在之前的博文中介绍了NIDS, IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛。IDS能帮我们深度检测流过的数据包,针对数据包中的特征来触发告警,并记录日志。同时我们也可以根据资产的重要程度,来实施的捕捉流量包,在帮助我们分析网络流量的同时, 也可以配合合规部门来检查内部人员的网络行为。在NIDS博文里面, 我重点以Snort为例子来介绍NIDS如何在网络中玩耍。我们可以在对Snort的深度理解之后,使用好这个工具。
当我们在使用NIDS的时候还会面临几个解决不了的问题,在这些NIDS鞭长莫及的角落里面,会隐藏一些随时准备攻击我们的威胁。下面我们先来看看那些情况,会影响NIDS的效率:
- 目前网络流量基本都运行在https或者ssh下,网络层的安全工具不能处理实时解密实时分析实时加密的过程。即使有部分产品支持这个功能,但是整个处理过程效率低下。
- 有一些流量只存在于同一个vlan内部, 不穿过三层设备。这导致NIDS会遗漏掉部分流量,变成瞪眼瞎。
- 网络的边界被一次一次的突破,全拜移动设备的大功。无论公司网络设计的多么合理,安全架构的多么硬壳。用户的移动设备拿回了家,用户是可以随便的蹂躏公司的设备,威胁在一次一次的摩擦中入住公司设备。第二天设备一旦接入公司网络,那些小妖精就都跳出来吓唬人。
以上是NIDS在日常的网络安全防护中面临的一些问题,这不能怪他, 他的职责是守好了大门和小门。针对终端的安全访问问题, 我们就要请出来HIDS。我们在选择终端安全防护产品的时候,有一个基本的原则就是要尽可能的少在PC端安装客户端。我们关注的是网络安全,但是用户关注的是可用性。如果我们用一层一层的安全软件把PC锁死成一块铁蛋,虽然安全了,用户也会跳起来骂祖宗了。
开源的HIDS产品有很多, 比如OSSEC,Wazuh,还有国产开源的产品驭龙IDS,这里我着重分析一下OSSEC,这个HIDS的大佬, 当然也有人把它称作DER,因为OSSEC也包含一个模块叫做response action,可以根据定义的规则自动执行一些脚本,比如通过防火墙block流量,禁用账号 等等。
一, 优点和核心的功能 key features & benefits
上面这个图是从OSSEC网站上掳来的,从这个图中我们能了解这个产品的几个有点:
-
OSSEC agent可以运行在很多系统中,比如window是, solaris, linux , HPux, VMware 等。->Multi platform¶
-
可以收集其他设备发送过
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
