小師妹聊如何部署IDPS
今天想和大家聊一聊如何有效的部署和操作IDPS。顧名思義,對于安全事態來說,IDPS是一種事前檢測并主動防御的安全設備。
小師妹系列前傳:
首先還是對IDPS做一個書面解釋吧!
IDPS
為了防范惡意活動而監視系統的入侵檢測系統IDS和入侵防御系統IPS的軟件應用或設備,IDS僅能對發現的這些活動予以報警,而IPS則有能力阻止某些檢測到的入侵。
部署目的
部署入侵檢測和防御系統(IDPS)的目的是被動監視、檢測和記錄不適當的、不正確的、可能產生風險的,或者異常的活動,當有可能入侵的活動被檢測到時,IDPS會發出報警或自動響應。我們可以通過獲取IDPS軟件和硬件產品來部署IDPS,當然也可以直接通過IDPS服務廠商提供外包IDPS能力的方式部署IDPS。
關鍵詞
監測、分析、響應
類型
一般來說,IDPS分為兩種類型,一種是基于網絡的IDPS(NIDPS),另一種是基于主機的IDPS(HIDPS),各有不同的特征。
- NIDPS:監視特定網絡段或設備的網絡流量,通過分析網絡和應用協議活動來識別可疑活動;
- HIDPS:監視單個主機及發生在主機中的事件特征,通過三種基礎方法(即基于特征檢測、基于異常統計檢測、狀態協議分析檢測)對可疑活動進行檢測分析。
- 聊到這里,我們可以再來了解一下,基于主機和基于網絡的入侵一般發生在哪些方面。
因此,在部署IDPS時,從安全角度考慮,我們一般都會把NIDPS和HIDPS結合在一起使用,達到更好的安全事態覆蓋和報警分析的能力。
部署時值得注意的是:
部署一階段
想要選到符合公司自身需求的IDPS產品是非常不容易的,為什么這么說?因為現在市面上的IDPS產品太多,并且產品之間可能存在不兼容的情況,這就需要通過集成,所以也就提高了部署的難度。
從前,我們可以在低成本主機上部署免費的IDPS產品,隨著信息化的發展,當前用的都是依靠新硬件支撐的昂貴商用系統。
在選擇IDPS之前,至少要做三件事情:
- 第一件,公司需要做一個全面的信息安全風險評估,針對可能存在的脆弱性和威脅進行識別,再基于風險評估和資產保護優先級(確定優先保護什么資產)來考慮部署IDPS,為IDPS提供的功能提供需求基礎。
至少需要收集的系統環境信息包括:
- 第二件,識別當前已經有的安全保護機制。
例如:
- 第三件,考慮IDPS的性能。
一般考慮因素有以下5個:
在某些時候,當帶寬或網絡流量增加時,許多IDPS將不再能夠有效和持續地檢測入侵,會導致錯過或者漏掉可能是攻擊的流量包。有此屬性的IDPS不建議考慮。
部署二階段
確定IDPS的安全策略,該階段需要確定幾件事情,如下:
- 對什么信息資產進行監視;
- 需要什么類型的IDPS;
- 部署在什么位置能滿足公司安全需求;
- 要檢測什么類型的攻擊;
- 要記錄什么類型的信息;
- 未成功打開或未成功關閉情形采取什么策略;
- 檢測到攻擊時能提供什么類型的響應或報警。
注:當前一般可采用的報警策略包括電子郵件、網頁、短信系統(SMS)、SNMP事態以及攻擊源的自動阻止。
上面我們聊過,現在基于硬件支撐的IDPS非常昂貴,想必沒有哪個公司會在每臺主機上都部署HIDPS,只能在關鍵主機上部署,并且部署時建議根據風險分析結果和成本效益兩個因素進行優先級排序,當HIDPS部署在所有或者相當大數量的主機上時,應該部署具備集中管理和報告功能的IDPS,這樣可以降低對HIDPS報警實施管理的復雜度。
在部署NIDPS時,主要考慮將系統傳感器放置在哪個位置比較合適,一般來說,可部署在:
