今天和大家聊一聊如何有效的部署和操作IDPS��。顧名思義����,對(duì)于安全事態(tài)來說��,IDPS 是一種事前檢測(cè)并主動(dòng)防御的安全設(shè)備����。
IDPS
為了防范惡意活動(dòng)而監(jiān)視系統(tǒng)的入侵檢測(cè)系統(tǒng) IDS 和入侵防御系統(tǒng) IPS 的軟件應(yīng)用或設(shè)備,IDS 僅能對(duì)發(fā)現(xiàn)的這些活動(dòng)予以報(bào)警�,而 IPS 則有能力阻止某些檢測(cè)到的入侵。
IDPS是什么�����?
部署目的
部署入侵檢測(cè)和防御系統(tǒng) ( IDPS ) 的目的是被動(dòng)監(jiān)視、檢測(cè)和記錄不適當(dāng)?shù)����、不正確的、可能產(chǎn)生風(fēng)險(xiǎn)的�����,或者異常的活動(dòng)����,當(dāng)有可能入侵的活動(dòng)被檢測(cè)到時(shí),IDPS 會(huì)發(fā)出報(bào)警或自動(dòng)響應(yīng)��。我們可以通過獲取 IDPS 軟件和硬件產(chǎn)品來部署 IDPS����,當(dāng)然也可以直接通過 IDPS 服務(wù)廠商提供外包 IDPS 能力的方式部署 IDPS���。
關(guān)鍵詞
監(jiān)測(cè)�����、分析�����、響應(yīng)
類型
一般來說�,IDPS 分為兩種類型,一種是基于網(wǎng)絡(luò)的 IDPS ( NIDPS ) �����,另一種是基于主機(jī)的 IDPS ( HIDPS ) ����,各有不同的特征。
NIDPS:監(jiān)視特定網(wǎng)絡(luò)段或設(shè)備的網(wǎng)絡(luò)流量�����,通過分析網(wǎng)絡(luò)和應(yīng)用協(xié)議活動(dòng)來識(shí)別可疑活動(dòng) ;
HIDPS:監(jiān)視單個(gè)主機(jī)及發(fā)生在主機(jī)中的事件特征����,通過三種基礎(chǔ)方法 ( 即基于特征檢測(cè)、基于異常統(tǒng)計(jì)檢測(cè)�����、狀態(tài)協(xié)議分析檢測(cè) ) 對(duì)可疑活動(dòng)進(jìn)行檢測(cè)分析�。
那么基于主機(jī)和基于網(wǎng)絡(luò)的入侵一般發(fā)生在哪些方面�。
因此�,在部署 IDPS 時(shí),從安全角度考慮���,我們一般都會(huì)把 NIDPS 和 HIDPS 結(jié)合在一起使用����,達(dá)到更好的安全事態(tài)覆蓋和報(bào)警分析的能力����。
部署時(shí)值得注意的是:
部署一階段
想要選到符合公司自身需求的 IDPS 產(chǎn)品是非常不容易的,為什么這么說 ? 因?yàn)楝F(xiàn)在市面上的 IDPS 產(chǎn)品太多�����,并且產(chǎn)品之間可能存在不兼容的情況����,這就需要通過集成��,所以也就提高了部署的難度。
從前����,我們可以在低成本主機(jī)上部署免費(fèi)的 IDPS 產(chǎn)品,隨著信息化的發(fā)展��,當(dāng)前用的都是依靠最新硬件支撐的昂貴商用系統(tǒng)���。
在選擇 IDPS 之前��,至少要做三件事情:
第一件����,公司需要做一個(gè)全面的信息安全風(fēng)險(xiǎn)評(píng)估���,針對(duì)可能存在的脆弱性和威脅進(jìn)行識(shí)別����,再基于風(fēng)險(xiǎn)評(píng)估和資產(chǎn)保護(hù)優(yōu)先級(jí) ( 確定優(yōu)先保護(hù)什么資產(chǎn) ) 來考慮部署 IDPS�,為 IDPS 提供的功能提供需求基礎(chǔ)。
