不管人们对入侵防御系统(IPS)信还是不信,反正在国际上,IPS厂商在不断改进IPS产品,而顾客也在不断购买它。
“别去买入侵检测系统(IDS)!”Gartner的分析家在2002年8月的一项研究评论中这样向用户建议。这位分析家特别指出: “IDS未能提供另一层安全,反而还会给公司的安全操作增添麻烦。”他建议公司应该考虑选择入侵防御系统(IPS)。这项研究评论提到了2002年安全市场上讨论得沸沸扬扬的一个问题:既然可以阻断攻击,干嘛只是检测呢?
传统的IDS只能在旁路上通过探测经过交换端口的数据包,以被动方式监控数据流量;而IPS则能够实时阻断攻击,它不是旁路安装而是在线安装,因此能主动截获并转发数据包。借助于在线方式,IPS可根据设定的策略丢弃数据包或拒绝连接。传统IDS的响应机制非常有限,比如只能做到对TCP连接复位或者请求更改防火墙规则等。
但是,IPS产品只是IDS的逐步演进呢还是两者全然不同?这要看你在问哪家厂商,它们又在销售什么产品。
“Gartner认为,IPS是下一代IDS,IPS可能会成为下一代防火墙。” IDS厂商Sourcefire的创办人马蒂·罗施说。罗施编写了著名的Snort IDS软件,这种基于规则的开放源代码程序可用于编写检测特征。罗施坚持认为,IDS和IPS是两种互不相同的技术。“IPS侧重访问控制,IDS侧重网络监控。IPS注重实施策略,IDS注重安全审查。IDS的职责不是保护网络,而是告诉你网络的安全状况。”
但这番话在更广泛的安全市场得不到认同。Infonetics调研公司的执行主任杰夫·威尔逊说:“普通人并不想仅仅监控流量、检查数据,或者根据已检测到的攻击更改规则或策略,而是想阻止攻击。”
其他老牌IDS厂商已发觉了市场的这种观点。克里斯·克劳斯是IDS主要厂商ISS 的CTO兼创办人之一。他说:“我们在迅速开发具有防御而不仅仅是检测功能的产品。”克劳斯强调,这一概念涵盖防御和检测两项技术,为此,ISS利用在线狙击攻击的基于网络和主机的IPS技术,增强了其旗舰产品RealSecure IDS的功能。
这个产品系列的佼佼者是RealSecure Guard,这是ISS在2001年收购NetworkICE公司而获得的软件IPS。只要装到服务器上,Guard就直接在线安装在某网段上,它依赖协议异常检测来发现漏洞,并在攻击到达目的主机之前实时丢弃策略。
IDS市场的第二大厂商思科称,目前,“防御”更多的只是一种营销策略,而不是实际产品。但这仅仅是因为该公司还没有推出自己的IPS产品。“我们的设想是,一旦解决了IDS的准确性问题,就能提供防御功能。”思科的安全设备经理约耳·麦克法兰说。
宣传检测防御产品最积极的厂商还有IntruVert和Tipping Point科技两家新兴的公司,防火墙重量级厂商NetScreen科技公司反倒紧随其后。三家公司都推出了硬件设备,希望能够取代传统的被动型IDS。
澄清概念
被动型:传统的入侵检测系统(IDS)的自动响应能力非常有限,除了向管理员发出警报外,IDS试图对目标主机或攻击机上的TCP连接进行复位,或者重新配置防火墙或路由器,以拒绝连接(1)。
主动型:然而,复位命令或规则变更的出现可能不够快,以至于无法阻止攻击流量到达目标设备。在防御检测器位于传输通路中,能够截获并转发通信流,从而可以自动消除攻击,方式酷似防火墙(2)。
如上所述,检测防御(IPS)有别于传统的入侵检测(IDS)主要体现在两大方面: 自动阻断攻击和在线安装的位置(如图所示)。其实,这两方面缺一不可。IPS防御设备必须设定策略,才能自动对攻击做出响应,而不是只向管理员发出警报,却任由攻击流量继续进入网络。而自动响应机制要发挥作用,IPS产品就必须在线安装。
IntruVert负责产品营销和业务管理的副总裁拉吉·丁格拉说:“如果黑客企图与目标服务器建立会话,所有数据都必须通过位于数据通路的IPS检测器。检测器能够发现数据流里面的攻击代码、核查策略,然后在将数据包转发给服务器之前,将有害的数据包或数据流丢弃。因为是在线安装,这是对付网络滥用现象的最有效的方法。”
