安全防护-入侵检测实战之全面问答(下)

口令问题。

　　3、虚拟专用网VPN

　　VPN通过Internet为远程访问创建安全的连接管道环境，其中使用的主要协议有PPTP和Ipsec。PPTP即PPP over TCP，使用它就可以为一台机器分配2个IP地址，一个用于Internet，另一个用于虚拟网。Ipsec是Win2K系统的新协议，它提高了传统IP协议的安全性。然而VPN也有其明显的弱点，虽然管道本身经过验证和加密处理是安全的，但是管道的两端却是开放的，这就可能造成入侵者从一个被安装了后门的家庭用户机器上大摇大摆地遛进安全管道、不被检查地访问内部网。

　　4、加密系统

　　随着个人隐私权的不断被重视，加密系统现在越来越"时髦"了。加密邮件可以使用PGP(Pretty Good Privacy)和SMIME(加密专用多用途Internet邮件扩展)，加密文件也可以使用PGP，加密文件系统可以使用BestCrypt或者还是PGP。

　　问：IDS系统应该安放到网络的什么部位?

　　1、网络主机

　　在非混杂模式网络中，可以将NIDS系统安装在主机上，从而监测位于同一交换机上的机器间是否存在攻击现象。

　　2、网络边界

　　IDS非常适合于安装在网络边界处，例如防火墙的两端、拨号服务器附近以及到其他网络的连接处。由于这些位置的带宽都不很高，所以IDS系统可以跟上通讯流的速度。

　　3、广域网中枢

　　由于经常发生从偏僻地带攻击广域网核心位置的案件以及广域网的带宽通常不很高，在广域网的骨干地段安装IDS系统也显得日益重要。

　　4、服务器群

　　服务器种类不同，通讯速度也不同。对于流量速度不是很高的应用服务器，安装IDS是非常好的选择;对于流量速度快但又特别重要的服务器，可以考虑安装专用IDS系统进行监测。

　　5、局域网中枢

　　IDS系统通常都不能很好地应用于局域网，因为它的带宽很高，IDS很难追上狂奔的数据流、不能完成重新构造数据包的工作。如果必须使用，那么就不能对IDS的性能要求太高，一般达到检测简单攻击的目的就应该心满意足。

　　问：IDS如何与网络中的其他安全措施相配合?

　　1、建立不断完善的安全策略。这一点异常重要!谁负责干什么?发生了入侵事件后怎么干?有了这些，就有了正确行动的指南。

　　2、根据不同的安全要求，合理放置防火墙。例如，放在内部网和外部网之间、放在服务器和客户端之间、放在公司网络和合作伙伴网络之间。

　　3、使用网络漏洞扫描器检查防火墙的漏洞。

　　4、使用主机策略扫描器确保服务器等关键设备的最大安全性，比如看看它们是否已经打了最新补丁。

　　5、使用NIDS系统和其他数据包嗅探软件查看网络上是否有"黑"流涌动。

　　6、使用基于主机的IDS系统和病毒扫描软件对成功的入侵行为作标记。

　　7、使用网络管理平台为可疑活动设置报警。最起码的，所有的SNMP设备都应该能够发送"验证失败"的trap信息，然后由管理控制台向管理员报警。

　　问：如何检测网络上有人在使用NIDS系统?

　　NIDS系统实际上就是一个嗅探器(sniffer)，因此，任何标准的嗅探器检测工具都可用于发现它的存在。这些工具有：

　　1、AntiSniff

　　2、neped

　　3、Sentinel

　　4、ifstatus

　　问：如何提高WinNT/Win2K系统的入侵保护程度?

　　关于这个问题已经有许多诸葛亮出过谋划过策，在此我将选择重点并按考虑顺序列举如下：

　　1、下载并安装最新的SP和hotfix。

　　2、安装时文件系统选择NTFS格式，并且每个磁盘都使用NTFS(不要启动盘是FAT，其他盘是NTFS)。NTFS不仅仅可以实现对单个文件和单个目录的权限设置，还可以对它们进行审计。

　　3、创建一个新的管理员帐号，将administrator的功能限制到最小以设置陷阱，观察是否有人试图盗用其权限;禁止guest帐号或者将guest帐号改名并创建一个新的guest帐号，目的同样是监测是否有人试图使用它入侵系统。

　　4、去掉对%systemroot%/system32目录的默认权限：Everyone/写。

　　5、启动REGEDT32程序打开"HKEY_LOCAL_MACHINESecurity"项，以检测远程注册表浏览行为。

　　6、安装系统时默认目录不要选择"c:winnt"，让入侵者费些心思猜测系统文件的位置。还有一个更好的方法是：首先安装在c:winnt目录下，然后重新安装系统到其他目录，并且对c:winnt目录添加审计功能，这样就可以监测是否有人想访问c:winnt目录了。正所谓真真假假、假假真真，你在不断窥视、我设陷阱无数。

　　7、启动分区只存放系统文件，数据和应用程序放到其他分区，甚至将数据和应用程序也分区存放。总之，隔离是避免"火烧联营"的最好方法。

　　8、屏幕保护使用"Blank Screen"且设置密码保护，这样既达到安全目的也节省服务器处理资源。注意，如果使用来历不明的屏幕保护方案，要小心它可能就是一个后门程序。

9、启动REGEDT32程序，修改AutoSharexxx参数关闭系统默认的自动共享目录，例如ADMIN$、C$、D$