| 出版日期:2003-11-24 总期号:1269 本年期号:88 |
|
 |
主动防御 监控攻击
—联想网御入侵检测系统评测报告 入侵检测系统(IDS)主要完成以下几种功能:监视、分析用户及系统活动;对系统配置和弱点进行监测;识别与已知的攻击模式匹配的活动;对异常活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行跟踪管理,识别用户违反安全策略的行为并自动记录有关入侵者的信息。赛迪评测基于以上前提,对联想网御入侵检测系统进行了详细的测试。 管理方便用户 首先,良好的管理界面能为用户带来方便。在测试中,赛迪评测考察了系统的各种配置、操作界面。该产品通过简单设置并使用缺省规则,就能实现大部分的检测报警功能。联想网御入侵检测系统采用引擎和控制台的方式工作,采用中文GUI管理界面,用户权限分为普通用户和管理员用户,普通用户只能查看日志,无法下发策略;管理员可以根据需要定制安全事件及网络流量的显示界面,以方便管理员了解网络的安全状况。 其次,日志输出和实时报警时,对报警信息进行统计合并是很重要的。比如,入侵者采用发送大量符合检测规则的报文,致使快速告警,这样会出现两种结果:一种是不断增长告警日志塞满存储设备,同时,翻滚的告警信息使管理员无法对入侵性质进行正确判断,使得真正的攻击不能被发现;另一种最终耗尽系统资源,IDS出现了死机现象。 测试结果表明,联想网御入侵检测系统对事件风暴进行了智能化事件合并,在单行为事件的基础上采用了事件风暴的审计和合并功能, 将风暴事件集中成少量报警信息。例如在Syn Flood及Teardrop攻击测试中,该产品将大量的攻击行为归并为一次报警,准确有效,体现了入侵检测系统的抗风暴攻击的能力。这对于管理员来说,减少了处理大量无用信息的工作量和难度,也便于对重要告警信息进行整理和查询。 另外,报表输出主要考察生成的报表是否便于分析、查看、入挡、上报。测试表明,联想网御入侵检测系统提供文本和图形等多种报表形式,并可将报表导出为Word、HTML、Excel、Text等多种格式,方便用户存档和查询。同时,该产品还能够提供各种类型的标准报表输出模板,便于管理员在日志统计时直接调用。 检测能力良好 对于IDS产品的应用,其检测能力无疑是非常重要的。在测试中,我们进行了正常的端口扫描、开放服务探测、操作系统版本探测、系统漏洞扫描、用户列表探测等,同时还包括进行处理后的各种扫描行为,包括进行碎片化处理后的各种扫描、通过逃避IDS的变形扫描等。 对于上述的扫描行为,联想网御入侵检测系统均能够进行正确检测并报警。对各种攻击行为的检测,主要通过拒绝服务攻击、远程攻击(如:缓冲区溢出攻击、字典口令攻击)、碎片处理后的攻击、变形处理后的攻击等。从测试结果来看,联想网御入侵检测系统能够正确地对各种攻击行为进行检测,报警信息正确。如在进行变形攻击测试中,通过对未变形和经过变形后的攻击报警记录来看,联想网御入侵检测系统能够对多数变形攻击进行正确的检测。在使用黑客软件对故意存在CGI漏洞的服务器进行攻击并提升权限,最后获取数据的缓存溢出攻击测试中,联想网御入侵检测系统也进行了正确的报警,表明该入侵检测系统对CGI缓冲区溢出攻击的检测能力较好。在测试中,联想网御入侵检测系统能够对网络中传输的红色代码、Nimda病毒等进行正确检测。 从检测能力来说,联想网御入侵检测系统表现良好。 自身安全性健壮 自身安全性的测试主要包含两个方面:一方面是产品自身的健壮性,另一方面是引擎与控制台之间通信的安全性。 在对联想网御入侵检测系统健壮性测试中,通过SNOT和其他攻击工具进行长时间大流量攻击服务器,进行了超过两个小时的大规模模拟攻击,攻击速率为1000次/秒。由于测试发出多个有攻击特征的数据包与入侵检测系统的检测规相匹配,因此系统产生了大量的报警信息。测试结果表明,未出现通信不通畅、实时告警停止以及失去反应甚至死机等现象。这表明,联想网御入侵检测系统自身运行健壮。 在通信加密认证测试中,如果模块间通信被假冒,可能使入侵检测系统丧失检测能力。联想网御入侵检测系统通过SSL协议对控制台与探测器之间的信息加密以保障数据传输的保密性和完整性。赛迪评测通过捕获引擎到控制台的信息发现,其数据传输是以密文形式传输,表明联想网御入侵检测系统的通信是经过加密处理的。 联想网御入侵检测系统具有良好的检测能力和较强的自身安全性,在日志信息归并、查询以及图表的输出均较为出色,同时,该产品还可以应用于各种拓扑结构的网络解决方案。经赛迪评测全面评估测试,联想网御入侵检测系统属于一款优秀的入侵检测系统。 
联想网御入侵检测系统外观图 |
||||||||||||||||||||||||||||
