IPS针对企业深层应用进行防御,不仅可以实现对内容攻击行为的精确匹配,而且IPS采用在线检测的模式可以极大地保证采取防御手段的时间。目前,IPS已经成为了国内用户现阶段安全采购的主要关注点。
随着Internet应用的迅速普及,目前的应用系统发展与Web更加紧密,从办公系统到交易系统,这种趋势日益明显。由于Internet的开放性和互连性,随之而来的安全问题也日益突出。
期待中的IPS
据国内主要安全设备的总代理腾蒙公司披露,2004年 8 月被认为是有史以来病毒攻击危害最为严重的一个月,仅 Sobig 病毒就为全球经济带来了297 亿美元的损失。2005年,拒绝式服务(DoS)攻击导致的平均损失为 140余万美元,同 2004 年相比增长了五倍。
正是在这样的背景下,IPS设备才开始走入用户的安全采购菜单。从2004年以来,国内国外的IPS厂家使尽浑身解数,将IPS 的功能逐渐强化,特别是随着整合了入侵防御、VPN、防火墙、防病毒功能的UTM(统一威胁管理平台)的出现,IPS已经成为了国内用户现阶段安全采购的主要关注点。
IPS的发展有其必然性,从2002年开始,大多数传统的防火墙对于企业网络的安全,已经无法实施100%的控制,对于夹杂在合法内容中的可疑流量分析、DoS攻击、蠕虫病毒、间谍软件等威胁,几乎没有有效的反击措施。特别是大部分防火墙检查的层次主要集中在传输层以下,即使是优秀的防火墙也只能提供一小部分深度检测能力,对于大量出现的面向应用的攻击,根本无能为力。
也正是如此,采用实时在线方式的IPS设备被逐步使用。IPS针对企业深层应用进行防御,不仅可以实现对内容攻击行为的精确匹配,而且IPS采用在线检测的模式可以极大地保证采取防御手段的时间。
腾蒙公司的分析师表示,从2005年开始,一大批优秀的IPS厂家开始发展壮大,他们凭着对用户安全部署理念的理解,结合自身的优势,开发了众多的高端IPS产品。以目前国内市场比较受欢迎的Radware DefensePro为例,这种高端IPS主要具备了高性能、高安全、防DoS、快速更新的能力。
高性能 更安全
当年的高端IPS已经与早期产品不可同日而语。新型IPS产品从引擎设计和芯片结构上,大大提升了性能和扩展性。目前主流高端产品大都采用ASIC/FPGA/NP的设计方案,具备了性能强、可编程的优点。
一般的高端IPS需要能够提供3G的实时吞吐流量,深入检查数据包。通过隔离、拦截和预防攻击,从而实现即时、高性能的应用安全。如Radware DefensePro通过借助StringMatch硬件引擎,提供了独特的内置安全交换和高速深度包检测,从而确保对所有网路流量进行双向扫描,以便防范应用级的攻击。另外,在3G吞吐的基础上,DefensePro还提供极高的密度,单台主机可以保护多达11个网段。
为了确保这类高端IPS的带宽落到实处,这类产品一般要提供基于动态的流量控制。因为从传统意义上来说,增加更多的带宽可能只会提高对非关键应用的响应速度,而不能为最需要带宽的应用提供保证,特别是对于开展大量VoIP应用的企业,更加需要在安全的前提下对动态流量进行分配。为此,高端IPS产品普遍采用动态的流量控制,从而确保关键任务、应用的连续性,即使在遭受攻击的情况下,也可以实现端到端的带宽管理和服务质量控制(QoS),从而保证了服务水平协议并且提高了应用性能。
另外,IPS对高吞吐流量的整合功能,可以确保提供具有容错性和可扩展的入侵检测的功能。换句话说,在高吞吐的前提下,IDS检测器具有完全的可用性和得到彻底的优化,从而使得站点范围内的攻击防范成为可能。通过整合网络段的IDS 服务,避免了为在每个网络段部署检测器而要投入的高昂成本,同时也确保了全站点的IDS 性能不会受到任何某个检测器的性能限制。
