*本文原创作者:xxx幸xxx,本文属于FreeBuf原创奖励计划,未经许可禁止转载
今天想和大家聊一聊如何有效的部署和操作IDPS。顾名思义,对于安全事态来说,IDPS是一种事前检测并主动防御的安全设备。
小师妹系列前传
首先还是对IDPS做一个书面解释吧!
IDPS
为了防范恶意活动而监视系统的入侵检测系统IDS和入侵防御系统IPS的软件应用或设备,IDS仅能对发现的这些活动予以报警,而IPS则有能力阻止某些检测到的入侵。
部署目的
部署入侵检测和防御系统(IDPS)的目的是被动监视、检测和记录不适当的、不正确的、可能产生风险的,或者异常的活动,当有可能入侵的活动被检测到时,IDPS会发出报警或自动响应。我们可以通过获取IDPS软件和硬件产品来部署IDPS,当然也可以直接通过IDPS服务厂商提供外包IDPS能力的方式部署IDPS。
关键词
监测、分析、响应
类型
一般来说,IDPS分为两种类型,一种是基于网络的IDPS(NIDPS),另一种是基于主机的IDPS(HIDPS),各有不同的特征。
NIDPS:监视特定网络段或设备的网络流量,通过分析网络和应用协议活动来识别可疑活动;
HIDPS:监视单个主机及发生在主机中的事件特征,通过三种基础方法(即基于特征检测、基于异常统计检测、状态协议分析检测)对可疑活动进行检测分析。
聊到这里,我们可以再来了解一下,基于主机和基于网络的入侵一般发生在哪些方面。
因此,在部署IDPS时,从安全角度考虑,我们一般都会把NIDPS和HIDPS结合在一起使用,达到更好的安全事态覆盖和报警分析的能力。
部署时值得注意的是:
部署一阶段
想要选到符合公司自身需求的IDPS产品是非常不容易的,为什么这么说?因为现在市面上的IDPS产品太多,并且产品之间可能存在不兼容的情况,这就需要通过集成,所以也就提高了部署的难度。
从前,我们可以在低成本主机上部署免费的IDPS产品,随着信息化的发展,当前用的都是依靠最新硬件支撑的昂贵商用系统。
在选择IDPS之前,至少要做三件事情:
第一件,公司需要做一个全面的信息安全风险评估,针对可能存在的脆弱性和威胁进行识别,再基于风险评估和资产保护优先级(确定优先保护什么资产)来考虑部署IDPS,为IDPS提供的功能提供需求基础。
至少需要收集的系统环境信息包括:
1 | 主机数量和位置、网络入口以及与外部网络连接点的网络拓扑图的详细说明 |
---|---|
2 | 公司网络管理系统的描述 |
3 | 每个主机的操作系统 |
4 | 网络设备的数量和类型,如:路由器、网桥和交换机 |
5 | 服务器和拨号线路的数量和类型 |
6 | 任意网络服务器的描述,包括:类型、配置、应用软件和正在运行的版本 |
7 | 与外部网络的连接,包括:标称带宽和支持协议 |
8 | 与引入连接路径不同的文档返回路径,即:不对称数据流 |
第二件,识别当前已经有的安全保护机制。
例如:
非军事区(DMZ) |
---|
防火墙和过滤路由器的数量、类型和位置 |
身份鉴别服务器 |
数据和通信链路加密 |
反恶意软件或反病毒包 |
访问控制产品 |
专业的安全硬件如加密硬件 |
虚拟专用网络(VPNs) |
其他已安装的安全机制 |
第三件,考虑IDPS的性能。
一般考虑因素有以下5个:
在某些时候,当带宽或网络流量增加时,许多IDPS将不再能够有效和持续地检测入侵,会导致错过或者漏掉可能是攻击的流量包。有此属性的IDPS不建议考虑。
部署二阶段
确定IDPS的安全策略,该阶段需要确定几件事情,如下:
(1)对什么信息资产进行监视;
(2)需要什么类型的IDPS;
(3)部署在什么位置能满足公司安全需求;
(4)要检测什么类型的攻击;
(5)要记录什么类型的信息;
(6)未成功打开或未成功关闭情形采取什么策略;
(7)检测到攻击时能提供什么类型的响应或报警。
注:当前一般可采用的报警策略包括电子邮件、网页、短信系统(SMS)、SNMP事态以及攻击源的自动阻止。
