防火墙作为网络边界设备,其功能是过滤外部危险数据流,但是由于网络中的安全威胁80%来自防火墙内部环境,所以防火墙并不能绝对保护网络的安全。若只依靠防火墙对网络进行安全防御,则不能很好地保证网络安全。入侵检测系统作为防火墙系统的一个有效补充,可以防范防火墙开放的服务入侵,通过事先发现风险来阻止入侵事件的发生。
【任务描述】
雅鹿公司电商专员小王需要使用搜索引擎查找相关资料,以对入侵检测系统作深入了解。请帮助小王完成这一任务。
【任务分析】
此任务涉及入侵检测系统的工作原理和过程。
【任务实施】
1.入侵检测系统的基本知识
1)入侵检测系统的基本概念
在整个防御体系中,入侵检测系统(Intrusion Detection System,IDS)和防火墙在功能上具有互补性,它们相辅相成,扮演着不同的角色。形象地说,假如防火墙是一幢大厦的门锁,那么入侵检测系统就是这幢大厦里的监视系统,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,能够对入侵行为自动地进行反击。
2)入侵检测系统的主要功能
防火墙并不能防御来自内部的安全威胁,而入侵检测系统能作为防火墙的补充,保护网络不受内部安全威胁。入侵检测系统能监测某些被防火墙认为是正常连接的外部入侵,弥补了防火墙对IP欺骗无法防范的缺陷(注意:攻击者获得合法的IP地址就可以轻松通过防火墙)。同时入侵检测系统也能监测内部使用者的不当行为,这是防火墙无法做到的。
入侵检测系统的主要功能如下:
(1)监视、分析用户及系统活动;
(2)进行系统构造和弱点的审计;
(3)识别反映已知进攻的活动模式并向相关人士报警;
(4)进行异常行为模式的统计分析;
(5)评估重要系统和数据文件的完整性;
(6)进行操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
3)入侵检测系统的位置
入侵检测系统一般位于防火墙与内部网络之间,如图2-76所示。
2.入侵检测系统的组成
入侵检测系统由以下四个部分组成:
图2-76 入侵检测系统的位置
(1)事件产生器(Event Generators)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
(2)事件分析器(Event Analyzers)。事件分析器经过分析得到数据,并产生分析结果。
(3)响应单元(Response Units)。响应单元是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
(4)事件数据库(Event Databases)。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。(www.xing528.com)
入侵检测系统的组成如图2-77所示。
图2-77 入侵检测系统的组成
3.入侵检测系统的工作过程
入侵检测系统首先通过日志文件等途径进行信息收集,了解和观察入侵者的行为、意图,然后将存储的入侵方式的资料与特征库进行比对,发现入侵的企图。
1)信息收集
信息收集的数据来源及内容如表2-4所示。
表2-4 信息收集的数据来源及内容
信息收集主要统计正常使用时系统对象(包括用户、文件、目录、设备)的访问次数、操作失败次数和延时等信息。
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\sys tem32\config;
安全日志文件默认位置:C:\systemroot\system32\config\SecEvent.EVT;
系统日志文件默认位置:C:\systemroot\system32\config\SysEvent.EVT;
应用程序日志文件默认位置:C:\systemroot\system32\config\AppEvent.EVT;
Internet信息服务FTP日志默认位置:C:\systemroot\system32\logfiles\msftpsvc1\;
Internet信息服务WWW日志默认位置:C:\systemroot\system32\logfiles\w3svc1\。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
3)结果处理
当一个攻击事件被检测出来以后,IDS就应该根据入侵事件的类型或性质作出相应的告警与响应。常见的方式有:自动终止攻击过程;终止用户连接;禁止用户账号登录;重新配置防火墙阻塞攻击的源地址;向管理控制平台发出警告,指出事件的发生;向网络管理平台发出SNMP TRAP;记录事件的日志,包括日期时间、源地址、目的地址、描述与事件相关的数据。
【动手做一做】
在Windows Server2000虚拟机(主机A)中安装SessionWall-3软件,另一Windows XP虚拟机(主机B)用来对主机A实施X-Scan扫描和UDP Flood攻击。在主机B上对主机A的80端口发起UDP Flood攻击,使用主机A安装的SessionWall-3软件查看主机A的最近活动情况。
完成任务所需的设备和软件如下:
(1)Windows Server 2000虚拟机1台(主机A)、Windows XP虚拟机1台(主机B);
(2)SessionWall-3软件1套;
(3)X-Scan软件1套;
(4)UDP Flood软件1套。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
