮件通知入侵正在发生
* 以寻呼方式（BP机）告知管理员
* 保存攻击信息，如攻击时间、入侵者IP地址、受害者IP地址及端口、协议信息、相关数据包
* 启动特殊程序处理入侵事件
* 伪造TCP FIN信息包强制结束连接，避免悲剧继续上演

2.5问：除了IDS外，还有什么入侵对策？

(1)、防火墙 :有种观点说：防火墙是安全护卫的第一道防线，只要突破它，入侵者将随意驰骋被突破的网络。但是更好的说法应该是：防火墙是安全护卫的最后一道防线，在正确配置机器及良好运行入侵检测系统的前提下，用防火墙来避免script kiddies的幼稚和简单的攻击。有两点要注意：一是现在的许多路由器都可以配置成防火墙的过滤功能；二是防火墙通常只能抵抗外部攻击，对于内部破坏则显得力不从心。

(2)、口令验证系统 保证口令验证系统的稳固性是另外一个要采取的措施。或者采用系统内置的口令验证策略，比如Win2K的Kerberos验证，或者考虑购买单独产品以整合进增强的口令系统，比如RADIUS（远程认定拨号用户服务）或TACACS（TACACS是用于UNIX系统上有历史的认证协议，它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统）。这些验证系统都有助于消除Telnet、ftp、IMAP或POP等协议带来的明文口令问题。

(3)、虚拟专用网VPN VPN通过Internet为远程访问创建安全的连接管道环境，其中使用的主要协议有PPTP和Ipsec。PPTP即PPP over TCP，使用它就可以为一台机器分配2个IP地址，一个用于Internet，另一个用于虚拟网。Ipsec是Win2K系统的新协议，它提高了传统IP协议的安全性。然而VPN也有其明显的弱点，虽然管道本身经过验证和加密处理是安全的，但是管道的两端却是开放的，这就可能造成入侵者从一个被安装了后门的家庭用户机器上大摇大摆地遛进安全管道、不被检查地访问内部网。

(4)、加密系统 随着个人隐私权的不断被重视，加密系统现在越来越“时髦”了。加密邮件可以使用PGP（Pretty Good Privacy）和SMIME（加密专用多用途Internet邮件扩展），加密文件也可以使用PGP，加密文件系统可以使用BestCrypt或者还是PGP。

2.6问：IDS系统应该安放到网络的什么部位？

(1)、网络主机 在非混杂模式网络中，可以将NIDS系统安装在主机上，从而监测位于同一交换机上的机器间是否存在攻击现象。

(2)、网络边界 IDS非常适合于安装在网络边界处，例如防火墙的两端、拨号服务器附近以及到其他网络的连接处。由于这些位置的带宽都不很高，所以IDS系统可以跟上通讯流的速度。

(3)、广域网中枢 由于经常发生从偏僻地带攻击广域网核心位置的案件以及广域网的带宽通常不很高，在广域网的骨干地段安装IDS系统也显得日益重要。

(4)、服务器群 服务器种类不同，通讯速度也不同。对于流量速度不是很高的应用服务器，安装IDS是非常好的选择；对于流量速度快但又特别重要的服务器，可以考虑安装专用IDS系统进行监测。

(5)、局域网中枢 IDS系统通常都不能很好地应用于局域网，因为它的带宽很高，IDS很难追上狂奔的数据流、不能完成重新构造数据包的工作。如果必须使用，那么就不能对IDS的性能要求太高，一般达到检测简单攻击的目的就应该心满意足。

