ISS RealSecure:异常干净的入侵检测
ISS RealSecure:异常干净的入侵检测 我很喜欢ISS RealSecure这个总是把自己打扮的很干净的入侵检测系统,它是我第一个真正接触到的IDS系统,而且也没有让我失望,两年前第一次使用它5.0版本的时候,我曾经惊讶于程序神奇高效的工作模式,今天给大家演示的版本已经是6.5的版本了,最新的7.0版本也在测试中了。 ISS RealSecure构成 ISS RealSecure是一种实时监控软件,它包含控制台、网络引擎和系统代理三个部分组成。 网络引擎基于C类网段,安装在一台单独使用的计算机上,通过捕捉网段上的数据包,分析包头和数据段内容,与模板中定义的事件手法进行匹配,发现攻击后采取相应的安全动作; 系统代理基于主机,安装在受保护的主机上,通过捕捉访问主机的数据包,分析包头和数据段内容,与模板中定义的事件手法进行匹配,发现攻击后采取相应的安全动作; 控制台是安全管理员的管理界面,它可同时与多个网络引擎和系统代理连接,实时获取安全信息。 RealSecure的模板包括安全事件模板、连接事件模板和用户定义事件模板。 安全事件模板中的每一种事件代表着一种黑客攻击的手法,可根据实际应用中的网络服务灵活选择监控部分或全部的安全事件; 连接事件模板是为方便用户监控特殊的应用服务,例如用户可限制那些主机(IP地址)允许或禁止访问某些服务(端口); 用户定义事件模板是为方便用户限制对特殊文件和字段的访问控制。RealSecure对相应监控事件的响应有多种,且及时有效。用户可设置的响应方式包括通知主控台、中断连接、记录日志、实时回放攻击操作、通知网管等等。 安装ISS RealSecure 安装ISS RealSecure的这套系统整个安装过程还算是比较简单,由于使用ISS RealSecure不需要购买额外专门的硬件平台支持,所以安装在一台WINNT或者UNIX主机系统上它就可以开始工作了,当然最好这台主机有两块网卡一块用来做网络**无IP设置,一块专门用来做管理端口。 管理端程序启动以后,就需要启动网络探测头了。 有两个组件需要启动,先启动event_collector_1 然后是network_sensor_1。 由于IDS类产品和扫描软件一样都是属于漏洞检测类产品,所以这类产品的及时更新最新的漏洞资料库文件是非常重要如果不能及时对最新的网络攻击手段做出响应,入侵检测就会失去意义了。 管理员可以选择通过在线WEB SSL加密保护方式和本地文件方式进行升级。然后查看目前ISS站点提供的最新的升级包,你可以选择查看其中的更新技术细节内容。 然后就可以开始自动下载和升级的过程了。 程序询问我们是否安装最新版本的网络探测器,当然要了:)点击安装ISS RealSecure自动完成更新安装很方便。 然后在菜单的VIEW下面有两个比较重要的选择项目 一个是Globl Response是专门用来配置入侵检测系统的各种响应行为的地方。 通过这里我们可以了解ISS RealSecure当检测到入侵行为的时候,可以采取那些行动来进行主动响应,包括BANNER警告,阻断连接,邮件通知,利用OPSEC和防火墙进行联动工作,发送SNMP告警等等。 另外一个比较重要的就是设置入侵检测系统的检测配置文件了,就是告诉IDS需要对那些攻击时间报警,对那些东西不需要理会,比如一个UNIX网络环境下我们一般就要求IDS系统不对针对WINDOWS下的攻击事件报警了,当然最合适我们所管理网络的检测规则是需要时间仔细调试的,这里面会有很长时间的误报和漏报的"拉锯战"。这其实很矛盾一个天天都在说狼来了的IDS可能会把管理员搞的很烦,最后狼真的来了的时候管理员可能是无动于衷。而一个哑巴似的IDS也不会受到管理员的欢迎。我首先是以一个检测规则为模版生成属于我的新规则,大多数入侵检测系统默认的几个检测规则都是不能编辑的,需要我们建立一个新的规则文件。 然后选中这个新生成的规则文件点击Customise来进行规则配置。 一个标准的检测规则配置是有五部分组成的,第一个分栏主要是对系统默认安装后就内置在其中的攻击检测规则,我们可以具体针对这些规则进行配置,主要是是否进行检测和如何响应的修改。 第二个分栏是连接事件检测,默认是没有任何规则的我在这里填加了一个检测所有目的端口为3389终端服务的连接行为进行记录显示。 用户自定义检测事件,也是可以自由发挥的好地方,我在这里要求对所有通过URL传递的数据进行检测发现有cmd.exe的时候就记录这个连接。 过滤规则主要是设置一些可信任主机要求ISS RealSecure不对这些主机的网络通信进行跟踪记录。 最后一栏是放所有通过更新来的攻击检测的地方。配置完成以后保存就可以了。 然后选择网络探头点鼠标右键选择规则项目 我们需要把我们刚刚建立好的规则检测文件应用到ISS RealSecure的探测端,这样规则才能最终生效。 一切完成以后,我简单的用SSS(一个功能非常强大的优秀漏洞扫描软件)对ISS RealSecure正在**的网段进行了一次漏洞扫描尝试一些攻击行为,ISS RealSecure很快就显示了大量的告警信息。 我们可以根据原地址,目的地址,时间类型三种检索方式来查看告警信息,选择一次事件后点鼠标右键还可以具体查看这次事件的具体内容。 这显然是一次FTP口令的暴力猜测过程的记录,我们可以很快的看到SSS都把那些常见的单词作为了检测的密码。 最后就是查看报表了,一个IDS系统报告如何是非常关键是否可以把一次攻击事件讲的很明白统计的行为是否正确等等对于管理员考虑下一步的网络安全规划都起着非常重要的作用。 当然ISS RealSecure的报表自始至终都是表现的非常优秀 这是其中ISS RealSecure一份报告的样本。 至此对于ISS RealSecure这款IDS的简单介绍就完成了,大名鼎鼎的ISS RealSecure主要产品优势是体现在性能优异上,曾经被权威机构评测为B+级的实时监控网络安全入侵软件,其实它的软件本身设置非常简单,界面更是干净明了使用者非常容易上手学习不需要接受太多的产品培训。
页:
[1]