日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
小師妹聊如何部署IDPS

今天想和大家聊一聊如何有效的部署和操作IDPS。顧名思義,對于安全事態(tài)來說,IDPS是一種事前檢測并主動防御的安全設(shè)備。

10年積累的做網(wǎng)站、成都網(wǎng)站制作經(jīng)驗,可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你,你也不認(rèn)識我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程,更有阿克蘇免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

小師妹系列前傳:

  • 小師妹聊安全標(biāo)準(zhǔn)
  • 小師妹聊安全標(biāo)準(zhǔn)(二)

首先還是對IDPS做一個書面解釋吧!

IDPS

為了防范惡意活動而監(jiān)視系統(tǒng)的入侵檢測系統(tǒng)IDS和入侵防御系統(tǒng)IPS的軟件應(yīng)用或設(shè)備,IDS僅能對發(fā)現(xiàn)的這些活動予以報警,而IPS則有能力阻止某些檢測到的入侵。

部署目的

部署入侵檢測和防御系統(tǒng)(IDPS)的目的是被動監(jiān)視、檢測和記錄不適當(dāng)?shù)?、不正確的、可能產(chǎn)生風(fēng)險的,或者異常的活動,當(dāng)有可能入侵的活動被檢測到時,IDPS會發(fā)出報警或自動響應(yīng)。我們可以通過獲取IDPS軟件和硬件產(chǎn)品來部署IDPS,當(dāng)然也可以直接通過IDPS服務(wù)廠商提供外包IDPS能力的方式部署IDPS。

關(guān)鍵詞

監(jiān)測、分析、響應(yīng)

類型

一般來說,IDPS分為兩種類型,一種是基于網(wǎng)絡(luò)的IDPS(NIDPS),另一種是基于主機(jī)的IDPS(HIDPS),各有不同的特征。

  • NIDPS:監(jiān)視特定網(wǎng)絡(luò)段或設(shè)備的網(wǎng)絡(luò)流量,通過分析網(wǎng)絡(luò)和應(yīng)用協(xié)議活動來識別可疑活動;
  • HIDPS:監(jiān)視單個主機(jī)及發(fā)生在主機(jī)中的事件特征,通過三種基礎(chǔ)方法(即基于特征檢測、基于異常統(tǒng)計檢測、狀態(tài)協(xié)議分析檢測)對可疑活動進(jìn)行檢測分析。
  • 聊到這里,我們可以再來了解一下,基于主機(jī)和基于網(wǎng)絡(luò)的入侵一般發(fā)生在哪些方面。

因此,在部署IDPS時,從安全角度考慮,我們一般都會把NIDPS和HIDPS結(jié)合在一起使用,達(dá)到更好的安全事態(tài)覆蓋和報警分析的能力。

部署時值得注意的是:

部署一階段

想要選到符合公司自身需求的IDPS產(chǎn)品是非常不容易的,為什么這么說?因為現(xiàn)在市面上的IDPS產(chǎn)品太多,并且產(chǎn)品之間可能存在不兼容的情況,這就需要通過集成,所以也就提高了部署的難度。

從前,我們可以在低成本主機(jī)上部署免費的IDPS產(chǎn)品,隨著信息化的發(fā)展,當(dāng)前用的都是依靠新硬件支撐的昂貴商用系統(tǒng)。

在選擇IDPS之前,至少要做三件事情:

  • 第一件,公司需要做一個全面的信息安全風(fēng)險評估,針對可能存在的脆弱性和威脅進(jìn)行識別,再基于風(fēng)險評估和資產(chǎn)保護(hù)優(yōu)先級(確定優(yōu)先保護(hù)什么資產(chǎn))來考慮部署IDPS,為IDPS提供的功能提供需求基礎(chǔ)。

至少需要收集的系統(tǒng)環(huán)境信息包括:

  • 第二件,識別當(dāng)前已經(jīng)有的安全保護(hù)機(jī)制。

例如:

  • 第三件,考慮IDPS的性能。

一般考慮因素有以下5個:

在某些時候,當(dāng)帶寬或網(wǎng)絡(luò)流量增加時,許多IDPS將不再能夠有效和持續(xù)地檢測入侵,會導(dǎo)致錯過或者漏掉可能是攻擊的流量包。有此屬性的IDPS不建議考慮。

部署二階段

確定IDPS的安全策略,該階段需要確定幾件事情,如下:

