【TechTarget中国原创】现在,每家安全厂商可能已经向你推销他们最新的网络入侵检测和防御工具或产品,声称可以做到从防止病毒到重新设置防火墙在内的各种功能。可惜的是,大多数这种商业系统都要让你花上一笔钱。在这种情况下,需要考虑预算的安全经理应该怎么办呢,尤其是在距离下一个财年还有几个月的时候。有几个免费的网络入侵检测工具可以让你在遭受黑客侵扰时敏锐察觉到危险。
首先,一定要有一个用来分析网络流量的工具,特别是在网络边界附近。Snort的 是目前最好的免费IDS软件,它也有商业版的可供购买。Snort可以配置用于监测所有网络流量。通常情况下,你需要复制你的互联网入站流量到一个或多个与安有Snort的计算机相连接的交换机端口(用思科的话来说,这叫做把流量扩展到端口)。你唯一的成本是这台电脑本身,它可以运行在Linux或Windows上 。通常情况下,只要一台有合适硬盘空间的空余电脑就可以很好地满足要求。Snort的可以把可疑流量转储到日志文件,在此之后,你可以随便选用几个免费告警工具,在监测到这种流量的时候,监控日志文件、邮件和页面。
其次,你得有办法分析系统安全日志。从你的网络边界开始,确保你的边界路由器通过配置了可以把syslog消息发送到网络内可访问的服务器上。有些防火墙也可以发送Syslog消息,你可以把这些消息转到同样的的内部服务器上去。有些防火前那个野可以发送系统日志信息,也可以把它转向到内部服务器上。此外,确保DMZ内的服务器可以从内部访问到,或者是把它们的事件日志设置指向到内部的服务器上去。在路由器、防火墙和服务器上做这些配置其实并不困难,通常只需要几个命令或几次点击就可以了。
所有的日志文件都可以访问到之后,下面要做的就是安装一个免费的告警工具或者自己开发一个。如果你有兴趣编写自己的告警工具,Batch、Perl或其他免费脚本工具可以用来执行解析命令,如Windows的“查找”命令或Unix的“grep”命令。这可以帮助你从Snort和你的服务器、路由器还有防火墙安全日志里找到可疑活动。接下来就可以使用免费的电子邮件程序,如Blat,发送日志条目给传呼,手机或电子邮件地址。
这当然还只是开发低预算告警系统的速成教程,但你会惊讶于这样一个系统所能提供的对潜在恶意活动,如端口扫描和失败的登录尝试的报警功能,而且成本极低。