【文章內(nèi)容簡介】 IDS）， DCNIDS1800 M/M2/M3/G/G2/G3 依賴于一個或多個傳感器監(jiān)測網(wǎng)絡數(shù)據(jù)流。這些傳感器代表著 DCNIDS1800 M/M2/M3/G/G2/G3 的眼睛。因此，傳感器在某些重要位置的部署對于 DCNIDS1800 M/M2/M3/G/G2/G3 能否發(fā)揮 作用至關重要。 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 部署準備 分析網(wǎng)絡拓撲圖結構 攻擊者可能會對我們的網(wǎng)絡中的任何可用資源發(fā)起攻擊。分析我們的網(wǎng)絡拓撲結構對于定義我們的所有資源是至關重要的。而且，定義我們想要保護的信息和資源，是創(chuàng)建一個傳感器部署計劃的第一步。除非我們對我們的網(wǎng)絡拓撲結構有非常透徹的理解，否則我們不可能全面地識別出需要保護的所有網(wǎng)絡資源。當分析我們的網(wǎng)絡拓撲結構時，我們必須考慮很多因素： 網(wǎng)絡入口點 數(shù)據(jù)通過網(wǎng)絡入口點進入我們的網(wǎng)絡，所有這些點都可能被攻擊者利用，在這些潛在位置獲取我們網(wǎng)絡的訪問權限。我們需要驗證每一個入口點 都得到了嚴密的監(jiān)視。如果沒有對進入我們網(wǎng)絡的入口點進行監(jiān)視，就會允許攻擊者穿透我們未被 IDS 保護的網(wǎng)絡。大多數(shù)網(wǎng)絡的常見入口點包括： 1) Inter 入口點 我們的網(wǎng)絡的 Inter 連接使得我們的網(wǎng)絡對于整個 Inter 都是可見的。通過這個入口點，全世界的黑客都可以嘗試獲得對我們網(wǎng)絡的訪問權。對于大多數(shù)企業(yè)網(wǎng)絡來講，對 Inter的訪問是直接通過一臺路由器進行的。這臺設備被稱為邊界路由器（ perimeter router）。通過在這臺設備后面放置一個傳感器，我們就可以監(jiān)視流向企業(yè)網(wǎng)絡的全部 數(shù)據(jù)流（其中包括攻擊數(shù)據(jù)流）。如果我們的網(wǎng)絡包含多個邊界路由器，我們就可能需要使用多個傳感器，每個傳感器負責監(jiān)視進入我們網(wǎng)絡的每一個 Inter 入口點。 2) Extra 入口點 許多企業(yè)網(wǎng)絡都有到商業(yè)伙伴網(wǎng)絡的特殊連接。來自這些商業(yè)伙伴網(wǎng)絡的數(shù)據(jù)流并不總是通過我們網(wǎng)絡的邊界設備；因此，重要的是要確定這些入口點也被有效地進行監(jiān)視。攻擊者可以通過穿透我們商業(yè)伙伴的網(wǎng)絡，利用 extra 來滲透到我們的網(wǎng)絡中。通常，我們對商業(yè)伙伴網(wǎng)絡的安全只能進行極少的控制，或者根本不能進行控制。而且，如果攻擊者穿 透了我們的網(wǎng)絡，然后利用 extra 連接來攻擊我們的一個商業(yè)伙伴，我們就可能面臨承擔責任的問題。 3) Intra 隔離點 Intra 代表我們網(wǎng)絡中的內(nèi)部各部分。這些部分可能是按照機構或者功能劃分的。有時候，我們網(wǎng)絡中的不同部門可能會有不同的安全需求，這取決于他們需要訪問或保護的數(shù)據(jù)和資源。通常，這些內(nèi)部部分已經(jīng)被防火墻隔離開了，在不同的網(wǎng)絡之間劃分不同的安全級別。有時，網(wǎng)絡管理者使用網(wǎng)段之間的路由器訪問控制列表（ ACL）來強制分離出安全區(qū)域。在這些網(wǎng)絡之間放置一個傳感器（在防火墻或路由器的前 面），可以讓我們監(jiān)視分離的安全區(qū)域之間的數(shù)據(jù)流，并驗證是否符合我們定義的安全策略。 