目前高端IPS产品大都是在专用的高性能安全交换机的基础上构建的新一代安全设备。像StringMatch Engine安全加速器,就是由8个用来搜索字符串的 ASIC组成。可见,其设计出发点还是为了实现高性能的数据包深入检查,以便支持256000个并行模式的搜索。腾蒙公司的工程师认为,网络管理员通过使用此类设备,就可以非常容易地检测蠕虫、病毒和非正常流量模式,从而将攻击的威胁降至最低。
全面防范DoS
应该说,从2003年以来,对于DoS攻击的问题,一直是困扰网络用户的大事情。当前主流IPS厂家的DoS防御方式主要分为两类(以Syn Flood为例):
第一类是采用Syn Proxy(也可以采用Syn Cookie)的方式。在这种方式中,IPS设备中会设置一个Syn Proxy做代理,当外来的TCP Syn需要和企业Web服务器(或者数据库服务器)建立连接的时候,IPS中的Syn Proxy会首先和外来TCP Syn建立连接,同时发送Syn Ack贞。如果是真实的外部用户访问,则会回复一个Ack响应贞。当Syn Proxy收到响应后,就会认为三次握手成功,同时把连接中继给企业的Web服务器;但如果是Syn Flood攻击的半开连接,由于没有响应回复,就会被TCP Reset。如果攻击者利用大面积僵尸网络发起攻击,则会存在大量的真实连接,这就要求IPS必须具分配给Syn Proxy或Syn Cookie功能模块的处理资源足够多。
第二类是采用深度学习方式。首先IPS设备在In Line使用前,先作为Off Line状态进行流量学习。学习的目的是统计分析企业网的正常流量、常见外部访问地址等信息,并将这些信息建立一个散列表,这个过程最快可以在两天内完成。此后将IPS设为正常使用,这样即便遇到大量的僵尸网络攻击,IPS也可以根据日常学习的结果,优先保证常见外部地址的访问,缓解攻击的影响。
对于DoS的防御,用户也要根据自己的实际情况作出选择。如果用户面临的威胁很大,甚至是经常遭受团体攻击行为,则用户需要具有大量CPU周期资源和大量内存空间的IPS或防火墙来应对。因为在IPv4阶段,只有凭借大量的Syn IO能力,才能最大程度缓解攻击的影响。
另外,为了能够阻止可以致使企业网络瘫痪为目的的恶意操作,要求IPS必须实现对千兆位拒绝服务攻击的识别。
IPS选择之道
在选择IPS的时候,最好选择同时具备集成了上述两种防DoS攻击方式的产品,一方面通过基准性监视来检测流量方面的异常,用高级的取样方法提高性能。通常来说,IPS设备同时采用Syn Cookie对Syn Flood 进行高级防范,在不影响合法流量转发的情况下,最多可拦截100万个Syn的攻击(相当于500Mbps的攻击流量)。
对于现在的IPS设备,由于集成了庞大的攻击特征库,因此一个长期的更新支持势在必行。对于国际主流的高端IPS厂家,皆有自己的更新渠道与时间表。要知道,一个更新速度快的厂家,可以提供最大的ZERO DAY保护,确保用户的系统时刻处于安全之中,这对于IPS的高端应用来说,是必不可少的。
此外,这类高端IPS设备一般可以帮助用户实现检测实施攻击的对象和位置,完全把握攻击动向。特别是一旦检测到攻击,IPS能够起到将其隔离,限制其带宽,达到防止攻击消耗网络带宽的目的,通过流量控制来保证服务水平协议(SLA)。所以说,网络用户可以借助IPS部署分布式安全应用,以便在多个网段之间实施安全防护。
高端IPS需要针对高危攻击提供紧急快速更新服务,也就是说,从公司层面进行24×7小时的SOC扫描,从最权威的安全信息源获取信息,如CERT、Whitehats、Bugtraq、CVE.mitre,等等,以便每周实现安全数据库的更新。
对于国内的IPS用户来说,选择一家负责任的厂商,代表了用户可以在任何时间定制现有IPS设备的过滤器,特别是可以通过厂商的热线,及时反馈攻击信息,保护自身的系统。另外,很多IPS设备都会定期自动链接到设备生产公司的网站进行检查,以了解是否有新的攻击特征,一旦提供了新的攻击特征,用户就会立即得到通知,为防范攻击,建立完善的安全体制提供保障。