典型的NIDPS部署如圖:
1. 位于外部防火墻之內的NIDPS
優點:
- 識別源于外部網絡、已經滲入防護邊界的攻擊
- 能幫助檢測防火墻配置策略上的錯誤
- 監視針對DMZ(非軍事區)中系統的攻擊
- 能被配置為檢測源于組織內部、針對外部目標的攻擊
缺點:
- 由于其接近于外部網絡,不能作為強保護
- 不能監視防火墻阻止(過濾掉)的攻擊
2. 位于外部防火墻之外的NIDPS
優點:
- 允許對源于外部網絡的攻擊的數量和類型進行文件化管理
- 可以發現未被防火墻阻止(過濾掉)的攻擊
- 可減輕拒絕服務攻擊的影響
- 在與位于外部防火墻內部的IDPS合作的情況下,IDPS配置能評估防火墻的有效性
缺點:
- 當傳感器位于網絡安全邊界之外時,它受制于攻擊本身,因此需要一個加固的隱形設備
- 在此位置上產生的大量數據,使得分析已收集的IDPS數據非常困難
- IDPS傳感器和管理平臺的交互作用要求在防火墻中打開額外的突破口,導致存在外部訪問到管理控制臺的可能
3. 位于重要骨干網絡上的NIDPS
優點:
- 監視大量的網絡流量,因此提高了發現攻擊的可能性
- 在IDPS支持一個重要骨干網絡的情況下,在拒絕服務攻擊對關鍵子網造成破壞之前,具備了阻止它們的能力
- 在組織的安全邊界內部檢測授權用戶的未授權活動
- 識別不到子網上主機對主機的攻擊
缺點:
- 捕獲和存儲敏感的或保密性數據的風險
- IDPS將會處理大量數據
- 檢測不到不通過骨干網絡的攻擊
- 檢測不到不通過骨干網絡的攻擊
4. 位于關鍵子網上的NIDPS
優點:
- 監視針對關鍵系統、服務和資源的攻擊
- 允許有限資源聚焦于最大價值的網絡資產上
缺點:
- 子網間相互關聯的安全事態問題
- 如果報警沒有在專用網絡上傳輸,IDPS相關的流量可增加關鍵子網上的網絡負載
- 如果配置不正確,IDPS可捕獲和存儲敏感信息,并在未指定路徑的情況下訪問這些信息
部署三階段
對IDPS進行數據保護。
IDPS數據庫存儲了大量與公司信息基礎設施內發生的可疑活動和攻擊相關的所有數據,所以,需要對該部分數據進行安全防護。
可采取的措施如下:
- 對存儲的IDPS數據進行加密;
- 適當配置數據庫,比如:使用訪問控制機制;
- 使用校驗碼對存儲的數據進行完整性校驗;
- 對數據庫以及備份程序進行技術維護;
- 對運行IDPS數據庫的系統進行充分加固以抵抗滲透;
- 連接IDPS到以太網集線器或者交換機的嗅探(只接收)電纜;
- 單獨的IDPS管理網絡線路的實施;
- 定期對IDPS和連接系統進行脆弱性評估和滲透測試。
注:考慮到安全因素,建議把日志存儲在單獨的日志主機上,放本地的話容易被越權操作。
部署四階段
在部署完成后,需要對IDPS進行調試。
在確定IDPS報警的特性、何時及如何使用IDPS報警特性,并且對這些特性進行日常調整。比如,可以將脆弱性評估數據和系統補丁級別與IDPS報警配置進行比較。
在這種情況下,網絡發現工具和流量分析器的使用可進一步提高價值,并進一步調整報警規則。
當然,同其他網絡設備一樣,許多IDPS存在安全弱點,如發送未加密的日志文件、限制訪問控制和缺乏對日志文件的完整性檢查。解決辦法是以一種安全的方式實施IDPS傳感器和控制平臺,并處理IDPS的潛在弱點。
作為網絡安全事態的事前檢測和防御系統,IDPS通常會產生大量的輸出,包括一些沒有價值的報警信息和會產生嚴重影響的報警信息,所以必須將這些信息區分開。
一般來講,IDPS所檢測到的攻擊信息內容包括:(一些IDPS提供了比較詳細的信息)
