通常,對(duì)企業(yè)網(wǎng)安全性的要求越高,需要采取的防范措施就越嚴(yán)密。那么,對(duì)于現(xiàn)實(shí)中的企業(yè)網(wǎng),必不可少的防護(hù)措施有哪些?
首先,我們需要選用防火墻作為防御非法入侵的大門,通過規(guī)則定義,我們告訴防火墻和路由器: 符合某些條件的信息可以被放行,不符合某些條件的信息需要被拒絕。同時(shí),我們還可以使用PKI加密認(rèn)證和VPN通道技術(shù),讓“合法”的信息到達(dá)目的地。
其次,對(duì)服務(wù)器系統(tǒng)進(jìn)行加固,提高安全防護(hù)水平。對(duì)系統(tǒng)的安全加固是個(gè)長(zhǎng)期的工作,用戶需要隨時(shí)進(jìn)行漏洞檢查,做到隨時(shí)發(fā)現(xiàn)隨時(shí)填補(bǔ)。
第三,選用優(yōu)秀的入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)。在安全防護(hù)系統(tǒng)中,若不良來(lái)訪者被允許訪問,它會(huì)對(duì)企業(yè)網(wǎng)做出令網(wǎng)絡(luò)管理者無(wú)法控制的事情,如果系統(tǒng)配備了IDS,這種破壞性行為將被抑制。我們知道,網(wǎng)絡(luò)總是要提供服務(wù)的,對(duì)于一些常用的服務(wù)如瀏覽和E-mail收發(fā)等,防火墻只做到允許或者拒絕各種各樣訪問者訪問這些服務(wù),無(wú)法判定具有攻擊行為的訪問是否會(huì)摧毀防火墻。這就好像門衛(wèi)難以判定每個(gè)來(lái)訪者是辦事者還是偷竊者一樣。如果墻角(或其他什么位置)安裝了微型攝像機(jī),能夠監(jiān)視來(lái)訪者的一舉一動(dòng),保安人員便可以根據(jù)來(lái)訪者的行為及時(shí)發(fā)現(xiàn)不法分子,及時(shí)報(bào)警,確保辦公與居住人員的安全。
IDS在國(guó)內(nèi)已經(jīng)出現(xiàn)一段時(shí)間了,它是網(wǎng)絡(luò)安全防護(hù)體系的重要組成部分。目前,它在國(guó)內(nèi)的應(yīng)用還不夠廣泛,人們還沒有充分利用這個(gè)利器更好地保護(hù)企業(yè)網(wǎng)。作為大多數(shù)技術(shù)人員來(lái)說(shuō),介紹IDS的資料相對(duì)較少,而市場(chǎng)上類似的產(chǎn)品卻多如牛毛,如何正確選擇適合各自企業(yè)應(yīng)用的產(chǎn)品,是每個(gè)人都關(guān)心的話題。本文將從使用者的角度介紹選擇IDS的幾個(gè)關(guān)鍵技術(shù)點(diǎn),希望能為用戶的選購(gòu)給予幫助。
需要提醒用戶注意的是,在IDS方面做得出色的產(chǎn)品一定很實(shí)用,但并不能說(shuō)它就是一個(gè)優(yōu)秀的安全產(chǎn)品,因?yàn)槌酥?,它還應(yīng)該附帶很多附屬功能,即讓用戶感覺簡(jiǎn)單、好用。作為一個(gè)真正的IDS產(chǎn)品,其主要功能應(yīng)包括以下幾個(gè)方面。
* 檢測(cè)入侵。
* 遠(yuǎn)程管理。
* 抗欺騙能力。
* 自身安全性。
下面,我們將分別對(duì)這4個(gè)方面進(jìn)行分析。
一、檢測(cè)入侵
IDS最主要的功能是檢測(cè)非法入侵。能夠智能地報(bào)告入侵者的非法行為是檢驗(yàn)IDS性能優(yōu)劣的首要條件。用戶安裝上IDS后,在缺省情況下,應(yīng)該對(duì)各個(gè)服務(wù)可能遇到的攻擊進(jìn)行告警檢測(cè)。我們可以選擇一些破壞性比較大的攻擊,比如遠(yuǎn)程溢出攻擊(只要攻擊成功,即可全面控制計(jì)算機(jī)系統(tǒng)),用它對(duì)IDS進(jìn)行一下測(cè)試。面對(duì)這種攻擊,如果IDS產(chǎn)品沒有反應(yīng),那么附加功能再多,也是一個(gè)檢測(cè)非法入侵能力低下的產(chǎn)品。
二、遠(yuǎn)程管理
