文章導航綠軟下載站軟件下載安卓資源蘋果資源專題

您當前所在位置:首頁網絡安全安全防護 → 自己動手打造高性能入侵檢測防御系統(一)

自己動手打造高性能入侵檢測防御系統(一)

時間:2015/6/28來源:IT貓撲網作者:網管聯盟我要評論(1)

零日攻擊(Zero-day)和日益龐大的僵尸網絡帶來的分布式拒絕服務攻擊(DdoS)等網絡攻擊手段,讓許多使用傳統安全防范設備的中小企業中疲于應付,而主動防御技術已經能夠很好地解決這些方面帶來的安全問題。入侵檢測防御系統(IDS/IPS)就是一種主動防御技術,將它們安裝在網絡的關鍵位置,通過對所有通過它的網絡流量進行檢測,就會發現其中的惡意流量或某種攻擊行為,然后就會發出警報,并自動阻止這些惡意流量的通過。但是,目前市面上已經存的入侵檢測防御系統的價格動不動就上十萬元人民幣,甚至更高,這樣的價格,讓許多中小企業對IDS/IPS的應用望而卻步。那么,有沒有一種方法即可以讓中小企業使用IDS/IPS來保護自己的網絡資源,又不需要花費高昂的費用呢?當你們看過本文后,就會找到需要的答案。

  前期軟件和硬件的準備

  入侵檢測和防御系統(IDS/IPS)都是由硬件和軟件組成,要想自己動手打造一臺高性能的入侵檢測和防御系統,那么構成IDS/IPS所需的硬件和軟件都得由我們自己來準備,巧婦難為無米之炊!缺少這兩者中的任何一樣,都不可能完成打造入侵檢測防御系統的任務。

  一、 軟件的準備

  Snort是一個基于命令行的開源免費的入侵檢測系統,雖然它本身就是一個用來為中小企業進行網絡攻擊檢測的軟件,但是,由于它主要以命令行的方式來使用,用戶不僅要學習它的安裝、部署和設置方法,還必需記住它數量眾多的各種檢測命令,這對于一些不習慣于命令行操作的用戶來說,是一個不小的難題。因此,市面上出現了許多使用Snort來提供入侵檢測功能的軟件,但是這些軟件只是對它進行了簡單的功能挪用,甚至連基本的入侵檢測設置功能也沒有,就更不要說入侵防御功能了。在本文中,我向大家介紹一款由StillSecure公司出品的叫做"Strata guard"的入侵檢測防御軟件,它才是一款真正的具有入侵檢測和主動防御功能的IDS/IPS軟件。

  Strata guard本身是一款基于Linux系統的商業軟件,但是它的免費版本除了對網絡帶寬最大不能超過5Mbps的流量限制,其它所有的功能并沒有任何限制。而5Mbps的帶寬對于還在使用2Mbps或4Mbps的ADSL中小企業用戶來說,已經完全足夠了。而且,Strata guard針對中小企業的商業版本也只需支付2500美元的費用,這樣仍然要比單獨購買一臺傳統的硬件型IDS/IPS設備要劃算得多。

  Strata guard軟件也是從Snort發展而來,它不僅具有Snort的所有功能,而且,還具有下列所示的獨特功能:

  1、 圖形化的安裝界面,以及向導方式的初始化設置方式,讓用戶易于上手。

  2、 能根據攻擊的嚴重程序進行優先排序報警。

  3、 真正的入侵防御能力,能根據攻擊數據包進行相應的攔截處理。

  4、 基于WEB方式的遠程配置和管理。

  Strata guard上述的這些獨特功能使得用戶在不需要對Linux系統有更多了解的基礎上,就可以非常容易地安裝和使用它。由于Strata guard是從Snort發展而來,因此它仍然使用基于攻擊特征庫的檢測技術來識別網絡流量中的惡意攻擊行為。但是,Strata guard還可以通過使用特征分析、協議異常分析、狀態包分析和TCP數據包重組的功能來檢測網絡流量中的惡意攻擊行為。正是由于Strata guard還具有這些獨特的檢測方法,才能對新出現的惡意攻擊行為做出

  正確的判斷,并采取相應的主動攔截響應,起到真正的主動防御作用。

  當Strata guard作為網關安裝到企業網絡的關鍵位置上時,除了可以先發制人地主動攔截檢測到的惡意網絡流量外,還可以將TCP流量進行安全重放,同時,它還能按源IP地址或端口的方式攔截來自網絡的攻擊,以及對DoS攻擊方式進行防范,而且還可以執行用戶自己定制的響應腳本。Strata guard還允許我們配置它按全局缺省方式響應所有檢測到的攻擊,也可以為每個獨立的攻擊方式創建獨立的響應方式,這樣,就可以讓我們根據不同的網絡應用環境,來靈活自由地創建適合需求的各種響應網絡攻擊的方式。

