入侵檢測系統,顧名思義,就是能夠及時發現入侵行為的系統。它通過對網絡中的若干關鍵點收集網絡數據信息并對其進行分析,從中鑒別網絡中違反安全策略的行為和被攻擊的跡象。與其他安全產品相比,入侵檢測系統需要更加智能,而不是像防火墻只是判斷這些數據符不符合安全策略。一個好的入侵檢測系統能大大的提高網絡安全系數。
防火墻并不安全
防火墻是長期以來保障網絡安全最常用的工具。它是一種用來加強網絡之間訪問控制的特殊網絡互連設備,它對內部網絡和外部網絡之間傳輸的數據按照設定的安全策略對其進行檢查,來決定哪些數據非法。這樣有效地控制內部網絡與外部網絡之間的訪問及數據傳送,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。
如圖1所示,一般防火墻系統分為兩層,內層是帶包過濾功能的路由器,外層是代理服務器。包過濾防火墻只接受代理服務器發出的服務請求和內部網絡發起的服務連接,代理服務器負責向公共網用戶提供內部網絡允許的網絡服務。
 |
| 圖1 |
包過濾和代理技術的雙層防火墻系統,從一定程度上提高了系統的安全性。但它主要是用來拒絕未經授權的用戶訪問,阻止未經授權的用戶存取敏感數據,同時允許合法用戶不受妨礙地訪問網絡資源,如果使用得當,可以在很大程度上提高網絡安全性能,但是防火墻雖然能對外部網絡的攻擊進行有效的防護,但對來自內部網絡的攻擊卻無能為力,事實上據統計 60 %以上的網絡安全問題來自內部網絡,而且網絡程序和網絡管理系統中可能存在缺陷。因此網絡安全單靠防火墻技術是不夠的。
因為防火墻有它自身的局限:
1.有欠靈活
防火墻是通過嚴格限制進出流來保障網絡安全的。但是這樣不可避免就會造成網絡本身過于封閉,很多服務如Telnet,FTP...會被屏蔽掉。
2.家賊難防
防火墻所執行的任務是把住大門,防止外部用戶非法獲得敏感數據或者非法操作。可是它對內部用戶的行為毫無約束。這時內部用戶無法無天也就不奇怪了。
3.后門失守
防火墻把的是大門,可如果本網絡有后門呢,且又被控制了呢?這時防火墻形同虛設。
防火墻有這么多的局限,這時人們就想到了“主動出擊”,派出“入侵檢測系統”進駐公司內部,在網絡關鍵節點巡邏,隨時揪出入侵之敵。
技術要求
入侵檢測技術是繼“防火墻”、“數據加密”等傳統安全保護措施后新一代的安全保障技術。
一個好的網絡入侵檢測系統至少應滿足這些功能要求:
1、實時性:
如果網絡攻擊或者攻擊的企圖盡快的被發現,這就有可能阻止進一步的攻擊活動,有可能把損失控制在最小限度。實時入侵檢測可以避免常規情況下,管理員通過對系統日志進行審計以辨別入侵行為時的低效和延遲。
2、可擴展性:
一個已經建立的入侵檢測系統必須能夠保證在新的攻擊類型出現時,可以通過某種機制在無需對入侵檢測系統本身進行改動的情況下,使系統能夠檢測到新的攻擊行為。并且在入侵檢測系統的整體功能設計上,也必須建立一種可以擴展的結構,以便系統結構本身能夠適應未來可能出現的擴展要求。
3、事件記錄:
作為一個完備的網絡入侵檢測系統,對于檢測到的入侵事件必須具備完善的日志記錄和日志審計功能。
4、安全性:
入侵檢測系統必須盡可能的完善與健壯,不能向其宿主計算機系統以及其所屬的計算機環境中引入新的安全問題及安全隱患。
5、有效性與易用性:
能夠保證設計的網絡入侵檢測系統是切實有效的,即對于攻擊行為的錯報與漏報能夠控制在一定范圍內。并且系統應該是友好的,簡潔易用的。
應用實例
下面以中科大國禎網絡入侵檢測系統為例來說明網絡入侵檢測系統的主要特性和配置方法。
