全面規劃、佈署、建置入侵偵測系統

文／賴興同


透過方法論 (methodology) 來建置入侵偵測系統，可分成以下的各個階段：


(a) 定義 (define) 階段：檢視資產保護等級、分析業務運作，以確定需求，並考量預期成效。

(b) 分析 (analyze) 階段：經過相關風險評估，以檢視目前資訊安全設備建置是否足夠，並根據評估結果提出符合特殊需求的解決方案。

(c) 設計 (design) 階段：根據前面階段的結論，規劃出適合的廠商及產品，實驗性測試 (pilot testing) 亦是在此階段完成。

(d) 建置 (implement) 階段：安裝與設定入侵偵測系統，再經過品質控管與確認驗收功能是否達到，並做產品相關訓練與知識技術移轉，以確定負責資訊安全人員具備操作管理技能。

(e) 操作維護 (operating) 階段：交付相關資訊安全政策或管理辦法、日常維護工作內容、緊急處理準則等，使負責資訊安全人員能對入侵偵測系統作持續管理。



以下根據方法論分成檢視資產保護等級，檢視網路架構，入侵偵測系統之選擇，裝置、佈署在關鍵地帶，與入侵偵測系統的管理維護來敘述，先介紹入侵偵測系統種類。

定義 檢視資產保護等級
企業因應資訊安全管理系統建置，在資產分類部分就會訂定資訊資產的項目、擁有者及安全等級分類等。亦能夠依據國家機密保護、電腦處理個人資料保護及政府資訊公開等相關法規，建立資訊安全等級之分類標準，以及相對應的保護措施。而那些已列入安全等級分類的資訊及系統之輸出資料，也應該標示出適當的安全等級以利使用者遵循。因此當定義出資產保護等級後，企業的相關部門才有遵循的原則，例如資訊部門在軟硬體的採購就可據此找到更符合需求的產品。


檢視資產保護等級，可做為規劃網路型與主機型入侵偵測系統套數的依據，不至於隨著廠商的說法，可能膨脹購買數量，造成日後維護不僅費用高昂，而且也花不少人力時間成本；或是該保護的主機或網段卻沒有入侵偵測系統建置，沒有將錢花在刀口上。舉個例子：有間企業去年購買近二十套含網路型與主機型入侵偵測系統，在今年光是入侵偵測系統的軟體維護費用 (software subscription cost) 要新台幣一百多萬元，而另有一間企業共購買接近一百多套的入侵偵測系統，那試著想像其軟體維護費用該準備多少預算？


並非不能買一百多套入侵偵測系統，若真有需要，購置更多套也是有可能，只是在軟體維護費用無法省的情況下，因入侵偵測系統也和防毒軟體一樣需時常更新其弱點樣式/特徵 (vulnerability patterns/signatures，以防毒軟體來說叫做病毒碼)，如果隔年沒有再購買軟體維護，那入侵偵測系統的偵測功能就像失去大部分功力，只剩下對異常行為與協定的偵測罷了。


分析－檢視網路架構
利用風險評估方式檢視企業網路架構，分析目前資訊安全設備建置是否足夠，以此來規劃入侵偵測系統種類與數量。比方說網際網路 (Internet) 防火牆是企業從事電子商務或郵件傳遞、檔案傳輸及對外資訊公布的保護閘道與安全關卡，所以其安全等級及重要性必定相當高。有些企業甚至採用負載平衡的備援機制，至於雙重以上的防火牆建置就得視企業有無此需要。然網路型入侵偵測系統並非因失效了會立即影響企業之業務運作，反而是之後的入侵事件 (當通過防火牆後) 無法再被偵測出來才會造成損害；當然建置負載平衡式網路型入侵偵測系統可以預防此風險，相對的成本也較高。


當評估出重要主機之系統或相關軟體設定有待加強時，若主機型入侵偵測系統支援其平台，就可考慮安裝；不管能不能安裝主機型入侵偵測系統，主機本身都應根據評估結果的建議來強化 (harden) 系統或相關軟體設定，例如：密碼長度、密碼變更週期、帳號群組設定、稽核記錄設定、相關目錄與檔案的存取權限、系統啟動檔案、系統服務等。