  • 對什么信息資產(chǎn)進(jìn)行監(jiān)視;
  • 需要什么類型的IDPS;
  • 部署在什么位置能滿足公司安全需求;
  • 要檢測什么類型的攻擊;
  • 要記錄什么類型的信息;
  • 未成功打開或未成功關(guān)閉情形采取什么策略;
  • 檢測到攻擊時能提供什么類型的響應(yīng)或報警。

注:當(dāng)前一般可采用的報警策略包括電子郵件、網(wǎng)頁、短信系統(tǒng)(SMS)、SNMP事態(tài)以及攻擊源的自動阻止。

上面我們聊過,現(xiàn)在基于硬件支撐的IDPS非常昂貴,想必沒有哪個公司會在每臺主機(jī)上都部署HIDPS,只能在關(guān)鍵主機(jī)上部署,并且部署時建議根據(jù)風(fēng)險分析結(jié)果和成本效益兩個因素進(jìn)行優(yōu)先級排序,當(dāng)HIDPS部署在所有或者相當(dāng)大數(shù)量的主機(jī)上時,應(yīng)該部署具備集中管理和報告功能的IDPS,這樣可以降低對HIDPS報警實施管理的復(fù)雜度。

在部署NIDPS時,主要考慮將系統(tǒng)傳感器放置在哪個位置比較合適,一般來說,可部署在:

典型的NIDPS部署如圖:

1. 位于外部防火墻之內(nèi)的NIDPS

優(yōu)點:

  • 識別源于外部網(wǎng)絡(luò)、已經(jīng)滲入防護(hù)邊界的攻擊
  • 能幫助檢測防火墻配置策略上的錯誤
  • 監(jiān)視針對DMZ(非軍事區(qū))中系統(tǒng)的攻擊
  • 能被配置為檢測源于組織內(nèi)部、針對外部目標(biāo)的攻擊

缺點:

  • 由于其接近于外部網(wǎng)絡(luò),不能作為強保護(hù)
  • 不能監(jiān)視防火墻阻止(過濾掉)的攻擊

2. 位于外部防火墻之外的NIDPS

優(yōu)點:

  • 允許對源于外部網(wǎng)絡(luò)的攻擊的數(shù)量和類型進(jìn)行文件化管理
  • 可以發(fā)現(xiàn)未被防火墻阻止(過濾掉)的攻擊
  • 可減輕拒絕服務(wù)攻擊的影響 
  • 在與位于外部防火墻內(nèi)部的IDPS合作的情況下,IDPS配置能評估防火墻的有效性

缺點:

  • 當(dāng)傳感器位于網(wǎng)絡(luò)安全邊界之外時,它受制于攻擊本身,因此需要一個加固的隱形設(shè)備
  • 在此位置上產(chǎn)生的大量數(shù)據(jù),使得分析已收集的IDPS數(shù)據(jù)非常困難
  •  IDPS傳感器和管理平臺的交互作用要求在防火墻中打開額外的突破口,導(dǎo)致存在外部訪問到管理控制臺的可能

3. 位于重要骨干網(wǎng)絡(luò)上的NIDPS

優(yōu)點:

  • 監(jiān)視大量的網(wǎng)絡(luò)流量,因此提高了發(fā)現(xiàn)攻擊的可能性 
  • 在IDPS支持一個重要骨干網(wǎng)絡(luò)的情況下,在拒絕服務(wù)攻擊對關(guān)鍵子網(wǎng)造成破壞之前,具備了阻止它們的能力 
  • 在組織的安全邊界內(nèi)部檢測授權(quán)用戶的未授權(quán)活動 
  • 識別不到子網(wǎng)上主機(jī)對主機(jī)的攻擊

缺點:

  • 捕獲和存儲敏感的或保密性數(shù)據(jù)的風(fēng)險
  • IDPS將會處理大量數(shù)據(jù)
  • 檢測不到不通過骨干網(wǎng)絡(luò)的攻擊
  • 檢測不到不通過骨干網(wǎng)絡(luò)的攻擊

4. 位于關(guān)鍵子網(wǎng)上的NIDPS

優(yōu)點:

  • 監(jiān)視針對關(guān)鍵系統(tǒng)、服務(wù)和資源的攻擊 
  • 允許有限資源聚焦于最大價值的網(wǎng)絡(luò)資產(chǎn)上

缺點:

  • 子網(wǎng)間相互關(guān)聯(lián)的安全事態(tài)問題
  • 如果報警沒有在專用網(wǎng)絡(luò)上傳輸,IDPS相關(guān)的流量可增加關(guān)鍵子網(wǎng)上的網(wǎng)絡(luò)負(fù)載
  • 如果配置不正確,IDPS可捕獲和存儲敏感信息,并在未指定路徑的情況下訪問這些信息

部署三階段

對IDPS進(jìn)行數(shù)據(jù)保護(hù)。

IDPS數(shù)據(jù)庫存儲了大量與公司信息基礎(chǔ)設(shè)施內(nèi)發(fā)生的可疑活動和攻擊相關(guān)的所有數(shù)據(jù),所以,需要對該部分?jǐn)?shù)據(jù)進(jìn)行安全防護(hù)。

可采取的措施如下:

  • 對存儲的IDPS數(shù)據(jù)進(jìn)行加密;
  • 適當(dāng)配置數(shù)據(jù)庫,比如:使用訪問控制機(jī)制;
  • 使用校驗碼對存儲的數(shù)據(jù)進(jìn)行完整性校驗;
  • 對數(shù)據(jù)庫以及備份程序進(jìn)行技術(shù)維護(hù);
  • 對運行IDPS數(shù)據(jù)庫的系統(tǒng)進(jìn)行充分加固以抵抗?jié)B透;
  • 連接IDPS到以太網(wǎng)集線器或者交換機(jī)的嗅探(只接收)電纜;
  • 單獨的IDPS管理網(wǎng)絡(luò)線路的實施;
  • 定期對IDPS和連接系統(tǒng)進(jìn)行脆弱性評估和滲透測試。

注:考慮到安全因素,建議把日志存儲在單獨的日志主機(jī)上,放本地的話容易被越權(quán)操作。

部署四階段

在部署完成后,需要對IDPS進(jìn)行調(diào)試。

在確定IDPS報警的特性、何時及如何使用IDPS報警特性,并且對這些特性進(jìn)行日常調(diào)整。比如,可以將脆弱性評估數(shù)據(jù)和系統(tǒng)補丁級別與IDPS報警配置進(jìn)行比較。

在這種情況下,網(wǎng)絡(luò)發(fā)現(xiàn)工具和流量分析器的使用可進(jìn)一步提高價值,并進(jìn)一步調(diào)整報警規(guī)則。

當(dāng)然,同其他網(wǎng)絡(luò)設(shè)備一樣,許多IDPS存在安全弱點,如發(fā)送未加密的日志文件、限制訪問控制和缺乏對日志文件的完整性檢查。解決辦法是以一種安全的方式實施IDPS傳感器和控制平臺,并處理IDPS的潛在弱點。

作為網(wǎng)絡(luò)安全事態(tài)的事前檢測和防御系統(tǒng),IDPS通常會產(chǎn)生大量的輸出,包括一些沒有價值的報警信息和會產(chǎn)生嚴(yán)重影響的報警信息,所以必須將這些信息區(qū)分開。

一般來講,IDPS所檢測到的攻擊信息內(nèi)容包括:(一些IDPS提供了比較詳細(xì)的信息)

  • 檢測到攻擊的時間或日期
  • 檢測到攻擊的傳感器IP地址
  • 攻擊名稱
  • 源IP和目的IP地址
  • 源端口號和目的端口號
  • 用于攻擊的網(wǎng)絡(luò)協(xié)議
  • 易受到攻擊的軟件類型和版本號的列表
  • 相關(guān)補丁的列表
  • 攻擊的文本描述
  • 攻擊利用的脆弱性類型

在收到IDPS發(fā)出的報警時,一般由公司的應(yīng)急響應(yīng)團(tuán)隊根據(jù)安全態(tài)勢的緊急程度作出相應(yīng)的安全響應(yīng),并在事后制作安全事件報告。

至于IDPS設(shè)備本身,也有主動響應(yīng)和被動響應(yīng)的屬性。

1. 主動響應(yīng)

主動響應(yīng)是當(dāng)IDPS檢測到攻擊活動的會自動采取行動,提供主動響應(yīng)的入侵檢測系統(tǒng)也稱為入侵防御系統(tǒng)(IPS)。主動響應(yīng)內(nèi)容如下:

  • 收集可疑攻擊的附加信息;
  • 變更系統(tǒng)環(huán)境,阻止攻擊;
  • 報警之后不需要人為參與,IPS采取防御措施,主動拒絕通信和(或)終止通信會話。

