网络安全 频道

网络安全讲座之八:IDS系统

然而,ITA并不知道针对这个事件采取什么行动。Ignore段就是用来满足这个需要的。ITA将忽略任何你放在Ignore段中的条款,即使你已经定义过了。在Action段中的条款将决定ITA对你所定义的事件采取什么行为。如果你把相同的事件同时置于Ignore和Action段中的话,ITA不会对该事件采取行动。通常,Ignore段被用来处理误报。ITA规则使用Boolean逻辑。如果Select段被激活或为真,ITA将查看任何的Ignore和Action段。例如,在Action段中规定ITA将事件记录到日志文件中,而且Ignore段中没有覆盖这条逻辑的话,ITA将采用在Action段中定义的规则。
  对规则排序
  你可以决定每条规则的重要性顺序。每条规则可以具有0到100的值。0到33的值表示这条规则是个警告,34到66表示为中等程度的安全问题,而67到100表示已经发生了严重的安全问题。ITA并不会自己将这些新的规则进行排序,你需要投入事件正确地对它们排列优先级顺序。
  Indirect, Filter和Disable三个复选框对定义规则来说并不是必须的。这些只是ITA在应用规则时进行附加控制的。Indirect选项只允许当其它ITA规则引用时才运行,Filter选项将被其它规则检测到的事件删除掉,Disable在ITA检测时删除掉整个的规则。
  进行查询
  你可以使用ITA View进行查询。从ITA View的主界面,单击New按钮你可以定义并进行查询。Define New Filter对话框允许你连接管理者,然后直接从管理者向代理进行查询。从这里,你可以存储或装入事先定义好的能够帮助你快速了解某台主机安全状况的查询(例如filters)
  由于这个程序独立于ITA Admin运行,你必须重新登录管理者。这项要求加强了安全性,而且保证了一个程序的崩溃并不会影响到管理和查询代理。
  在连接好代理后,你可以开始进行查询。你的查询受限于你在ITA View中建立和激活的规则。你还可以根据优先级来进行查询。或者使用查询文本框,或者从管理者对象窗口向查询列表窗口拖拽查询项,然后选择Go。在查询对话框中的内容将覆盖在查询列表窗口的输入内容。
  购买IDS注意事项
  在选择产品时,请注意下列问题,见表
  
  
  要点
  问题
  产品支持
  谁你们公司所在区域的联系人?他们什么时候工作?什么是你的申报策略?他们什么时候可以进行支持?支持的花费是多少?有没有免费支持号码?
  产品培训
  提供什么形式的培训?培训包括在产品中吗?花费有多少?
  升级策略
  管理者和代理升级的频率有多快?升级需要花费吗?第一年的升级是免费的吗?如何通知进行升级?有没有对升级的建议过程?
  公司声誉
  有哪些公司使用你们的产品?能否让我同使用过你们公司产品的系统管理员接触来了解情况?
  IDS功能
  在IDS饱和前能处理的流量?如何通知我这些问题?
  产品的可扩展性
  策略能够制定到什么复杂程度?该IDS可以处理多少种攻击特征和策略?策略能够细致到什么程度?我可以自己制定策略吗?产品研发的时间有多长?
  网络支持
  哪种网络系统该IDS系统支持得最好?在UNIX,Novell和NT中各有什么缺点?你的产品缺省情况下能检查出什么sendmail漏洞?可以支持那种操作系统或设备(如路由器)。
  
  加密
  管理者和代理是否使用公钥加密?使用哪种公钥?
  有些IDS厂商不希望泄漏他们的产品的细节。然而,你要弄清楚是该公司不愿意泄漏这些重要信息,还是根本就没搞懂这些产品。
  建立基线是你在审计过程中应当采取的第一步。在建立基线时,先在网络活动的峰值期间运行IDS一段很短的时间。下面的连续将告诉你更多的关于整个网络活动的情况。掌握这些信息是唯一能够确定你所运行的网络是否“正常”的标准。确定在员工工作期间发生了哪种类型的活动。这些情况有助于你捕获那些有工业间谍或其它安全伤害的雇员行为。另外可以在晚间运行IDS,因为这是攻击者从外界进行攻击的最常见时段。

0
相关文章