* 分布式系統設計。可依據不同的網絡拓撲結構靈活配置整個系統。
* 檢測速度快。感應器通常能在微秒或毫秒級發現問題。
* 安全性好。系統各個模塊間采用先進的加密傳輸。
* 易于控制。系統由感應器、控制中心和反應單元組成。其中感應器和反應單元都是基于無人值守設計的。用戶只須在控制中心掌控整個系統。
* 智能反擊。系統在感應器報警后會由控制中心下達反擊命令,根據不同協議或切斷連接或數據包過濾。
* 數據過濾。能對特定數據包實現過濾,并可按用戶需求過濾一定時間。
* 系統可擴展性好。系統的分布式結構設計和核心感應器的結構設計決定了系統的可擴展性較好。
* 隱蔽性和獨立性好。感應器不像一般主機在明處,因而也不那么容易遭受攻擊。而且它不運行其他的應用程序,不提供網絡服務,故有利于保障網絡安全。
* 資源配置要求不高。由于使用一個檢測器就可以保護一個共享的網段,所以不需要很多的檢測器。但是,如果在一個交換環境下,采用分接器(Tap),將其接在所有要檢測的線路上。還有,感應器不占用被保護資源。
* 容易捕獲證據。網絡入侵檢測系統基于正在發生的網絡通訊進行實時檢測,所以攻擊者無法轉移證據。且系統具備完善的日志記錄功能和審計功能。這樣黑客就不能靠擦除系統記錄來掩蓋作案痕跡了。
既然網絡入侵檢測系統這樣的好,那么該怎樣在具體的網絡環境中配置它呢?下面(圖2)以安徽國禎環保節能科技股份有限公司廠區網絡為例來說明。
該網絡采用1000M高速以太交換網。網絡結構為星型分級拓撲結構。主干交換機,即圖中一級節點,采用Cisco4006(配一個WS-X4232-L3,兩個WS-5484模塊),二級節點采用兩臺Cisco3524XL(各配一個WS-5484)交換機;接入系統采用CISCO2621路由器(配 一個NM-8AM模塊)。采用1000BASE-SX、100 BASE-FX、100 BASE-TX標準,構造100/1000M的網絡帶寬,提供到達桌面的100M連接。
可以看得出來,該網絡有一級節點一個,二級節點三個,三級節點一個。那么怎么把網絡入侵檢測系統配置在這個網絡中呢?
一般來說反應單元是置于網關上的,如圖所示。控制中心隨意放置于內部網絡方便的地方,這里把它置于中心機房。而感應器乃系統的靈魂所在,必須置于網絡流量集中的地方。否則系統性能將得不到保證。這里把它置于3個二級節點和1個三級節點上。
應用效果
配置好系統后,整個網絡對付攻擊的效果怎樣呢?
中科大國禎網絡入侵檢測系統能夠檢測到1200多種包括緩沖區溢出及拒絕服務攻擊和各種網絡掃描的網絡攻擊行為。
為了測試系統性能,我們進行了一系列攻擊測試。包括Ping of Death,SYN Flood,UDP Flood,Smurf,Unicode Attack以及使用著名的網絡掃描工具Nmap和Nessus以及Shadow Security Scanner產生網絡攻擊。
在上述攻擊中,我們的系統表現出了一個好的網絡入侵檢測系統所具備的實時高效,安全有效,日臻完善的優點。
還有,在網絡大負載時系統表現又怎樣呢?實驗證明我們的系統在40M/sec的網絡環境中和60M/sec的網絡環境中表現依舊相當令人滿意。在90M/sec的網絡環境中系統性能有所下降,但是仍能夠檢測到60%的網絡攻擊。這是個尚待解決的普遍存在的問題。
我們提出的網絡安全解決方案在上面的例子中已經展示出來了。那就是結合防火墻和網絡入侵檢測系統的優點,在企業局域網絡的出入口處配置防火墻,以應對基本的外部網絡攻擊,在內部網絡中配置網絡入侵檢測系統,以彌補防火墻的不足,并負責在內部網絡中巡邏,檢測來自內部網絡的攻擊。
