25、网络入侵检测:保障网络安全的关键策略
网络入侵检测:保障网络安全的关键策略
1. 网络入侵检测概述
攻击者常常利用应用程序的漏洞来非法访问系统。在他们利用易受攻击的系统之前,首先要知道该系统的存在。为了保护网络环境,我们可以采用多种方法,同时也需要一些技术来检测是否存在不速之客。
2. 了解流量,调整防火墙
在标准网络环境中,应用程序和用户通过网络协议(如 TCP/IP、ICMP 和 UDP)进行通信,并且每个协议都需要预定义的端口。文件/etc/services包含了许多知名的协议 - 端口对以及它们所支持的应用程序。如果了解当前环境中运行的应用程序,就可以生成所需端口的列表。不过,该文件只是用于参考端口和应用程序,不能阻止服务绑定到特定端口。将网络流量限制在这些选定的端口上,可以降低整体风险。
有些应用程序会先在特定端口发起对话,完成握手后,通信会转移到另一个有时是随机的端口。完成应用 - 端口映射后,会得到一个支持应用程序所需的有效客户端/服务器/端口关系列表。同时,像 DHCP、DNS 和 NNTP 等协议在应用列表中常被忽略,如果不包含这些,一些关键应用程序可能会失败。可以通过配置合适的防火墙来控制这些关系在网络上的可用性。
知道网络中正在使用的端口,能更轻松地识别未经授权的流量。例如,键盘记录器和密码窃取木马常使用 IRC 通道将信息报告给远程服务器,如果网络不允许聊天流量,就能快速识别出可能受感染的机器。一个配置良好的防火墙不仅要监控传入流量,还要监控和控制内外数据包的端口和内容,这是减轻成功攻击的第一步。
3. 网络入侵检测系统(NIDS)
一个配置良好的防火墙结合状态包检测(Stateful P