IDS让网络入侵者无处藏身

随着企业信息化水平的不断提高，信息系统对业务的支撑作用更加明显，但随之而来的网络信息安全问题也日益突出,黑客攻击无孔不入、手段层数不穷，如何有效的实现风险防控，未雨绸缪，保证网络与信息系统的安全、可靠运行是我们要面临的考验。我们如何能在大量的网络流量中，识别出可能存在的威胁，对入侵能及时分析，预警，保障信息系统的保密性，完整性、可用性？网络入侵检测系统（IDS）给我们提供了手段。本文以天阗入侵检测系统为例，介绍如何在企业网中进行部署，并通过两个实际监测到的威胁事件，直观地展示IDS在企业网络风险防范中发挥的重要作用。

入侵检测系统部署

图1 系统部署示意图

天阗入侵检测与管理系统由管理控制中心和探测引擎两个部分组成。管理控制中心负责威胁的展示、管理和配置等功能；探测引擎负责对网络流量进行监测，识别出流量中可能存在的威胁。本实例监控企业网核心交换机上联至总部广域网的数据流，在核心交换机上，要对上联至总部广域网的端口作镜像，镜像端口通过光纤和探测引擎的抓包口相连接，探测引擎的管理口和管理控制中心服务器通过网线连入交换机，保持网络联通状态。图中虚线代表镜像数据流，实线代表管理数据流。部署示意图如图1所示。

整个入侵检测系统配置分三部分：引擎的配置、交换机的配置、管理控制中心的配置。

1.引擎配置：通过console口连接到探测引擎，默认用户名密码：adm：venus70，登陆系统后，更改管理口IP地址/子网掩码并添加路由。

IDS(config)#i p address 192.168.5.3

IDS(config)#route add 192.168.5.0/24 192.168.5.1

2.交换机镜像端口配置

本实例中的交换机为H3C-12508，G1/5/0/1为 上联到总部广域网的接口，把交换机G1/5/0/1端口至总部广域网的双向流量镜像到G1/5/0/15上，G1/5/0/15连接到探测引擎的抓包口。镜像端口配置命令如下：

[h3c-12508]mirroringgroup 1 local

[h3c-12508]mirroringgroup 1 mirroring-port G1/5/0/1 both

[h3c-12508]mirroringgroup 1 monitor-port G1/5/0/15

3.管理控制中心的配置

管理控制中心需要安装在一台服务器上，IP地址为：192.168.5.6。 本 实 例中安装操作系统为Windows 2003企业版，数据库采用天阗入侵检测系统安装光盘自带的Microsoft SQL Server 2005 EXPRESS EDITION,用来存放控制中心所需的数据结构和产生的相关事件日志信息。安装完数据库后，安装IDS，作为天阗入侵检测的管理控制中心。

提示：安装IDS软件时，如果遇到“创建数据库失败”，解决办法：SQL Server服务需要改用本地系统账户启动服务，而非默认的用户。

安装完毕后对入侵检测系统管理控制中心配置：

打 开 浏 览 器，在地 址栏中 输入如：http://192.168.5.6，然 后输入用户名和密码（默认用户 名 ：adm，密 码 ：venus70）和验证码，点击登录。

打开“常用配置”、“组件管理”、“引擎配置”，点击“新建”按钮，添加引擎，设置好引擎的IP地址和填写好引擎名称，点击“确定”即可，同样的方法可以为此控制中心添加多个引擎。

在连接上引擎后要导入厂家提供的引擎授权文件。

通过“常用配置”、“组件管理”、“引擎配置”，点击“授权图标”进行授权设置，点击“浏览”，然后选择授权文件，点击“导入”。查看“授权抓口数量”，为授权的数量。

为了保证入侵检测系统具备最新攻击的检测能力，需要进行事件库、病毒库更新。到启明星辰网站上下载最新的事件库和病毒库文件。通过“常用配置”、“升级管理管理”，分别进行事件库和病毒库的手动升级，建议每周升级一次。

