觀點

為您實測六款多功能防火牆(下)

2004 / 08 / 16
文 Lisa Phifer / 翻譯 林玉峰
為您實測六款多功能防火牆(下)

入侵偵測功能
由於「混合性威脅」的升高,很難把病毒與入侵偵測區隔開來。萬一病毒沒有被防毒掃描抓到,可以透過IDSes可以成功攔阻下來,進而將病毒捕獲。有一些產品以尋找CVE為基礎的行為、攻擊方法,其他產品則尋找異常的狀態,例如惡意封包、狀態改變與特徵。也有一些採用監控異常大量的連線與封包數量。受測的機型通常運用一種以上的技術,有些還具備防護的功能。
自動化的防禦可能導致正常封包遺失或是遭到阻擋。有時,我們寧可系統可以繞過主機並且關閉IPS。Barbedwire、ISS與SymantecIPS只要一個動作就可以關閉﹔Fortinet ISS與Barbedwire可忽略特定的特徵值﹔Secure Computing具備對惡意封包的反制,包含了指令(例如︰whois)與針對某主機封包的丟棄(例如:忽略一段時間內所傳送的資料),以取樣的方式來檢視每個紀錄檔,Symantec無法針對特定的主機跳過IPS﹔ServGate則無法選擇繞過或是關閉。 Barbedwire的偵測引擎是以開放式原始碼的Snort為基礎。可深入檢驗外部與DMZ介面中有問題的封包,根據Barbedwire龐大的資料庫,比對攻擊者的特徵,除非有特別設定,否則不採取防護措施。
Fortinet使用特徵值比對與異常偵測,類似其防毒功能,IPS必須針對每個不同的防火牆規則進行設定,但是門檻值、自訂特徵值…等參數,則屬於整體皆適用的屬性。
ISS結合特徵與異常偵測。加上ISS X-Force所定義特定異常活動資訊。ISS預設方式為丟棄封包,重置或丟棄連線,並隔離可疑的連線,以阻擋特洛伊或蠕蟲。
Secure Computing同時運用代理伺服器與應用層防禦來提供異常偵測。例如︰網頁服務防護,可以設定成只允許接受特定的HTTP表頭。當網路代理伺服器偵測到拒絕接受的表頭,就會開啟檢測事件來觸發反制功能。用戶可以自行擴充其不夠充足的警示項目。
ServGate針對每個封包一一檢查,來阻擋病毒、發現諸如垃圾郵件與第四層的攻擊,像是SYN floods。例如︰遭遇大量的SYN掃描,它將會忽略某段時間的SYN請求。但是,ServGate無法檢測到像是緩衝區溢位(buffer overflow)等第七層的攻擊特徵。
Symantec透過代理式過濾與特徵值檢驗來進行異常偵測。可輕易啟動或關閉將事件關連的功能(例如︰DoS攻擊)。預設的規則,可以很輕易地編修,但通常會造成全面性的影響,例如︰如果你設定關閉偵測特定DoS攻擊的規則,它會攔下所有的流量,而非僅針對特定的規則或封包來源及目的地。

攻擊與回應
為了解各家設備如何回應各式的攻擊,我們對第四層與第七層發動攻擊。 在第四層的測試中,所有產品都出現警示、記錄大量的TCP SYN、XMAS、FIN、 NULL 與作業系統版本掃瞄行為。
我們的UDP/ICMP floods會觸發ISS、ServGate 與 Symantec預設的警報。我們嘗試降低攻擊流量,使其小於Fortinet的門檻值,它就不會發出警報。Barbedwire的防火牆提供floods 偵測功能,但是我們在圖形介面中找不到可調整的按鈕。Secure Computing只偵測到SYN與TCP proxy floods 。
Secure Computing、ISS與Symantec主要針對隨機的封包floods 攻擊,並監控各通訊埠,隨時保持警戒,如DNS等,因此無論我們如何嘗試floods 攻擊,當這三種狀態的封包一進入偵測防火牆時,便會觸動警報。
ISS已可察覺到WinTrin00攻擊程式的探測行為和Fortinet所標記的Stacheldraht,但是,整體來說,檢測一些普通的特洛伊木馬程式所使用的通訊埠時,無法在測試中得到太高的評分。
ISS對BO2K 特洛伊木馬程式所發送的請求和回應的會產生警示,但是必須注意的是,預設狀態下並不會主動阻擋它們的。
Secure Computing與Symantec可以擋下BO2K對不存在的代理伺服器發出請求,但若是一般的代理伺服器的話卻能允許對BO2K作出回應。在Barbedwire 的資料庫裡有BO2K的資料,但預設狀態下卻是關閉的。在Fortinet的資料庫有Back Orifice,恰巧在我們測試之後,於七月份新增了BO2K的樣本。ServGate則無法偵測BO2K或者任何其他非病毒的應用程式。
不僅針對我們所選定的特洛伊木馬樣本﹔如果我們挑選其他的特洛伊木馬,作為測試樣本,其結果將會變得有所不同;相反的,若能從中發現如何針對特定樣本進行偵測,將能對IDS有所幫助。
在第七層(Layer 7,Application Layer)的測試中,我們採用Syhunt、HTTPrint與其他的DMZ攻擊工具,如果偵測引擎遭受到像HTTP跨越目錄攻擊、CGI bin存取、不正確的HTTP請求、延伸功能暫存器溢位、密碼檔的存取與J Run溢位攻擊等,應用程式端的壓力測試。ServGate無法一一偵獲。而其他設備則會產生警告,範圍從數十 (Symantec, Secure Computing) 到數百(ISS, Fortinet)甚至到數千(Barbedwire)。 Secure Computing 與Symantec 的監聽代理伺服器僅會對攻擊產生警報,不理會透過其他通訊埠的一切攻擊。ISS、Fortinet和Barbedwire則可以偵測任何通訊埠的攻擊。一般代理伺服器中,應將服務的預設狀態設為較嚴謹,或者關閉不使用的服務。
Secure Computing對HTTP表頭與惡意的HTTP請求格式發出警訊,包含特殊緩衝區溢位攻擊,包括非合法語法上的攻擊,像HTTP目錄跨越攻擊等等。其他產品使用特徵值比對來判斷這些攻擊,並以案例類比方式結合正面列表/負面列表,來讓電腦以錯誤學習方式來降低錯誤。