IPS和IDS有很多相似的功能,如包檢測、協(xié)議確認(rèn)、攻擊特征匹配和狀態(tài)分析。然而,每個設(shè)備的部署均有不同的目的。

IPS代表了保護(hù)能力和入侵檢測能力的結(jié)合,它首先檢測攻擊,接著以靜態(tài)或者動態(tài)的方式防范攻擊。換句話說,IPS通過排除惡意網(wǎng)絡(luò)流量為信息資產(chǎn)提供保護(hù),并繼續(xù)允許合法活動發(fā)生。

2. 被動響應(yīng)

被動響應(yīng)是當(dāng)攻擊發(fā)生時,僅提供攻擊的信息,需要人工提出指示才會采取后續(xù)動作。被動響應(yīng)的內(nèi)容有:

  • 報警和通知,通常是屏幕報、彈出窗口和傳呼或手機(jī)信息;
  • 配置SNMP陷阱,以響應(yīng)中央管理控制臺。

IDPS安全伴侶

部署IDPS并不能完全保證信息系統(tǒng)不受攻擊,網(wǎng)絡(luò)能夠安全運行,為了加強公司的安全自控能力,建議考慮部署以下安全設(shè)備共同防護(hù)。

1. 防火墻或安全網(wǎng)關(guān)

防火墻主要功能是限制網(wǎng)絡(luò)間的訪問,例如:如果公司只希望接受電子郵件服務(wù)器(端口號25)或者web服務(wù)器(端口號80)的流量,就可以通過防火墻實現(xiàn)。當(dāng)防火墻位于一個封閉區(qū)域內(nèi)時,可以減少NIDPS需要檢查的流量。

2. 網(wǎng)絡(luò)蜜罐

蜜罐用來欺騙、分散、轉(zhuǎn)移及引誘攻擊者在看似有價值的信息上花費時間,但這些信息實際上是捏造的,對合法用戶來說沒有一點價值。蜜罐的主要目的是收集對組織有威脅的信息,并引誘入侵者遠(yuǎn)離關(guān)鍵系統(tǒng)。

3. 文件完整性檢查器

文件完整性檢查器主要利用關(guān)鍵文件和對象的信息摘要或者其它的加密校驗碼,與參考值相比較,標(biāo)記差異或者變更。由于攻擊者經(jīng)常會修改系統(tǒng)文件,在攻擊的三個階段使用加密校驗碼是很重要的。

  • 第一階段,攻擊者修改了作為攻擊目標(biāo)的系統(tǒng)文件(例如,放置木馬)。
  • 第二階段,攻擊者試圖在系統(tǒng)內(nèi)留下后門,以便隨后能重新進(jìn)入。
  • 最后階段,攻擊者試圖掩蓋痕跡,使得系統(tǒng)責(zé)任人可能意識不到攻擊。

4. 網(wǎng)絡(luò)管理工具

網(wǎng)絡(luò)管理工具通過收集網(wǎng)絡(luò)部件和拓?fù)湫畔磉M(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施配置和管理的功能。該工具與IDPS報警的相互關(guān)聯(lián)可幫助IDPS操作者恰當(dāng)?shù)奶幚韴缶λ麄兯O(jiān)視系統(tǒng)的影響做出分析。

5. 脆弱性評估工具

脆弱性評估是風(fēng)險評估必要的組成部分,脆弱性評估工具用來測試網(wǎng)絡(luò)主機(jī)對危險的易感性。脆弱性評估工具結(jié)合IDPS使用,不管是在攻擊檢測還是攻擊反應(yīng)方面,都為檢查IDPS的有效性提供了幫助。

脆弱性評估工具分為基于主機(jī)或基于網(wǎng)絡(luò)的類型?;谥鳈C(jī)的脆弱性工具通過查詢數(shù)據(jù)源(如文件內(nèi)容)、配置細(xì)節(jié)和其他狀態(tài)信息,來評估信息系統(tǒng)的安全。

基于主機(jī)的工具允許訪問目標(biāo)主機(jī),通過遠(yuǎn)程連接在主機(jī)上運行?;诰W(wǎng)絡(luò)的脆弱性工具是用來掃描與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的主機(jī)的脆弱性。

說明

小師妹實戰(zhàn)經(jīng)驗并不豐富,希望通過不斷成長,為各位兄弟們帶來更多更好的分享!


名稱欄目:小師妹聊如何部署IDPS
網(wǎng)頁網(wǎng)址:http://m.5511xx.com/article/dhdppgd.html