至少需要收集的系統(tǒng)環(huán)境信息包括:
第二件��,識(shí)別當(dāng)前已經(jīng)有的安全保護(hù)機(jī)制���。
例如:
第三件���,考慮 IDPS 的性能����。
一般考慮因素有以下 5 個(gè):
在某些時(shí)候���,當(dāng)帶寬或網(wǎng)絡(luò)流量增加時(shí)����,許多 IDPS 將不再能夠有效和持續(xù)地檢測(cè)入侵�,會(huì)導(dǎo)致錯(cuò)過或者漏掉可能是攻擊的流量包。有此屬性的 IDPS 不建議考慮����。
部署二階段
確定 IDPS 的安全策略,該階段需要確定幾件事情��,如下:
對(duì)什么信息資產(chǎn)進(jìn)行監(jiān)視 ;
需要什么類型的 IDPS;
部署在什么位置能滿足公司安全需求 ;
要檢測(cè)什么類型的攻擊 ;
要記錄什么類型的信息 ;
未成功打開或未成功關(guān)閉情形采取什么策略 ;
檢測(cè)到攻擊時(shí)能提供什么類型的響應(yīng)或報(bào)警����。
注:當(dāng)前一般可采用的報(bào)警策略包括電子郵件、網(wǎng)頁���、短信系統(tǒng) ( SMS ) �����、SNMP 事態(tài)以及攻擊源的自動(dòng)阻止���。
上面我們聊過,現(xiàn)在基于硬件支撐的 IDPS 非常昂貴����,想必沒有哪個(gè)公司會(huì)在每臺(tái)主機(jī)上都部署 HIDPS,只能在關(guān)鍵主機(jī)上部署����,并且部署時(shí)建議根據(jù)風(fēng)險(xiǎn)分析結(jié)果和成本效益兩個(gè)因素進(jìn)行優(yōu)先級(jí)排序,當(dāng) HIDPS 部署在所有或者相當(dāng)大數(shù)量的主機(jī)上時(shí)�����,應(yīng)該部署具備集中管理和報(bào)告功能的 IDPS����,這樣可以降低對(duì) HIDPS 報(bào)警實(shí)施管理的復(fù)雜度�����。
在部署 NIDPS 時(shí)���,主要考慮將系統(tǒng)傳感器放置在哪個(gè)位置比較合適,一般來說����,可部署在:
典型的 NIDPS 部署如圖:
1. 位于外部防火墻之內(nèi)的 NIDPS
優(yōu)點(diǎn):
識(shí)別源于外部網(wǎng)絡(luò)����、已經(jīng)滲入防護(hù)邊界的攻擊
能幫助檢測(cè)防火墻配置策略上的錯(cuò)誤
監(jiān)視針對(duì) DMZ ( 非軍事區(qū) ) 中系統(tǒng)的攻擊
能被配置為檢測(cè)源于組織內(nèi)部、針對(duì)外部目標(biāo)的攻擊
缺點(diǎn):
由于其接近于外部網(wǎng)絡(luò)�����,不能作為強(qiáng)保護(hù)
不能監(jiān)視防火墻阻止 ( 過濾掉 ) 的攻擊
2. 位于外部防火墻之外的 NIDPS
允許對(duì)源于外部網(wǎng)絡(luò)的攻擊的數(shù)量和類型進(jìn)行文件化管理
可以發(fā)現(xiàn)未被防火墻阻止 ( 過濾掉 ) 的攻擊
可減輕拒絕服務(wù)攻擊的影響
在與位于外部防火墻內(nèi)部的 IDPS 合作的情況下,IDPS 配置能評(píng)估防火墻的有效性
當(dāng)傳感器位于網(wǎng)絡(luò)安全邊界之外時(shí)�,它受制于攻擊本身,因此需要一個(gè)加固的隱形設(shè)備
在此位置上產(chǎn)生的大量數(shù)據(jù)����,使得分析已收集的 IDPS 數(shù)據(jù)非常困難