上面我们聊过,现在基于硬件支撑的IDPS非常昂贵,想必没有哪个公司会在每台主机上都部署HIDPS,只能在关键主机上部署,并且部署时建议根据风险分析结果和成本效益两个因素进行优先级排序,当HIDPS部署在所有或者相当大数量的主机上时,应该部署具备集中管理和报告功能的IDPS,这样可以降低对HIDPS报警实施管理的复杂度。
在部署NIDPS时,主要考虑将系统传感器放置在哪个位置比较合适,一般来说,可部署在:
位置1 | 外部防火墙之内 |
---|---|
位置2 | 外部防火墙之外 |
位置3 | 主要的骨干网络上 |
位置4 | 关键子网上 |
典型的NIDPS部署如图:
(一)位于外部防火墙之内的NIDPS
优点 | 缺点 |
---|---|
(1)识别源于外部网络、已经渗入防护边界的攻击 | (1)由于其接近于外部网络,不能作为强保护 |
(2)能帮助检测防火墙配置策略上的错误 | |
(3)监视针对DMZ(非军事区)中系统的攻击 | (2)不能监视防火墙阻止(过滤掉)的攻击 |
(4)能被配置为检测源于组织内部、针对外部目标的攻击 |
(二)位于外部防火墙之外的NIDPS
优点 | 缺点 |
---|---|
(1)允许对源于外部网络的攻击的数量和类型进行文件化管理 | (1)当传感器位于网络安全边界之外时,它受制于攻击本身,因此需要一个加固的隐形设备 |
(2)可以发现未被防火墙阻止(过滤掉)的攻击 | |
(3)可减轻拒绝服务攻击的影响 | (2)在此位置上产生的大量数据,使得分析已收集的IDPS数据非常困难 |
(4)在与位于外部防火墙内部的IDPS合作的情况下,IDPS配置能评估防火墙的有效性 | (3)IDPS传感器和管理平台的交互作用要求在防火墙中打开额外的突破口,导致存在外部访问到管理控制台的可能 |
(三)位于重要骨干网络上的NIDPS
优点 | 缺点 |
---|---|
(1)监视大量的网络流量,因此提高了发现攻击的可能性 | (1)捕获和存储敏感的或保密性数据的风险 |
(2)在IDPS支持一个重要骨干网络的情况下,在拒绝服务攻击对关键子网造成破坏之前,具备了阻止它们的能力 | (2)IDPS将会处理大量数据 |
(3)在组织的安全边界内部检测授权用户的未授权活动 | (3)检测不到不通过骨干网络的攻击 |
(4)识别不到子网上主机对主机的攻击 |
(四)位于关键子网上的NIDPS
优点 | 缺点 | |
---|---|---|
(1)监视针对关键系统、服务和资源的攻击 | (1)子网间相互关联的安全事态问题 | |
(2)如果报警没有在专用网络上传输,IDPS相关的流量可增加关键子网上的网络负载 | ||
(2)允许有限资源聚焦于最大价值的网络资产上 | ||
(3)如果配置不正确,IDPS可捕获和存储敏感信息,并在未指定路径的情况下访问这些信息 |
部署三阶段
对IDPS进行数据保护。
IDPS数据库存储了大量与公司信息基础设施内发生的可疑活动和攻击相关的所有数据,所以,需要对该部分数据进行安全防护。
可采取的措施如下:
(1)对存储的IDPS数据进行加密;
(2)适当配置数据库,比如:使用访问控制机制;
(3)使用校验码对存储的数据进行完整性校验;
(4)对数据库以及备份程序进行技术维护;
(5)对运行IDPS数据库的系统进行充分加固以抵抗渗透;
(6)连接IDPS到以太网集线器或者交换机的嗅探(只接收)电缆;
(7)单独的IDPS管理网络线路的实施;
(8)定期对IDPS和连接系统进行脆弱性评估和渗透测试。
注:考虑到安全因素,建议把日志存储在单独的日志主机上,放本地的话容易被越权操作。
部署四阶段
在部署完成后,需要对IDPS进行调试。
在确定IDPS报警的特性、何时及如何使用IDPS报警特性,并且对这些特性进行日常调整。比如,可以将脆弱性评估数据和系统补丁级别与IDPS报警配置进行比较。
在这种情况下,网络发现工具和流量分析器的使用可进一步提高价值,并进一步调整报警规则。