他拿这种方案与普通的IDS响应机制,如TCP复位做了比较。传统的IDS也能检测到数据包里的攻击代码,但这是因为IDS只是以被动方式检测数据流量,却无法阻止数据流量。IDS必须往数据流中加入TCP数据包,然后对目标服务器上的会话进行复位。然而,攻击流却可能在TCP复位数据包到达之前已经全部到达目标服务器,这样一来,IDS的响应为时已晚。
重新配置防火墙规则也是如此。被动的IDS可能会检测到攻击代码,然后向防火墙发出封阻会话的请求,但同样,这种请求可能来得太晚,因而无法防御攻击。
当然,把某个设备直接在线安装在网络流量中,会给防御系统增添负担。防御系统不能给数据传输带来时延,否则就会成为网络上的瓶颈。IPS必须以线速进行数据分析,然后实施策略。Infonetics的威尔逊说:“这个问题关系到厂商的技术和硬件制造水平。”
IntruVert、Tipping Point和NetScreen销售的IPS产品都是硬件设备。IntruVert和Tipping Point还利用专门针对安全的ASIC芯片增强产品的性能,这样数据包分析速度就会快于通用处理器。两家公司提供的高端设备都声称能以高达2Gbps的速度处理流量。
收购了OneSecure公司的IPS技术的NetScreen还没有把这项技术应用到基于ASIC的自有平台上。NetScreen-IPD 100拥有快速以太网接口,最高吞吐率为200Mbps,其500型拥有千兆以太网接口,最高吞吐率可达500Mbps。
小心选择
IDS和IPS的作用都完全取决于检测引擎。实际上,IPS在准确性方面的压力更大,因为误报可能会阻断合法的网络事务处理,从而导致数据丢失、业务丢失、用户不信任系统等情况。
为了避免这种结果,IDS和IPS厂商现正在运用多种检测方法,尽量提高产品发现已知和未知攻击的准确性(如表所示)。比如,赛门铁克从Recourse公司收购来的ManHunt IDS最初曾完全依赖协议异常,而在后几个版本中,则允许管理员导入Snort特征,以便增强异常检测功能。思科最近也升级了IDS软件,为基于特征的检测系统增添了协议和流量异常检测功能。NetScreen的设备中声称拥有八种检测方法,其中包括状态特征、协议和流量异常以及后门检测。
Snort系统值得一提,因为这种基于规则的特征编写方案用的是开放源代码。 Snort特征有利于提高根据特定操作环境调整IDS的灵活性。“我可以编写与自己的网络完全相符的IDS规则集,而不是用千篇一律的检测方法。” Snort开发者罗施说。“许多商业IDS特征只有两种功能:开或关。你无法根据自己的网络改变检测方法。”
罗施举例说明:“如果你有一个匿名FTP服务器,我可以编写这样的规则:如果有谁试图以匿名或FTP以外的方式登录到该服务器,就发出警报。你在大多数其他IDS中无法实现这种功能。”
Snort特征对跨国公司Pentair的技术服务主管保罗·萨马达尼选择Sourcefire起到了重要影响。他在采用Sourcefire之前比较了好几种主要的IDS产品,现有65套Sourcefire检测器部署在全球各地。
萨马达尼说:“如果你没有完备的特征,也就没有良好的检测功能。我喜欢自己编写特征。”他还强调,鉴于众多的Snort用户致力于IDS,特征库的更新非常快。他补充说:“万一Sourcefire失效,这一庞大的用户群也能够保护投资。Sourcefire事先给检测器添置了大约2000条规则,还含有协议异常检测模块。”
消除误报
虽然结合多种检测方法增加了IDS和IPS所能检测的攻击的数量和类型,但误报仍把厂商搞得焦头烂额。用户对IDS意见最大的就是误报。因担心IPS可能会封阻合法流量,这也阻碍了人们采用IPS产品。
目前普遍认为,消除误报的最佳办法就是借助上下文。也就是说,如果系统完全了解网络环境,引发的误报就会减少。
