| 出版日期:2003-11-10 总期号:1265 本年期号:84 |
|
 |
McAfee开创新一代安全防御战略
IDS已经过时 入侵检测系统 (IDS) 所扮演的角色越来越明晰。IDS 相当于计算机世界里的自动防盗器,在防火墙系统(相当于一扇上了锁的门)遭到重重围攻的时候,向管理员提供警报。在现实世界中,防盗器能够及时地通知我们,有人正在试图突破我们设置的外围安全措施,它还能让我们确切地了解究竟是哪里出了问题,以便使我们能够解决安全系统中存在的问题。 然而,绝大多数 IDS 系统都是被动的,而不是主动性的,也就是说,在攻击实际发生之前,它们往往无法预先发出警报。入侵防御系统 (IPS) 则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在 IPS 设备中被清除掉。 IPS面临的挑战 部署 IPS 设备要面对很多挑战,而部署被动模式的 IDS 产品则不会遇到这些问题。导致所有这些问题的原因就是,IPS 设备的设计要求它必须以嵌入模式工作,而这就可能造成瓶颈问题或单点故障。如果被动式 IDS 出现故障,那么最坏的情况也就是某些攻击无法被检测到。而一旦嵌入式设备出现问题,就会严重影响网络的性能。网络滞后时间可能长得让人无法忍受,或者如果关闭出现故障的设备,那么你将面对一个由自己造成的“拒绝服务”问题。从好的方面来看,攻击无法进入到你的系统!但同时,所有的客户都将无法访问你的电子商务站点,这又有什么意义呢? 即便 IPS 设备不会轻易出现故障,但它仍然是一个潜在的瓶颈,不仅会增加滞后时间,而且会降低网络的效率,因为它必须使出全力以保持与数千兆或者更大容量的网络流量保持同步。市场上现有的硬件设备一定要努力跟上高负载千兆网络的速度,尤其是当加载了庞大的签名集时,这对于网络管理员和安全管理员都是一个很重要的考虑因素,因为网络管理员可能将网络相应时间设置得很短,但设计不够完善的 IPS 嵌入设备却无法支持这种响应速度;同时,安全管理员可能会竭尽所能地让网络管理员允许他将这些未知数量的数据包放置到高性能的路由器和交换机中。被拦截的数据包也同样是一个问题,因为,即便其中的一个被拦截的数据包正是入侵数据流所使用的数据包,但整个入侵数据流还是有可能逃过检测。绝大多数高端 IPS 产品供应商都通过使用自定义硬件(集成了高级 FPGA 和 ASIC 功能)来解决这个问题,实际上,产品的设计需要考虑多种因素,使其不仅具有入侵检测和预防设备的功能,还要同时兼顾交换机的角色。 另一个潜在的问题就是“误报”,这是使安全管理员感到十分头痛的一个问题。如果入侵签名编写得不是十分完善,那么“误报”就有了可乘之机,导致合法流量也可能被意外拦截。这不仅会影响被动式 IDS 设备的效率,浪费安全管理员的时间和劳动,而且还可能触及嵌入式 IPS 设备,导致更为严重的损失。这又是一个自己造成的“拒绝服务”状况,因为 IPS 设备一旦拦截了“攻击性”数据包后,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,那么可想而知,这个客户是不会耐心等待如此长的时间的,因为他的整个会话都已经被关闭,而且此后所有重新连接到您的电子商务站点的尝试(如果他肯花时间来尝试的话)都会被“尽职尽责”的 IPS 所拦截。 从某种角度来看,性能和检测能力是管理员在部署这些设备时所面对的最微不足道的问题。从其本质和能力来看,任何一款千兆 IPS/IDS 产品的主要问题在于:它可能生成的警报数据的数量。在如此繁忙的网络中,每个工作日可能产生的警报会有多少呢?或者说,每个小时有多少呢?我们以相对较低的警报率来看,例如每秒十条警报信息,这样算下来,就意味着每小时会产生 36,000 条警报。一天就是 864,000 条。为了保持警报数量的绝对最小化,准确调整签名集的能力就成为了首要的条件。而且,一旦生成了警报,最基本的要求就是能够对它进行有效的处理。高级警报处理和合法性分析功能(包括详细的入侵信息以及对数据包内容进行检查的能力)即可能使千兆 IDS/IPS 产品发挥出最大的效用,也可能轻易地使它毁于一旦。 IntruShield入侵防御解决方案 为了能够以千兆的速度处理多个网段的流量,美国网络联盟的IntruShield 传感器广泛采用了专用的、特建的硬件,该硬件提供了准确检测所需的性能,能够以极高的速度对网络入侵进行防护,同时不会丢失数据包。从设计和构建的角度来看,IntruShield 旨在提供一个完善的入侵防御系统。 IntruShield 系统所执行的绝大多数任务都受益于硬件加速。例如,IntruShield 的签名处理功能要求硬件加速来处理重复性的签名检测任务,例如字符串匹配。这样一来,IntruShield 体系结构不仅能够从理论上以数千兆字节的数据处理速度来支持上千种攻击签名,而且能够持续对首次攻击和拒绝服务攻击进行检测和预防。 绝大多数 IDS 传感器或者是以纯混杂模式(100Mbit)工作的,或者是设计为直接与 SPAN 端口或接入设备进行连接(千兆),IntruShield 则与此不同,它提供了多种方式来实现流量监控。 我们才刚刚开始注意到入侵检测系统 (IDS) 得到了普及,转眼之间,它已经被称为“过时的”系统了。当然了,IDS 供应商也正在反击,极力宣称自己的产品能够提供极佳的入侵防御功能,双方铺天盖地的市场战略只能使这潭水愈加浑浊,而最倒霉的就是那些安全管理员,他们无法确定哪一种产品最适合自己的环境。但是,我们要记住的最重要的一点就是,IDS 设备在设计时就根本没有考虑 IPS 功能,它们是一种检测机制,而不是预防手段。 |
||||||||||||||||||||||||||
