Linux平台四大IDS入侵检测工具

如果你只有一台电脑，那么对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样，但却有此可能。不过，在现实世界中，我们需要一些好的工具来帮助我们监视系统，并向我们发出警告，告诉我们哪里可能出现问题，因此我们可以经常地轻松一下。入侵检测可能是一种令我们操心的问题之一。不过，事情总有两方面，幸好Linux的管理员们拥有可供选择的强大工具。最佳的策略是采用分层的方法，即将“老当益壮的程序，如Snort、iptables等老前辈与psad、AppArmor、SELinuxu等一些新生力量结合起来，借助强大的分析工具，我们就可以始终站在技术的前沿。 在现代，机器上的任何用户账户都有可能被用来作恶。笔者认为，将全部的重点都放在保护root上，就好像其它用户账户不重要一样，这是Linux和Unix安全中一个长期存在的、慢性的弱点问题。一次简单的重装可以替换受损的系统文件，不过数据文件怎么办?任何入侵都拥有造成大量破坏的潜力。事实上，要散布垃圾邮件、复制敏感文件、提供虚假的音乐或电影文件、对其它系统发动攻击，根本就不需要获得对root的访问。 IDS新宠：PSAD Psad是端口扫描攻击检测程序的简称，它作为一个新工具，可以与iptables和Snort等紧密合作，向我们展示所有试图进入网络的恶意企图。这是笔者首选的Linux入侵检测系统。它使用了许多snort工具，它可以与fwsnort和iptables的日志结合使用，意味着你甚至可以深入到应用层并执行一些内容分析。它可以像Nmap一样执行数据包头部的分析，向用户发出警告，甚至可以对其进行配置以便于自动阻止可疑的IP地址。 事实上，任何入侵检测系统的一个关键方面是捕获并分析大量的数据。如果不这样做，那只能是盲目乱来，并不能真正有效地调整IDS。我们可以将PSAD的数据导出到AfterGlow 和 Gnuplot中，从而可以知道到底是谁正在攻击防火墙，而且是以一种很友好的界面展示。 老当益壮：Snort 正如一位可信任的老人，随着年龄的增长，Snort也愈发成熟。它是一款轻量级且易于使用的工具，可以独立运行，也可以与psad和iptables一起使用。我们可以从Linux的发行版本的程序库中找到并安装它，比起过去的源代码安装这应该是一个很大的进步。至于保持其规则的更新问题，也是同样的简单，因为作为Snort的规则更新程序和管理程序，oinkmaster也在Linux发行版本的程序库中。 Snort易于管理，虽然它有一些配置上的要求。要开始使用它，默认的配置对大多数网络系统并不适用，因为它将所有不需要的规则也包括在其中。所以我们要做的第一件事情是清除所有不需要的规则，否则就会损害性能，并会生成一些虚假的警告。 另外一个重要的策略是要以秘密模式运行Snort，也就是说要监听一个没有IP地址的网络接口。在没有为它分配IP地址的接口上，如ifconfig eth0 up，以-i选项来运行Snort，如snort –i eth0。还有可能发生这样的事情：如果你的网络管理程序正运行在系统中，那它就会“有助于展现出还没有配置的端口，因此建议还是清除网络管理程序。 Snort可以收集大量的数据，因此需要添加BASE(基本分析和安全引擎)，以便于获得一个友好的可视化的分析工具，它以较老的ACID(入侵数据库分析控制台)为基础。 简洁方便：chkrootkit和rootkit Rootkit检测程序chkrootkit和rootkit Hunter也算是老牌的rootkit检测程序了。很明显，在从一个不可写的外部设备运行时，它们是更可信任的工具，如从一个CD或写保护的USB驱动器上运行时就是这样。笔者喜欢SD卡，就是因为那个写保护的的开关。这两个程序可以搜索已知的rooktkit、后门和本地的漏洞利用程序，并且可以发现有限的一些可疑活动。我们需要运行这些工具的理由在于，它们可以查看文件系统上的/proc、ps和其它的一些重要的活动。虽然它们不是用于网络的，但却可以快速扫描个人计算机。 　　多面手：Tripwire Tripwire是一款入侵检测和数据完整性产品，它允许用户构建一个表现最优设置的基本服务器状态。它并不能阻止损害事件的发生，但它能够将目前的状态与理想的状态相比较，以决定是否发生了任何意外的或故意的改变。如果检测到了任何变化，就会被降到运行障碍最少的状态。 如果你需要控制对Linux或UNIX服务器的改变，可以有三个选择：开源的Tripwire、服务器版Tripwire、企业版Tripwire。虽然这三个产品有一些共同点，但却拥有大量的不同方面，使得这款产品可以满足不同IT环境的要求。 如开源的Tripwire对于监视少量的服务器是合适的，因为这种情形并不需要集中化的控制和报告;服务器版Tripwire对于那些仅在Linux/UNIX/Windows平台上要求服务器监视并提供详细报告和最优化集中服务器管理的IT组织是一个理想的方案;而企业版Tripwire对于需要在Linux/UNIX/Windows服务器、数据库、网络设备、桌面和目录服务器之间安全地审核配置的IT组织而言是最佳选择。

