在頻繁的網絡入侵今天,防范的最好的辦法就是綜合使用防火牆、IDS和IPS。
傳統的狀態檢測防火牆作為第一道防線,能夠防止網絡層攻擊,卻無法防范蠕蟲等針對應用層的攻擊(這些攻擊都利用了80和443等開放端口)。入侵檢測系統使用傳感器,傳感器被動地安裝在網絡上,用來監測網絡通信,尋找任何惡意訪問跡象。傳感器能夠發現針對應用層的攻擊,卻不能阻止這些攻擊,當網管員接到IDS的報警信息並采取相應措施時,經常為時已晚。
IDS的困擾 IDS會帶來大量的錯誤報警。一些用戶認為,IDS經常不斷發報警信息,結果大部分是誤報,而且報警信息不合乎邏輯,處理IDS的報警信息是一個讓人頭痛的問題,通常用戶需要花費20個小時去調查分析兩個小時的報警信息。一些網管員抱怨說,“我每天都花大量時間查看IDS記錄,邊吃午飯邊查看,就連逢年過節也不例外,那些IDS記錄簡直就成了我每天必看的紅寶書。
對於存在缺陷的IDS,Gartner建議用戶使用IPS(入侵預防系統)代替傳統的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS設備。與進行簡單監控並發出報警的IDS所不同的是,IPS只需保持在線就可以阻止攻擊。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基於主機的IPS軟件,可以直接部署在應用服務器上,攔截系統調用,監控對關鍵系統文件的修改、文件允許權限的變更以及其他攻擊跡象。
IDS真如Gartner所說的那樣壽終正寢了嗎?IPS能隨時取代IDS嗎?大多數分析家以及IDS廠商,甚至IPS廠商並不這麼認為。起碼到目前為止,大家認為IDS在安全審計和事後追蹤方面仍然無法替代。實際上,IDS和IPS 使用相同的檢測技術,兩者都會受到檢測准確性的困擾。由於擔心IPS的錯誤判斷有可能影響正常的網絡服務,大多數用戶將IPS以IDS(僅用於監控)模式接入到企業網絡中。
IDS攜手IPS 9 IDS和IPS廠商在自動化配置和智能分析方面正在做出更多嘗試。例如,TippingPoint公司的UnityOne可以在數分鐘內配置好。包括Cisco、Symantec和ISS在內的IDS廠商也能夠提供系統審計功能,以去除不相關的報警信息。
與IDS產品相比,IPS設備價格昂貴。IPS在保護外圍、DMZ區以及一個或兩個關鍵性的子網方面很有用處,但是在一個擁有400個子網的大型網絡裡,用戶也許就沒有經濟實力為所有子網都部署IPS了。
事實上,IPS與IDS配合使用可以各取所長。IPS在阻止蠕蟲病毒等針對應用層攻擊的同時,還可以減少內部IDS生成的報警數量,使用戶安心地使用IDS監控子網以及完善企業安全戰略。例如,一位用戶使用Top Layer的Attack Mitigator IPS來保護網關和數據中心,通過打開每一個過濾程序以確信不會封鎖任何合法的商業流程。Attack Mitigator IPS被部署在防火牆之外以阻擋Dos攻擊,同時這位用戶在網絡內部使用IDS進行監控,並不需要花費太多時間去查看IDS記錄。無獨有偶,另一位用戶在網絡外圍使用TippingPoint UnityOne IPS設備,並在網絡內部大量使用基於行為檢測技術的StealthWatch IDS以取代原來的Snort IDS設備。在IPS的阻斷作用下,IDS報警信息的數量減少了99%,以前這位用戶需要把整天時間用來查看IDS記錄,現在卻不用這樣做了。
小結 除IPS之外,另一種專門用來保護Web服務器和DMZ應用的技術是Web應用防火牆,這類產品主要是阻止Web應用盜用,尤其是防止被防火牆和IPS遺漏的Web應用盜用攻擊。此外,基於主機的入侵防御軟件還可以為Web應用以及內部關鍵服務器提供額外保護。Check Point和NetScreen在防火牆產品中增加了深層檢測功能,與依靠硬件實現深層檢測功能的IPS和Web應用防火牆所不同的是,Check Point和NetScreen應用防火牆是基於軟件來實現的。
面對當前的安全挑戰,大多數分析家和廠商一致認為:層層設防,讓防火牆、IPS和IDS各自發揮優勢,是當前保護企業網絡的最佳手段。
希望這篇文章能夠讓廣大讀者重新認識IDS,利用它們之間的共同配合防范網絡入侵行為。