当然,同其他网络设备一样,许多IDPS存在安全弱点,如发送未加密的日志文件、限制访问控制和缺乏对日志文件的完整性检查。解决办法是以一种安全的方式实施IDPS传感器和控制平台,并处理IDPS的潜在弱点。
作为网络安全事态的事前检测和防御系统,IDPS通常会产生大量的输出,包括一些没有价值的报警信息和会产生严重影响的报警信息,所以必须将这些信息区分开。
一般来讲,IDPS所检测到的攻击信息内容包括:(一些IDPS提供了比较详细的信息)
检测到攻击的时间或日期 |
---|
检测到攻击的传感器IP地址 |
攻击名称 |
源IP和目的IP地址 |
源端口号和目的端口号 |
用于攻击的网络协议 |
易受到攻击的软件类型和版本号的列表 |
相关补丁的列表 |
攻击的文本描述 |
攻击利用的脆弱性类型 |
在收到IDPS发出的报警时,一般由公司的应急响应团队根据安全态势的紧急程度作出相应的安全响应,并在事后制作安全事件报告。
至于IDPS设备本身,也有主动响应和被动响应的属性。
主动响应
主动响应是当IDPS检测到攻击活动的会自动采取行动,提供主动响应的入侵检测系统也称为入侵防御系统(IPS)。主动响应内容如下:
(1)收集可疑攻击的附加信息;
(2)变更系统环境,阻止攻击;
(3)报警之后不需要人为参与,IPS采取防御措施,主动拒绝通信和(或)终止通信会话。
IPS和IDS有很多相似的功能,如包检测、协议确认、攻击特征匹配和状态分析。然而,每个设备的部署均有不同的目的。
IPS代表了保护能力和入侵检测能力的结合,它首先检测攻击,接着以静态或者动态的方式防范攻击。换句话说,IPS通过排除恶意网络流量为信息资产提供保护,并继续允许合法活动发生。
被动响应
被动响应是当攻击发生时,仅提供攻击的信息,需要人工提出指示才会采取后续动作。被动响应的内容有:
(1)报警和通知,通常是屏幕报、弹出窗口和传呼或手机信息;
(2)配置SNMP陷阱,以响应中央管理控制台。
IDPS安全伴侣
部署IDPS并不能完全保证信息系统不受攻击,网络能够安全运行,为了加强公司的安全自控能力,建议考虑部署以下安全设备共同防护。
(1)防火墙或安全网关
防火墙主要功能是限制网络间的访问,例如:如果公司只希望接受电子邮件服务器(端口号25)或者web服务器(端口号80)的流量,就可以通过防火墙实现。当防火墙位于一个封闭区域内时,可以减少NIDPS需要检查的流量。
(2)网络蜜罐
蜜罐用来欺骗、分散、转移及引诱攻击者在看似有价值的信息上花费时间,但这些信息实际上是捏造的,对合法用户来说没有一点价值。蜜罐的主要目的是收集对组织有威胁的信息,并引诱入侵者远离关键系统。
(3)文件完整性检查器
文件完整性检查器主要利用关键文件和对象的信息摘要或者其它的加密校验码,与参考值相比较,标记差异或者变更。由于攻击者经常会修改系统文件,在攻击的三个阶段使用加密校验码是很重要的。
第一阶段,攻击者修改了作为攻击目标的系统文件(例如,放置木马)。
第二阶段,攻击者试图在系统内留下后门,以便随后能重新进入。
最后阶段,攻击者试图掩盖痕迹,使得系统责任人可能意识不到攻击。
(4)网络管理工具
网络管理工具通过收集网络部件和拓扑信息来进行网络基础设施配置和管理的功能。该工具与IDPS报警的相互关联可帮助IDPS操作者恰当的处理报警并对他们所监视系统的影响做出分析。
(5)脆弱性评估工具
脆弱性评估是风险评估必要的组成部分,脆弱性评估工具用来测试网络主机对危险的易感性。脆弱性评估工具结合IDPS使用,不管是在攻击检测还是攻击反应方面,都为检查IDPS的有效性提供了帮助。
脆弱性评估工具分为基于主机或基于网络的类型。基于主机的脆弱性工具通过查询数据源(如文件内容)、配置细节和其他状态信息,来评估信息系统的安全。
基于主机的工具允许访问目标主机,通过远程连接在主机上运行。基于网络的脆弱性工具是用来扫描与网络服务相关联的主机的脆弱性。
说明
小师妹实战经验并不丰富,希望通过不断成长,为各位兄弟们带来更多更好的分享!
*本文原创作者:xxx幸xxx,本文属于FreeBuf原创奖励计划,未经许可禁止转载