IDPS 傳感器和管理平臺(tái)的交互作用要求在防火墻中打開額外的突破口����,導(dǎo)致存在外部訪問到管理控制臺(tái)的可能
3. 位于重要骨干網(wǎng)絡(luò)上的 NIDPS
監(jiān)視大量的網(wǎng)絡(luò)流量,因此提高了發(fā)現(xiàn)攻擊的可能性
在 IDPS 支持一個(gè)重要骨干網(wǎng)絡(luò)的情況下�����,在拒絕服務(wù)攻擊對(duì)關(guān)鍵子網(wǎng)造成破壞之前�����,具備了阻止它們的能力
在組織的安全邊界內(nèi)部檢測(cè)授權(quán)用戶的未授權(quán)活動(dòng)
識(shí)別不到子網(wǎng)上主機(jī)對(duì)主機(jī)的攻擊
捕獲和存儲(chǔ)敏感的或保密性數(shù)據(jù)的風(fēng)險(xiǎn)
IDPS 將會(huì)處理大量數(shù)據(jù)
檢測(cè)不到不通過骨干網(wǎng)絡(luò)的攻擊
檢測(cè)不到不通過骨干網(wǎng)絡(luò)的攻擊
4. 位于關(guān)鍵子網(wǎng)上的 NIDPS
監(jiān)視針對(duì)關(guān)鍵系統(tǒng)���、服務(wù)和資源的攻擊
允許有限資源聚焦于最大價(jià)值的網(wǎng)絡(luò)資產(chǎn)上
子網(wǎng)間相互關(guān)聯(lián)的安全事態(tài)問題
如果報(bào)警沒有在專用網(wǎng)絡(luò)上傳輸�,IDPS 相關(guān)的流量可增加關(guān)鍵子網(wǎng)上的網(wǎng)絡(luò)負(fù)載
如果配置不正確����,IDPS 可捕獲和存儲(chǔ)敏感信息,并在未指定路徑的情況下訪問這些信息
部署三階段
對(duì) IDPS 進(jìn)行數(shù)據(jù)保護(hù)�����。
IDPS 數(shù)據(jù)庫存儲(chǔ)了大量與公司信息基礎(chǔ)設(shè)施內(nèi)發(fā)生的可疑活動(dòng)和攻擊相關(guān)的所有數(shù)據(jù),所以���,需要對(duì)該部分?jǐn)?shù)據(jù)進(jìn)行安全防護(hù)��。
可采取的措施如下:
對(duì)存儲(chǔ)的 IDPS 數(shù)據(jù)進(jìn)行加密 ;
適當(dāng)配置數(shù)據(jù)庫���,比如:使用訪問控制機(jī)制 ;
使用校驗(yàn)碼對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行完整性校驗(yàn) ;
對(duì)數(shù)據(jù)庫以及備份程序進(jìn)行技術(shù)維護(hù) ;
對(duì)運(yùn)行 IDPS 數(shù)據(jù)庫的系統(tǒng)進(jìn)行充分加固以抵抗?jié)B透 ;
連接 IDPS 到以太網(wǎng)集線器或者交換機(jī)的嗅探 ( 只接收 ) 電纜 ;
單獨(dú)的 IDPS 管理網(wǎng)絡(luò)線路的實(shí)施 ;
定期對(duì) IDPS 和連接系統(tǒng)進(jìn)行脆弱性評(píng)估和滲透測(cè)試。
注:考慮到安全因素��,建議把日志存儲(chǔ)在單獨(dú)的日志主機(jī)上��,放本地的話容易被越權(quán)操作���。
部署四階段
在部署完成后���,需要對(duì) IDPS 進(jìn)行調(diào)試。
在確定 IDPS 報(bào)警的特性���、何時(shí)及如何使用 IDPS 報(bào)警特性����,并且對(duì)這些特性進(jìn)行日常調(diào)整。比如����,可以將脆弱性評(píng)估數(shù)據(jù)和系統(tǒng)補(bǔ)丁級(jí)別與 IDPS 報(bào)警配置進(jìn)行比較。