系统自带五个系统策略集，可以直接拿来使用，也可以自己定义适合本单位使用的策略集，下面介绍如何自定义策略集，并把这个策略集下发到探测引擎上。

在“常用配置”、“策略管理”、“策略集”，点击“新建”，自己定义名称为“新的策略集”点击“下一步”后，将“分组方式”选为“事件级别”，并勾选“高级事件”和“中级事件”，并点击“提交”。

在“常用配置”、“策略管理”、“策略模板”点击“新建”，自定义名称为“新的策略模板”，将响应方式设为“日志,报警”，并点击“提交”。

在“常用配置”、“策略管理”、“策略集”，点击编辑刚才建好的策略集，勾选所有策略项，并点击右上角的“应用模板”，在模板列表里选择刚才建好的策略模板，并点击“提交”按钮。

在“常用配置”、“组件管理”、“引擎配置”，点击“下发策略”。选择刚才建好的策略集，点击“提交”。

在“高级配置”、“检测对象”、“病毒检测配置”中，点击“病毒检测协议类型配置”按钮，在弹出的页面中，勾选“启用”及所有协议。

数据库维护工具可实现数据库日志的自动删除，自动备份，手动删除和手动备份的工作。

在控制中心服务器上，选择开始菜单“程序”、“启明星辰”、“IDS_Web”，点击“数据库维护”，可以执行数据库维护工具进行自动维护设置或进行手动维护。我们一般选择自动维护可以防止数据库过度膨胀，确保系统工作正常。

在“自动维护”中勾选“启用日志自动维护”，“备份时间设置”统一设为每月1日01：00进行备份，在D盘根目录下建立目录：D:IDSdb_bak；“备份后续操作”选择删除源数据，并勾选“自动收缩数据库”。在“目标数据库设置”中输入正确的数据库IP、用户名和密码，测试连接通过后，点击“保存”即完成配置。自动维护程序会在满足所配置的条件时自动进行数据库维护工作。

4.系统全局展示

完成系统的配置后，我们就可以使用入侵检测系统实时监控网络了。进入入侵检测与管理系统后，首页展现给我们的是一个全局的页面，可以看到发生威胁事件的一个概况及本级总流量曲线。如果有新增的事件类型，会在下面的状态条中显示。

图2 事件详细信息

提示：如果网络中部署了桌面安全管理软件，或者用一些漏扫工具检测系统漏洞，入侵检测系统会把这些行为视为攻击行为，我们需要对这样的事件进行处理，处理结果为误报，并且对后续相同事件可以选择“相同事件+相同IP”进行自动处理。进行处理选择后下次该事件将不在界面中显示，而直接标注为误报。这样的自动化流程大大简化了我们的操作。

威胁事件分析

下面通过两个实际捕获的威胁事件，看看应用天阗入侵检测系统对威胁事件的预警，分析并给出相应的处理办法。

新增事件一：把新增事件点开，事件的名称为TCP_Microsoft_windows_DNS解析远程代码执行漏洞，事件的级别为中级和事件发生的时间。

双击后可以看到事件的详细信息，如图2所示。

通过上面的事件详细说明，知道这是个试图利用系统的MS11-030漏洞来非法获得系统权限的攻击事件，我们及时联系到用户，确认使用的操作系统为Windows 7系统，而且相应的漏洞没有修补，让用户及时把补丁打上，并持续关注一段时间，是否有类似事件发生。

新增事件二：TCP_远程控制软件_TeamViewer_远程控制。

看到这是一个通过远程控制软件操作一台计算机，查询被控制的IP地址，发现为二级单位的一台服务器，联系到服务器的运维人员，确认是正常的远程维护行为，处理为误报事件。

从这两个实际捕获的威胁事件，可以看到入侵检测管理系统不仅能实时监测到正在发生的入侵事件，通过事件详细信息看到威胁的具体情况，快速地帮助网络安全管理采取有效的处理措施。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，IDS让入侵者无处藏身。