設計－入侵偵測系統之選擇
考慮佈署入侵偵測系統的廠牌與產品種類，網路型入侵偵測系統能夠偵測出 (1) 異常行為，如：port scan/sweeps 表示攻擊者正在透過網路收集資訊，通常是攻擊行為的前兆，(2) 弱點樣式/特徵之比對，如：SYN flood，即可能正在進行DoS，(3) 異常通訊協定，如：攻擊者攔截合法封包，再加以變造封包內容，試圖入侵或破壞網路主機。但儘管功能再怎麼強大，目前還是無法偵測加密連線 (如 SSL tunnel) 的內容；例如企業的電子商務網站，可能有線上查詢或交易服務，當啟動 HTTP over SSL 的連線時，企業的防火牆允許這種連線資料通過，且網路型入侵偵測系統無法分析連線內容，就難以偵測出攻擊者試圖以此方式入侵或破壞網站系統。只能期望網站本身的服務軟體 (Web server or daemon) 以及作業系統 (OS) 有防範功能，並能有相關的稽核記錄且能即時列印或送出；然並非所有的網站系統軟體皆能如此設定，此時可在網站之外或網站本身安裝網頁應用程式防火牆 (Web application firewall)，或是使用主機型入侵偵測系統，再定期用網頁應用程式掃描工具 (Web application scanner)，以進行網站的弱點評估。


主機型入侵偵測系統不僅應用在網站服務主機上，其他提供網路服務，或是在企業資產分類中之安全等級屬重要必須保護的主機，只要是有支援的作業平台皆可安裝。若是因其他因素不能安裝，而主機屬開放系統 (open system TCP/IP connectible)，可在主機網路外架設防火牆系統，而所使用的網段也可佈署網路型入侵偵測系統；另外強化所有主機的作業環境與應用系統，安裝最新的系統軟體修正，關閉不必要的服務與啟動稽核記錄是必需的。若是安裝了主機型入侵偵測系統，將稽核記錄傳送出去保存或作進一步的比對分析，並設定當重要檔案內容被修改，例如記錄檔變小或是執行程序表 (process table) 變得比平常大 (或成長速率過快時)，就發出警告並採取相應的動作。


選擇哪一家的入侵偵測系統之先決條件是有能力偵測入侵事件，其次是考量一些狀況：(1) 誤判 (false positive) (2) 安全假象或遺漏 (false negative) (3) 效能衝擊，造成處理封包能力降低或處理器負擔。若能支援高速網路環境不會有封包遺失，才會在這種環境中發揮功效。選擇會時常更新弱點樣本資料庫，且在發生相關資安事件後能最快提供弱點樣本/特徵更新，並將所收集的封包之內容與各個資訊安全設備的記錄作分析比對交互關聯，進而歸納出正確的攻擊事件、發出警報 (alarm) 的入侵偵測系統。另針對拒?服務 (DoS) 攻擊能夠在第一時間反應，進而追蹤攻擊來源、終止破壞行為，亦可列入功能選擇的考量。在決定廠牌與產品種類後，隨即模擬出部分真實的網路情況，規劃入侵偵測系統架構以進行實驗性測試，再利用相關產品的特性設計出符合需求的解決方案。


建置 －裝置、佈署在關鍵地帶
企業一般會在網際網路防火牆的周邊網段建置網路型入侵偵測系統，例如在連接網際網路之網段，通常在此位置佈署是用來偵測網際網路上的攻擊事件，而不只是入侵事件，因為大部分的攻擊事件都會被防火牆擋掉 (只要防火牆設定得夠安全)，只有當防火牆允許通過或是開放服務的通訊協定或埠號 (port number)，攻擊者才有可能透過這些開放的通道試圖入侵。因此建議將入侵偵測系統分別裝置、佈署在防火牆的非戰區 (demilitary zone，DMZ) 網段，或是內部 (Intranet) 網段 (請參考圖二)，可以偵測外來攻擊者的入侵行為，與內部使用者的誤觸事件。