有時，我們可能還想在相互間具有完全訪問權限的網(wǎng)段之間安裝一個傳感器。在這種情況下，我們想讓傳感器監(jiān)視不同網(wǎng)絡之間的數(shù)據(jù)流類型，即使在缺省情況下，我們還沒有對數(shù)據(jù)流建立任何物理屏障。但是，這兩個網(wǎng)絡之間的任何攻擊者都可以被很快的檢測出來。 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 4) 遠程訪問入口點 大多數(shù)網(wǎng)絡都提供了一種方式，可以通過一條撥號電話線訪問網(wǎng)絡。這種接入方式可以允許企業(yè)的用戶訪問網(wǎng)絡的某些功能，比如在離開辦公室的時候收發(fā)電子郵件。雖然這種增強的功能非常 有用，但是它同時也為攻擊者打開了一個可以利用的漏洞。我們可能需要使用一個傳感器來監(jiān)視來自遠程接入服務器的網(wǎng)絡數(shù)據(jù)流，以防黑客可能會攻破我們的遠程訪問認證機制。 許多遠程用戶使用家庭系統(tǒng)，通過高速 Inter 連接，比如電纜調制解調器，進行不斷線的連接。由于這些系統(tǒng)的保護措施通常很少，攻擊者經(jīng)常以這些家庭系統(tǒng)作為目標，并發(fā)動攻擊，這樣還可能會對我們的遠程訪問機制帶來危害。有時候，偷來的筆記本電腦可能會泄漏大量的關于如何訪問我們的網(wǎng)絡的信息。因此，即使我們信任我們的用戶和遠程訪問機制，最好還是利用 IDS 傳感器 對我們的遠程接入服務器進行監(jiān)視。 關鍵網(wǎng)絡組件 確定我們網(wǎng)絡上的關鍵組件，這對于綜合分析我們的網(wǎng)絡拓撲來講是非常關鍵的。黑客通常將查看到我們的關鍵網(wǎng)絡組件作為勝利。如果關鍵組件的安全受到威脅，就將為整個網(wǎng)絡帶來巨大的威脅。 需要在整個網(wǎng)絡中采用傳感器，來確?？梢詸z測到對這些關鍵組件發(fā)動的攻擊，并在一定條件下，通過阻塞（也被稱為設備管理）來中止這些攻擊。注意：阻塞，或設備管理，是指 IDS 傳感器可以動態(tài)更新路由器上的訪問控制列表，來阻塞來自一臺攻擊主機的當前和未來的數(shù)據(jù)流，防止這些數(shù)據(jù)流進入到路由器中。關鍵組件 分為下列幾類： 1) 服務器 網(wǎng)絡服務器代表了我們網(wǎng)絡中的骨干設備。我們的服務器提供的典型服務包括名字解析、認證、電子郵件和企業(yè)的網(wǎng)頁。對這些有價值的網(wǎng)絡組件的訪問進行監(jiān)視，對于一個綜合的安全策略來說是非常關鍵的。 在一個典型的網(wǎng)絡上存在許多服務器。一些常見的服務器如下所示： 域名系統(tǒng)（ DNS）服務器； 動態(tài)主機配置協(xié)議（ DHCP）服務器； 超文本傳送協(xié)議（ HTTP）服務器； Windows 域控制臺 ； 證書授權（ CA）服務器； 電子郵件服務器； 網(wǎng)絡文件系統(tǒng)（ NFS）服務器。 基礎設施 網(wǎng)絡基礎設施是指那 些在網(wǎng)絡上的主機之間傳送數(shù)據(jù)或數(shù)據(jù)包的設備。常見的基礎設備包括路由器、交換機、網(wǎng)關和集線器。如果沒有這些設備，我們網(wǎng)絡上的每臺主機都會成為互相隔離的實體，互相之間不能進行通信。 路由器在不同的網(wǎng)段之間傳送數(shù)據(jù)流。當路由器停止工作時，互相連接的網(wǎng)絡之間的數(shù)據(jù)流也就停止流動了。我們的網(wǎng)絡可能是由幾個內(nèi)部路由器和一個或多個邊界路由器組成的。 交換機在位于相同網(wǎng)段的主機之間傳送數(shù)據(jù)流。交換機通過只向交換機上的特定端口發(fā)送非廣播數(shù)據(jù)流，提供了最小的安全性。