入侵检测系统部署指南

入侵检测系统部署指南TechTarget网络技术专题之“入侵检测系统部署指南”Page2of20入侵检测系统部署指南正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。同时，互联网也变成了网络犯罪分子的天堂。入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。本技术手册将从基础入门、购买建议、部署建议等方面来详细介绍。基础入门入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。他们可以是基于网络的，也可以是基于主机的。基于主机的IDS是安装在客户机上的，而基于网络的IDS是在网络上。入侵检测系统是如何工作的？快速了解IDS和IPS的区别购买建议在你开始评估各种入侵检测和防御系统产品之前，你应当回答一些关于自己的网络环境的问题，并要了解你的单位必须满足的一些外部要求，本文对这些问题和要求进行了总结。购买IDS和IPS前需要考虑的几个问题IDS选购最佳建议部署建议入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定，由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。如何确定你的企业是否需要IDS或IPS技术呢？对于部署入侵检测系统的建议(上)TechTarget网络技术专题之“入侵检测系统部署指南”Page3of20对于部署入侵检测系统的建议(下)经费不足企业如何实施IDS？无线IDS无线入侵检测，这个词使我们想到安全，但许多无线入侵检测系统（WIDS）产品也可用于进行WLAN的性能监测，为故障排除、微调和使用规划提供有价值的见解。那么你要如何来利用WIDS从而获得更多的信息呢？如何利用WIDS进行WLAN性能监测?TechTarget网络技术专题之“入侵检测系统部署指南”Page4of20入侵检测系统是如何工作的？问：入侵检测系统是如何工作的？答：入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。他们可以是基于网络的，也可以是基于主机的。基于主机的IDS是安装在客户机上的，而基于网络的IDS是在网络上。IDS工作方式可以是检测已知攻击信号，也可以检测反常行为。这些反常或异常行为增大堆栈，并在协议和应用层被检测到。他们可以有效地检测到诸如Xmastree扫描，DNS中毒和其他的恶意数据包。一个基于网络的良好的IDS是SNORT。它是免费的，而且可以在Linux和Windows上运行。建立起来的一个简单的方法是扫描一个端口，允许这个端口截获所有横跨网络节点的所有流量。在你的操作系统上安装SNORT，使用“只接受”的网络线缆把它连接到网络的这一部分。一旦你配置了你的规则，就准备好了。原文标题：入侵检测系统是如何工作的？原文链接：(来源：TechTarget中国作者：MichaelGregg译者：TinaGuo)TechTarget网络技术专题之“入侵检测系统部署指南”Page5of20快速了解IDS和IPS的区别正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而，与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。这些网络犯罪分子利用这种连接向企业发起了数量空前的多的攻击。当互联网最初开始流行的时候，企业开始认识到它们应该使用防火墙防止对它们实施的攻击。防火墙通过封锁没有使用的TCP和UDP端口发挥作用。虽然防火墙在封锁某些端口的攻击是有效的，但是，有些端口对于HTTP、SMTP和POP3通信是有用的。为了保证这些服务工作正常，对这些常用的服务的对应的端口必须要保持开放的状态。问题是，黑客已经学会了如何让恶意通信通过这些通常开放的端口。为了应付这种威胁，一些公司开始应用入侵检测系统（IDS）。IDS的思路是监视经过你的防火墙的全部通信并且查找可能是恶意的通信。这个思路在理论上是非常好的，但是，在实际上，IDS系统由于某些原因的影响工作得并不好。早期的IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说，查找异常通信方式会产生很多错误的报告。经过一段时间之后，管理员会对收到过多的错误警报感到厌烦，从而完全忽略IDS系统的警告。IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击，它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之，由于IDS系统会产生很多的错误报告，你真的愿意让IDS系统对合法的网络通信采取行动吗?在过去的几年里，IDS系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动，IDS系统就发出这个攻击的报告。比较新的IDS系统比以前的系统更准确一些。但是，这个数据库需要不断地更新以保持有效性。而且，如果发生了攻击并且在数据库中没有相匹配的签名，这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击，IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。这就是入侵防御系统（IPS）的任务了。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。