入侵檢測注意事項分析：

終端服務(wù)的日志監(jiān)控

單獨將終端服務(wù)（Terminal Service）的日志監(jiān)控分列出來是有原因的，微軟Win2000服務(wù)器版中自帶的終端服務(wù)Terminal Service是一個基于遠(yuǎn)程桌面協(xié)議（RDP）的工具，它的速度非常快，也很穩(wěn)定，可以成為一個很好的遠(yuǎn)程管理軟件，但是因為這個軟件功能強(qiáng)大而且只受到密碼的保護(hù)，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠像本機(jī)一樣操作遠(yuǎn)程服務(wù)器。

雖然很多人都在使用終端服務(wù)來進(jìn)行遠(yuǎn)程管理，但是，并不是人人都知道如何對終端服務(wù)進(jìn)行審核。大多數(shù)的終端服務(wù)器上并沒有打開終端登錄的日志。其實打開日志審核是很容易的，在管理工具中打開遠(yuǎn)程控制服務(wù)配置（Terminal Service Configration），點擊“連接”，右擊你想配置的RDP服務(wù)（比如RDP-TCP Microsoft RDP 5.0），選中書簽“權(quán)限”，點擊左下角的“高級”，看見上面那個“審核”了么？我們來加入一個Everyone組，這代表所有的用戶，然后審核它的“連接”、“斷開”、“注銷”的成功和“登錄”的成功和失敗就足夠了。

審核太多了反而不好，這個審核是記錄在安全日志中的，可以從“管理工具”→“日志查看器”中查看?，F(xiàn)在什么人什么時候登錄我都一清二楚了，可是美中不足的是：這個破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實地記錄什么機(jī)器名，倒！要是別人起個PIG的機(jī)器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧，寫個程序，一切搞定，你會C么？不會？VB呢？也不會？Delphi？……什么？你什么編程語言都不會？我倒，畢竟系統(tǒng)管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat。這個文件用來記錄登錄者的IP，內(nèi)容如下：time /t >>TSLog.log netstat -n -p tcp ｜ find “:3389”>>TSLog.logstart Explorer。

我來解釋一下TSLog.bat這個文件的含義：第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統(tǒng)時間（如果不加/t，系統(tǒng)會等待你輸入新的時間），然后我們用追加符號“>>”把這個時間記入TSLog.log作為日志的時間字段；第二行是記錄用戶的IP地址，netstat是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp是只顯示tcp協(xié)議，然后我們用管道符號“｜”把這個命令的結(jié)果輸出給find命令，從輸出結(jié)果中查找包含“3389”的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務(wù)的端口，這個數(shù)值也要作相應(yīng)的更改）。最后我們同樣把這個結(jié)果重定向到日志文件TSLog.log中去，于是在TSLog.log文件中，記錄格式如下：

22:40 TCP192.168.12.28:3389

192.168.10.123:4903ESTABLISHED 22:54 TCP192.168.12.28:338

192.168.12.29:1039ESTABLISHED也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那么如何讓這個批處理文件自動運行呢？我們知道，終端服務(wù)允許我們?yōu)橛脩糇远x起始的程序，在終端服務(wù)配置中，我們覆蓋用戶的登錄腳本設(shè)置并指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄后都必須執(zhí)行這個腳本，因為默認(rèn)的腳本（相當(dāng)于shell環(huán)境）是Explorer（資源管理器），所以我在TSLog.bat的最后一行加上了啟動Explorer的命令start Explorer。如果不加這一行命令，用戶是沒有辦法進(jìn)入桌面的！

當(dāng)然，如果你只需要給用戶特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統(tǒng)管理員，你完全可以自由發(fā)揮你的想象力、自由利用自己的資源，例如，寫一個腳本把每個登錄用戶的IP發(fā)送到自己的信箱，對于重要的服務(wù)器也是一個很好的方法。

正常情況下一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限，所以他不會知道你對登錄進(jìn)行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了。不過，需要注意的是這只是一個簡單的終端服務(wù)日志策略，并沒有太多的安全保障措施和權(quán)限機(jī)制。如果服務(wù)器有更高的安全要求，那還是需要通過編程或購買入侵監(jiān)測軟件來完成的。

陷阱技術(shù)

早期的陷阱技術(shù)只是一個偽裝的端口服務(wù)用來監(jiān)測掃描，隨著“矛”和“盾”的不斷升級，現(xiàn)在的陷阱服務(wù)或者陷阱主機(jī)已經(jīng)越來越完善，越來越像真正的服務(wù)，不僅能截獲半開式掃描，還能偽裝服務(wù)器一端的回應(yīng)并記錄入侵者的行為，從而幫助判斷入侵者的身份。

我本人對于陷阱技術(shù)并不是非常感興趣，一來從技術(shù)人員角度來說，低調(diào)行事更符合安全的原則；二來陷阱主機(jī)反而成為入侵者跳板的情況并不僅僅出現(xiàn)在小說中，在現(xiàn)實生活中也屢見不鮮。如果架設(shè)了陷阱反而被用來入侵，那真是偷雞不成了蝕把米。記得CoolFire說過一句話，可以用來作為對陷阱技術(shù)介紹的一個總結(jié)：在不了解情況時，不要隨便進(jìn)入別人的系統(tǒng)，因為你永遠(yuǎn)不能事先知道系統(tǒng)管理員是真的白癡或者是偽裝成白癡的天才……

入侵監(jiān)測的初步介紹就到這里，在實際運用中，系統(tǒng)管理員對基礎(chǔ)知識掌握的情況直接關(guān)系到他的安全敏感度，只有身經(jīng)百戰(zhàn)知識豐富，仔細(xì)小心的系統(tǒng)管理員才能從一點點的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子，未雨綢繆，阻止入侵的行動。

入侵檢測的初步實現(xiàn)的更多內(nèi)容請讀者閱讀：

深入解析入侵檢測初步（1）

深入解析入侵檢測初步（2）

【編輯推薦】

1. 網(wǎng)絡(luò)安全城中城 七款入侵檢測工具推薦
2. 淺析幾個著名的入侵檢測系統(tǒng) 圖示
3. OSSEC HIDS：開源的基于主機(jī)的入侵檢測系統(tǒng)
4. Snort：一款廣受歡迎的開源IDS(入侵檢測系統(tǒng))工具