传统的入侵检测系统(IDS)只能被动地给管理员提供检测报告,最终还必须通过人工来解决问题。虽然大部分IDS产品能够在攻击发生后与防火墙进行互动,但是这种互动只能够对持续的低层次攻击产生很好的阻止作用,在容易受到深层次攻击的场合,用户还是希望采用能够对攻击行为进行实时阻断的产品,来提高信息系统的安全级别,因此入侵防护系统McAfee IntruShield应运而生。
体验部署和配置
IntruShield 2600有别于基于通用平台的产品,它采用NP(network processor)和ASIC(专用集成电路)混合的架构设计。因为需要实现实时阻断,所以IntruShield 2600在进行协议重组的过程中需要比传统IDS更强的处理能力。通用的硬件平台在多端口的配置的情况下很难满足实时阻断的需求。NP加ASIC这种结构在高端的3层交换机和防火墙中被大量采用,能够实现非常高的转发率,可以帮助入侵防护设备进行实时阻断。
灵活多样的配置方式
这款产品配置了8个端口,在SPAN (Switched Port Analysis)模式工作时,全部可以用作检测端口,即如果用户只需要传统的IDS功能,这款产品完全可以充当一个8口的IDS,不过在部署时需要考虑到吞吐量。IntruShield 2600的拿手好戏在于对入侵和非法的数据包进行阻断,这是在In-line的模式下实现的,这个模式是把IPS作为一个以太网的桥接器,透明地连接到已有的网络中,而不需要改动原有网络的配置,对于一个复杂的网络来说,这种设计可以减轻调试安装设备对原有网络的影响。在这种模式下,必须成对地配置端口。因此在只使用全部100M铜缆口时,这款产品几乎可以达到100%的利用率,而在使用千兆光口时,这款产品就只能处理60%左右的网络流量,对于一个正常设计的网络来说,60%已经是很高的突发流量了。
即插即用的快速部署
这款产品的软件和硬件的配合程度是非常高的。虽然各个管理服务器上都需要安装多个服务程序,但是McAfee通过把这些服务打包,整合成安装向导提供给了用户。我们只需要点击几次“下一步”,并且设置好管理端口的IP地址,就能够完成安装。通过RS-232配置好控制网络接口的IP地址后,我们就可以采用浏览器对设备进行管理了。
整个管理配置界面完全是由动态网页和Java Applet组成,既能在管理服务器本机上进行管理,还可以在任意能够访问管理服务器的计算机上通过浏览器进行管理和配置。这样可以把警告信息汇总到单个管理服务器上,然后在其他节点上进行分析或者报告。
高性能的安全屏障
检测率测试
我们选择了Blade测试工具进行模拟攻击测试,选取50种典型攻击样例。通过模拟攻击和被攻击的环境,把IntruShield 2600设置为阻断模式,通过比较发出的攻击和从控制台上观察到的报警信息来确定设备检测的正确性。Blade是目前可以模拟攻击类型最多的安全测试工具。我们选择的攻击样例也是按照最近比较盛行、危害比较大以及容易发生的原则来进行的。
测试结果非常令人振奋。在测试中,所有的攻击都没有被漏报。但是,在这样的测试中,我们并不能确定攻击是否真的被阻断了,于是我们进行了下面的测试。
阻断能力测试
我们找来了一个针对Windows NetBIOS缺陷的攻击工具,这个缺陷存在于Windows 2000 SP3(包括SP3)以下的版本中。在没有打开IntruShield 2600阻断功能的情况下,仅打了SP2补丁的目标主机直接蓝屏,在进行内存转存以后自动启动,而在开启IntruShield 2600阻断功能后再次发起攻击,目标主机就会安然无恙,并且两次攻击在管理服务器上都有详细的报告,这说明IntruShield 2600的阻断能力非常出色。
大家可能已经发现了,我们所采用的攻击类型并不是简单的畸形IP包攻击,而是在防火墙看来正确连接的情况下进行的高层次的操作,这些操作大多是利用系统或者应用本身的缺陷,制造异常操作来导致其无法正常工作,尤其是一些七层攻击,如果只采用IDS和防火墙互动的方法来阻止攻击,很可能让攻击得逞,因此需要在攻击进行中立即阻断。在阻断模式下,IntruShield 2600除了要重组协议进行判断外,还需要放行正确的数据,因此面临着严峻的性能考验。
吞吐能力测试
为了考验NP/ASIC架构的性能,我们创建了一个稳定的背景流,然后模拟攻击。通过观察在处于标称吞吐量边缘的IntruShield 2600对攻击的报告情况来确定这款产品的实际吞吐性能。
我们采用思博伦通信的Avalanche和Reflector,制造了一个约等于 600Mbps的HTTP流量,然后依然沿用功能验证中的攻击检测方法对IntruShield 2600进行了测试。在标称的600Mbps吞吐量下,IntruShield 2600居然能一个不漏地检测到攻击,这一测试结果一方面肯定了这种基于NP和ASIC混合平台的优势,另一方面,也说明了这款产品在标称的吞吐量下,还保留了一部分处理能力,用于应付突发的流量对系统正常运作带来的影响。
测试总结
由于采用了NP/ASIC架构,在进行大数据量的协议分析时,这款产品表现出了非常强的吞吐性能,使得阻断攻击这一独特的功能没有受到任何影响。因为这款产品主要聚焦在4到7层的攻击类型,在测试中,我们并没有看到太多基于一些3层以下的入侵检测和阻断手段。不过,在后来我们采用Nessus端口扫描工具进行变形逃逸测试时,发现这款产品对于SynScan等扫描入侵手段能够进行检测,但是需要配合防火墙来更彻底地杜绝这类攻击。由此证实了我们的推断,单一的SynScan或者Flood攻击对于系统是没有攻击性的,并且由于这类攻击非常简单,不需要IPS进行复杂的协议分析,只需要在侦测出攻击后,通过和防火墙联动,由防火墙就能进行处理。
通过对IntruShield 2600进行测试,我们发现:IPS是对IDS的增强和延伸,能够弥补和防火墙之间的空白,而不是简单地对防火墙和IDS进行融合的结果。
IntruShield 2600
产品亮点
● 在1U厚度实现2个千兆光口,6个铜缆百兆端口的入侵阻断系统,所有端口可以灵活配置,完全逻辑隔离。
● 能够快速进行安装部署,支持分布式部署管理。
● 完善的检测引擎,没有漏报一个测试样例中的攻击。
● 高性能的吞吐能力,能够在高达600Mbps的HTTP背景流下正常工作。