Solaris网络环境部署HIDS配置实战(上)

　　NIDS基于网络的IDS

　　基于网络的入侵检测系统(Network Intrusion Detection SystemNIDS)一般由两部分组成网络流量传感器和入侵检测系统控制台网络流量传感器一般被部署在网络中心的核心交换机或部门交换机的镜象端口(SPAN)上在网络安全管理员的工作站上通过入侵检测系统控制台来接收分析网络传感器传来的日志来做报警处理也可以将网络流量传感器和入侵检测系统控制台集成在同一台主机上同时进行检测和分析的工作

　　优点

　　成本较低

　　可监测到主机级IDS监测不到的活动

　　黑客消除入侵证据较困难

　　可监测到未成功或恶意的入侵攻击

　　与操作系统无关

　　缺陷

　　若网络的规模过大IDS往往会丢失許多包无法完全监控网络上所有的数据

　　若要采集大型网络上的流量并加以分析往往需要更有效率的CPU处理速度以及更大的内存空間

　　HIDS基于主机的IDS

　　基于主机的入侵检测系统(Host Intrusion Detection SystemHIDS)通常是安装在被重点监测的主机之上主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断如果被监视的某个对象活动十分可疑如具有某种特征或违反日常统计基线入侵检测系统就会采取相应措施

　　优点

　　可以确认黑客是否成功入侵

　　监测特定主机系统的活动

　　弥补网络级IDS错失监测的入侵事件

　　较适合有加密及交换机﹝Switch﹞的环境

　　实时(Near realtime)的监测与反应

　　不需另外增加硬件设备

　　缺陷

　　所有的主机可能安裝不同版本或完全不同的操作系统而这些操作系统有各种不同的审核记录因此必須针对各不同主机安裝各种HIDS

　　入侵者可能经由其他的系统漏洞入侵并得到系统管理员权限那么將会导致HIDS失去其效用

　　Hostbased IDSs可能会因为denialofservice而失去作用

　　二IDS和其他安全工具的关系

　　 IDS和防火墙的关系

　　防火墙是网络安全的重要工具不过它也存在权限

　　防火墙只能抵挡外部來的入侵行为

　　防火墙本身可能也存在弱点以及其他安全性的设定错误

　　即使透过防火墙的保护合法的使用者仍会非法地使用系统甚至提升自己的权限

　　防火墙仅能拒绝非法的连接請求但是对于入侵者的攻击行为仍一无所知

　　IDS对于防火墙的作用如下

　　防止防火墙和操作系统与应用程序的设定不当

　　监测某些被防火墙认为是正常连接的外部入侵

　　了解和观察入侵的行为意图并收集其入侵方式的资料

　　监测內部使用者的不当行为

　　及时阻止恶意的网络行为

　　IDS和防火墙的关系应当如下

　　功能互补通过合理搭配部署和联动提升网络安全级别

　　检测来自外部和内部的入侵行为和资源滥用

　　在关键边界点进行访问控制

　　攻击检测更新迅速实时的发现和阻断

　　二者应当相辅相成在网络安全解决方案中承担不同的角色如图

　　

　　图 IDS和防火墙的关系

 
    
    三OSSEC

　　简介

　　OSSEC属于基于主机和应用的入侵检测系统通过监视企业重要服务器和各种应用以避免企业资源被攻击滥用和误用在前文的介绍中我们把基于主机和基于应用的入侵检测系统分成了两大类不过在实际环境中往往会将二者结合在一起使用这是因为二者采集信息的来源相同都是那些被监视保护的主机而且黑客对主机进行侵入时往往会同时攻击操作系统和应用服务上的漏洞OSSEC目前的最新版本是OSSEC是一个非常典型的主机型入侵检测系统我们可以通过了解它的体系结构与工作原理来了解这一类型的入侵检测技术

　　OSSEC是一款开源的多平台的入侵检测系统可以运行于Windows Linux OpenBSD/FreeBSD 以及 MacOS等操作系统中包括了日志分析全面检测rookkit检测作为一款HIDSOSSEC应该被安装在一台实施监控的系统中另外有时候不需要安装完全版本得OSSEC如果有多台电脑都安装了OSSEC那么就可以采用客户端/服务器模式来运行客户机通过客户端程序将数据发回到服务器端进行分析在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的主要功能有日志分析完整性检查rootkit检测基于时间的警报和主动响应除了具有入侵检测系统功能外它还一般被用在SEM/SIM(安全事件管理(SEM Security Event Management)/安全信息管理(SIMSecurityInformation Management))解决方案中因其强大的日志分析引擎ISP(Internet service provider)(网络服务提供商)大学和数据中心用其监控和分析他们的防火墙入侵检测系统网页服务和验证等产生的日志OSSEC的逻辑结构如图

　　

　　图 OSSEC的逻辑结构

    OSSEC的逻辑结构比较抽象我们看看它的三层体系结构如图

　　

    工作原理

　　() Administrator是一个Unix和linux平台下的命令行的用户接口(GUI)主要起管理维护作用对OSSEC的大部分管理配置工作都在这里进行它的主要作用为建立和断开和Manager的连接组织和配置代理(Agent)创建和管理各种类型策略管理OSSEC 用户和用户优先级在需要的时候更新Manager的许可证优先级等等

