《不花钱解决网络安全问题》摘记介绍了如何设置入侵检测系统,包括基于特征和异常的IDS类型,以及主机IDS(HIDS)和网络IDS(NIDS)。Snort作为免费的NIDS工具被详细讲解,涉及硬件需求、部署位置选择、端口镜像和Windows与Linux下的配置步骤。文章还提及了验证IDS有效性和配合Snort使用的其他工具。
《不花钱解决网络安全问题》摘记
这一系列文章是阅读《Secure Your Network for Free: Using NMAP, WIRESHARK, SNORT, NESSUS, and MRTG》时的摘要记录,并非原文翻译,仅供学习者参考。如果对部分技术内容的细节感兴趣,可以查阅原书或其他相关技术讨论文章。
第四章 设置入侵检测系统
设置入侵检测系统(IDS)和监测事件日志,是保证及时发现安全事件的常用手段。
入侵检测系统
基于特征的 IDS 通过比较流量数据和已知威胁的特征来进行检测。基于异常的 IDS 通过比较当前流量与常规流量的差异进行检测。两种 IDS 可以结合使用。针对主机的 IDS (HIDS)监测一个确定的主机/系统,例如关键服务器、网页服务器等。针对网络的 IDS (NIDS)检测网络上的数据包。监测网络流量难以发现一些发生在主机的入侵行为。
入侵防御系统 (IPS)在监测异常行为的同时还可以进行反应处置。
配置入侵检测系统
Snort 是一款免费的 NIDS。详细内容可参考 《Snort Intrusion Detection and Prevention Toolkit》 (Syngress Publishing, 2006)。
- 硬件要求:因为 IDS 将产生大量的日志数据,同时需要处理大量网络流量的监测功能,因此需要足够的内存和硬盘存储空间。
- 选择 NIDS 部署的位置:NIDS 的部署位置应该利于其监测足够多的网络流量。
- 可以为 NIDS 安装多个网卡,以使其可以监测多个节点位置的流量,但应该注意避免同一流量被重复检测。可以使用网络分流器来避免这种情况。
- 另外也需要注意避免流量经过 IDS 绕过防火墙。
- 将 NIDS 接入交换机的情况下,可以利用交换机的“端口镜像”功能(思科系列设备中这一功能称为“交换机端口分析器” – SPAN)保证
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
