频道栏目
首页 > 安全 > 企业安全 > 正文

企业入侵检测系统:破解IPS迷雾

2007-09-18 07:56:01           
收藏   我要投稿

2005年秋,由全球多家系统软件公司进行的一项联合调查表明,超过66%的企业用户认为,“系统渗透”将会成为威胁企业IT安全的首要元凶。调查同时披露了目前发生最多的八项信息安全威胁,包括了:病毒、系统渗透、拒绝服务、内网滥用、欺骗、由于离职人员造成的数据或网络损失、非授权的内部访问。

虽然86%的被调查者使用了防火墙,但大多数情况下这些防火墙无法有效反击入侵行为。因为常见的防火墙主要是用来防御直接的可疑流量—比如在安全策略没有授权的情况下,拒绝访问者telnet到一台保护设备上,或者允许某些数据流通过—如Web服务器通信。

目前的问题是,安全模型在变化: 在越来越多可以穿越防火墙的流量中,夹带着攻击,即面向应用的攻击。大部分防火墙检查的层次主要集中在传输层以下,即使是优秀的防火墙也只能提供一小部分深度检测能力。

当企业服务器接受了这些“糖衣炮弹”后,攻击者就可以此为跳板,向企业内网发送大量的攻击性报文。一旦这些人在服务器上留下“rootkit”、“back door”等后门,那么它就可以在任何时间、任何地点无限制的访问企业整个信息系统。

更要命的是,几乎所有的企业都有过从内部遭受攻击的经历,虽然很多情况下这些“内贼”自己都不知道,毕竟像VPN、无线网络、笔记本电脑,都可以穿过防火墙访问互联网。

当然,有用户使用IDS来监视系统安全,并希望通过与防火墙联动来防范入侵。不过前提是,只有当入侵者使用2800bps的网络速度入侵企业网络的时候,IDS才有足够的反应时间来调度其他安全设施配合!缓慢的时间戳根本无法阻止类似“Slammer”、“Blaster”等高速繁殖带来的灾难。

为了解决以上问题,采用实时在线方式的企业入侵检测系统(IPS)被投入使用。IPS的初衷是针对企业应用进行防御,由于所有流量都要从IPS中通过,保证了设备采取防御的时间。不过带来的问题是,深入包检测让人对于设备的性能有所担忧,特别是当防护选项全都开启的时候,而且IPS一旦出现误报,直接后果肯定比IDS大。

正是由于心存疑虑,导致众多国内用户对IPS迟迟不敢下手。为此,我们联合了国内外众多IPS厂商,同时结合评测实验室的报告,组织了此次IPS的技术专题,主要从国内用户关心的方面入手,为读者呈现一幅清晰的IPS应用脉络。

破解一 诠释IPS“性能

说到性能,目前为止还没有一个简单的量化指标。从国内外大量第三方评测机构的报告分析,吞吐率与延时可以作为简单的参数。但业内人士认为,这必须结合用户的具体需要来看,否则很难讲其意义有多大。

因为不同厂家IPS支持的协议数量、默认功能开启程度、检测精细度、承受攻击的时间等指标差异极大,获取性能指标的前提条件有很大不同,如果单独依据厂家提供的DataSheet,对于用户的选择是很难有帮助的。

根据经验,业内众多Hi-End级IPS厂家(笔者借用了音响发烧友的术语),其产品都要支持:HTTP、DNS、FTP、DoS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用,如MSN等。

国内用户还必须了解,IPS的性能评估数据不能是在“裸奔”或仅打开少量过滤器的前提下取得的,也不能是单纯的测试流量,如单纯的UDP流量或单一的包长度。用户应当结合自身情况判断: 如企业部署了VoIP的应用,那就必须去评价它的时延抖动问题,而且要在语音数据流中混杂一般数据模拟实际情况。

有条件的用户,也可以查阅第三方报告,分析IPS在负载情况下的效能参数,像对随机端口发送的UDP流量、考虑和不考虑处理延时情况下的HTTP最大压力流量等。(《网络世界》报社稍候将会为读者奉上国内最权威的IPS横向评测报告)

目前,一些国内用户已经开始选购前的自行测试。以北京大学与TippingPoint的合作为例,该校信息中心正在结合校内的流量情况进行实地检测。据悉,当前北大校园网骨干流量为800Mbps,而且其中的混合协议流庞大,对于类似应用,通常的做法是采用校内真实流量预测或者用“72%的HTTP + 20%的FTP + 4%的UDP”流量模型评估。

也有专家指出,国内用户不要过度迷信数值,而要分清自身应用的特征。因为很多Hi-End级IPS厂家,可以提供在64/256/350/440/540/1514字节(根据应用与压力不同)条件下,实现250/500/750/1Gbps的线性吞吐与极低延时。但如果用户只有一个100Mbps骨干带宽出口,且近期不会升级网络带宽,就没必要刻意要求1Gbps数据传输时的性能指标。

高性能自然是好事,但这多伴随着高成本。特别是大部分用户在日常应用中,遇到如此五花八门数据包的情况极为少见,普通情况是:对于纯HTTP协议,一般每秒最多100条TCP连接、每秒25位新用户,平均包长1000字节,每秒最多110000个包;对于混合协议,一般是540字节HTTP与256字节UDP,每秒最多550条TCP连接,平均包长900字节,每秒最多130000个包,最多11000条开放连接。

