移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

若何对IDS和IPS等进行鸿沟测试

时间:2013-05-22 21:54来源:TuZhiJiaMi企业信息安全专家 点击:
对任何寄望收集安然评估的公司而言,按期履行鸿沟缝隙测试是相当首要的。有一些报复打击由内部倡议,而有良多报复打击是来自于公司外部。这意味着,公司必需可以或许验证鸿沟设备,
Tags系统安全(735)入侵防御系统(20)IPS(12)IDS(5)边界扫描(1)  

  对任何寄望收集安然评估的公司而言,按期履行鸿沟缝隙测试是相当首要的。有一些报复打击由内部倡议,而有良多报复打击是来自于公司外部。这意味着,公司必需可以或许验证鸿沟设备,包管系统及时安装补丁,并且保持更新。鸿沟测试一般包含收集扫描、查抄进侵检测(IDS)与进侵防御系统(IPS)、防火墙测试和蜜罐手艺摆设与测试。

  收集扫描是渗入测试应当履行的第一个勾当。事实,您应当尽可能从报复打击者的角度往查抄收集。您对收集的观点是由内而外,可是报复打击者的角度则不合。履行鸿沟扫描可以帮忙您肯定鸿沟设备的把持系统和补丁级别,从收集外部是不是可以或许拜候设备,和SSL和T传输层安然(TLS)证书是不是存在缝隙。别的,收集扫描有助于肯定可拜候的设备是不是具有足够的呵护办法,避免在设备摆设以后不会被透露缝隙。Nmap是一个免费的开源安然扫描东西,它可用于监控收集;这个东西撑持各类不合的互换机,可以或许发现开放端口、办事和把持系统。

  摆设IDS和IPS是另外一种检测歹意软件勾当的编制。大年夜大都公司城市在收集鸿沟摆设IDS或IPS,可是此刻人们对这些设备匹敌报复打击的结果仍然存在争议。有良多编制可以测试IDS和IPS,此中包含:

  插进报复打击。这些报复打击情势是,报复打击者向终端系统发送数据包被拒尽,可是IDS却觉得它们是有效的。当呈现这类报复打击时,报复打击者会在IDS中插进数据,却不会被其他系统发现。

  遁藏报复打击。这个别例承诺报复打击者使IDS拒尽一个终端系统可以接管的数据包。

  拒尽办事报复打击。这类报复打击的情势是,报复打击者向IDS发送大年夜量的数据,使IDS完全掉往措置能力。这类沉没编制可能会让歹意流量静静绕过防御。

  假警报。还记得阿谁谎报军情的小男孩吗?这类报复打击会用心发送大年夜量的警报数据。这些假警报会干扰阐发,使防御设备没法辩白出真实的报复打击。

  混合。IDS必需查抄所有格局的歹意软件签名。为了混合这类IDS,报复打击者可能会对流量进行编码、加密或拆分,从而隐躲本身的身份。

  往同步化。这类编制(如连接前同步和连接后同步)都可用于隐躲歹意流量。

  防火墙是另外一种常见的鸿沟设备,它可用于节制进口流量和出口流量。防火墙可所以有状况或无状况的,可以经由过程各类编制进行测试。常见的测试编制包含:

  防火墙辨认。开放端口可能有益于肯定所利用的特定防火墙手艺。

  肯定防火墙是有状况仍是无状况的。有一些简单手艺(如ACK扫描)可以帮忙肯定防火墙的类型。

  在防火墙上反对告白。当然这类编制其实不必然有效,可是一些较老的防火墙可能真的会在告白中添加一些版本信息。

  最后,还有蜜罐。这些设备可用于诱捕或“囚禁”报复打击者,或有可能更深进体味他们的勾当。蜜罐分成两类:低交互和高交互。蜜罐可以经由过程不雅察它们的功能检测。一个很好的低交互蜜罐是Netcat,这个收集东西可以读写经由过程收集连接传输的数据。

  履行nc-v-l-p80,可以打开TCP80监听端口,可是假定进一步检测,则不会返回告白。高交互诱捕则不但会返回一个开放端口,还会返回当前告白,这使得报复打击者更难肯定它是一个真实系统或诱捕系统。

  当然我介绍了几种编制可让你知道报复打击者眼里的收集鸿沟是甚么样,可是必然要寄望,良多报复打击者可以或许经由过程由内而外的编制绕过鸿沟设备和节制。假定报复打击者可以或许让一名终端用户在收集内部安装东西,如点击一个链接或拜候歹意网站,那么报复打击者便可以由内而外经由过程通道传输流量,这在本质上比由外而内的编制更简单。

------分隔线----------------------------

推荐内容