IDS网络安全监控利器
行业之道
提到网络安全,很多人首先想到的是防火墙。的确,配置恰当的防火墙可以将非预期的访问请求屏蔽在外,但是,防火墙不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求下,IDS(Intrusion Detection Systems,入侵检测系统)应运而生,随着网络的发展,IDS技术也在不断地更新和变化。
IDS提高用户网络安全性
IDS是一种主动保护网络免受攻击的安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
入侵检测技术通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常见攻击手段,并作出相应的防范。IDS的工作原理如图1。一般来说,黑客在进行探测、收集网络及系统信息时,就会被IDS捕获,并向管理员发出警告。而且IDS还会对网络中不正常的通信连接作出反应,保证网络通信的合法性,任何不符合网络安全策略的网络数据都会被IDS侦测到并发出警告。
IDS究竟能为用户带来什么好处呢?我们知道,政府、银行和一些大型企业等都有自己的内网资源,这些单位经常在防火墙系统上投入大量的资金,在互联网入口处部署防火墙系统来保证安全。不过防火墙无法阻止内部人员的攻击,对信息流的控制缺乏灵活性。IDS是对防火墙极其有益的补充,它在入侵攻击对系统产生危害前即可检测到它,并利用报警与防护系统驱逐入侵攻击。在被攻击时,可收集入侵攻击的相关信息,添加到知识库内,增强系统的防范能力,避免系统再次受到入侵。
IDS的主要优势是在“监听”网络流量时不会影响网络的性能。虽然在理论上IDS对用户不是必需的,但IDS的确能减少网络的威胁。对防火墙和IDS有一个经典的比喻:防火墙相当于一个把门的门卫,对于所有进出大门的人员进行审核,只有符合安全要求的人,即那些有出入许可证的人才可以进出大门。门卫虽然在一定程度上可以防止小偷进入大楼,但不能保证小偷百分之百被拒之门外,而且对于那些本身就在楼内的,以及那些有出入证的、以合法身份进入了大门的人,是否做坏事也无法监控,这时就要靠IDS系统来进行审核和监控,发现异常情况时发出警告。有了IDS,就像在一栋大楼里安装了监视器一样,可对整栋大楼里的情况进行监控。
IDS和IPS,你选谁
我们曾在去年第51期提到IPS(入侵防御系统),IDS和IPS有什么区别呢?从表面上看,虽然两者都是网络安全产品,但角色和功能却有很大的区别。举一个简单的例子,IDS就如同火灾预警装置,火灾发生时,它会自动报警,但无法阻止火灾蔓延,必须要有人来操作进行灭火。而IPS就像智能灭火装置,当它发现有火灾发生时,会主动采取措施灭火,不需要人为干预。
IPS和IDS各有各的优缺点,IPS的设计原理要求必须以嵌入模式工作在网络中,如果IPS出现故障,就可能造成瓶颈问题或单点故障,一些客户将无法访问企业网络提供的应用,会严重影响网络的正常运转。如果IDS 出现故障,最坏的情况是会造成某些攻击无法被检测到。即使 IPS 设备不出现故障,它仍然是一个潜在的网络瓶颈——IPS必须与数千兆或更大容量的网络流量保持同步。而IDS是一个旁路监听设备,不需要跨接在任何链路上,网络流量无须流经它便可以工作。另外,由于IPS 的检测能力要逊色于IDS,这也让很多用户感觉难以接受。
那么,企业用户该选购IDS还是IPS呢?一般而言,如果你更关心的是入侵防范的安全高效性,IPS的阻断模式无疑是首选。IPS比较适合阻止大范围的、针对性不是很强的攻击,但对单独目标的攻击阻截有可能失效。若你计划分步实施安全解决方案或对安全的需求并不是十分迫切,可以考虑先部署IDS进行网络安全状况监控,随着业务量和安全需求的增加再考虑部署IPS。若用户仅仅关注网络安全状况的监控,只需在网络中部署IDS即可。
对于选择IPS的用户而言,除了评估利用IPS能防御哪些风险外,还要评估部署IPS可能带来的风险——干扰网络正常运行的风险。另一方面,在决定是否采用IPS之前,还要看看自己是否设置了防火墙,如果你知道网段有哪些协议,而且对网络状况一清二楚,那么使用IPS也无妨。但如果你不知道流量情况,还是先采用传统的IDS为好。当然,若你计划实施完整的安全解决方案,则应同时选择并部署IDS和IPS两类产品——在全网部署IDS,在网络的边界点部署IPS。
IDS部署方式分析
目前,大部分IDS产品基本上由入侵检测引擎和管理控制台组成,具体应用时可以根据网络结构和需求进行不同的部署。IDS一般都部署在需要重点保护的网络部位,如部署在企业内部重要服务器所在的子网,对该子网中的所有连接进行监控。根据网络的拓扑结构不同,IDS的监听端口可以接在集线器或交换机的镜像端口上,也可接在专为监听所增设的分接器上,这些位置通常是:服务器区域的交换机上、互联网接入路由器后的第一台交换机上或重点保护网段的局域网交换机上。下面是两种经典的IDS部署方式。
●对于网络拓朴结构复杂的网络来说,需要安装多台引擎进行分布式检测,各个子网配置探测引擎对各个子网的网络流量进行监控,通过一台控制主机进行全面分析控制(图2)。如某科技公司打算在原防火墙的基础上采用IDS来加强网络安全性,它在每台需要保护的主机(如WWW服务器)上都安装IDS,这样IDS就可以实时监视各种对主机的访问请求,并及时将信息反馈给控制台,这样全网任何一台主机受到攻击时,系统都可以及时发现,并将反馈信息及时传送给控制台进行处理,并能自动对入侵事件作出反应。同时在需要保护的重点网段,也可安装IDS的网络监控模块。
安装在服务器上的IDS一般都有一个完整的黑客攻击信息库,其中存放着各种黑客攻击行为的特征数据。每当用户对服务器上的数据进行访问时,IDS就将用户的操作与信息库中的数据进行匹配,一旦吻合,就认为此项操作系黑客攻击行为,这样就可以相当精确地判断入侵事件并报警。
防火墙只能隔离来自本网段以外的攻击行为,而IDS监控的是所有针对服务器的操作,因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。这样就有效地排除了由于用户误操作或内部人员恶意攻击所带来的安全威胁。
●另一种IDS网络结构较为简单,只需在交换机或HUB上安装单个引擎即可对整个网络进行监控(图3)。
编后:在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但要根本改善系统的安全现状,必须发展新的安全防范技术。而IDS作为一种主动的安全防护技术,它提供了对内部攻击、外部攻击和误操作的实时监控,因此也是一种重要的安全防护技术。