入侵检测(ID)FAQ(初级)2 （1）

关于入侵检测，有什么开放的标准存在么？

　　目前为止入侵检测还没有成熟的开放标准。但是我们正在向这一方向努力。
　　Internet工程任务组(IETF)是制定互联网标准的实体。他们有一个工作小组专门致力于开发一个通用的IDS报警格式。该小组已经完成了需求调查的阶段，具体的设计方案已经基本结束，但是具体的细节可能会稍有变化。初步的实现工作可能会因为标准的最终确定而进行少量修改。现在的设计是通过类似HTTP的连接格式来发送基于XML的IDS警告。为了满足IDS分析的需要，并且使该协议能够以自然的方式穿越防火墙，人们为此做了许多工作。
　　我们欢迎更多的人员参与进来。IEFT工作组对任何想参与并且技术过硬的人都是开放的。这是因为个人总是能为了解决问题提出最佳的方法，而不是按照老板的日程来给出答案。
　　工作组的宗旨可以参考http://www.ietf.org/html.charters/idwg-charter.html，邮件列表：http://www.semper.org/idwg-public/工作组的文档可以查看http://www.silicondefense.com/idwg
ISO的T4委员会也为此付出了不少努力，提出了入侵检测框架。该项目的进展情况目前仍是未知的，FAQ作者也无法对此获得已知数据。
通用入侵检测框架（CIDF）是美国国防高级研究项目局（DARPA）为IDS数据交换而作出的一个尝试。CIDF并不是想做成一个可以影响商业产品的标准，它只是一个研究项目。现在的CIDF开发似乎已经停止。CIDF使用类似于Lisp的格式来交换入侵相关事件的信息，并且为使用这些消息定义了大量的系统原型。你可以在http://www.gidos.org上获得更多的信息。
Stuart Staniford-Chen
President, Silicon Defense
stuart@silicondefense.com

如何在一个网络流量繁重的交换环境下实现入侵检测系统（基于网络）？　　在交换环境下实现入侵检测系统的主要困难，是由集线器和交换机的不同所造成的。集线器没有连接的概念，因此每从一个端口收到数据包，都会向其他的端口进行复制。然而交换机是基于连接的，当一个数据包从交换机的一个临时连接端口进入，该数据包会被转发到目的端口。因此在集线器环境下，我们可以把我们的探测器放到任何位置，但是对于交换机，必须使用某些手段才能够使探测器监视需要的流量。
　　目前的选择有TAPS（中文为水龙头的意思），集线器和跨越端口（spanning port，有些地方也称为Mirror Port镜像端口），跨越端口可以将交换机配置成对某个端口像集线器一样工作。例如在图一中，我们希望监视交换机和资源机（Resource Machine）之间的连接状况。为此我们可以让交换机把资源机端口的经过的数据传到IDS所在的端口上。我们可以传送资源机发出的数据包，或者收到的数据包，或者两者。某些现有的交换机无法保证将100％的监视流量传送到跨越端口上，因此即使入侵检测系统被设置成监视所有攻击，某些攻击行为也可能未被察觉。交换机有时也只允许传送一个端口的数据包，因此同时监视多个主机就非常困难，甚至不可能。



　　使用集线器或者TAP是差不多的解决方案。集线器或者tap被放置在被监视连接的中间，通常是位于两个交换机之间，或者交换机和路由器之间，或者服务器和交换机之间，等等。在图二中，集线器被放置在资源主机和交换机之间。这样，资源主机和交换机之间的网络仍然正常运行，但是由于集线器的特性，网络数据被复制到IDS上。这个和跨越端口有些类似，但是跨越端口只能监视单个主机。集线器上连接多台机器会使网络出现问题从而抵消交换机带来的好处，另外，使用一个容错集线器会大大增加成本。Tap被用来设计成对主连接（也就是从资源主机到交换机的连接）容错，并且用硬件实现，确保不会出错。



　　图三中，一个tap被用来监视一台资源主机。Tap是单方向的，只允许从交换机和资源主机之间到IDS的流量通过。这样就避免了IDS到交换机或者资源主机的流量，这个流量也不会再回到IDS。既然tap是单方向的，我们可以把网络流量从几个tap引导到hub上，最终由IDS来监视，这样就不会引起网络问题，参见图四

什么是蜜罐？如何使用蜜罐？

　　蜜罐是一些程序，这些程序可以模拟在你计算机的指定端口上运行的一个或多个网络服务。攻击者会认为你在运行某些有漏洞的服务，可以通过这些来攻破系统。蜜罐可以用来记录下所有的连接那些端口的活动，甚至包括攻击者的击键记录。这会为你提供某些联合攻击的预警。
　　有一个蜜罐程序叫做欺骗工具包（Deception Tool Kit），可以从http://www.all.net/dtk/index.html下载。你可以为每一个端口配置连接反应。
　　蜜罐上运行众所周知的服务器，比如说网页，邮件或者域名服务器，是和合适的，因为这些系统是经常被攻击的对象。蜜罐也可以用来替换正在被攻击的系统。

1 2 下一页>>