產(chǎn)品中心 應(yīng)用方案 技術(shù)文摘質(zhì)量保證產(chǎn)品選型 下載中心業(yè)內(nèi)動態(tài) 選型幫助 品牌介紹 產(chǎn)品一覽 聯(lián)系我們
- 重新認(rèn)識IDS防范網(wǎng)絡(luò)入侵行為
- 來源:ZDnet 發(fā)表于 2011/1/20
在頻繁的網(wǎng)絡(luò)入侵今天,防范的最好的辦法就是綜合使用防火墻、IDS和IPS。
傳統(tǒng)的狀態(tài)檢測防火墻作為第一道防線,能夠防止網(wǎng)絡(luò)層攻擊,卻無法防范蠕蟲等針對應(yīng)用層的攻擊(這些攻擊都利用了80和443等開放端口)。入侵檢測系統(tǒng)使用傳感器,傳感器被動地安裝在網(wǎng)絡(luò)上,用來監(jiān)測網(wǎng)絡(luò)通信,尋找任何惡意訪問跡象。傳感器能夠發(fā)現(xiàn)針對應(yīng)用層的攻擊,卻不能阻止這些攻擊,當(dāng)網(wǎng)管員接到IDS的報(bào)警信息并采取相應(yīng)措施時(shí),經(jīng)常為時(shí)已晚。
IDS的困擾
IDS會帶來大量的錯(cuò)誤報(bào)警。一些用戶認(rèn)為,IDS經(jīng)常不斷發(fā)報(bào)警信息,結(jié)果大部分是誤報(bào),而且報(bào)警信息不合乎邏輯,處理IDS的報(bào)警信息是一個(gè)讓人頭痛的問題,通常用戶需要花費(fèi)20個(gè)小時(shí)去調(diào)查分析兩個(gè)小時(shí)的報(bào)警信息。一些網(wǎng)管員抱怨說,“我每天都花大量時(shí)間查看IDS記錄,邊吃午飯邊查看,就連逢年過節(jié)也不例外,那些IDS記錄簡直就成了我每天必看的紅寶書。”
對于存在缺陷的IDS,Gartner建議用戶使用IPS(入侵預(yù)防系統(tǒng))代替?zhèn)鹘y(tǒng)的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS設(shè)備。與進(jìn)行簡單監(jiān)控并發(fā)出報(bào)警的IDS所不同的是,IPS只需保持在線就可以阻止攻擊。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基于主機(jī)的IPS軟件,可以直接部署在應(yīng)用服務(wù)器上,攔截系統(tǒng)調(diào)用,監(jiān)控對關(guān)鍵系統(tǒng)文件的修改、文件允許權(quán)限的變更以及其他攻擊跡象。
IDS真如Gartner所說的那樣壽終正寢了嗎?IPS能隨時(shí)取代IDS嗎?大多數(shù)分析家以及IDS廠商,甚至IPS廠商并不這么認(rèn)為。起碼到目前為止,大家認(rèn)為IDS在安全審計(jì)和事后追蹤方面仍然無法替代。實(shí)際上,IDS和IPS 使用相同的檢測技術(shù),兩者都會受到檢測準(zhǔn)確性的困擾。由于擔(dān)心IPS的錯(cuò)誤判斷有可能影響正常的網(wǎng)絡(luò)服務(wù),大多數(shù)用戶將IPS以IDS(僅用于監(jiān)控)模式接入到企業(yè)網(wǎng)絡(luò)中。
IDS攜手IPS 9
IDS和IPS廠商在自動化配置和智能分析方面正在做出更多嘗試。例如,TippingPoint公司的UnityOne可以在數(shù)分鐘內(nèi)配置好。包括Cisco、Symantec和ISS在內(nèi)的IDS廠商也能夠提供系統(tǒng)審計(jì)功能,以去除不相關(guān)的報(bào)警信息。
與IDS產(chǎn)品相比,IPS設(shè)備價(jià)格昂貴。IPS在保護(hù)外圍、DMZ區(qū)以及一個(gè)或兩個(gè)關(guān)鍵性的子網(wǎng)方面很有用處,但是在一個(gè)擁有400個(gè)子網(wǎng)的大型網(wǎng)絡(luò)里,用戶也許就沒有經(jīng)濟(jì)實(shí)力為所有子網(wǎng)都部署IPS了。
事實(shí)上,IPS與IDS配合使用可以各取所長。IPS在阻止蠕蟲病毒等針對應(yīng)用層攻擊的同時(shí),還可以減少內(nèi)部IDS生成的報(bào)警數(shù)量,使用戶安心地使用IDS監(jiān)控子網(wǎng)以及完善企業(yè)安全戰(zhàn)略。例如,一位用戶使用Top Layer的Attack Mitigator IPS來保護(hù)網(wǎng)關(guān)和數(shù)據(jù)中心,通過打開每一個(gè)過濾程序以確信不會封鎖任何合法的商業(yè)流程。Attack Mitigator IPS被部署在防火墻之外以阻擋DoS攻擊,同時(shí)這位用戶在網(wǎng)絡(luò)內(nèi)部使用IDS進(jìn)行監(jiān)控,并不需要花費(fèi)太多時(shí)間去查看IDS記錄。無獨(dú)有偶,另一位用戶在網(wǎng)絡(luò)外圍使用TippingPoint UnityOne IPS設(shè)備,并在網(wǎng)絡(luò)內(nèi)部大量使用基于行為檢測技術(shù)的StealthWatch IDS以取代原來的Snort IDS設(shè)備。在IPS的阻斷作用下,IDS報(bào)警信息的數(shù)量減少了99%,以前這位用戶需要把整天時(shí)間用來查看IDS記錄,現(xiàn)在卻不用這樣做了。
小結(jié)
除IPS之外,另一種專門用來保護(hù)Web服務(wù)器和DMZ應(yīng)用的技術(shù)是Web應(yīng)用防火墻,這類產(chǎn)品主要是阻止Web應(yīng)用盜用,尤其是防止被防火墻和IPS遺漏的Web應(yīng)用盜用攻擊。此外,基于主機(jī)的入侵防御軟件還可以為Web應(yīng)用以及內(nèi)部關(guān)鍵服務(wù)器提供額外保護(hù)。Check Point和NetScreen在防火墻產(chǎn)品中增加了深層檢測功能,與依靠硬件實(shí)現(xiàn)深層檢測功能的IPS和Web應(yīng)用防火墻所不同的是,Check Point和NetScreen應(yīng)用防火墻是基于軟件來實(shí)現(xiàn)的。
面對當(dāng)前的安全挑戰(zhàn),大多數(shù)分析家和廠商一致認(rèn)為:層層設(shè)防,讓防火墻、IPS和IDS各自發(fā)揮優(yōu)勢,是當(dāng)前保護(hù)企業(yè)網(wǎng)絡(luò)的最佳手段。
希望這篇文章能夠讓廣大讀者重新認(rèn)識IDS,利用它們之間的共同配合防范網(wǎng)絡(luò)入侵行為。
轉(zhuǎn)載請注明來源:賽斯維傳感器網(wǎng)(tcmtest.cn)