许多客户着眼于这种上下文转而求助于安全管理服务,安全管理服务提供商 Guardent的CTO杰里·布拉迪说:“我们认为许多检测器的准确性和性能没有重大区别,无论ISS、Enterasys、Snort还是其他,重要的是能够把防火墙日志、IDS数据、应用日志和脆弱性评估的内容联系起来,对当前状况及如何响应做出合理的评论。”他特别指出,对攻击后的恢复、解决导致攻击得逞的基本缺陷来说,这种详细了解网络环境的能力极为重要。
不过,产品厂商也在部署使管理员可以收集并利用上下文信息的技术,以提高IDS 的效果。思科声称,新的思科威胁响应(CTR)技术最多可以消除95%的误报。CTR是2002年10月思科从Psionic软件公司收购而来的,该软件放在IDS检测器和IDS管理控制台间的专用服务器上。如果检测器引发警报,CTR就会扫描目标主机,看看引发警报的攻击是否真的会造成影响。
比如说,倘若检测器检测到某台服务器受到了红色代码引起的缓冲器溢出攻击,CTR就会扫描该服务器,但如果目标主机是Linux服务器,CTR就会制止警报。这次活动会记录在IDS日志文件当中,但警报不会发给控制台。
思科称,可以配置CTR扫描功能以求简单、快速的分析,比如搜寻开放的端口、鉴别操作系统,或者寻找有效服务。CTR还可以进一步扫描注册表设置、事件日志和补丁状况,查明目标主机是否很脆弱。如果CTR查明目标很脆弱,或者攻击已得逞,就会重视该事件,将其列为控制台的重点监控对象。
如果这项技术取得成功,CTR可能会运用到在线安装的防御系统(IPS)中。思科称,一旦对检测功能的准确性觉得满意,公司就会推出此类防御系统。
慎重购买
说到投资购买,你会选购IDS还是IPS?在做出决定前,请考虑以下事项。
Guardent的布拉迪说:“我的确认为厂商的说法不切实际,这是受IDS影响的缘故。如果IPS设备做出错误决定,从而丢弃了正常流量,后果会相当严重。”
他强调,虽然IPS也许完全有可能阻止同类型的大规模攻击,但就防御针对单个目标的攻击者而言,效果估计不会那么明显。在铁了心的且知道自己在做什么的攻击者面前,自动防御无能为力。
布拉迪又说:“如果你关心的是入侵,自然会考虑IPS的阻断模式。如果你关心的是内含信用卡号码的数据库的安全问题,应该考虑如何对数据加密和加密数据的存储问题,而不是考虑在访问者与数据库之间放一个盒子的问题。”
客户应评估利用IPS能预防哪些风险,同时也要评估部署这种可能干扰网络正常运行的技术所带来的风险。别指望这种在线安装的防御系统会发挥神奇的功效,因为,没有哪一种防御设备会智能到知道某一Oracle数据库应用的各种变化的地步。也许它能发现缓冲区溢出攻击,但它并不能知道有人往某个账户中注入了大笔资金。
决定是否采用IPS之前,问一下自己是否设置了防火墙。如果不知道允许或禁止哪些流量进出网络,因而没有设置防火墙,就不要部署这种在线封阻的设备。如果你知道网段有哪些协议,而且对网络状况心里一清二楚,那么试用这种技术也无妨。但如果你不知道流量情况,还是先采用传统的IDS为好。
不过,一些厂商却称用户没必要在两者之间做惟一性选择。IntruVert的丁格拉说:“现在有种误解,以为IDS和IPS是两种不同产品,其实,行业只有一种产品——检测准确性高又能封阻攻击的产品。”
未来趋势
客户是否真正需要IDS具有防御功能呢?Infonetcis的威尔逊认为,绝对需要。据客户调查表明,客户首先要求IDS具备的特性就是阻断攻击的功能。威尔逊估计IDS市场在今后几年会急剧发展。据他的调查表明,IDS收入在去年第四季度超过1亿美元,预计到2006年,年收入有望达到16亿美元。
威尔逊说,不过,推动市场发展的是具有攻击阻断功能的产品。不管乐意不乐意,IPS已经被普遍接受。但这是否意味着传统的IDS会销声匿迹呢?他说,未必如此。
威尔逊说:“某些情况下,你可能不想拒绝流量,但仍想知道流量状况。你可以提高防御系统的智能程度,但有些客户希望通过人来监控事件,以决定采取相应的措施。检测技术在市场总是有一席之地,但是,如果只注重检测,恐怕不会有前途。”
IDS和IPS各种检测方法的比较
