保障思科安全监视、分析、响应系统的安全(1)
2008-12-03   

思科安全监视、分析和响应系统即MARS是思科网络安全系统中的一个关键组件，它可帮助用户的安全和网络机构识别、管理、抵御安全威胁。它可利用用户原有的安全投资来识别、隔离非法行为并向用户推荐正确的清除威胁的措施。但MARS的安全又如何实现呢？本文将讨论保障MARS安全的手段和措施。

安全信息管理（SIM）系统可包含大量的敏感信息。这是因为它可以接收来自网络安全系统的事件日志。这些日志包含可被用于攻击敏感系统的信息。例如，入侵检测系统（IDS）日志可包含网络中的实际数据包。管理员可以通过免费的数据包分析程序来分析某些数据包，来查找雇员用于访问网站、电子邮件系统、网络设备的用户名和口令。

虽然安全人员总是鼓励用户选择用于公司网络的唯一口令，事实是许多用户倾向于将同样的口令既用于工作场所，又用于家庭的上网活动。如果一个雇员决定将工作场所的网络口令用于个人的电子邮件口令，如果一个攻击者采用电子邮件的明文身份验证，那么，此用户也就是在公司网络中造就了一个从事非法活动的账户。

作为一款可查看网络拓扑的安全信息产品，思科的安全监视、分析、响应系统（MARS）通常包含着一些较为敏感的信息。在监视、分析、响应系统（MARS）的范围内，感知网络拓扑的最精确方法是发现每一个网络设备。这涉及到关于MARS的配置访问信息，对设备的身份验证，检索接口信息并定期重新发现这种信息。在用户接口的范围内，无论是命令行接口和Web用户界面，都可对设备的身份验证信息进行伪装，以防止非法用户使用控制台获取未经授权的信息。不过，如果攻击者获得了对操作系统的访问权，或者获取了对设备的物理访问权，攻击者就可以使用这种权力检索包含在硬盘上的所有信息，而这种信息又可能包含设备的身份验证信息。他还可以使用这种访问安装后门，以便于在日后的任何时间实施远程访问。

本文将描述保障监视、分析、响应系统（MARS）安全的建议，包括物理的和逻辑的两个方面。除探讨了对安全、网络、其它设备的监视之外，还提详细探究了监视、分析、响应系统（MARS）与其它MARS通信的TCP端口和UDP端口。

物理安全

如果用户不解决物理安全问题，就不能正确地解决网络安全问题。这是一个常识问题。任何一个怀有恶意的家伙如果获得了对目标系统的物理访问，那么所有的网络安全措施都将毫无意义。

作为管理员，要保障安全管理网络上的主机和MARS位于一个受保护的设施中。至少，这些设备应当锁在一个无法被没有特定业务需要的人员访问的房间中。理想情况下，安全管理位于实施了强健的安全的数据中心中。拥有访问设施权限的人员需要拥有安全徽章，并需要进入之前，在纸介质上或电子方式签名且记录访问的时间。

MARS设备的固有安全性

对所有MARS设备的管理访问是通过SSL进行的，可采用HTTPS协议和SSH协议。这些协议分别使用TCP 的443端口和22端口，有着固有的安全性，因为它们使用了加密、身份验证和授权等机制。实现同样功能的HTTP和Telnet等协议,由于没有加密，所以在MARS设备上是被禁用的。

MARS设备是强化的的Linux服务器，它运行着各种服务，包括Oracle、Apache HTTP服务器等等。通过软件更新，可以减少MARS设备上的各种服务和驱动程序中新发现的漏洞。此外，将一些必要的服务或未用的服务禁用可以防止一些设备的潜在安全漏洞。

对操作系统的强化是增强安全的良好开端，但却远远不够。在考虑MARS设备的安全性时，用户需要考虑MARS设备上信息的敏感性。用户应当拥有一个健全的计划，用以防止MARS被用作网络攻击工具。这也包括将此设备放置在受到防火墙或IDS保护的某个网络部分。
如果没有防火墙及IDS或IPS保护MARS，黑客就会通过管理协议或监视安全或网络设备的其它协议，想方设法查找漏洞。在构建一些攻击事件的审计索引时，防火墙或IDS/IPS准许用户限制受到攻击的暴露程度。

举个例子，可以考虑一下SSH，这种远程管理MARS的命令方法。前一段时间，在为MARS提供这种服务的OpenSSH应用程序中曾出现一些漏洞。目前，在现有的SSH服务中并不存在已知的漏洞。不过，在未来的某个时间，可能会发现某个新的漏洞。有鉴于此，用户需要限制计算机的功能，其目的是如果不连接到某个特定网络，可以建立一个到达MARS设备的SSH连接。状态检查防火墙是提供这种限制的一种理想设备。定期更新的网络IDS或IPS可以检测某人是否正在使用一个已知的漏洞来损害MARS设备的安全性。

还有一个使用SSH的例子，涉及到针对MARS设备的强力口令攻击。在这种攻击中，攻击者不断地重复使用口令字典，使用某种脚本，试图攻克管理MARS设备的管理员口令。MARS特别易于受到这种类型攻击的威胁，因为管理员的名字众所周知，而这正是可以使用SSH的唯一用户名。此例使用了与第一个例子相同的方法。首先，将MARS放置在一个受保护的网络上，采用一个状态检测防火墙将其与网络的其余部分分离开，准许用户限制到达有限几个设备或公司网络的连接企图。此外，网络IDS或IPS可以检测多次登录企图，不管是通过SSH或基于Web的方式。这种IDS检测可以通知恰当的个人，IPS可以防止更进一步的攻击企图。