IDS的機(jī)制是監(jiān)視網(wǎng)絡(luò)上的流量,如果所要監(jiān)視的網(wǎng)絡(luò)不止一個(gè)Hub或交換機(jī),就要在每個(gè)Hub或交換機(jī)上安裝網(wǎng)絡(luò)引擎。這樣我們就需要一個(gè)控制臺(tái)和日志分析程序來(lái)管理和分析多個(gè)網(wǎng)絡(luò)引擎及它們產(chǎn)生的告警。用戶有時(shí)希望坐在辦公室中實(shí)時(shí)查看和管理機(jī)房里的IDS,作為產(chǎn)品提供商,應(yīng)該滿足用戶的這種需求,為用戶提供遠(yuǎn)程管理功能,只是需要注意把這個(gè)功能和IDS的另一個(gè)功能(即遠(yuǎn)程告警)區(qū)分開。事實(shí)上,IDS還應(yīng)該能夠支持各種各樣的遠(yuǎn)程告警方式,像打電話、發(fā)郵件等等。不過這種交流是單向的,用戶只能被動(dòng)地得到信息,而不能主動(dòng)控制遠(yuǎn)程的網(wǎng)絡(luò)引擎。
三、抗欺騙能力
IDS的目的是抵制入侵者,然而入侵者會(huì)想方設(shè)法逃避它。逃避IDS的方法很多,總結(jié)起來(lái)可以分成兩大類: 讓IDS漏報(bào)和讓IDS誤報(bào)。
1.IDS誤報(bào)
所謂IDS誤報(bào)是指: 明明沒有這個(gè)攻擊,但是入侵者讓IDS拼命告警,使不斷增長(zhǎng)的告警日志塞滿硬盤,以致翻滾的告警屏幕把管理者搞得眼花繚亂。這樣,真正的攻擊就可以?shī)A雜在數(shù)不清的虛假告警中蒙混過關(guān)了。
2001年3月,國(guó)外網(wǎng)絡(luò)安全產(chǎn)品評(píng)測(cè)人員Coretez Giovanni發(fā)現(xiàn)另外一種讓IDS誤報(bào)的入侵: 快速地產(chǎn)生告警信息,抑制IDS的反應(yīng)速度,以致使IDS失去反應(yīng)能力,甚至讓系統(tǒng)出現(xiàn)死機(jī)現(xiàn)象。當(dāng)時(shí),Coretez寫了一個(gè)名為Stick的程序,作為IDS產(chǎn)品的測(cè)試用例。它的作用是: 可以讀入Snort(一種免費(fèi)的IDS ,其下載網(wǎng)址為http://www.snort.org)的規(guī)則,然后按照Snort的規(guī)則組包。由于Snort的規(guī)則涵蓋了絕大多數(shù)的攻擊種類,所以IDS一旦匹配了按Snort規(guī)則產(chǎn)生的攻擊報(bào)文,即可發(fā)出告警信息。對(duì)于比較有名的IDS像ISS Realsecure和Snort,Stick都能給它們?cè)斐?0s以上的停頓。所以,對(duì)于新出現(xiàn)的IDS及其造成的危害,用戶絕不能忽視。另悉,ISS針對(duì)新型IDS誤報(bào)入侵已發(fā)布了補(bǔ)丁程序,詳見http://www.iss.net/db_data/xpu/RSNS%202.2.php。
在發(fā)現(xiàn)新型IDS誤報(bào)入侵方面,Stick功不可沒。為了更好地測(cè)試用戶選用的IDS產(chǎn)品,用戶不妨從http://www.securityfocus.com/frames/?content=/templates/tools.html%3Fid%3D1974上下載Stick,其編譯起來(lái)并不麻煩,只需查看幫助即可。需要指出的是,絕大多數(shù)的IDS都是從Snort得到眾多借鑒的,建議用戶試用一下Stick。
2.IDS漏報(bào)
和IDS誤報(bào)相比,漏報(bào)其實(shí)更危險(xiǎn)。采用IDS技術(shù)就是為了在發(fā)現(xiàn)入侵時(shí)給出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意義。筆者從國(guó)外網(wǎng)站上看到一篇文章,它對(duì)利用TCP連接特點(diǎn)讓IDS做漏報(bào)進(jìn)行了詳細(xì)的描述,同時(shí)還給出一些實(shí)現(xiàn)漏報(bào)的辦法,給筆者提供了一種新思路: IDS想要防止欺騙,就要盡可能地模仿TCP/IP棧的實(shí)現(xiàn)。但是從效率和實(shí)現(xiàn)的復(fù)雜性考慮,IDS并不能很容易地做到這一點(diǎn)。
這種方法比較適合智能化的IDS,好的IDS一般為了減少誤報(bào),會(huì)像現(xiàn)在一些高端的防火墻一樣基于狀態(tài)進(jìn)行判斷,而不是根據(jù)單個(gè)的報(bào)文進(jìn)行判斷。這樣上面談到的Stick對(duì)這種IDS一般不起作用。但是用戶應(yīng)該注意到,這種簡(jiǎn)單的IDS只是字符串匹配,一旦匹配成功,即可報(bào)警。