  Strata guard現在的最新版本是v5.0beta,要下載它,必需先到http://sgfree.stillsecure.com注冊一個免費的帳號,才能從http://www2.stillsecure.com/go/stillsecure/SGFree下載,同時得到一個允許使用Strata guard免費版的授權碼,這個授權碼將會在初始化配置時使用,一定要將它復制后保存到一個文本文件中。Strata guard的免費版本有兩種發行方式,一種是為網關模式制作的光盤鏡像,另一種是為標準模式制作的虛擬機文件。我們可以根據自己使用Strata guard的目的來決定下載哪個文件,在本文中,我需要將Strata guard免費版作為網關來使用,于是就下載它的光盤鏡像文件,它的大小為341MB左右。

  二、 硬件需求

  strata guard對所依存的硬件的性能要求比較高,這主要是為了在滿足檢測所有網絡流量的同時,還能夠保證足夠的網絡轉發性能。對于strata guard免費版本來說,我們可以使用下列所示的硬件來定制一臺入侵檢測防御系統的硬件平臺:

  處理器: AMD 4400+

  內存:DDR2 667 2GB

 

  硬盤: SATA 80G

  網卡: strata guard工作在標準模式時需要2張網卡,工作在網關模式時需要3張網卡。網卡最好為3Com和Intel的千兆以太網網卡,推薦使用Intel

  Pro/1000MT桌面型千兆網卡。

  主板:選擇帶有多個PCI-E接口的,集成聲卡,顯卡,甚至千兆以太網網卡的主板,這樣能為我們省去不少資金和一些不必要的麻煩。

  光驅:普通IDE接口的CD光驅。

  其它硬件:為了給這些硬件的運行提供源源不斷的動力,最好選擇450W及以上的質量可靠的PC電源。

  上述的這些硬件,已經完全可以滿足現在大部分中小企業對入侵檢測防御系統的需求,當然,我們完全可以根據自身網絡的實際需求,以及企業允許在這方面的投入資金,來選擇速度更快,容量更大,性能更好的各種PC硬件。而且,現在的PC硬件價格已經接近于白菜的價格,就算選擇性能更高的硬件,在定制的入侵檢測防御系統的硬件上的投入,仍然要比市面上動則上十萬的硬件型入侵檢測防御系統的價格低得多。

  部署Strata guard入侵檢測防御系統

  當所有準備工作全部完成以后,就應當考慮將strata guard入侵檢測防御系統按哪種方式接入到目標網絡中。

  在準備入侵檢測防御系統的硬件階段,我已經簡單地提到過Strata guard有兩種工作模式:一種是網關模式,也就是將Strata guard作為一臺單獨的局域網網關來使用,必需將它安裝到企業網絡的出口位置,并且應當安裝在企業防火墻的前面,如圖2.1所示。此時Strata guard在提供IDS/IPS功能的同時,還提供路由功能;另一種模式為標準模式,這種模式只將Strata guard當作IDS來使用,或者通過與企業網絡中安裝的防火墻聯動的方式來達到入侵防御(IPS)的功能,此時必需將它通過旁路的方式接入到目標網絡,如圖2.2所示。

  

  圖1 Strata guard在網關模式時的網絡接入原理圖

  

  圖2 Strata guard在標準模式時的網絡接入原理圖

  當Strata guard工作在旁路模式時,不能檢測所有的網絡流量,而它工作在網關模式時,所有通過它的網絡流量都會被檢測。因此,我建議用戶還是將Strata guard安裝到一臺單獨的主機上,用它來作為整個企業的入侵檢測防御型網關。在本文中,我也只向大家說明如何將Strata guard作為網關模式使用時的安裝設置方法,因為這樣才可以得到Strata guard的所有功能,才能體現自己動手打造入侵檢測防御系統的意義。

關鍵詞標簽:入侵檢測

相關閱讀

文章評論
發表評論

熱門文章 自己動手打造高性能入侵檢測防御系統(一)自己動手打造高性能入侵檢測防御系統(一)安全技巧:利用軟件限制策略阻止網馬侵襲安全技巧:利用軟件限制策略阻止網馬侵襲巧設瑞星推薦規則 拒絕創建劫持項行為巧設瑞星推薦規則 拒絕創建劫持項行為局域網防監聽局域網防監聽

相關軟件

人氣排行 企業網絡安全事件應急響應方案xp系統關閉445端口方法_ 教你如何關閉xp系統445端口什么是IPS(入侵防御系統)linux iptables如何封IP段隱藏ip地址增加網絡信息的安全性Windows Server 2008利用組策略的安全設置如何保障Server 2008服務器的遠程桌面安全ARP協議的反向和代理

王琳羽毛球