问答:有效使用IDS/IPS的最佳方法

在我们根据用户点播发布的题为“有效使用IDS和IPS的秘密”的网络直播中，嘉宾主讲人Jeff Posluns提供了使用IDS/IPS实施积极的安全漏洞管理的技巧并且深入考察了一个企业的安全状态。下面是Jeff在现场直播中答复的用户提出的一些问题。

问:是应该仅仅由一个信息系统安全小组的成员接收IDS警报，还是多个成员以及公司管理层的成员应该接收这种警报?

答:你的这个问题的答案应该是基于下列事实的决策:
1.来自IDS的很多警报都是错误的报告。
2.来自IDS的很多警报都与紧急的问题无关。
3.来自IDS的很多警报都不需要立即采取行动。
4.来自IDS的少数警报需要进行调查。
5.很少的警报需要立即采取行动。
这是我对这个问题的想法。如果有一个人要接受拜访或者有一个接受拜访的计划，只有这个人是应该通知的人。如果你已经花了很多时间、努力和金钱调整你的报警系统，你不会得到很多警报并需要跟踪这些警报。也许一个票务系统是最合适的。在这种情况下，IDS系统创建一张票，安全小组的一个成员负责接收传呼和报警。如果这张票在四个小时之内没有更新，那就用寻呼机呼叫一位经理。我曾看到过这样工作的票务系统。

问:由于IPSes可能阻止正常的通信，IPSes充满了危险吗?

答:IPSes在历史上引起的问题比解决的问题多。但是，采用今天的技术，错误地封锁正常通信的情况很少发生。要记住，你不能购买和安装一个IPS，然后就撒手不管让它自己做一切事情。IPS或者IDS需要像小孩一样给予照料;让它自己学习，但是，你要尽可能纠正它的错误，把你的智慧传给它。
我已经看到过大概200个运行IPS的案例，其中我能够回忆起出现问题的只有3个。这些问题都是http服务器之间不正常的通信造成的，IPS把这些通信检测为坏的通信。一旦规则修复之后，就没有很多值得担心的问题了。

问:我使用一种名为Snort的入侵检测系统，在我的印象中并没有大量的错误警报。我真的没有像信任OTS技术那样信任这个系统。我遗漏了什么东西吗?

答:默认的Snort规则在大多数网络中都不需要调整。你很可能看到许多错误的ICMP(互联网控制消息协议)警报，并且可能看到某些错误的DNS和HTTP警报。如果你安装“Bleeding Edge”规则，你会看到更多的东西。
要有效地采用Snort系统，你可能需要花几天的时间调整这些规则，关闭某些东西和修改其它一些东西。
使用Snort系统的好处是你将得到更新、修改规则、创建你自己的规则和制定输出的内容。如果你寻求插入一个解决方案，ISS、NAI、思科和其它产品等商业软件是可以考虑的。如果你是一个希望花几天时间甚至几个星期时间学习的技术人员，那么，Snort是一个较好的选择。
我建议你与SourceFire联系一下。那里的人有商用的Snort系统。你问一下他们关于错误报告的事情，以及他们能够采取什么措施。我曾看到过在应用中的IDS设备。这种设备需要进行的调整比默认的开源软件Snort系统要少。

问:IDS能够检测到端口扫描吗?如何进行检测?

答:IDS有几种方法识别端口扫描:
1.IDS能够查找对同一个地址的几个相连的端口进行连接的企图(例如，在五秒钟试图连接端口X、X1和X2)。
2.IDS能够查找对某些不常用的端口或者某些特洛伊木马程序常用的端口实施的连接活动(例如，试图连接31337、12345端口，或者在10秒钟之内连接2个以上的端口)。
3.IDS能够查找在某一个特定时段内一个主机和另一个主机之间的连接次数(例如，在10秒钟之内同一个IP地址的主机发出10次以上的连接请求)。这种方法是DNS服务器经常被误认为是端口扫描主机的一个原因。ns1.securitysage.com网站称，当你的计算机使用一个DNS服务器的时候，它将随机地从高的端口到低的53端口连接ns1.securitysage.com网站，ns1.securitysage.com网站通常用53端口对这同一个连接进行应答。对于IDS来说，这就像ns1.securitysage.com网站正在对另一个主机进行端口扫描一样 ，在几秒钟之内发出几个查询。

（责任编辑：zhaohb）