IDS讓網絡入侵者無處藏身

隨著企業信息化水平的不斷提高，信息系統對業務的支撐作用更加明顯，但隨之而來的網絡信息安全問題也日益突出,黑客攻擊無孔不入、手段層數不窮，如何有效的實現風險防控，未雨綢繆，保證網絡與信息系統的安全、可靠運行是我們要面臨的考驗。我們如何能在大量的網絡流量中，識別出可能存在的威脅，對入侵能及時分析，預警，保障信息系統的保密性，完整性、可用性？網絡入侵檢測系統（IDS）給我們提供了手段。本文以天闐入侵檢測系統為例，介紹如何在企業網中進行部署，并通過兩個實際監測到的威脅事件，直觀地展示IDS在企業網絡風險防范中發揮的重要作用。

入侵檢測系統部署

圖1 系統部署示意圖

天闐入侵檢測與管理系統由管理控制中心和探測引擎兩個部分組成。管理控制中心負責威脅的展示、管理和配置等功能；探測引擎負責對網絡流量進行監測，識別出流量中可能存在的威脅。本實例監控企業網核心交換機上聯至總部廣域網的數據流，在核心交換機上，要對上聯至總部廣域網的端口作鏡像，鏡像端口通過光纖和探測引擎的抓包口相連接，探測引擎的管理口和管理控制中心服務器通過網線連入交換機，保持網絡聯通狀態。圖中虛線代表鏡像數據流，實線代表管理數據流。部署示意圖如圖1所示。

整個入侵檢測系統配置分三部分：引擎的配置、交換機的配置、管理控制中心的配置。

1.引擎配置：通過console口連接到探測引擎，默認用戶名密碼：adm：venus70，登陸系統后，更改管理口IP地址/子網掩碼并添加路由。

IDS(config)#i p address 192.168.5.3

IDS(config)#route add 192.168.5.0/24 192.168.5.1

2.交換機鏡像端口配置

本實例中的交換機為H3C-12508，G1/5/0/1為 上聯到總部廣域網的接口，把交換機G1/5/0/1端口至總部廣域網的雙向流量鏡像到G1/5/0/15上，G1/5/0/15連接到探測引擎的抓包口。鏡像端口配置命令如下：

[h3c-12508]mirroringgroup 1 local

[h3c-12508]mirroringgroup 1 mirroring-port G1/5/0/1 both

[h3c-12508]mirroringgroup 1 monitor-port G1/5/0/15

3.管理控制中心的配置

管理控制中心需要安裝在一臺服務器上，IP地址為：192.168.5.6。 本 實 例中安裝操作系統為Windows 2003企業版，數據庫采用天闐入侵檢測系統安裝光盤自帶的Microsoft SQL Server 2005 EXPRESS EDITION,用來存放控制中心所需的數據結構和產生的相關事件日志信息。安裝完數據庫后，安裝IDS，作為天闐入侵檢測的管理控制中心。

提示：安裝IDS軟件時，如果遇到“創建數據庫失敗”，解決辦法：SQL Server服務需要改用本地系統賬戶啟動服務，而非默認的用戶。

安裝完畢后對入侵檢測系統管理控制中心配置：

打 開 瀏 覽 器，在地 址欄中 輸入如：http://192.168.5.6，然 后輸入用戶名和密碼（默認用戶 名 ：adm，密 碼 ：venus70）和驗證碼，點擊登錄。

打開“常用配置”、“組件管理”、“引擎配置”，點擊“新建”按鈕，添加引擎，設置好引擎的IP地址和填寫好引擎名稱，點擊“確定”即可，同樣的方法可以為此控制中心添加多個引擎。

在連接上引擎后要導入廠家提供的引擎授權文件。

通過“常用配置”、“組件管理”、“引擎配置”，點擊“授權圖標”進行授權設置，點擊“瀏覽”，然后選擇授權文件，點擊“導入”。查看“授權抓口數量”，為授權的數量。

為了保證入侵檢測系統具備最新攻擊的檢測能力，需要進行事件庫、病毒庫更新。到啟明星辰網站上下載最新的事件庫和病毒庫文件。通過“常用配置”、“升級管理管理”，分別進行事件庫和病毒庫的手動升級，建議每周升級一次。

