對于那些考慮使用入侵檢測系統(IDS)和入侵防御系統(IPS)的企業來說,最困難的一個任務就是要確定什么時候需要這些技術,以及它們能夠做什么。市面上的產品種類繁多:如防火墻、應用程序防火墻、統一威脅管理(UTM)設備、異常監測和入侵防護等,企業很難從中做出選擇,也很難確定哪些產品是最適合自己的。
有的企業可能還在研究是否可以用IPS代替IDS,或者是否有必要同時使用這兩種產品進行全方位的保護。分層的安全和不正確的操作之間通常存在著明顯的界限。在本文中我們會對IDS和IPS進行一次對比,其中包括:兩種技術能夠提供的基本功能以及保護類型、兩種技術在實際應用中的區別以及這兩種技術的幾個常用實例。
IDS vs.IPS:保護范圍
對于不太熟悉IDS的人來說,IDS是一種監視未授權或者惡意網絡活動的軟件或者設備。IDS使用預先設定的規則,檢查網絡端點配置,確定它們是否容易受到攻擊(這叫做基于主機的IDS);它還可以記錄網絡中的活動,并與已知的攻擊或者攻擊類型進行對比(這叫做基于網絡的IDS)。該技術已經存在很多年了,而且里面添加了各種附加功能,其中包括高級簽名。而且,免費的開源IDS產品(比如Snort 和OSSEC)也很受歡迎。
反之,IPS不僅能夠監測由惡意代碼、僵尸網絡、病毒以及有針對性的攻擊引起的不良數據包,還能夠在破壞發生之前采取行動,從而保護網絡。你可能認為你的網絡不值得黑客去攻擊,但是你要知道許多犯罪分子會使用自動掃描來探測互聯網,對每個網絡都進行探測,以便記錄漏洞,供日后使用。這些攻擊者可能在尋找特定的敏感數據或知識產權,或者對任何到手的東西都感興趣,比如說員工信息、財務記錄或者客戶數據等。
在基礎設施中的惡意軟件引起破壞之前,性能良好的IDS或者IPS就能夠有效地識別它們。比如,我們假設攻擊者試圖在你的網絡中偷偷放入一個木馬。該惡意代碼可能已經將木馬放入,并可能在靜靜地等待時機。這是開始的狀態,激活后它會變成嚴重威脅。如果裝有合適的入侵檢測系統,當攻擊者試圖激活該惡意代碼時,IDS或者IPS就會識別這種活動并立即采取措施,要么報警,要么進行防御。
不過,那些用來監測普通網絡的傳統防火墻很有可能對這種攻擊一無所知。如果此類攻擊附著在看起來正常的網絡流量中,也有可能避開異常監測引擎。這些技術和入侵檢測與防御系統的區別在于IDS/IPS可以進行更深層次的包監測,不僅分析數據包的來源和去向,而且還能分析它的內容,以此確定它們是否在對系統發起攻擊。這些數據是決定包的特性是否與未授權或者惡意行動相對應的關鍵,這種情況可能是攻擊的前兆。當攻擊者采用畸形的或者老式數據包來偽裝一次攻擊時,IDS/IPS技術能夠更加智能地處理危險的攻擊內容。
IDS vs.IPS: 兩種技術的區別
行業中人們對此有幾種觀點:有人認為IDS和IPS是獨立的、可持續的技術;有人認為IDS是一種逐漸過時的技術,應該被IPS替代。在對IDS和IPS進行比較時,我更傾向于前者;IDS系統有許多具體的使用案例,比如,當信息安全人員需要識別攻擊或者漏洞,而不需要采取任何措施的時候。這種檢測最明顯的使用案例包括:不需要停止攻擊(收集數據或者監視蜜罐)的情況;安全團隊沒有權限去停止攻擊(如果所觀察的網絡不是我們的)的情況;還有當我們想要監測日志,需要跨越安全來進行的情況。舉個很好的例子:沒有足夠資金支付與主要生產合作伙伴的服務器連接的制造企業。在這種情況下,企業可以決定犧牲即時安全(immediate security)來獲取持續的商業運作。類似的,IPS最適用于需要監測并阻止或防御攻擊的企業,因為安全是這些企業最重要的東西,企業需要積極主動地保護重要資產;而IDS只能顯示出攻擊的存在,阻止入侵則是管理員的事情。
我們來看以下幾種情況,來了解IDS和IPS是如何處理它們的。
處理已知的漏洞
應用程序和主機類型眾多的企業可能會發現,將預定義和自定義規則結合起來,也是一個處理應用程序或者業務過程缺陷的權宜之計。如果企業不中斷其他的主機功能,就不能為某個系統打補丁,那么IPS可能是下一步最好的選擇,因為適當的IPS規則可以在入侵到達服務器之前就對已知漏洞進行防護。
IDS和IPS能夠模擬主機響應,這讓它們可以發現、阻止或者警告對受保護的服務器有負面作用或者去破解數據的攻擊。這些措施可以用在網絡之間的網關上(很像防火墻),或者用在處于受保護資源之前的內部基礎設施中。在保護Web服務器或者其他能夠訪問互聯網的應用程序或者設備不受外部攻擊時,我們推薦使用網關或者面向外界的方法;而在保護特定的高價值資產時,我們推薦使用內部保護,比如有些惡意軟件會從可信端點攻擊任務優先的應用程序服務器,有時甚至還可能會存在內部攻擊等。
相關數據
受歡迎的IDS和IPS設備提供非常全面的日志記錄和數據收集功能。即便沒有任何行動的警報,系統在受到攻擊之后,從這些設備和傳感器中收集到的數據也可用于事件關聯(event correlation)和網絡取證。比如,如果發現一些關鍵的生產服務器被入侵或者受到攻擊,擁有IDS和IPS的企業在試圖分離出導致這次入侵的事件時會有相當大的優勢。這種數據在攻擊期間和攻擊之后都是分析的關鍵,而且對企業的事件響應和規則遵從審計會有所幫助。
結論
入侵檢測系統像其他事物一樣,都是服務于業務宗旨或者滿足一個目標。這些僅僅是最常見的IDS和IPS使用案例,本文只是提供了最基本的東西,便于大家理解這種技術是否滿足企業要求。如果你的環境中有重要系統、秘密數據或者必須遵守嚴格的規則遵從,那么我推薦使用IDS、IPS或者兩者一起。回顧上述使用案例,你可以判定你的企業是否會從入侵防護系統中受益。
作者:Jennifer Jabbusch
原文鏈接:http://netsecurity.51cto.com/art/201012/238182.htm
