在我們根據(jù)用戶點播發(fā)布的題為“有效使用IDS和IPS的秘密”的網(wǎng)絡直播中，嘉賓主講人Jeff Posluns提供了使用IDS/IPS實施積極的安全漏洞管理的技巧并且深入考察了一個企業(yè)的安全狀態(tài)。下面是Jeff在現(xiàn)場直播中答復的用戶提出的一些問題。
問:是應該僅僅由一個信息系統(tǒng)安全小組的成員接收IDS警報，還是多個成員以及公司管理層的成員應該接收這種警報?

答:你的這個問題的答案應該是基于下列事實的決策:
1.來自IDS的很多警報都是錯誤的報告。
2.來自IDS的很多警報都與緊急的問題無關。
3.來自IDS的很多警報都不需要立即采取行動。
4.來自IDS的少數(shù)警報需要進行調(diào)查。
5.很少的警報需要立即采取行動。
這是我對這個問題的想法。如果有一個人要接受拜訪或者有一個接受拜訪的計劃，只有這個人是應該通知的人。如果你已經(jīng)花了很多時間、努力和金錢調(diào)整你的報警系統(tǒng)，你不會得到很多警報并需要跟蹤這些警報。也許一個票務系統(tǒng)是最合適的。在這種情況下，IDS系統(tǒng)創(chuàng)建一張票，安全小組的一個成員負責接收傳呼和報警。如果這張票在四個小時之內(nèi)沒有更新，那就用尋呼機呼叫一位經(jīng)理。我曾看到過這樣工作的票務系統(tǒng)。

問:由于IPSes可能阻止正常的通信，IPSes充滿了危險嗎?

答:IPSes在歷史上引起的問題比解決的問題多。但是，采用今天的技術，錯誤地封鎖正常通信的情況很少發(fā)生。要記住，你不能購買和安裝一個IPS，然后就撒手不管讓它自己做一切事情。IPS或者IDS需要像小孩一樣給予照料;讓它自己學習，但是，你要盡可能糾正它的錯誤，把你的智慧傳給它。
我已經(jīng)看到過大概200個運行IPS的案例，其中我能夠回憶起出現(xiàn)問題的只有3個。這些問題都是http服務器之間不正常的通信造成的，IPS把這些通信檢測為壞的通信。一旦規(guī)則修復之后，就沒有很多值得擔心的問題了。

問:我使用一種名為Snort的入侵檢測系統(tǒng)，在我的印象中并沒有大量的錯誤警報。我真的沒有像信任OTS技術那樣信任這個系統(tǒng)。我遺漏了什么東西嗎?

答:默認的Snort規(guī)則在大多數(shù)網(wǎng)絡中都不需要調(diào)整。你很可能看到許多錯誤的ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)警報，并且可能看到某些錯誤的DNS和HTTP警報。如果你安裝“Bleeding Edge”規(guī)則，你會看到更多的東西。
要有效地采用Snort系統(tǒng)，你可能需要花幾天的時間調(diào)整這些規(guī)則，關閉某些東西和修改其它一些東西。
使用Snort系統(tǒng)的好處是你將得到更新、修改規(guī)則、創(chuàng)建你自己的規(guī)則和制定輸出的內(nèi)容。如果你尋求插入一個解決方案，ISS、NAI、思科和其它產(chǎn)品等商業(yè)軟件是可以考慮的。如果你是一個希望花幾天時間甚至幾個星期時間學習的技術人員，那么，Snort是一個較好的選擇。
我建議你與SourceFire聯(lián)系一下。那里的人有商用的Snort系統(tǒng)。你問一下他們關于錯誤報告的事情，以及他們能夠采取什么措施。我曾看到過在應用中的IDS設備。這種設備需要進行的調(diào)整比默認的開源軟件Snort系統(tǒng)要少。

問:IDS能夠檢測到端口掃描嗎?如何進行檢測?

答:IDS有幾種方法識別端口掃描:
1.IDS能夠查找對同一個地址的幾個相連的端口進行連接的企圖(例如，在五秒鐘試圖連接端口X、X1和X2)。
2.IDS能夠查找對某些不常用的端口或者某些特洛伊木馬程序常用的端口實施的連接活動(例如，試圖連接31337、12345端口，或者在10秒鐘之內(nèi)連接2個以上的端口)。
3.IDS能夠查找在某一個特定時段內(nèi)一個主機和另一個主機之間的連接次數(shù)(例如，在10秒鐘之內(nèi)同一個IP地址的主機發(fā)出10次以上的連接請求)。這種方法是DNS服務器經(jīng)常被誤認為是端口掃描主機的一個原因。ns1.securitysage.com網(wǎng)站稱，當你的計算機使用一個DNS服務器的時候，它將隨機地從高的端口到低的53端口連接ns1.securitysage.com網(wǎng)站，ns1.securitysage.com網(wǎng)站通常用53端口對這同一個連接進行應答。對于IDS來說，這就像ns1.securitysage.com網(wǎng)站正在對另一個主機進行端口掃描一樣 ，在幾秒鐘之內(nèi)發(fā)出幾個查詢。