摘要: 【TT中国原创】三年多以前,我在大型学术网络上见证了试验性配置入侵防御系统(IPS)的情形。我们正在讨论的技术是一个顶级经销商(该经销商今天仍然存在)力荐的产品。该产品已经做了大量的销售广告,许诺消除所有的网络威胁,并且多年来首次使安全分析家高枕无忧。 ...
【TT中国原创】三年多以前,我在大型学术网络上见证了试验性配置入侵防御系统(IPS)的情形。我们正在讨论的技术是一个顶级经销商(该经销商今天仍然存在)力荐的产品。该产品已经做了大量的销售广告,许诺消除所有的网络威胁,并且多年来首次使安全分析家高枕无忧。
那么启动该系统后发生了什么情况呢?正如你所预料到的,在15分钟内,它就崩溃了了,在一个未过滤的网络连接上,被试图推行经销商所谓“最佳方式”的IPS信号所淹没。执行失败并与其它组织的同事交流以后,我们发现,显而易见,那时的企业还没有完全准备好配置IPS(或者,更好的说法是:IPS技术还不够成熟!)。
三年过去了,换了一些销售代表以后,还是那些经销商正忙于敲我们的门、打电话、承诺IPS市场已经“成熟”了,是时候再给这项技术一次机会了。今天的IPS设备能跟上高速网络连接,并且进程规则数据库变得更有效率。我不能确定技术本身是否已经成熟;但实际上,它并没有发生很大的变化。
入侵防御系统是入侵监测系统的一个基本扩展;它们可以监测到对网络的攻击,并且一旦监测到,可以准确阻止其到达目的地。这与入侵检测系统(IDS)形成对比,IDS允许攻击通过并随后提醒管理员。当然,不同的经销商已经加上了一些铃声和口哨声,比如IPS与网络设备交互的能力(防火墙、转换器等),这些功能可以在网络中的不同点实施执行准入控制决定。多年来,经销商已经添加了监测暂漏头角技术性攻击的能力,比如那些反VoIP系统或IPv6网络。
然而,一个成功的IPS产品归结到底是一个高质量的监测引擎和平稳的用户界面。核心技术与第一版Snort有惊人的类似度。Snort是一种流行的开源入侵检测系统,10年前,Sourcefire公司的创始者Martin Roesch向世界介绍了该系统。
尽管如此,我的确相信在过去三年间入侵防御系统的使用和采用已经发生了显著的变化。然而,标志性变化不在于新添加的特色,而是经销商和安全专业人士在配置和维护IPS时所采用的最佳方式。
这里有一些关于最佳方式的简单总结,您可以遵循以下几条,以成功实施IPS:
在“监控”模式下运行IPS,直到确定系统的配置合理。在企业网络中采用经销商授权的默认策略,简单地将其调为免除格式,进而配置IPS,这种做法是一个巨大的错误。(如果你忘记了这么做的理由,请重新阅读这篇文章的前两段!)在监控模式下配置设备更为安全,监控模式与IDS的运行方式相同。仔细观察,直到它正确地执行你企业的安全策略,让您满意为止。
仔细检查任何一个警告,留心误报检测信号,并且切记一旦你在这些任何一个规则中启用积极反应,那么这些连接确实会受到阻挡。这里关键的一步是:调试阶段投入大量的时间分析IPS警报。简单地数出误报数目是远远不够的。深入研究它们:如果两个误报就已经阻止了你的电子商务应用程序与销售数据库相连接,会怎么样呢?保全自己,谨防犯下导致职业生涯结束的错误。
保持“块”模式规则的数量在一个微小、精确的设置状态。最为成功的IPS配置使用了一种混合的IDS/IPS方法。只需要设置与极高信用率有关的规则便可,以阻止信息流横穿网络。比如,如果IPS检测出某个网外系统使用SSH探测器系统地搜索了你的地址空间,你绝对想要阻止该通道。过去几年间,经销商也已经对这种忠告熟悉起来。现在,大多数经销商推荐“块”规则的一小核心组,同时将其余的保留在典型的IDS警戒模式。这是一种谨慎的态度,能够显著提高你成功配置IPS的可能性。
考虑使用应急开放设备。IPS的另一个缺点是为了在“块”模式中运行,设备在物理上必须是内嵌的。正如任何网络工程师告诉你的,内嵌设备的数量越少越好。在网络中增加单点故障是存在的一个问题,此外,当出现一些尚未找出原因的问题时,这就为其他任何人提供了指责安全小组的机会。
阻止这些问题发生的方法之一是在IPS上使用应急开放技术。这样,如果设备失去作用,它就像一根直铜线,不会导致整个网络中断。如果预算允许的话,也可以考虑将备用IPS设备配置为高可用性模式。
总之,毋庸置疑,IPS市场在过去三年中已经变得成熟了。这些变化不仅仅体现在技术本身之中,而且体现在其配置和操作方式上。现在,经过恰当的管理,IPS设备在企业安全构架中可以起到重大作用。