|
|
入侵检测系统是近几年出现的新型网络安全技术,它试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。
|
|
|
入侵检测系统有两类:基于网络的实时入侵检测系统和基于主机的实时入侵检测系统。目前IDS解决方案和产品有很多种,这里介绍的入侵检测产品为Cisco的IDS。
|
|
|
|
考虑到企业站点非常复杂,攻击技术多种多样,黑客数量只增不减,必须采用全面的解决方案才能有效预防黑客袭击。这种解决方案应该能对抗多种攻击技术,并防止在典型攻击过程中执行的恶意操作。由于Cisco IDS解决方案提供包含NIDS和HIDS组件的组合解决方案,因而能满足这个要求。NIDS主要用于预防网络袭击,而HIDS则主要用于防止服务器的OS操作系统和应用遭受袭击。
|
|
|
NIDS检测器可以安装在多个位置上,最重要的位置是防火墙的前面,负责监控进入机构的通信信息。另外,每个重要的网段都安装一个检测器。HIDS首先部署在面对互联网的服务器上,例如Web、邮件和DNS服务器。由于面向互联网的服务器与后端服务器相连,因此,HIDS也部署在公司防火墙内的所有其他主要服务器上。
|
|
|
|
Cisco IDS网络检测器能够为网络设备及服务器上的通信模块提供全面保护。其主要特性如下。
|
|
|
◆积极响应(系统包含对检测器设备的主动响应功能)。
|
|
|
|
|
◆以独特的方式预防拒绝服务攻击(Deny of Services, DoS)。
|
|
|
◆先进的IP分片重装和Whisker反IDS检测功能支持。
|
|
|
|
Cisco IDS主机检测器能够为服务器上运行的服务器操作系统和应用提供全面保护。主机检测器安装在每台服务器上,用于保护操作系统和应用。系统利用呼叫截获技术提供纯主动式服务器安全系统。其主要特性有以下几个。
|
|
|
|
|
|
|
|
|
漏洞扫描安全评估技术可以帮助网络管理者对网络的安全现状进行扫描,并在发现漏洞后提出具体的解决办法。
|
|
|
网络安全漏洞扫描系统通常安装在一台与网络有连接的主机上。系统中配有一个信息库,其内存放着大量有关系统安全漏洞和黑客攻击行为的数据。扫描系统根据这些信息向网络上的主机和网络设备发送数据包,观察被扫描的设备是否存在与信息库中记录的内容相匹配的安全漏洞。扫描的内容包括主机操作系统本身、操作系统的配置、防火墙配置、网络设备配置以及应用系统等。
|
|
|
通过网络扫描,系统管理者可以及时发现网络中存在的安全隐患,并进行必要的修补,从而减小网络被攻击的可能性。
|
|
|
|
|
◆直接配置检查:这种技术的代表是COPS(Computer Oracle Password and Security System)。COPS从系统内部常见的UNIX安全配置错误与漏洞(如关键文件权限设置、FTP权限与路径设置、root路径设置、密码等)入手,指出系统内存在的安全问题,从而减少系统可能被入侵者(包括内部用户)利用的漏洞。
|
|
|
◆模拟入侵:这种技术模拟入侵者可能的攻击行为,从系统外部进行扫描,以探测是否存在可以被入侵者利用的系统安全的薄弱之处。其代表有ISS(Internet Security Scanner)和SATAN(Security Analysis Tool for Auditing Network)。
|
|
|
|
安全扫描工具通常分为基于服务器和基于网络的扫描器。
|
|
|
基于服务器的扫描器主要扫描与服务器相关的安全漏洞,如password文件、目录和文件权限、共享文件系统、敏感服务、软件、系统漏洞等,并给出相应的解决办法建议。该类扫描器通常与相应的服务器操作系统紧密相关。
|
|
|
基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。
|
|
|