2001年4月,又出了一個(gè)讓IDS漏報(bào)的程序ADMmutate,據(jù)說(shuō)它可以動(dòng)態(tài)改變Shellcode。本來(lái)IDS依靠提取公開的溢出程序的特征碼來(lái)報(bào)警,特征碼變了以后,IDS就報(bào)不出來(lái)了。但是程序還一樣起作用,服務(wù)器一樣被黑。這個(gè)程序的作者是ktwo(http://www.ktwo.ca),我們可以從http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下載該程序。用戶不妨也試試它,以檢測(cè)自己的IDS產(chǎn)品性能。不過,ADMmutate只能對(duì)依靠檢查字符串匹配告警的IDS起作用,如果IDS還依靠長(zhǎng)度和可打印字符等綜合指標(biāo),則ADMmutate將很容易被IDS監(jiān)控到。
IDS的實(shí)現(xiàn)總是在漏報(bào)和誤報(bào)中徘徊,漏報(bào)率降低了,誤報(bào)率就會(huì)提高; 同樣誤報(bào)率降低了,漏報(bào)率就會(huì)提高。一般地,IDS產(chǎn)品會(huì)在兩者中取一個(gè)折衷,并且能夠進(jìn)行調(diào)整,以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。
四、自身安全性
毫無(wú)疑問,IDS程序本身的健壯性是衡量IDS系統(tǒng)好壞的另一個(gè)指標(biāo)。如上所述,Stick程序能讓IDS停止響應(yīng),該IDS的健壯性就值得懷疑。
IDS的健壯性主要體現(xiàn)在兩個(gè)方面: 一是程序本身在各種網(wǎng)絡(luò)環(huán)境下都能正常工作; 二是程序各個(gè)模塊之間的通信能夠不被破壞,不可仿冒。IDS用于各個(gè)模塊間遠(yuǎn)程通信和控制,如果通信被假冒,比如假冒一個(gè)停止遠(yuǎn)程探測(cè)器的命令或者假冒告警信息,都是釜底抽薪的狠招。這就需要用戶在模塊間的通信過程中引入加密和認(rèn)證的機(jī)制,并且這個(gè)加密和認(rèn)證的機(jī)制的健壯性要經(jīng)受過考驗(yàn)。如果模塊間的通信被切斷,則需要良好的恢復(fù)重傳機(jī)制。告警信息暫時(shí)沒有發(fā)送出去,并不是丟棄,而是要本地保存,在適當(dāng)?shù)臅r(shí)候再發(fā)送。
從上面的描述中我們可以看到,沒有IDS的安全防護(hù)體系是不完善的。希望本文可以幫助大家了解IDS,在網(wǎng)絡(luò)安全體系中使用IDS增強(qiáng)網(wǎng)絡(luò)的堅(jiān)固性,并為用戶選購(gòu)IDS產(chǎn)品提供參考。
關(guān)于IDS
IDS采用分布式結(jié)構(gòu),內(nèi)含Probe(又稱探測(cè)器或探針),用于收集信息,一旦發(fā)現(xiàn)非法入侵便告警。根據(jù)其所處的位置不同,Probe又可以分成基于主機(jī)的和基于網(wǎng)絡(luò)的?;谥鳈C(jī)的Probe位于希望監(jiān)控的服務(wù)器上,通過收集服務(wù)器的信息來(lái)進(jìn)行分析告警。基于網(wǎng)絡(luò)的Probe位于希望監(jiān)控服務(wù)器的同一個(gè)Hub或交換機(jī)上,通過監(jiān)聽網(wǎng)絡(luò)上到達(dá)服務(wù)器的報(bào)文來(lái)分析告警。
基于主機(jī)的Probe收集的信息準(zhǔn)確,但是占用服務(wù)器資源,尤其在繁忙的服務(wù)器上會(huì)降低服務(wù)器性能。由于它與操作系統(tǒng)相關(guān),如果所用IDS產(chǎn)品不支持操作系統(tǒng),就不能安裝基于主機(jī)的IDS。
基于網(wǎng)絡(luò)的Probe收集的信息沒有基于主機(jī)的Probe準(zhǔn)確,并且因?yàn)槭褂昧吮O(jiān)聽功能,對(duì)于Hub可以正常使用,對(duì)于交換機(jī)需要交換機(jī)廠商支持?;诰W(wǎng)絡(luò)的Probe一般不影響服務(wù)器的正常工作,還可以監(jiān)控多個(gè)服務(wù)器的工作。
IDS還含有一個(gè)集中監(jiān)控信息的“控制臺(tái)”,其作用是接收所有Probe的告警,遠(yuǎn)程控制所有的Probe。控制臺(tái)端的日志分析模塊會(huì)把Probe的告警信息綜合后集中分析,生成入侵分析報(bào)告??刂婆_(tái)端的響應(yīng)模塊會(huì)根據(jù)不同的響應(yīng)策略對(duì)不同的告警采取不同的行動(dòng)。連接控制臺(tái)和Probe的是通信模塊。