在這種情況下�,網(wǎng)絡(luò)發(fā)現(xiàn)工具和流量分析器的使用可進(jìn)一步提高價(jià)值,并進(jìn)一步調(diào)整報(bào)警規(guī)則���。
當(dāng)然,同其他網(wǎng)絡(luò)設(shè)備一樣����,許多 IDPS 存在安全弱點(diǎn),如發(fā)送未加密的日志文件���、限制訪問控制和缺乏對(duì)日志文件的完整性檢查�����。解決辦法是以一種安全的方式實(shí)施 IDPS 傳感器和控制平臺(tái)���,并處理 IDPS 的潛在弱點(diǎn)。
作為網(wǎng)絡(luò)安全事態(tài)的事前檢測(cè)和防御系統(tǒng),IDPS 通常會(huì)產(chǎn)生大量的輸出���,包括一些沒有價(jià)值的報(bào)警信息和會(huì)產(chǎn)生嚴(yán)重影響的報(bào)警信息���,所以必須將這些信息區(qū)分開。
一般來講�����,IDPS 所檢測(cè)到的攻擊信息內(nèi)容包括: ( 一些 IDPS 提供了比較詳細(xì)的信息 )
檢測(cè)到攻擊的時(shí)間或日期
檢測(cè)到攻擊的傳感器 IP 地址
攻擊名稱
源 IP 和目的 IP 地址
源端口號(hào)和目的端口號(hào)
用于攻擊的網(wǎng)絡(luò)協(xié)議
易受到攻擊的軟件類型和版本號(hào)的列表
相關(guān)補(bǔ)丁的列表
攻擊的文本描述
攻擊利用的脆弱性類型
在收到 IDPS 發(fā)出的報(bào)警時(shí)�,一般由公司的應(yīng)急響應(yīng)團(tuán)隊(duì)根據(jù)安全態(tài)勢(shì)的緊急程度作出相應(yīng)的安全響應(yīng),并在事后制作安全事件報(bào)告�����。
至于 IDPS 設(shè)備本身�,也有主動(dòng)響應(yīng)和被動(dòng)響應(yīng)的屬性。
1. 主動(dòng)響應(yīng)
主動(dòng)響應(yīng)是當(dāng) IDPS 檢測(cè)到攻擊活動(dòng)的會(huì)自動(dòng)采取行動(dòng)��,提供主動(dòng)響應(yīng)的入侵檢測(cè)系統(tǒng)也稱為入侵防御系統(tǒng) ( IPS ) �����。主動(dòng)響應(yīng)內(nèi)容如下:
收集可疑攻擊的附加信息 ;
變更系統(tǒng)環(huán)境�����,阻止攻擊 ;
報(bào)警之后不需要人為參與,IPS 采取防御措施�����,主動(dòng)拒絕通信和 ( 或 ) 終止通信會(huì)話����。
IPS 和 IDS 有很多相似的功能,如包檢測(cè)����、協(xié)議確認(rèn)���、攻擊特征匹配和狀態(tài)分析�����。然而�,每個(gè)設(shè)備的部署均有不同的目的�。
IPS 代表了保護(hù)能力和入侵檢測(cè)能力的結(jié)合,它首先檢測(cè)攻擊�,接著以靜態(tài)或者動(dòng)態(tài)的方式防范攻擊�。換句話說�,IPS 通過排除惡意網(wǎng)絡(luò)流量為信息資產(chǎn)提供保護(hù),并繼續(xù)允許合法活動(dòng)發(fā)生��。
2. 被動(dòng)響應(yīng)
被動(dòng)響應(yīng)是當(dāng)攻擊發(fā)生時(shí)�����,僅提供攻擊的信息����,需要人工提出指示才會(huì)采取后續(xù)動(dòng)作。被動(dòng)響應(yīng)的內(nèi)容有:
報(bào)警和通知���,通常是屏幕報(bào)����、彈出窗口和傳呼或手機(jī)信息 ;
配置 SNMP 陷阱�,以響應(yīng)中央管理控制臺(tái)。
IDPS 安全伴侶