系統自帶五個系統策略集，可以直接拿來使用，也可以自己定義適合本單位使用的策略集，下面介紹如何自定義策略集，并把這個策略集下發到探測引擎上。

在“常用配置”、“策略管理”、“策略集”，點擊“新建”，自己定義名稱為“新的策略集”點擊“下一步”后，將“分組方式”選為“事件級別”，并勾選“高級事件”和“中級事件”，并點擊“提交”。

在“常用配置”、“策略管理”、“策略模板”點擊“新建”，自定義名稱為“新的策略模板”，將響應方式設為“日志,報警”，并點擊“提交”。

在“常用配置”、“策略管理”、“策略集”，點擊編輯剛才建好的策略集，勾選所有策略項，并點擊右上角的“應用模板”，在模板列表里選擇剛才建好的策略模板，并點擊“提交”按鈕。

在“常用配置”、“組件管理”、“引擎配置”，點擊“下發策略”。選擇剛才建好的策略集，點擊“提交”。

在“高級配置”、“檢測對象”、“病毒檢測配置”中，點擊“病毒檢測協議類型配置”按鈕，在彈出的頁面中，勾選“啟用”及所有協議。

數據庫維護工具可實現數據庫日志的自動刪除，自動備份，手動刪除和手動備份的工作。

在控制中心服務器上，選擇開始菜單“程序”、“啟明星辰”、“IDS_Web”，點擊“數據庫維護”，可以執行數據庫維護工具進行自動維護設置或進行手動維護。我們一般選擇自動維護可以防止數據庫過度膨脹，確保系統工作正常。

在“自動維護”中勾選“啟用日志自動維護”，“備份時間設置”統一設為每月1日01：00進行備份，在D盤根目錄下建立目錄：D:IDSdb_bak；“備份后續操作”選擇刪除源數據，并勾選“自動收縮數據庫”。在“目標數據庫設置”中輸入正確的數據庫IP、用戶名和密碼，測試連接通過后，點擊“保存”即完成配置。自動維護程序會在滿足所配置的條件時自動進行數據庫維護工作。

4.系統全局展示

完成系統的配置后，我們就可以使用入侵檢測系統實時監控網絡了。進入入侵檢測與管理系統后，首頁展現給我們的是一個全局的頁面，可以看到發生威脅事件的一個概況及本級總流量曲線。如果有新增的事件類型，會在下面的狀態條中顯示。

圖2 事件詳細信息

提示：如果網絡中部署了桌面安全管理軟件，或者用一些漏掃工具檢測系統漏洞，入侵檢測系統會把這些行為視為攻擊行為，我們需要對這樣的事件進行處理，處理結果為誤報，并且對后續相同事件可以選擇“相同事件+相同IP”進行自動處理。進行處理選擇后下次該事件將不在界面中顯示，而直接標注為誤報。這樣的自動化流程大大簡化了我們的操作。

威脅事件分析

下面通過兩個實際捕獲的威脅事件，看看應用天闐入侵檢測系統對威脅事件的預警，分析并給出相應的處理辦法。

新增事件一：把新增事件點開，事件的名稱為TCP_Microsoft_windows_DNS解析遠程代碼執行漏洞，事件的級別為中級和事件發生的時間。

雙擊后可以看到事件的詳細信息，如圖2所示。

通過上面的事件詳細說明，知道這是個試圖利用系統的MS11-030漏洞來非法獲得系統權限的攻擊事件，我們及時聯系到用戶，確認使用的操作系統為Windows 7系統，而且相應的漏洞沒有修補，讓用戶及時把補丁打上，并持續關注一段時間，是否有類似事件發生。

新增事件二：TCP_遠程控制軟件_TeamViewer_遠程控制。

看到這是一個通過遠程控制軟件操作一臺計算機，查詢被控制的IP地址，發現為二級單位的一臺服務器，聯系到服務器的運維人員，確認是正常的遠程維護行為，處理為誤報事件。

從這兩個實際捕獲的威脅事件，可以看到入侵檢測管理系統不僅能實時監測到正在發生的入侵事件，通過事件詳細信息看到威脅的具體情況，快速地幫助網絡安全管理采取有效的處理措施。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發，IDS讓入侵者無處藏身。