- 檢測到攻擊的時間或日期
- 檢測到攻擊的傳感器IP地址
- 攻擊名稱
- 源IP和目的IP地址
- 源端口號和目的端口號
- 用于攻擊的網絡協議
- 易受到攻擊的軟件類型和版本號的列表
- 相關補丁的列表
- 攻擊的文本描述
- 攻擊利用的脆弱性類型
在收到IDPS發出的報警時,一般由公司的應急響應團隊根據安全態勢的緊急程度作出相應的安全響應,并在事后制作安全事件報告。
至于IDPS設備本身,也有主動響應和被動響應的屬性。
1. 主動響應
主動響應是當IDPS檢測到攻擊活動的會自動采取行動,提供主動響應的入侵檢測系統也稱為入侵防御系統(IPS)。主動響應內容如下:
- 收集可疑攻擊的附加信息;
- 變更系統環境,阻止攻擊;
- 報警之后不需要人為參與,IPS采取防御措施,主動拒絕通信和(或)終止通信會話。
IPS和IDS有很多相似的功能,如包檢測、協議確認、攻擊特征匹配和狀態分析。然而,每個設備的部署均有不同的目的。
IPS代表了保護能力和入侵檢測能力的結合,它首先檢測攻擊,接著以靜態或者動態的方式防范攻擊。換句話說,IPS通過排除惡意網絡流量為信息資產提供保護,并繼續允許合法活動發生。
2. 被動響應
被動響應是當攻擊發生時,僅提供攻擊的信息,需要人工提出指示才會采取后續動作。被動響應的內容有:
- 報警和通知,通常是屏幕報、彈出窗口和傳呼或手機信息;
- 配置SNMP陷阱,以響應中央管理控制臺。
IDPS安全伴侶
部署IDPS并不能完全保證信息系統不受攻擊,網絡能夠安全運行,為了加強公司的安全自控能力,建議考慮部署以下安全設備共同防護。
1. 防火墻或安全網關
防火墻主要功能是限制網絡間的訪問,例如:如果公司只希望接受電子郵件服務器(端口號25)或者web服務器(端口號80)的流量,就可以通過防火墻實現。當防火墻位于一個封閉區域內時,可以減少NIDPS需要檢查的流量。
2. 網絡蜜罐
蜜罐用來欺騙、分散、轉移及引誘攻擊者在看似有價值的信息上花費時間,但這些信息實際上是捏造的,對合法用戶來說沒有一點價值。蜜罐的主要目的是收集對組織有威脅的信息,并引誘入侵者遠離關鍵系統。
3. 文件完整性檢查器
文件完整性檢查器主要利用關鍵文件和對象的信息摘要或者其它的加密校驗碼,與參考值相比較,標記差異或者變更。由于攻擊者經常會修改系統文件,在攻擊的三個階段使用加密校驗碼是很重要的。
- 第一階段,攻擊者修改了作為攻擊目標的系統文件(例如,放置木馬)。
- 第二階段,攻擊者試圖在系統內留下后門,以便隨后能重新進入。
- 最后階段,攻擊者試圖掩蓋痕跡,使得系統責任人可能意識不到攻擊。
4. 網絡管理工具
網絡管理工具通過收集網絡部件和拓撲信息來進行網絡基礎設施配置和管理的功能。該工具與IDPS報警的相互關聯可幫助IDPS操作者恰當的處理報警并對他們所監視系統的影響做出分析。
5. 脆弱性評估工具
脆弱性評估是風險評估必要的組成部分,脆弱性評估工具用來測試網絡主機對危險的易感性。脆弱性評估工具結合IDPS使用,不管是在攻擊檢測還是攻擊反應方面,都為檢查IDPS的有效性提供了幫助。
脆弱性評估工具分為基于主機或基于網絡的類型。基于主機的脆弱性工具通過查詢數據源(如文件內容)、配置細節和其他狀態信息,來評估信息系統的安全。
基于主機的工具允許訪問目標主機,通過遠程連接在主機上運行。基于網絡的脆弱性工具是用來掃描與網絡服務相關聯的主機的脆弱性。
說明
小師妹實戰經驗并不豐富,希望通過不斷成長,為各位兄弟們帶來更多更好的分享!