2.7问：IDS如何与网络中的其他安全措施相配合？

1、建立不断完善的安全策略。这一点异常重要！谁负责干什么？发生了入侵事件后怎么干？有了这些，就有了正确行动的指南。

2、根据不同的安全要求，合理放置防火墙。例如，放在内部网和外部网之间、放在服务器和客户端之间、放在公司网络和合作伙伴网络之间。

3、使用网络漏洞扫描器检查防火墙的漏洞。

4、使用主机策略扫描器确保服务器等关键设备的最大安全性，比如看看它们是否已经打了最新补丁。

5、使用NIDS系统和其他数据包嗅探软件查看网络上是否有“黑”流涌动。

6、使用基于主机的IDS系统和病毒扫描软件对成功的入侵行为作标记。

7、使用网络管理平台为可疑活动设置报警。最起码的，所有的SNMP设备都应该能够发送“验证失败”的trap信息，然后由管理控制台向管理员报警。

2.8问：如何检测网络上有人在使用NIDS系统？

NIDS系统实际上就是一个嗅探器（sniffer），因此，任何标准的嗅探器检测工具都可用于发现它的存在。这些工具有：

1、AntiSniffhttp://www.l0pht.com/antisniff/）

2、nepedhttp://www.securiteam.com/...network.html）

3、Sentinelhttp://www.packetfactory.net/Projects/sentinel/）

4、ifstatus（ftp://andrew.triumf.ca/pub/security/ifstatus2.0.tar.gz）
3.1问：如何提高WinNT/Win2K系统的入侵保护程度？

关于这个问题已经有许多诸葛亮出过谋划过策，在此我将选择重点并按考虑顺序列举如下：

1、访问http://www.microsoft.com/security/ 下载并安装最新的SP和hotfix。

2、安装时文件系统选择NTFS格式，并且每个磁盘都使用NTFS（不要启动盘是FAT，其他盘是NTFS）。NTFS不仅仅可以实现对单个文件和单个目录的权限设置，还可以对它们进行审计。

3、创建一个新的管理员帐号，将administrator的功能限制到最小以设置陷阱，观察是否有人试图盗用其权限；禁止guest帐号或者将guest帐号改名并创建一个新的guest帐号，目的同样是监测是否有人试图使用它入侵系统。

4、去掉对%systemroot%/system32目录的默认权限：Everyone/写。

5、启动REGEDT32程序打开“HKEY_LOCAL_MACHINE\Security”项，以检测远程注册表浏览行为。

6、安装系统时默认目录不要选择“c:\winnt”，让入侵者费些心思猜测系统文件的位置。还有一个更好的方法是：首先安装在c:\winnt目录下，然后重新安装系统到其他目录，并且对c:\winnt目录添加审计功能，这样就可以监测是否有人想访问c:\winnt目录了。正所谓真真假假、假假真真，你在不断窥视、我设陷阱无数。

7、启动分区只存放系统文件，数据和应用程序放到其他分区，甚至将数据和应用程序也分区存放。总之，隔离是避免“火烧联营”的最好方法。

8、屏幕保护使用“Blank Screen”且设置密码保护，这样既达到安全目的也节省服务器处理资源。注意，如果使用来历不明的屏幕保护方案，要小心它可能就是一个后门程序。

9、启动REGEDT32程序，修改AutoSharexxx参数关闭系统默认的自动共享目录，例如ADMIN$、C$、D$等等。对于WinNT，这个参数的位置是：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
LanmanServer\Parameters\AutoShareServer

对于WinNT Workstation，位置是：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
LanmanServer\Parameters\AutoShareWks

10、禁止匿名访问帐号，方法是设置下列项目的值为1：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous

11、对于域控制器，将“从网络访问计算机”的权限分配给授权用户而不是默认Everyone，这样就禁止了使用机器的本地帐号进行远程访问的可能，只允许通过域帐号进行访问。

12、为管理员帐号设置远程访问的帐号锁定策略，使入侵者猜测其口令失败限定次数后自动被锁。当然，我们还是可以在本地使用管理员帐号进入系统的。为了更加安全，也可以完全禁止远程使用管理员帐号，方法是将管理员帐号从“从网络访问计算机”的权限中去除掉。

文章来源于领测软件测试网 https://www.ltesting.net/