說到網絡攻擊,很多運維人員都撓頭。這駭客說來就來,很少提前打招呼,還是需要找個反入侵的系統。這反入侵系統種類繁多,功能各有特色。比如IPS,就與大多數IDS系統的被動工作方式不同,入侵防護系統傾向于提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。那如何挑選一款適合單位的入侵防護系統呢?什么樣的才能解決自己所遇到的問題?
本文主要探討挑選入侵防護系統時需要注意的問題和事項。
Q:請問,如何構建適合企業的入侵防護系統呢?
A:這個問題很大的, 通常先了解自己的網絡應用, 再分析比較各個產品廠商,最好找到類似的企業案例應用參考;最后當然實踐出真知,上線測試一下,如果可以再模擬攻擊一下,看好不好用。
Q:主動防護一般主要是哪幾種形式?假如遭到惡意攻擊時應采取怎樣的應急措施?
A:根據不同的廠家和技術, 可以reject , drop , reset 連接等;遭到惡意攻擊如果不是性能上的, 可以防火墻或之前的訪問控制上直接加黑名單阻斷,如果是DOS或DDOS, 在你的日志上有攻擊源地址, 你可以找你的接入商要求封掉該地址對你的連接,或者從網絡等方式找到該地址的所有維護者,通常是某些IDC里托管的機器,可以聯系該IDC管理員,出示證據,解釋清楚, 通常管理員會斷哪個肉雞的網再通知哪個所有人,起碼我之前這樣作過。
Q:學網絡安全并不是很好,我想問下,如果把所有的漏洞都補齊,黑客還能入侵我們的操作系統嗎?如何發現自己的系統被入侵了?入侵檢測系統,檢測的哪種行為算是被入侵?
A:漏洞都補齊(只是理論上,沒有哪個廠家宣稱自己沒有任何弱點) ,也可能被侵入;比如你的系統已經把所有的想象到的補丁都打了, 但你上網訪問某些網站,說要下載某個運行軟件, 你同意了, 或者根本就是混在其他應用里下來的, 是你主動連接下載的, 那就沒有用;所以通常IPS就是,等你人為的犯錯,它也是可以起到一定防護作用的入侵檢測系統,檢測的哪種行為算是被入侵?要看它的策略定義了。
Q:個人比較頭疼被入侵的問題,公司業務已經被入侵過多次,包括webshell、掛馬以及DDOS流量攻擊,打擊很大,但是一直也沒找到讓人踏實好用的方法解決掉這些問題,趁此機會請教兩位安全方向的大師,對于做互聯網行業的公司,其公網服務器的保護該做哪些方面的安全措施?哪些設備對這些方面的防護效果會比較好?
A:通常來說.公網上的服務應用,首先建議要用不是那么知名的漏洞很多的那些應用軟件,其次系統加固一下,把系統缺省啟動的那些不用的應用和端口都關掉,能修正的補丁用上,帳戶密碼就不用說了, 不要上來Root 權限就可以直接連接,怎么也得用低級帳號登陸再在需要時候切換哪;之后前面最少有防火墻做訪問限制,只開放對外的端口和應用,對那些維護類的如telnet / ssh / ftp等在防火墻上最好作好日志記錄, 能有先一步的認證機制或VPN連接就更好了,之后如果可以,再放個 IPS , 針對你的應用重點防御; 你覺得防護作的差不多了, 找個知名的攻擊類探測掃描器的廠商,針對性攻擊嘗試一下,如果還有漏洞就再補。
Q:我們公司最近也在做入侵防護系統的選型工作,但是面對市面上那么多品牌和型號的IPS產品,我們該如何選擇呢?需要考慮哪些技術指標呢?
A:這個要多查些網絡對比評論的文章了.通常選擇的指標, 性能方面有加載檢測防護策略條件下的吞吐量, 時間延遲,最大并法容量,新建連接能力等, 硬件上有Fail-open卡,電源風扇磁盤存儲的冗余等, 軟件功能有檢測項目的數目,測試的誤報率和漏報率,管理界面的友好度, 統計分析報表等。
Q:一般的中小企業有上這種產品的必要嗎? 一般的防火墻,路由器,交換機的基礎架構再上這個是否會減低網絡的傳輸效率? 這和反病毒,UTM類的安全產品具體有什么不同?
A:中小型企業從安全的角度看, 也有需要, 但要看在安全方面的投資;安全和應用有的時候是有些矛盾的, 安全控制的越厲害, 用起來就有慢啊等不方便的地方, 但安全是一種需求,甚至是制度要求, 該要的還是要部署;安全產品類型很多了,防火墻, IPS , 防病毒等是不同的方面, 不能互相徹底替代的。
Q:在以linux搭建服務器的中小企業在安全方面有什么地方注意的,是不是使用linux的系統出現安全問題的可能性要比window少一下呢?
A:按個人經驗,linux會少些問題;但不要忘了,linux也是很普遍應用的系統,上面的很多缺省服務也是有名的漏洞多;所以用linux注意要關閉不用的服務和端口,還有 root和其他系統用戶之間的轉換,與目錄文件權限。
Q:請問:有5臺win2k3 服務器,主要應用web ; mssql;mysql; mail ;每個服務器大致有200個左右制作質量層次不齊網站(客戶測試的),導致資源負載過大。或經常有掛馬發生,或者某個網站線程死掉無法打開。還有就是攻擊某個網站,導致整個服務器打不開如何有一個好的方案對服務器進行優化。能對上述問題有好的解決或者控制購買軟硬件可建議一二。
A:這個不是IPS就能解決的,需要提升系統設備性能, 做系統加固;最好通過虛擬機分開,不要所有應用都掛在一個系統里;然后才是前面IPS針對主要應用進行針對性防護。
Q:請問專家,IPS系統是否具有蜜罐的功能?如果攻擊者采用DDOS攻擊,那么是否能夠有什么有效的措施阻止該類攻擊??
A:部分品牌有,通過分類后將DOS類型的攻擊數據流導引開;原則上DDOS是沒有特別好的方法阻止的, 你在被動的接受,只有提升系統設備性能和檢測判決的精度,還有聯系上層接入商,從上層封殺DDOS的肉雞地址。
京公網安備 11010502049343號