| 出版日期:2005-03-07 总期号:1392 本年期号:15 |
|
 |
免费与付费IDS你选谁
免费的午餐谁不喜欢? 但是,免费意味着质量没有保障,收费却可以享受到来自厂商专业、周到的服务。 是否选择收费产品,要根据用户的实际情况。 “入侵检测需要吗?不需要吗?”当您看到这个看似自相矛盾的问句,一定觉得奇怪。但是,这个问题——是否有必要构建入侵检测系统(Intrusion Detection System,IDS),一直是困扰企业或机关网络安全主管的首要问题。伴随众多媒体与厂商日益广泛的宣传,企业用户对IDS已经有了初步了解。然而,当他们真正面临产品选择和技术应用时,或处理网络安全和投资力度关系时,又会表露出茫然、无所适从的神色。 入侵检测,顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS。 正确认识IDS的作用 通常,IDS的主要功能包括,检测并分析用户在网络中的活动,识别已知的攻击行为;统计分析异常行为,核查系统配置和漏洞,评估系统关键资源和数据文件的完整性,管理操作系统日志,识别违反安全策略的用户活动等。一般来说,IDS可分为主机型和网络型两种。结合IDS和其他相关网络安全组件的特点,我们可以得出这样一个结论:由于自身的限制,安全组件不可能把入侵检测和防护做到一应俱全。所以,用户不要指望通过使用某一种网络安全产品,实现高枕无忧、一劳永逸的安全。 值得注意的是,我们绝不能因为上面的原则而排斥这些安全组件。任何一种安全组件都可以对维护网络安全起到一定的作用,就好比人感冒了一般要吃感冒药,尽管未必药到病除,但可以缓解感冒症状,促使人体早日恢复健康。看待网络安全,实际上与看待感冒异曲同工。 所以,对于“入侵检测需要吗?不需要吗?”的疑问,我给出的答案是“需要”。 身处网络化时代,获取信息变得异常容易。我们知道,通常,操作系统有两种获取方式,一种是商业产品,需要付费购买,如微软的Windows系列,价格自然不菲;另外一种是风靡全球的Linux,基本无须付费。即使是Redhat,购买价格也相当便宜。同样,IDS也有两种:一种是免费的,一种是付费的。 小用户可选择免费IDS 免费IDS的获取方法是,用IDS作为关键词在网上(如http://www.google.com、http://www.yahoo.com等)搜索,看看哪些是可以免费下载的。免费的IDS主要是由一些著名的组织、大学和部分安全公司的人员编写的,其特点是:大多是针对个人用户的HIDS,所编写的软件短小精悍,容易下载,但功能单一,且需要使用者拥有较好的计算机和安全技术基础。这些IDS主要来自于国外。 Snort工具,它在免费IDS中最具代表性。Snort是一个开放源代码的NIDS,其主要功能包括以下几点:采用Libpcap捕获数据链路层的分组并进行协议栈分析(TCP/IP协议)。在网络内部,Snort使用Misused检测模型进行入侵检测,即通过一个完整的入侵规则库来实时匹配并探测入侵行为。这个规则库非常全面,具有探测缓冲区溢出、端口扫描和CGI攻击等功能,还可实时更新。如果使用Nmap或Trin00等手段进行攻击,很可能会被Snort发现。此外,Snort还允许用户方便地编写并加入自己的规则。日志可以存储成Tcpdump二进制格式、ASCII格式、数据库格式(包括MySQL、PostgreSQL)或XML格式。Snort是一个轻量级产品,因此,很难应用于大型网络。但Snort的规则语言非常经典,以至于一些商业化的产品中也套用其规则描述语言。 免费的IDS,应该说是适合一些个人、有研究兴趣的单位(如学校)或是计算机技术能力较强的小型企业。这样不需要花费任何投资,只要有能力和时间来进行很好的配置,便可让它发挥检测和分析作用。 免费IDS的主要缺点是功能单一,对用户友好性差,不像商业产品那样具有支持、服务和后续升级能力,其不明背景很难保证其可用性和自身安全性,不适于大中型企业或关键行业部门的应用。但我们建议,一些大型企业的安全建设和管理人员在小范围内可使用免费IDS,以积累入侵检测技术分析的经验,增强认识,有助于选取或应用商业产品。 大型企业适用付费IDS 近年来,国内的IDS商业产品如同雨后春笋一般蓬勃发展起来,据悉在公安部取得销售许可证的安全厂商已超过30家,同时还有一批国外的产品也进入了国内市场。在国内,较早从事入侵检测研究并推出成熟产品、具有相对较高知名度的品牌主要有启明星辰的天阗入侵检测产品和北方计算中心的NIDS detector等。对于国外产品,由于美国ISS公司进入国内时间比较早,其Realsecure知名度也很高。另外Cisco公司的NetRanger、CA公司的SessionWall-3/eTrust Intrusion Detection等,也是非常有特点的IDS产品。与免费的IDS相比,IDS商业产品具有明显的优势,因此不建议用户选择从免费的软件简单改装的IDS。 IDS产品状况 根据国内外IDS的产品特点和应用情况,我归纳了几点相同与不同之处。相同之处:模式匹配检测是主流方式;多采用多引擎+控制台结构;适用于10/100Mbps的以太网络。主要差异:国外产品本地化程度要差一些,但产品成熟度要好一些;在管理界面和模式上各有特色,有的采用浏览器方式,有的采用独立界面方式,还有利用和其他网络安全产品统一界面的管理方式;有的产品在引擎上采用软件方式(如ISS、北方计算中心和CA的产品等),有的产品引擎提供硬件方式(如启明星辰和Cisco等),硬件方式在安装调试的操作方面相对简单方便;另外,国外产品通常更贵一些。 比较起来,上面提到的一些产品的特色较为鲜明。ISS公司的Realsecure对网络引擎和主机代理技术的结合做得比较好;Cisco公司的NetRanger,由于占有网络设备的优势地位,有很好的IDS硬件引擎的处理性能,可以把入侵检测和路由器、防火墙技术有机集成或结合。Symantec收购的Axent公司Netprowler/Intruder Alert的NIDS可对主机进行细粒度控制,其HIDS所支持的操作系统平台的种类最全面。 (C7) 免费IDS与付费IDS的比较 项目 免费IDS 付费IDS 获取方式 网上下载 厂商处购买 优点 短小精悍,容易获得 技术背景、服务能力强,在产品的需求 设计、新技术应用、产品功能和性能以 及用户友好性上非常关注 缺点 功能单一,用户友好性 价格不菲(尤其是国际知名品牌) 差,没有后续服务 适用对象 个人、有研究兴趣的单位 经济实力强的大型企业 (如学校)或计算机技术能 力较强的小型企业 |
||||||||||||||||||||
