这些天我一直在阅读有关入侵预防/检测系统的文章。阅读的时候我对一些观点确实感到困惑。
首先,防火墙和防病毒技术多年来一直是众所周知的术语,但现在 IDS 才变得流行。
我的问题包括:
- 在组织网络架构中我们何时/何地使用这些系统?
- 每种方式使用有什么好处?
- 防火墙是否包含所有这些?
如果您能给我举一些例子,那将会很有帮助。
谢谢。
答案1
入侵检测系统入侵检测系统 (IDS) 和入侵防御系统 (IPS) 是一个相当广泛的话题。因此,我在这里的回答远非全面。
IDS 的类型包括基于网络的和基于主机的。
基于网络的 IDS,例如鼾声,根据一组规则分析和记录网络流量。这些规则将匹配潜在的漏洞,从而可能提前警告入侵企图并在事后提供取证数据。
基于主机的 IDS 包括以下软件助手,它会定期比较文件系统上的文件的哈希值。这将允许某人监视系统上的更改并识别未经授权的更改。
中央日志记录可以说是基于主机的 IDS 解决方案的一部分。中央日志记录允许在中央位置控制和审计日志。此外,将日志保存在中央位置可最大限度地减少暴露,并允许额外的审计跟踪,以防系统受到威胁并且日志不再受信任。
数据包过滤(防火墙)是一种控制进出网络流量的安全机制。防火墙不是 IDS。
运行良好的 IT 基础设施包含许多这些技术,许多专业人士不会认为它们可有可无。
答案2
我想补充几点(在我看来,华纳的出色回答已经涵盖了大部分观点):
防火墙将您的网络划分为具有不同信任级别的区域:
- 公司外部/内部
- 主机外部/内部
- 白名单/黑名单/中立名单中的某些 IP 地址
- ...
另一方面,IDS 通常用于区分有效流量和攻击,尽管它们都来自同一区域。公司经常会天真地认为,所有来自公司 LAN 的流量都是可信的。但这会导致一个问题,即即使是表面上看似无害的小型安全漏洞(例如,它允许攻击者从公司的 Web 服务器向 LAN 发送某些“无害”请求),也可能很容易变成更大的问题。因此,IDS 宁愿假设攻击者已经在网络内部的某个地方,并寻找异常情况。
关于 IDS 的另一件事:监听网络的一个点通常是不够的!由于交换机的性质,并非每次攻击都会传播到整个网络。因此,最佳 IDS 会监控(理论上)
- 所有主机
- 任意两点之间的所有网络流量。
监控交换机的状态(以防御诸如端口窃取之类的攻击)也很有用。
答案3
如果您正在运行 Web 应用程序,请确保您有 Web 应用程序防火墙。例如mod_security是一款优秀的免费开源Web应用程序防火墙。
Mod_secuirty 的默认规则集可以防止 sql 注入、xss 和许多其他攻击。Mod_Security 不如思科 ACE,这是一款非常昂贵的商业产品。思科 ACE 最大的特点是防 DDoS。