另外,关于IPS自身设计与性能的关系,在此也有必要澄清一下。目前IPS设计主要分为FPGA(现场可编程门阵列)与X86(CPU加交换板)两种架构(包含NP)。其实这两种架构并非彼此独立,在一些Hi-End级IPS产品中,这些芯片都是存在的。

TippingPoint网络技术顾问李臻认为,从芯片本身分析,FPGA这种封装方式具有灵活、可编程的优势,而McAfee安全顾问陈纲更直接称其为一种廉价高效的专业芯片。一些大厂用其对进入数据包进行特征匹配,在这种工作上,FPGA区别于传统X86架构的顺序工作方式,性能是有很大提升的。

不过Juniper大中华区新兴技术经理吴若松表示,并非所有采用FPGA的IPS产品,性能都会优于使用X86架构的产品,或者说用户应该关注,满足充分的安全防御前提下的性能可用。

这就像音响发烧界的一个经典案例:普通立体声音箱采用左右两分频技术,但很多Hi-End级音箱为了获得更加纯净的声音表现,往往会采用多分频技术(三、四分频),但有些Hi-End级厂家,如丹拿音箱,由于自身的设计特点和结构的特殊性,只需要进行两分频就可以获得比其他厂家更加优秀的声音。

所以说,采用FPGA可以带来性能优势,但前提是自身的设计适合FPGA架构;同理,一些采用X86架构的Hi-End级IPS厂家,只要是自身设计独到,同样可以获得优秀的性能。Juniper大中华区新兴技术经理吴若松认为,用户对于产品架构差异与性能之间的关系,确实不用过于敏感,从目前市场情况看,只要是负责任的厂家的产品,都可以满足要求。

破解二  细看“误报与漏报”

对于“误报”、“漏报”的问题,用户的看法是,由于IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大。不过TippingPoint中国区业务总监贾泉海表示,各大IPS厂商研发的主要精力都在于此,产品的检测精度在2年内已经有了质的提升。

目前,在Hi-End级IPS厂家中流行的检测技术有两个方向:一种是TippingPoint提出的并行处理检测;另一种是McAfee提出的协议重组分析(Radware、Juniper、ISS等主流厂家皆有类似技术 )。

所谓并行处理检测是指,所有流经IPS的数据包,都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个,为了提高效率,FPGA采用并行处理的方式,实现在一个时钟周期内,完成对数据包实现所有过滤器遍历。无疑,这样可以极大地提升IPS的处理速度,但必须实现FPGA的并行化。

而协议重组分析是指,所有流经IPS的数据包,首先经过硬件级别的预处理,这个预处理过程主要完成对数据包的重组,以便IPS能够看清楚具体的应用协议。在此基础上,IPS根据不同应用协议的特征与攻击方式,将重组后的包进行筛选,将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选,可疑数据量大大减少,因此可以大幅度减少IPS处理的工作量,同时降低误报率,当然这个预处理的过程将会是重中之重。

McAfee安全顾问陈纲表示,无论采用那种实现方法,获得的效果是类似的。但用户需要关注的是,由于攻击方式的不断增长,过滤器或者特征库会不断增加,因此如果把所有的检测项目都启用,会给IPS性能造成极大挑战,也没有必要。

Juniper技术经理徐洪涛指出,合理的做法是,用户应该根据自己网络的状态,根据系统的寿命,来评估自己日常应用的攻击风险,选择适合自己的检测项目。

对于漏报,TippingPoint网络技术顾问李臻表示目前的主要问题有两点,一是因为过滤器编写粗糙造成的,例如仅仅是简单的根据特征字符串检索,就难以防御变种攻击

二是在某些繁忙时段,大量深度检测造成IPS设备的处理能力濒临极限,易造成系统混乱,形成漏报或误报

另外,对于用户关心较多的防御DoS攻击的问题,当前主流IPS厂家的做法分为两类(以SYN flood为例):

第一类是采用SYN Proxy(也可以采用SYN Cookie)的方式。在这种方式中,IPS设备中会设置一个SYN Proxy做代理,当外来的TCP SYN需要和企业Web服务器(或者数据库服务器)建立连接的时候,IPS中的SYN Proxy会首先和外来TCP SYN建立连接,同时发送SYN ack帧。如果是真实的外部用户访问,则会回复一个Ack响应帧。当SYN Proxy收到响应后,就会认为三次握手成功,同时把连接中继给企业的Web服务器;但如果是SYN flood攻击的半开连接,由于没有响应回复,就会被TCP Reset。如果攻击者利用大面积僵尸网络发起攻击,则会存在大量的真实连接,这就要求IPS必须分配给SYN Proxy或SYN Cookie功能模块的处理资源足够多(不可能无限大)。

第二类是采用深度学习方式。首先IPS设备在in line使用前,先作为off line状态进行流量学习。学习的目的是统计分析企业网的正常流量、常见外部访问地址等信息,并将这些信息建立一个散列表。此后将IPS设为正常使用,这样即便遇到大量的僵尸网络攻击,IPS也可以根据日常学习的结果,优先保证常见外部地址的访问,缓解攻击的影响。<

上一篇:一段常见的企业站程序代码的利用方法
下一篇:僵尸网络日益剧烈 企业需保持高度警惕
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站