入侵侦测与回应.PDFVIP

9 入侵偵測與回應 9.1 何謂入侵偵測 9.2 入侵偵測的執行時機？ 9.3 Tripwire 實戰 9.4 監控主機與相關服務的狀態 – Nagios 實戰 經過前面幾個章節的防火牆實戰演練之後，相信各位讀者應該已經讓你的主機可以 存活在充滿毒蛇猛獸、槍林彈雨的野戰樹林中。但這樣的防護網是屬於較為被動的 防護方式，如果你的主機還是不慎被入侵者透過未發現的安全漏洞攻陷時，那麼你 還是無法從被攻陷的過程中找尋蛛絲馬跡來加以防範。因此我們會需要透過 Linux 系統中眾多記錄檔案的記載來做為後續的分析使用，當然如果這些記錄器都可以搭 配上自動化的監控與通知功能的話，那麼對於我們的主機而言更可以說是如虎添 翼。但紀錄檔案使用上仍然是有所限制的，例如：有些行程或是服務並不會自己產 生對應的記錄檔案資訊內容，亦或者這些記錄檔案的內容一旦被修改時，那麼可信 服的程度就又大大的降低，此時我們便需要端出入侵偵測（Intrusion Detection System, IDS）與入侵防護（Intrusion Prevention System, IPS）機制出來解決這類的問題。在 這個單元中筆者將會深入探討入侵偵測與防護機制的特性與相關運作模式，並且透 過簡單的實戰過程來實證其運作模式。 9.1 何謂入侵偵測 何謂入侵偵測（Intrusion Detection）1？相信很多讀者都有聽過這個名詞，但是對於 它可以說是有點黏又有點不黏的感覺，如圖 9.1 所示，入侵偵測是針對一個系統或 是一個網路環境中的活動進行監控，並且透過對於在這個環境中的活動分析來找出 可能誘發安全事件的蛛絲馬跡。 圖 9.1 入侵偵測示意圖 1 依據 SANS（System Administration, Networking and Security）組織對於入侵偵測的定義是偵測不適當 與不正確或是異常的活動技術。 9-2 基本上，入侵偵測與前幾章節中筆者所介紹的防火牆建置有點不同，它就像是一個 隱藏的針孔攝影機一般，會在背後不知不覺的錄下進出網站的每一個動作與過程。 而且它可以補足一般防火牆不足的功能，防火牆通常只能對某個服務或是連線的存 取進行限制，但是無法偵測通過的封包是否異常。而透過入侵偵測系統的建置可以 分析每一個通過的封包或者是指定的日誌檔案，與預先建立好的基本入侵特徵資料 庫進行比對來找出可能的異常發生時機，然後進行警報作業。當然，隨著網際網路 越來越普遍的情況之下，網路上的入侵技術也不斷的再進行翻新，駭客的攻擊手法 也從以往的手動攻擊變成可以自動的進行攻擊，或是透過遙控其它主機造成所謂的 殭屍網路（Zombie Network）2的攻擊方式，這種攻擊模式與以往的攻擊具有相當大 的差異，攻擊的目標不若以往採針對性攻擊，而是改用隨機選定主機攻擊，另外攻 擊意圖漸趨惡意，利用系統弱點而開發攻擊程式的所需時間縮短，並會發動大規模 的非對稱式攻擊。 9.1.1 入侵偵測系統的種類 入侵偵測系統的建置基本上可以在主機或是網路上執行監聽的工作，確認是否有 可疑的入侵行為正在蠢蠢欲動中，但對於這類新型的攻擊模式，單