http://www.freebuf.com/sectool/157699.html
建设
好了,言归正传了,没钱还想搞安全,怎么办?用免费的代替呗。下面给大家说我的一下替代方案。
1、漏扫:NESSUS
为啥放首位了,因为这款漏扫没什么好介绍的,强烈推荐;直接部署在网络当中,路由可达即可。与收费漏扫相比较,扫描结果略有不同,都能扫到对方扫不到的。所以,还是一款值得推荐的免费漏扫。
2、入侵检测:OSSIM
直接部署在网络当中,对客户端路由可达,对于英语不好的同学可以使用浏览器插件进行翻译。当然,跟收费的IDS根本没法比了,无论是规则还是技术原理。收费的IDS抓取更全面,部署更便捷,规则更完善。
优点:免费;开源;服务端部署容易。
缺点:传统的IDS大部分是抓取镜像流量,可做到全面分析,而OSSIM需要对客户端进行分别部署,但由于每台机器key不一样,即使使用自动化运维工具也挺麻烦的(PS:你们都上自动化运维了,就别用这个东西了);还有就是自带的规则十分辣鸡;
3、堡垒机:JumpServer
与收费的相比,没有对windows和数据库的安全审计。如果贵单位用的都是linux,没问题,完全够用。
优点:免费,开源,轻量级
缺点:不支持windows的安全审计及数据库的安全审计。
4、网闸:两个路由
只能做内网当中不同密级的两张网络,无法完全代替。两张网络中的核心路由进行直连,分别对其连接的设备做路由指向和NAT转换。整套方案无法替代网闸,混检查倒是可以。
使用背景:
网络1与互联网进行连接,服务器1需要与服务器A进行数据传输,为了确保网络A的安全,不允许服务器1与服务器A直接进行数据传输。
逻辑步骤:
(1)核心路由A配置NAT转换,将1.1.1.100转至172.16.1.100,同时做端口访问限制及其他网络安全策略
(2)核心路由1配置路由指向,将1.1.1.100地址指向至核心路由A
(3)服务器1访问1.1.1.100
(4)服务器A将接收来自服务器1的数据
配置目的:
(1)由于两边无法直接获取对面的路由表,黑客无法探测网络A的资产情况;
(2)即使服务器1被网络攻破,也无法得知网络A情况;
(3)即使地址IP1.1.1.100被发现,也由于端口访问限制,大部分攻击手段将无法实施;
(4)即使通过放行端口入侵至服务器A,也由于无法得知反向IP,少部分攻击手段将无法实施;
(5)当然,不可能尽善尽美。
优点:成本低,无法直接获取对端路由表,做到了网闸最基本的功能。
缺点:无法完全取代,无法判断接收的数据是否合规。
5、代码质量管理:sonar
一款不错的代码质量管理工具,免费的。我们公司现在就在用,虽然大家只是当做侧面辅助,但聊胜于无。
6、web日志审计:360星图
相对来讲,这款分析工具的UI我十分喜欢,但分析存在误报及漏报。还需要结合人工来进行审计。
7、日志分析系统:Kibana和logstash
Logstash是一个完全开源的工具,他可以对你的日志进行收集、分析,并将其存储供以后使用,您可以使用它。说到搜索,logstash带有一个web界面,搜索和展示所有日志。kibana 也是一个开源和免费的工具,他可以帮助您汇总、分析和搜索重要数据日志并提供友好的web界面。他可以为 Logstash 提供的日志分析的 Web 界面
8、日志收集:简单的脚本+FTP
如果不想费劲的搭建Kibana和logstash(例如说我),那么编写个小脚本,自动压缩目录文件并上传至FTP服务器,做个备份收集即可。
9、上网行为管理及防火墙:ikuai
部署在办公网络最外层,可当防火墙也可当路由,还具有上网行为管理的功能,还能做ACL控制。买台服务器,配个双网卡,简单部署后就能用了。
优点:免费,功能挺多的,基本满足中小型企业办公需求;
缺点:大流量估计正面刚不住,公司对外的业务还是不要用了。另据小道消息,可能会未经用户允许上传数据(不知道真假,对此话本人不负责)。
10、终端准入:网管软件
部署在小局域网内,纯粹为了混检查。
优点:免费
缺点:只能针对小范围管理,治标不治本,混下检查还可以,其余就算了。
11、VPN:Windows自带
还需要介绍吗?
12、企业杀毒
去给你的领导和同事们洗脑去吧。
4.总结
可以看出,收费之所以是收费的,还是十分有道理的。当然不是说免费的就不好。例如nessus,我个人觉得这个漏扫就不错。如果贵单位用的是linux,jumpserver也非常实用。如果资金确实紧张,360星图,sonar也可以上。但其他的,真的就是见仁见智了。
PS:上述产品大家应该也都知道,这里给大家拢一拢,为那些在确实不拿资金做安全的单位工作的安全同学提供些建设方案吧。上述产品也好,方案也好绝大多数实施部署起来都是极容易上手的。
2185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