知識就是力量
IPS是扮演平衡早期預防需求和減少假警報的角色。為了達到平衡,安全管理人員必須注意他們的防火牆是否有任何的動作或異常現象,特別是IDS/IPS。全部六種設備均可記錄本機安全事件,並轉送給其他的管理者,或在一般情況下發送給前端的syslog伺服器。以及寄送電子郵件與SNMP警示通知。
在遭受攻擊期間,你必須在第一時間被告知,才不會在主管面前不知所措。Secure Computing 與 ServGate可設定每個警報的觸發點,可以幫上你一點忙。而ISS設定事件發生的數量僅產生一次警報。 Fortinet 可基於優先權,在一定時間內寄出通知,而Symantec的事件通知緩急,則依據其優先順序的設定。
事件記錄檔與警報通知的細節因產品而異: Barbedwire的防火牆是以記錄檔為基礎,但是它的IDS警報資料庫、報告、圖表則有更詳細的說明。
Fortinet 總結報告部分表現不錯,包括詳細的記錄檔、病毒與攻擊的資訊。
ISS 的防火牆,防毒與IPS,具備優秀的警報記錄檔格式。最新警訊以及可連線至X-Force觀看線上說明。
Secure Computing偵測資料庫雖已完成,但是它是隱藏起來的。記錄必須透過圖形化介面觀看,但是我們仍是偏愛文字介面輸入的方式來觀看事件、檢閱與搜尋。稽核事件可記錄至SQL資料庫中。
ServGate的記錄檔是依照不同的連線來區分,可點選該連線,進而檢視該連線的相關封包資訊。然而,其安全記錄(IDS警告)過於簡短。 Symantec 的事件記錄檔非常詳細並且容易簡單易懂。入侵警報摘錄來自經過個別的記錄檔,並且文字說明部份可以逐層點閱。

最佳男主角
All-in-one的設備在規格上相去不遠,但是安全管理人員仍需要更深入比較其中的差異點。防毒功能的差異最多,而SMTP部分則是普遍都支援該功能。
決定哪些安全功能對您的企業而言是不可或缺的;集眾多功能於一身的設備,多少都提供比其他設備還要好的功能。 例如︰Barbedwire的VPN較弱,但是其 IDS/IPS就比較強。ISS擁有較強的IPS,而Barbedwire提供安裝上的便利性; Fortinet則是介於這兩者之間。 因為持續遭受惡意軟體的威脅,我們想要透過防毒來停止這場蟲蟲危機。同樣的,我們不能單單選用IDS,因為IDS現在提供許多的特徵或多樣的應用代理伺服器。這些說明廣泛的指出,最重要的還是要依賴整體的偵測能力與傳送關鍵的安全訊息。
若是事件無法施以適當的監視與補救的話,要追溯問題來源與責任將是一件非常困難的事。中、小型企業不需採用大型企業適用的系統,來監控設備的安全事件與回應。ISS、Symantec與Barbedwire倒是有蠻不錯的表現。
一般而言所有廠牌所呈現的功效與他們的廣告宣傳差距不大。操作上的失誤遠比設計上的缺陷多很多。Fortinet、ServGate與ISS比其他產品更容易且能準確地被操作,同時易於設定是安全設備中非常重要的特色。
在眾多佳麗中挑選出最後贏家是非常困難的。中、小型企業喜歡ServGate的操作性和Barbedwire 的價格優勢,而較大的公司則可著眼於ISS,Secure Computing與Symantec與企業安全政策配合上的深度與靈活度。但是,考慮到我們測試規則和我們所強調四個應用功能,最後一致認為Fortinet獲得勝利。


LISA PHIFER (lisa@corecom.com) 是 Core Competence的副總裁,Core Competence是提供網路安全服務和管理技術的顧問公司。