对于初始者来说，IPS位于你的防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下，IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。TechTarget网络技术专题之“入侵检测系统部署指南”Page6of20IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。正如你所看到的，IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。原文标题：快速了解IDS和IPS的区别原文链接：(来源：TechTarget中国作者：BrienM.Posey)TechTarget网络技术专题之“入侵检测系统部署指南”Page7of20购买IDS和IPS前需要考虑的几个问题在你开始评估各种入侵检测和防御系统产品之前，你应当回答一些关于自己的网络环境的问题，并要了解你的单位必须满足的一些外部要求。本文对这些问题和要求进行了总结，内容如下：1、你的网络架构是什么？对这个问题的回答可有助于构建一个网络图示，其中显示的是到达其它网络的所有连接，还有所有主机的位置。2、每个需要IDS和IPS保护的设备上分别运行着哪些操作系统、网络服务以及应用程序？这个问题的回答有助于针对自己的环境选择优化产品。3、是否有非安全系统（如网络管理系统）需要与入侵检测和防御系统进行集成？这一点有助于决定是否需要IDS或IPS与其它产品的协同性。4、你需要IDS和IPS防御哪些类型的威胁（内部威胁或来自外部入侵者的威胁）？对这个问题的回答越具体越好。5、贵单位有没有明确清晰的安全策略？这些安全策略概述了哪些安全目标（如机密性和可用性）？管理目标是什么，这方面包括隐私保护和法律责任。6、公司处理违反具体安全策略的过程是什么？哪些类型的侵犯或攻击应当引起自动的直接响应？对这个问题的回答有助于决定所选择的产品的性能。7、对于违反使用策略或其它的不安全因素，你需要监视用户行为和网络的使用吗？8、贵单位的审计需求规定了IDS或IPS必须提供某些功能吗？这对于选择适合本单位需要的产品是很有用的。9、贵单位的系统需要鉴定合格吗？评审机构是否对IDS或IPS有特定的要求？这方面体现出企业外部对企业的安全要求。10、贵单位必须满足关于IDS或IPS的功能要求（涉及到执法的调查和安全事件的解决）吗？在借助IDS或IPS的日志作为证据时，这一点尤为重要。11、贵单位必须满足加密要求吗？例如，有的机构必须购买使用了经认证的加密算法的安全产品。TechTarget网络技术专题之“入侵检测系统部署指南”Page8of2012、贵单位需要IT人员全天候监视IDS或IPS吗？有些产品需要持续地监视和维护，所以如果你并没有专门的人员来做这项工作，就应当考虑购买一种无需人监管的产品。上述这些问题针对购买IDS或IPS的各个方面，为用户制定IDS或IPS购买决策提供了一个检查清单。任何单位在购买这类安全产品时，都应当针对这些问题的回答做出适当的选择。原文标题：购买IDS和IPS前需要考虑的几个问题原文链接：(来源：TechTarget中国作者：茫然)TechTarget网络技术专题之“入侵检测系统部署指南”Page9of20IDS选购最佳建议公司正在准备购买IDS设备，并且已经挑定了几个品牌。哪些资料可以用来帮助我们来最终确定选购选择哪家的产品呢?我们知道这些IDS产品有许多相似的特性，我们应该如何依据标准检查程序并争取到合理的价钱呢?TechTarget特约专家MikeRothman，METAGroup的首位网络安全分析师，他表示，拥有多种选择在采购安全产品过程中是十分重要的。由于IDS已经是一项成熟的技术，不同厂商的产品在技术上差异不是很大。事实上如果你只关心IDS产品的性能，你也许更应该关注开源工具Snort。它通常被认为是评价IDS的三项重要标准之一，而且价格是免费的。一般而言，在选购产品时不应该被产品评语、产品认证之类的检测结果所左右。这些资源无疑可以帮助安全专家去了解产品，在一定层面上对产品做出比较，但是这些并无法代替安装并测试产品是否可以满足特殊组织的工作要求。在这种情况下，如果时间充裕，还是应该实施这些产品在模拟实验环境中。除非经过测试，否则人们很难知道一个产品是否可以满足特定环境的工作需要。检测中你可能会发现用户操作使用你并不适应，升级更新过于烦琐以及其他一些麻烦。这一切都要经过测试，否则一切都很难说。一旦你选定了在你的公司使用何种IDS设备，便要开始商讨价钱。切记在讨价还价前一定要确定你所选购的机器是可以使用于你的环境要求的。原文标题：IDS选购最佳建议原文链接：(来源：TechTarget中国作者：MikeRothman)TechTarget网络技术专题之“入侵检测系统部署指南”Page10of20IDSvs.IPS:如何确定你的企业是否需要此类技术？对于那些考虑使用入侵检测系统（IDS）和入侵防御系统（IPS）的企业来说，最困难的一个任务就是要确定什么时候需要这些技术，以及它们能够做什么。市面上的产品种类繁多：如防火墙、应用程序防火墙、统一威胁管理（UTM）设备、异常监测和入侵防护等，企业很难从中做出选择，也很难确定哪些产品是最适合自己的。有的企业可能还在研究是否可以用IPS代替IDS，或者是否有必要同时使用这两种产品进行全方位的保护。分层的安全和不正确的操作之间通常存在着明显的界限。在本文中我们会对IDS和IPS进行一次对比，其中包括：两种技术能够提供的基本功能以及保护类型、两种技术在实际应用中的区