入侵检测系统原理和实践（3）

注册行为监测
即使网管做了最大的努力，安装了最新的IDS，入侵者也有可能使用无法被监测到的的手段来入侵系统，造成这种情况的重要可能之一就是入侵者使用包嗅探恩公工具已经取得了用户密码并能够合法登录系统。
HOSTSENTRY这样的产品的任务之一就是寻找系统的不寻常操作，对用户试图进行注册和注销进行监控，并就这些活动中不正常或者未曾预料的部分向系统管理员报警。

根操作监控
入侵者的最终目的是为了掌握被入侵主机上的根用户权限，如果一台WEB服务器规划的好的话，除了极少数的计划好的维修时间以外，根用户应该很少会有什么操作，但是根用户们也很少按照计划去进行检修，而是逮空就干，但是即使是这样，入侵者也很有可能在兔子都不拉屎的时间或者地方干出些什么事情来。
需要防御的战线还有以条：监视根用户或系统管理员的任何操作。许多UNIX系统允许根用户执行包括登录、监测在内的所有运算，而象LOGCHECK这样的工具则可以对这些登录记录加以监控并提请网管注意。
如果使用了开放源代码的操作系统，网管们只有一个选择：改进内核。如何改进不在本文的讨论范围之内，毕竟INTERNET网上这样的资源很多。
监测文件系统
不管你的愿望如何良好，ID怎么卖命，你也不敢保证系统固若金汤，而系统一旦被攻陷，入侵者就会立即开始更改系统的文件，或者更改一些设置以废掉ID们的武功（哦！要练神功，必先自宫！！）
在软件的安装过程中，不可避免的会更改系统设置，这些设置更改一般会在系统的文件或者LIBRARY的变化中体现出来。
类似于TRIPWIRE，FCHECK和AIDE的程序被设计用于检测系统内的文件变动，并向系统管理员报告。
在所有系统文件上使用MD5或者其他的加密、校验和等手段，将这些设置储存进数据库，当文件变化时，校验和也会发生变化。
注意所有文件的创建和修改时间，以及它们的时戳。
对SUID命令的使用加以监控，任何变化或者新的SUID命令被安装、删除，都可能会是问题的征兆。
不管Tripwire, Fcheck,AIDE玩得怎么花，它们的工作原理就是上面那些东西，它们的作用是保证那些数据库和加密的校验和没出问题。因为不排除这样一种可能，入侵者水平很高，高到足以理解操作系统和IDS，直接就把加密的校验和数据库都改得天衣无缝。

基于内核的ID
基于内核的ID还是以种新生事务，但是成长很快，尤其是在和LINUX的配合方面。
现在有两种基于LINUX的不同的基于内核的ID，它们是OPENWALL和LIDS。它们在防止缓冲区溢出方面有了长足进展，增强了文件系统的保护，拦截信号并使入侵系统变得更加困难。LIDS也采取了一定措施以防止根用户执行一些操作，比如安装嗅探器或者更改防火墙规则等等。

内核保护和文件系统保护
显而易见的是，虽然最终效果相近，LIDS系统和TRIPWIRE系统差别很大，它们都可以用于阻止入侵者出于未经授权的目的使用系统。
乍看之下，虽然象TRIPWIRE这样的系统确实是一个监测文件系统的好东西，人们也可能会认为他意义不大，人们的共识是：一旦你的系统被内在的入侵者攻陷，最好的办法就是关机重装系统。损失已然造成，系统已然玩完，你还是老老实实从恢复盘上重装系统得了。而LIDS提供的服务则更有诱惑一些，如果说一般的家伙是在屋子里面已经被糟践得一塌糊涂后才来跑来告诉你门开着的话，LIDS可能会使你的系统免遭损失。

从理论上说，我也同意以上分析，但是如果将LIDS和TRIPWIRE同时运行，肯定会带来更好的安全性。虽然LIDS在保护文件系统方面有着独到之处，但是如果再加上象TRIPWIRE这样的文件系统监视器，用他作为一个“独立的”审计方，效果肯定会更好，因为HACKER有可能会挫败LIDS的努力。
小结
使用最新的工具可能会抵御一切已知形式的入侵，不幸的是，随着日常实践，新的威胁和软件的安全漏洞却在不断的被发现。
在任何环境下，非常重要的一点是知道你可能面对的所有威胁，要警惕你系统里面可能存在的潜在漏洞并加以修补，以免遭受基于这些漏洞的攻击。
举个例子来说，以台通过防火墙被连接到INTERNET的主机可以说会免于大多数种攻击，但是机器里的CGI程序则会使机器暴露出脆弱的以面，要尤其注意并确定CGI程序已经被合适的配置，数据在执行前已经被确认合法有效。而一个ID程序则会被放在WEB服务器和防火墙之间以拦截任何可疑的连接。
随时更新
随着新的入侵手段的发现，上面我们所阐述的工具也在不断更新，所以及时更新工具也是非常重要的。
在安装了相应的软件以后，用户有必要经常访问一些和安全有关的页面和邮件列表，同时，如果你所安装的软件或者防火墙报告说其自身出现缺陷或者其他被入侵的问题，千万不要为了面子而不去向软件提供商需求帮助（老外也这么要面子吗？嘿嘿）
Which Tools?
使用什么软件呢？

以上我们已经探讨了好几种有着不同功能的工具。为了尽量保证你的环境的安全性，根据功能来选择工具就变得非常重要。工具之间“尺有所短，寸有所长”的情况很突出，所以，你的安全防线的第以关应该就是防火墙，然后，在防火墙后侧安装基于网络的IDS用于监视防火墙，再以后呢（老外就是TMD烦），就应该是连接监测工具，比如PORTSEBTRY或者HOSTSENTRY之类的，最后呢，你还可以用LOGCHECK之类的工具来监测那些最终的进入者。

原作者：DEL是新西兰的一位有着15年IT从业的哥们。其余的俺就不翻译了吧了，反正各位要是有什么问题要问我的话那就歇了，俺好菜的，就是翻译洋文速度好快，嘿嘿。附上这哥们简历，免得说俺侵犯版权，嘿嘿。
David Elson (Del) is a security and technology consultant workingfor Wang New Zealand in Christchurch, on the South Island of NewZealand. With 15 years IT experience, he consults to variousclients on security and networking issues. He also maintains a setof web pages on Linux and other related security topics, and hasgiven talks on various security and networking issues atconferences in Australia and New Zealand.（完）