如果交換機被禁用，它就會停止發(fā)送數(shù)據(jù)流，導致拒絕 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 服務（ Dos） 。在其他情況下，交換機可能會在開放狀態(tài)下失效。在這種開放狀態(tài)下，交換機向它上的每個端口都發(fā)送所有網(wǎng)絡數(shù)據(jù)包，實際上將交換機變成了一個集線器。 注意：集線器也在位于相同網(wǎng)絡上的主機之間傳送數(shù)據(jù)流。但是，與交換機不同的是，集線器將全部數(shù)據(jù)流傳送到交換機上的每個端口。這樣不僅會產(chǎn)生性能問題，還會降低網(wǎng)絡的安全性，這是因為這樣做就允許網(wǎng)段上的任何主機都可以監(jiān)聽流向網(wǎng)絡上其他主機的數(shù)據(jù)流。 安全組件 安全組件通過限制數(shù)據(jù)流并監(jiān)視針對網(wǎng)絡的攻擊，增強了網(wǎng)絡的安全性。常見的安全設備包括防火墻、 IDS 傳感器、 IDS 管理設備 ，以及具有訪問控制列表的路由器。 防火墻在多個網(wǎng)絡之間建立了一道安全屏障。通常，安裝防火墻來保護內(nèi)部網(wǎng)絡，防止非授權訪問。這就使得它們成為主要的攻擊目標。 類似的， IDS 組件持續(xù)的監(jiān)視網(wǎng)絡，尋找攻擊的標記。黑客們不斷的尋求新的方法。來迷惑并破壞常見的入侵檢測系統(tǒng)的操作。通過禁用入侵檢測系統(tǒng)，黑客可以穿透網(wǎng)絡，而不會被發(fā)現(xiàn)（不會觸發(fā)代表網(wǎng)絡正在遭受攻擊的警報）。 遠程網(wǎng)絡 許多網(wǎng)絡都是由一個企業(yè)中心網(wǎng)絡和多個通過 WAN 與企業(yè)網(wǎng)絡進行通信的遠程辦公室組成。在我們的網(wǎng)絡分析中，需要考慮這些遠程設備的安全性。根據(jù)這 些遠程節(jié)點的安全狀況，我們可能需要放置一個傳感器來監(jiān)視穿越 WAN 鏈路的數(shù)據(jù)流。有時候，遠程設備具有到Inter 的獨立連接。顯然，所有的 Inter 連接都需要被監(jiān)視。 網(wǎng)絡大小和復雜度 我們的網(wǎng)絡越復雜，我們就越需要在網(wǎng)絡中的不同位置設置多個傳感器。一個大的網(wǎng)絡通常要求使用多個傳感器，這是因為每個傳感器都受限于它可以監(jiān)視的最大數(shù)據(jù)流量。如果我們的 Inter 網(wǎng)絡連接是一條幾千兆比特的鏈路，當我們的 Inter 連接滿負載傳送網(wǎng)絡數(shù)據(jù)流量時，目前一個傳感器就沒有能力處理全部的數(shù)據(jù)流。 考慮安全 策略限制 有時候，把傳感器放置在我們的網(wǎng)絡中，以此驗證是否符合我們定義的安全策略。關于它的一個很好的應用實例是，在防火墻的內(nèi)部和外部各放置一個傳感器。外部的傳感器負責監(jiān)視所有流向被保護網(wǎng)絡的數(shù)據(jù)流。它檢測所有發(fā)送到被保護網(wǎng)絡的攻擊和那些離開被保護網(wǎng)絡的數(shù)據(jù)流，因為防火墻可以防止其中的大部分攻擊；內(nèi)部的傳感器監(jiān)視所有內(nèi)部數(shù)據(jù)流，也就是那些從外部成功穿過防火墻的數(shù)據(jù)流，以及內(nèi)部主機產(chǎn)生的數(shù)據(jù)流。 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 部署環(huán)境 DCNIDS1800 M/M2/M3/G/G2/G3 引入了兩種類型的安裝方式：“ Stanalone” （獨立安裝）安裝所有管理組件在一臺機器上，“ Distributed”（分布式安裝）可選擇將 DCNIDS1800 M/M2/M3/G/G2/G3 的各個管理組件安裝在多臺計算機上。 