作者：Jack

【赛迪网-IT技术报道】在上周四(3月27日)的“PWN 2 OWN”2008年全球黑客大赛上，黑客谢恩・麦考莱(Shane Macaulay)一举攻破微软Vista系统，并因此获得5000美元奖金和一台作为奖品的笔记本。

本周一，麦考莱将其奖品笔记本在eBay上拍卖，起价为0.01美元，并模棱两可的暗示这台机器可能仍含有可攻击Vista的执行代码。由于周一是欧美国家盛行的愚人节，有人怀疑麦考莱是在恶作剧。但麦考莱当天表示，这台富士通笔记本已归他个人所有，他本人有权对其随意处置。

当晚美国太平洋时间11点，eBay网站删除了麦考莱上述拍卖信息，并称他的这种做法不利于广大计算机用户安全。eBay一位发言人表示：“麦考莱的拍卖信息上故意添加了含有Vista攻击代码等字样，这已经引起了网络安全专家们的注意。”

“PWN 2 OWN”2008年全球黑客大赛于上周三进行，大赛举办方提供了三部运行不同操作系统的笔记本电脑，以供各参赛黑客小组实施攻击，这些操作系统分别为微软Vista、苹果Mac OS X及Ubuntu Linux。周三当天，所有参赛小组都没能成功攻破任何一台笔记本。

上周四大赛举办方改变了攻击规则，当天以查理・米勒(CharlIE Miller)为主的参赛小组在不到2分钟时间内攻破了苹果MacBook Air超薄笔记本，并为此获得了1万美元奖金。周五是大赛的最后一天。当天参赛黑客谢恩・麦考莱(Shane Macaulay)一举攻破了微软Vista系统，所获奖金为5000美元。到周五为止，只有运行Ubuntu系统的笔记本没有被攻破。

业界人士称，如果麦考莱上述拍卖行为不是开愚人节玩笑，他就有可能违反了PWN 2 OWN大赛的相应规则。此前大赛举办方规定，任何参赛人员发现相应漏洞后，不得对外公布他们所发现的产品漏洞和相应攻击方式，以便相应厂商能及时修补漏洞。

(责任编辑：李磊)

防火墙是保护我们网络的第一道屏障，如果这一道防线失守了，那么我们的网络就危险了。所以我们有必要注意一下安装防火墙的注意事项。 1.制定好的安全策略 防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么现在就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙，你需要好的安全策略。 2. 一个防火墙在许多时候并不是一个单一的设备 除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的“all-in-one防火墙应用程序，你同样得配置其他机器(例如你的网络服务器)来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙的设备却期望其担负所有安全责任。 3. 防火墙并不是现成的随时获得的产品 选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。 4. 防火墙并不会解决你所有的问题 并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击，它甚至不能保护你免受所有那些它能检测到的攻击。 5. 使用默认的策略 正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。

6. 有条件的妥协，而不是轻易的 人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。 7. 使用分层手段 并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。 8. 只安装你所需要的 防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。 9. 使用可以获得的所有资源 不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源:例如厂商信息，我们所编写的书，邮件组，和网站。 10. 只相信你能确定的 不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。 11. 不断的重新评价决定 你五年前买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。 12. 要对失败有心理准备 做好最坏的心理准备。机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难。