如果需要在流量負載相當高的交換式網路環境 (heavily switched environment)建置入侵偵測系統，將有的選擇是：(1) 使用網路交換器 (Switch) 的 Spanning/Mirror Port，就是複製 Switch 所有其他埠的資訊到這個 Spanning/Mirror Port 上，如果 Switch 無法 100% 將流量複製到 Spanning/Mirror Port，就有封包遺失，這將會漏掉攻擊資訊。另外可能在同一時間只有一個埠的資訊被複製到 Spanning/Mirror Port，如果被偵測網路中有多部主機，就很困難或不太可能完全收集網路資訊。(2) 使用網路集線器在多部主機的環境，可能會造成網路擁塞，亦失去交換式網路高速的優點；雖然可選擇具備容錯 (fault tolerant) 功能的 Hub，成本就相對的增加了。(3) 使用 Tap 將其他埠的資訊以單一方向 (unidirectional) 傳輸到網路型入侵偵測系統，反向傳輸是禁止的，況且 Tap 有容錯能力，發生問題時還會繼續維持偵測網段與 Switch 間的連線暢通。所以使用 Tap 可維持原先交換式網路之優點 (請參考圖三)。(4) 使用負載平衡式網路型入侵偵測系統，利用負載平衡的軟體或設備來分散流量負載到許多網路型入侵偵測系統的機制，但是成本就比較高 (請參考圖四)。


主機型入侵偵測系統只需有支援被安裝的主機作業平台，在模擬的環境測試過後，確定不會造成軟體衝突或問題，即可安裝在重要主機上，保護資料不被非經授權的存取或竄改。


在入侵偵測系統安全政策中，網路型入侵偵測系統能設定成中斷攻擊者連線 (使用 TCP RST)、新增或修改防火牆安全政策規則、設定路由器存取控制列表等；但通常都會建議先發出警報給資訊安全負責人員，讓其知道有狀況發生，等了解事件原因後，再根據入侵偵測系統建議，手動來調整存取狀態或設定。而警報也是因為入侵偵測系統將所收集的封包之內容與各個資訊安全設備的記錄作分析比對交互關聯後，總結出攻擊事件才發布；平常收集的封包記錄都儲存在資料庫中，以備存查。


建置完成後經過品質控管與通過驗收，且相關產品作過教育訓練，使用技巧以及安全知識方面的技術轉移，使得資訊安全負責人員能夠具備操作、管理技能，技術面部分的建置工作就可告一段落。


操作維護－入侵偵測系統的管理維護
建置後的日常管理工作不容小歔，是真正讓IDS發揮功效的階段，若疏於管理維護，則前段的努力形同泡湯。在管理面部分，應交付入侵偵測系統相關資訊安全政策或管理辦法、日常維護工作內容、緊急處理準則等，當真正發生狀況時，也有遵循的依歸，又因經常性的緊急處理演練，使負責資訊安全人員能對入侵偵測系統作持續管理。


資訊安全政策是企業資訊安全處理的規範，所有與企業活動有關的「資訊」都應被視為企業之「資訊資產」並得以適切保護，因此也包括企業的資訊設備建置，所建置佈署的資訊設備需有相關安全政策與操作辦法才能夠作適當且完善的管理與維護。例如防火牆、郵件服務主機、網站服務主機、防毒系統等等機制的建置，而入侵偵測系統彌補了大部分防火牆在資訊安全防護中開放服務造成的漏洞，並能提供警報，與事件記錄。透過入侵偵測系統的建置配合資訊安全架構而發展出縱深防禦機制，能更有效地辨識與回應攻擊手法與事件，在保護企業網路，持續業務運作，及維持公司形象與商譽等都有莫大的助益。(本文作者現職為EY致遠會計師事務所/安永管理顧問公司)