重新审视IDS(1) 防范日益频繁的网络入侵,目前最好的办法就是综合使用防火墙、IDS和IPS进行层层设防。 传统的状态检测防火墙作为第一道防线,能够防止网络层攻击,却无法防范蠕虫等针对应用层的攻击(这些攻击都利用了80和443等开放端口)。入侵检测系统使用传感器,传感器被动地安装在网络上,用来监测网络通信,寻找任何恶意访问迹象。传感器能够发现针对应用层的攻击,却不能阻止这些攻击,当网管员接到IDS的报警信息并采取相应措施时,经常为时已晚。 IDS的困扰 IDS会带来大量的错误报警。一些用户认为,IDS经常不断发报警信息,结果大部分是误报,而且报警信息不合乎逻辑,处理IDS的报警信息是一个让人头痛的问题,通常用户需要花费20个小时去调查分析两个小时的报警信息。一些网管员抱怨说,“我每天都花大量时间查看IDS记录,边吃午饭边查看,就连逢年过节也不例外,那些IDS记录简直就成了我每天必看的红宝书。” 对于存在缺陷的IDS,Gartner建议用户使用IPS(入侵预防系统)代替传统的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS设备。与进行简单监控并发出报警的IDS所不同的是,IPS只需保持在线就可以阻止攻击。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基于主机的IPS软件,可以直接部署在应用服务器上,拦截系统调用,监控对关键系统文件的修改、文件允许权限的变更以及其他攻击迹象。 IDS真如Gartner所说的那样寿终正寝了吗?IPS能随时取代IDS吗?大多数分析家以及IDS厂商,甚至IPS厂商并不这么认为。起码到目前为止,大家认为IDS在安全审计和事后追踪方面仍然无法替代。实际上,IDS和IPS 使用相同的检测技术,两者都会受到检测准确性的困扰。由于担心IPS的错误判断有可能影响正常的网络服务,大多数用户将IPS以IDS(仅用于监控)模式接入到企业网络中。 IDS携手IPS IDS和IPS厂商在自动化配置和智能分析方面正在做出更多尝试。例如,TippingPoint公司的UnityOne可以在数分钟内配置好。包括Cisco、Symantec和ISS在内的IDS厂商也能够提供系统审计功能,以去除不相关的报警信息。 与IDS产品相比,IPS设备价格昂贵。IPS在保护外围、DMZ区以及一个或两个关键性的子网方面很有用处,但是在一个拥有400个子网的大型网络里,用户也许就没有经济实力为所有子网都部署IPS了。 事实上,IPS与IDS配合使用可以各取所长。IPS在阻止蠕虫病毒等针对应用层攻击的同时,还可以减少内部IDS生成的报警数量,使用户安心地使用IDS监控子网以及完善企业安全战略。例如,一位用户使用Top Layer的Attack Mitigator IPS来保护网关和数据中心,通过打开每一个过滤程序以确信不会封锁任何合法的商业流程。Attack Mitigator IPS被部署在防火墙之外以阻挡DoS攻击,同时这位用户在网络内部使用IDS进行监控,并不需要花费太多时间去查看IDS记录。无独有偶,另一位用户在网络外围使用TippingPoint UnityOne IPS设备,并在网络内部大量使用基于行为检测技术的StealthWatch IDS以取代原来的Snort IDS设备。在IPS的阻断作用下,IDS报警信息的数量减少了99%,以前这位用户需要把整天时间用来查看IDS记录,现在却不用这样做了。 小结 除IPS之外,另一种专门用来保护Web服务器和DMZ应用的技术是Web应用防火墙,这类产品主要是阻止Web应用盗用,尤其是防止被防火墙和IPS遗漏的Web应用盗用攻击。此外,基于主机的入侵防御软件还可以为Web应用以及内部关键服务器提供额外保护。Check Point和NetScreen在防火墙产品中增加了深层检测功能,与依靠硬件实现深层检测功能的IPS和Web应用防火墙所不同的是,Check Point和NetScreen应用防火墙是基于软件来实现的。
