小师妹聊如何部署IDPS

缺点：

• 子网间相互关联的安全事态问题
• 如果报警没有在专用网络上传输，IDPS相关的流量可增加关键子网上的网络负载
• 如果配置不正确，IDPS可捕获和存储敏感信息，并在未指定路径的情况下访问这些信息

部署三阶段

对IDPS进行数据保护。

IDPS数据库存储了大量与公司信息基础设施内发生的可疑活动和攻击相关的所有数据，所以，需要对该部分数据进行安全防护。

可采取的措施如下：

• 对存储的IDPS数据进行加密;
• 适当配置数据库，比如：使用访问控制机制;
• 使用校验码对存储的数据进行完整性校验;
• 对数据库以及备份程序进行技术维护;
• 对运行IDPS数据库的系统进行充分加固以抵抗渗透;
• 连接IDPS到以太网集线器或者交换机的嗅探(只接收)电缆;
• 单独的IDPS管理网络线路的实施;
• 定期对IDPS和连接系统进行脆弱性评估和渗透测试。

注：考虑到安全因素，建议把日志存储在单独的日志主机上，放本地的话容易被越权操作。

部署四阶段

在部署完成后，需要对IDPS进行调试。

在确定IDPS报警的特性、何时及如何使用IDPS报警特性，并且对这些特性进行日常调整。比如，可以将脆弱性评估数据和系统补丁级别与IDPS报警配置进行比较。

在这种情况下，网络发现工具和流量分析器的使用可进一步提高价值，并进一步调整报警规则。

当然，同其他网络设备一样，许多IDPS存在安全弱点，如发送未加密的日志文件、限制访问控制和缺乏对日志文件的完整性检查。解决办法是以一种安全的方式实施IDPS传感器和控制平台，并处理IDPS的潜在弱点。

作为网络安全事态的事前检测和防御系统，IDPS通常会产生大量的输出，包括一些没有价值的报警信息和会产生严重影响的报警信息，所以必须将这些信息区分开。

一般来讲，IDPS所检测到的攻击信息内容包括：(一些IDPS提供了比较详细的信息)

• 检测到攻击的时间或日期
• 检测到攻击的传感器IP地址
• 攻击名称
• 源IP和目的IP地址
• 源端口号和目的端口号
• 用于攻击的网络协议
• 易受到攻击的软件类型和版本号的列表
• 相关补丁的列表
• 攻击的文本描述
• 攻击利用的脆弱性类型

在收到IDPS发出的报警时，一般由公司的应急响应团队根据安全态势的紧急程度作出相应的安全响应，并在事后制作安全事件报告。

至于IDPS设备本身，也有主动响应和被动响应的属性。

1. 主动响应

主动响应是当IDPS检测到攻击活动的会自动采取行动，提供主动响应的入侵检测系统也称为入侵防御系统(IPS)。主动响应内容如下：

• 收集可疑攻击的附加信息;
• 变更系统环境，阻止攻击;
• 报警之后不需要人为参与，IPS采取防御措施，主动拒绝通信和(或)终止通信会话。

IPS和IDS有很多相似的功能，如包检测、协议确认、攻击特征匹配和状态分析。然而，每个设备的部署均有不同的目的。

IPS代表了保护能力和入侵检测能力的结合，它首先检测攻击，接着以静态或者动态的方式防范攻击。换句话说，IPS通过排除恶意网络流量为信息资产提供保护，并继续允许合法活动发生。

2. 被动响应

被动响应是当攻击发生时，仅提供攻击的信息，需要人工提出指示才会采取后续动作。被动响应的内容有：

• 报警和通知，通常是屏幕报、弹出窗口和传呼或手机信息;
• 配置SNMP陷阱，以响应中央管理控制台。

IDPS安全伴侣

部署IDPS并不能完全保证信息系统不受攻击，网络能够安全运行，为了加强公司的安全自控能力，建议考虑部署以下安全设备共同防护。

1. 防火墙或安全网关

防火墙主要功能是限制网络间的访问，例如：如果公司只希望接受电子邮件服务器(端口号25)或者web服务器(端口号80)的流量，就可以通过防火墙实现。当防火墙位于一个封闭区域内时，可以减少NIDPS需要检查的流量。

2. 网络蜜罐

蜜罐用来欺骗、分散、转移及引诱攻击者在看似有价值的信息上花费时间，但这些信息实际上是捏造的，对合法用户来说没有一点价值。蜜罐的主要目的是收集对组织有威胁的信息，并引诱入侵者远离关键系统。

3. 文件完整性检查器

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!