　　()Event Viewer这是一个单独的Unixlinux平台下的图形化用户界面用于查看从Agent中获取的各种事件数据也就是报警的窗口这是OSSEC比较独特的一点一般来说入侵检测系统的管理配置与事件查看功能会结合在一起用户在看到事件查看模块中的报警后可以利用管理配置模块来进行策略的调配或者采取其他行动OSSEC这种分开的做法是出于对管理员职责划分的考虑在某些企业里可能会把安全管理员分为不同的级别级别高的管理员可以做所有的事情而级别低的管理员只允许进行日常的状态与安全情况的监护但不能实际采取操作去处理问题他必须向上汇报情况由上级管理员来处理这时一个只能显示报警而不能进行实际策略的更改的Event Viewer就比较合适了如果不需要这么细的管理措施也可以把Event Viewer与Administrator安装到一个管理工作台上这样即可以显示报警也可以配置策略此外Event Viewer还可以查询Manager的事件数据库从而可以查看选定的刚刚发生的或已经发生的各种事件;向代理(Agent)发送各种OSSEC指令;生成并查看各种在线或历史报告

　　() Manager是一个运行在后台的应用软件Manager没有图形化界面其主要功能是维护与所有注册代理(Agent)的安全通讯;维护域的主列表和把相应的策略分发到每一个代理(Agent);把有关域和策略的变化通知给相应的代理(Agent);接收和存储来自于代理的事件数据;作为OSSEC AdministratorOSSEC Event Viewer和Agent之间通讯的桥梁维护策略列表和所属域

　　Manager是整个运行体系信息流的枢纽它的应用使OSSEC可以适应大型网络的需要Agent收集到的攻击与可疑信息会通过Manager向Event Viewer报告Administrator和Viewer发出的命令与配置指令也会通过Manager下传到Agent上面在配置时AdministratorEvnet Viewer与Agent都需要首先到某一个Manager上注册加入这个Manager所管理的域才可以参与这个域的安全活动简单说就是Administrator注册到Manager A上后才可以去管理Manager A上已经注册的Agent;Event Viewer注册到Manager A之后才能接受并显示它负责的Agent上报的信息;新的Agent注册到Manager A之后才可以接受相关的Administrator的策略配置并把安全报警在相应的Event Viewer上显示

　　()Agent(代理)主要起如下作用监视时间收集器;在发现攻击时执行相应的动作如通知用户发送Email通知管理员终止会话关闭机器等从Manager中接受安全升级(Security Update)建立与Manager的安全连接同时加密数据以便数据可以在网络中安全传送OSSEC代理被安装在服务器或工作站中这些代理可以监视该系统中的所有行为包括和操作系统的交互通信以及特定的应用从而可以主动保护企业资源和业务免受非法使用和破坏

　　 技术特点

　　OSSEC除了前面介绍的具有典型的主机型入侵检测系统的特性外还有其他一些特点

　　Drop and Detect技术

　　Drop and Detect 测试函数特性的预先定义方案使得安全管理人员能够快速简单地安装入侵报警系统使管理员能够避免最常见的危险的威胁以保护您的WindowsUnixLinux或其他关键的企业系统同时Drop and Detect 测试函数让安全管理员不必等待新hardcoded版的软件包就可以升级系统

　　监视操作系统种类全面

　　Administrator可以运行于LinuxBSDSun Solaris;

　　Manager可以运行于LinuxBSDSun Solaris;

　　Agent可以运行于LinuxBSDSun SolarisWindows 等

　　在选择主机型入侵检测系统的时候需要特别注意的是Agent可以适应的平台主机型入侵检测系统的基础是Agent只有Agent安装好了相应的主机才能得到监控与保护在选择时仔细考虑好该入侵检测系统产品是否能满足您目前管理的所有操作系统平台的需要还有将来发展的需要

　　防火墙联动

　　防火墙联动主要是由防火墙厂商提供开放标准接口协议其他厂商根据接口协议开发相应的通讯模块实现彼此间的联动Check Point最早推出了联动联盟OPSEC通过提供开放接口标准与其他厂商进行紧密合作实现防火墙与内容Web资源入侵检测认证等多个层次的联动

　　防火墙与入侵检测系统联动是联动体系中重要的一环这是因为这两种技术具有较强的互补性目前实现入侵检测和防火墙之间的联动有两种方式一种是实现紧密结合即把入侵检测系统嵌入到防火墙中即入侵检测系统的数据来源不再来源于抓包而是流经防火墙的数据流所有通过的包不仅要接受防火墙检测规则的验证还需要经过入侵检测判断是否具有攻击性以达到真正的实时阻断这实际上是把两个产品合成一体由于入侵检测系统本身也是一个很庞大的系统所以无论从实施难度合成后的性能等方面都会受到很大影响这种方式仍处于理论研究阶段第二种方式是通过开放接口来实现联动即防火墙或者入侵检测系统开放一个接口供对方调用按照一定的协议进行通信警报和传输目前开放协议的常见形式有安全厂家提供IDS的开放接口供各个防火墙厂商使用以实现互动这种方式比较灵活不影响防火墙和入侵检测系统的性能

　　日志管理

　　OSSEC可以读取Network Intrusion Detection 日志(snort) 以及 Apache和 IIS 得日志从而确定你的系统有没有定期检测以及有没有未知的入侵情况发生Linux下的防火墙IptableBSDAIX和Solaris 防火墙ipf都可以和OSSEC入侵检测系统联动可以对网络进行动静结合的保护对网络行为进行细颗粒的检查并对网络内外两个部分都进行可靠管理

　　本文介绍了OSSEC作为HIDS的技术特点下面我们开始实战配置在Solaris 平台下