所選的安裝方式取決于擁有的傳感器的數(shù)目，以及計劃對它們進行部署的方式。在安裝DCNIDS1800 M/M2/M3/G/G2/G3 組件之前，請檢查您的環(huán)境，確定安裝方式。 下面是在不同環(huán)境可能采用的幾種部署案例： 部署案例一（一至五個傳感器，孤立式安裝在一臺計算機上） 部署案例二（六至十個傳感器，分布式安裝，分布在兩臺計算機上） 部署案例三（十一至三十個傳感器，分布式安裝，分布在四臺計算機上） 部署案例四（多于三十個傳感器，分布式安裝，分布在六臺計算機上） 提醒：這些案例中所提到的傳感器數(shù)目都是估計值。實際使用的安裝方式由于和您的網(wǎng)絡拓撲、采用的安全策略、每秒檢測到的安全事件、機器的硬件配置等相關，所以在傳感器數(shù)目方面可能稍有不同。 在不同環(huán)境中部署 共享網(wǎng)絡 在非交換式網(wǎng)絡中，即使通話的目的地不是網(wǎng)絡傳感器，它也能檢測到所有的通信。網(wǎng)絡傳感器所監(jiān)測的接口處于混雜模式，這就意味著它會接收所有數(shù)據(jù)包，而不考慮它們的目標地址。 在一般 情況下，網(wǎng)絡接口會放棄所有目的地不是它或者不是發(fā)向廣播地址的數(shù)據(jù)包。在混雜模式中，網(wǎng)絡接口會接收所有數(shù)據(jù)包，而不考慮它們的目標地址。這種模式允許 網(wǎng)絡傳感器看到網(wǎng)絡上所有設備之間的所有通信。 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 交換式網(wǎng)絡 在交換式網(wǎng)絡中，通信被交換機分隔開，并且根據(jù)接口的 MAC 地址選擇路由。這一配置控制了每一接口所接收的通信量。如果與其它形式的流量管理方式結合使用，交換式網(wǎng)絡配置將是一種有效的帶寬控制方式，它能夠提高每一設備的通訊過程的效率。 因為由交換機管理業(yè)務，設置一個混雜模式的接口也無法控制它能夠、或不能看 到哪些業(yè)務，這實際上有效地“屏蔽”了網(wǎng)絡傳感器、數(shù)據(jù)包傳感器或依賴于混雜模式進行操作的任何其它設備。 為了解決這一問題，您必須設置一個可管理的交換機，它能夠將所有通信鏡像到選定的一個或多個端口。這在交換機管理中稱作“ spanning”或“ mirroring”。 有關將流量鏡像到端口的詳細信息，請與交換機制造商聯(lián)系。下表列出的是幾個最常見的制造商的 Web 站點地址： p 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 交換環(huán)境部署一 在 switch 和 router 之間接入一個 Hub，從而把一個交換環(huán)境轉換為共享環(huán)境。這樣做的優(yōu)點是簡單易行，成本低廉。如果客 戶對網(wǎng)絡的傳輸速度和可靠性要求不高，建議采用這種方式。 交換環(huán)境部署二 如果交換機支持端口鏡像的功能，建議采用這種方式，可以在不改變原有網(wǎng)絡拓撲結構的基礎上完成傳感器的部署。它的優(yōu)點是配置簡單、靈活，使用方便，不需要中斷網(wǎng)絡，是比較常用的一種方式。 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 交換環(huán)境部署三 如果交換機不支持端口鏡像功能，或者出于性能的考慮不便啟用該功能，可以采用 TAP（分支器）。它的優(yōu)點是能夠支持全雙工 100Mbps 或者全雙工 1000Mbps 的網(wǎng)絡流量。 神州數(shù)碼 DCNIDS1800M/M2/G/G2 入侵檢測系統(tǒng) 安裝和部署手冊 全冗余的高可用性部署 在這種情況下，任何一個傳感器或者鏈路發(fā) 生故障，都不會