部署 IDPS 并不能完全保證信息系統(tǒng)不受攻擊���,網(wǎng)絡(luò)能夠安全運(yùn)行���,為了加強(qiáng)公司的安全自控能力�����,建議考慮部署以下安全設(shè)備共同防護(hù)���。
1. 防火墻或安全網(wǎng)關(guān)
防火墻主要功能是限制網(wǎng)絡(luò)間的訪問,例如:如果公司只希望接受電子郵件服務(wù)器 ( 端口號(hào) 25 ) 或者 web 服務(wù)器 ( 端口號(hào) 80 ) 的流量����,就可以通過防火墻實(shí)現(xiàn)。當(dāng)防火墻位于一個(gè)封閉區(qū)域內(nèi)時(shí)��,可以減少 NIDPS 需要檢查的流量�。
2. 網(wǎng)絡(luò)蜜罐
蜜罐用來欺騙、分散�、轉(zhuǎn)移及引誘攻擊者在看似有價(jià)值的信息上花費(fèi)時(shí)間,但這些信息實(shí)際上是捏造的��,對(duì)合法用戶來說沒有一點(diǎn)價(jià)值���。蜜罐的主要目的是收集對(duì)組織有威脅的信息,并引誘入侵者遠(yuǎn)離關(guān)鍵系統(tǒng)���。
3. 文件完整性檢查器
文件完整性檢查器主要利用關(guān)鍵文件和對(duì)象的信息摘要或者其它的加密校驗(yàn)碼���,與參考值相比較�,標(biāo)記差異或者變更��。由于攻擊者經(jīng)常會(huì)修改系統(tǒng)文件��,在攻擊的三個(gè)階段使用加密校驗(yàn)碼是很重要的����。
第一階段,攻擊者修改了作為攻擊目標(biāo)的系統(tǒng)文件 ( 例如��,放置木馬 ) ���。
第二階段�����,攻擊者試圖在系統(tǒng)內(nèi)留下后門�,以便隨后能重新進(jìn)入��。
最后階段���,攻擊者試圖掩蓋痕跡����,使得系統(tǒng)責(zé)任人可能意識(shí)不到攻擊。
4. 網(wǎng)絡(luò)管理工具
網(wǎng)絡(luò)管理工具通過收集網(wǎng)絡(luò)部件和拓?fù)湫畔磉M(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施配置和管理的功能�。該工具與 IDPS 報(bào)警的相互關(guān)聯(lián)可幫助 IDPS 操作者恰當(dāng)?shù)奶幚韴?bào)警并對(duì)他們所監(jiān)視系統(tǒng)的影響做出分析。
5. 脆弱性評(píng)估工具
脆弱性評(píng)估是風(fēng)險(xiǎn)評(píng)估必要的組成部分�,脆弱性評(píng)估工具用來測(cè)試網(wǎng)絡(luò)主機(jī)對(duì)危險(xiǎn)的易感性。脆弱性評(píng)估工具結(jié)合 IDPS 使用�,不管是在攻擊檢測(cè)還是攻擊反應(yīng)方面,都為檢查 IDPS 的有效性提供了幫助��。
脆弱性評(píng)估工具分為基于主機(jī)或基于網(wǎng)絡(luò)的類型�。基于主機(jī)的脆弱性工具通過查詢數(shù)據(jù)源 ( 如文件內(nèi)容 ) ���、配置細(xì)節(jié)和其他狀態(tài)信息�����,來評(píng)估信息系統(tǒng)的安全����。
基于主機(jī)的工具允許訪問目標(biāo)主機(jī)��,通過遠(yuǎn)程連接在主機(jī)上運(yùn)行��������;诰W(wǎng)絡(luò)的脆弱性工具是用來掃描與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的主機(jī)的脆弱性��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
