入侵防禦系統雷聲大雨點小?(上)

近來，入侵防禦系統(Intrusion prevention system以下簡稱IPS)被稱作是最偉大的網路安全救世主，其實是有道理的。IPS不像入侵偵測系統（IDS，intrusion detection system）是以被動方式過濾可疑封包，檢驗網路傳輸中是否含有惡意攻擊封包，然後發出警訊通知管理者，充其量也僅僅作到偵察與阻擋在網路應用層中可被識別的攻擊型態。
IDS在發現攻擊事件時，不見得能夠提供即時防禦，但是對於已被攻陷主機的鑑識調查上，還是有其價值存在；而IPS在攻擊行為發生當下，就可以即時提供保護網路與阻絕攻擊行為的措施。
但是這些都是廠商在行銷廣告上所說的。很不幸，事實並不如想像中的美好。
以IPS技術水準的發展，目前並不是非常成熟、完整，這表示未來還是有很大的發展空間。在這個獨特的新興市場中，很多廠商都信誓旦旦地提出，一般IPS該具備哪些功能、在網路安全上必須扮演什麼角色，部分廠商將IPS定位為取代防火牆功能的產品，也有廠商將IPS安置於防火牆之後，成為內部網路吞吐的樞紐。再者，有人建議將IPS更進一步安裝在每一台主機上，隨時監控各種由惡意程式所引發、執行的異常核心指令。
在大型企業方面，由於其複雜的網路架構，導致無法有效將IPS部署於網路樞紐上，令IPS英雄無用武之地。正如IPS廣告中說的，IPS如果部署在一個注重安全控管、身份鑑別、權限管理等監控機制均已臻完善的環境，便可以發揮強大的防禦功能。但是，在跨平台的複雜網路中，就不是這麼一回事了！IPS的安全方案無法發揮太大的效用。 從這些殘酷的事實現況來看，不禁令人質疑IPS未來的發展前景到底在哪裡？目前只有一句話可以形容，就是「妾身未明」。在我們揭發這些事之前，先來看看網路安全的現況發展。
深入追蹤
本文的焦點是針對網路型的IPS（Network-based IPS），而非主機型的IPS（Host-based IPS）。因為目前主機型IPS的產品，如：Cisco、Network Associates、Sana Security與Forescout，都有其優點跟一些問題存在，這留待下次有機會我們再來探討。

網路型IPS的共同特色是，大多安置於網路主幹上，採即時分析(in-line)的方式，針對異常流量與封包內容檢驗與示警，通常針對這些異常流量，施以阻絕、隔離或干擾的處置，以預防可疑程式碼進入目標主機中執行。
然而，絕大多數IPS都是屬in-line mode，但是並非所有產品都真正達到即時反應的成效。像StillSecure的Border Guard，是一套結合防火牆與主動式IDS的系統，可以做到即時偵測、即時反應，而不需在封包通 L之前，檢驗每一個封包內容，稱得上是IDS/IPS的混合體。in-line的重要性在於，假使遭遇到「單一封包完成攻擊」的情況，也就是說一次攻擊的開始與結束，僅在小小的一個封包傳遞中完成，這是可以預期的趨勢，而in-line IPS必須阻擋這種攻擊。知名的Witty、SQL Slammer及Code Red蠕蟲，都證實了這種攻擊的可行性。

市場上IPS產品的功能與型態，各家巧妙各有不同，就IPS的型態而言，可以區分二大類： 1. 獨立型（stand-alone）：包括TippingPoint、Network Associates、TopLayer Networks； 2. 整合型產品（integrated）：包括Check Point和Secure Computing。 獨立型的IPS比較容易分辨與比較其功能，他們通常都是一台硬體設備，內含一套強韌度夠的作業系統，以內建軟體完整提供所有功能，且具備隨插即用的設定方式。

整合型的IPS就比較複雜一點。通常跟其他過濾及存取控管的裝置合而為一，例如：防火牆、交換器、路由器。舉例來說，最新版的Check Point 的 FireWall-1和Juniper Networks的 NetScreen-5GT，均採用防火牆與IPS整合的設計。（Check Point與Juniper同時也賣獨立型的IPS。）
目前市場上，獨立型IPS具備較強的功能，同時在處理高負載的效能最佳化上也表現的比較好。但是，在面對企業安全管理人員，對於一些附加花樣與常用功能的評比中，獨立型IPS還是常常被拒於門外。

就IPS功能面而言，可以分成「以出現頻率為基礎的IPS（rate-based）」、「以內容過濾為基礎的IPS（content-based）」兩大類。以出現頻率為基礎的IPS，以判斷流量大小與出現頻率的方式，決定是否阻絕該網路傳輸。像Top Layer的 Attack Mitigator IPS，就是以連線建立次數的頻率高低、頻寬耗用量，選擇性的阻絕高頻率與高流量的網路傳輸行為，這種功能對於阻止阻斷式服務攻擊(DoS)和找出遭受蠕蟲感染的主機而言，是相當有用的。

而以內容過濾為基礎的IPS，則是運用類似IDS以過濾特徵值的方式，達到異常偵測的目的。還有一些產品加入了弱點掃瞄的功能，用來識別易受害的主機，輔助強化特徵值的過濾功能，類似的產品像：TippingPoint的UnityOne IPS，就是使用上述技術來辨識與丟棄可疑的惡意封包，亦提供自訂規則的功能，以限制某些惡意封包所容許的最大頻寬值。ISS 的Proventia也具備上述功能，同時整合內容過濾與頻率限制的特色。

IPS運作方式有瑕疵？
IPS為了要阻擋所有潛在的攻擊，必須在封包進入內部網路之前，仔細檢查每個封包。因此，我們發現許多產品宣稱具備「深層封包檢測(deep packet inspection)」機制，使用高階的處理晶片，而不致於使網路速度下降，且具備高可靠度與負載平衡，以避免發生單點錯誤導致網路癱瘓。
更重要的是，in-line IPS最大的爭議，竟是難以與現有網路整合，假使IPS一定要使用in-line架構，那就必須在對外的每一條線路上都部署一台，但是，企業內部通常已經砸下大筆經費，建構交換式、分散型的網路設施，使得部署in-line IPS困難重重，廠商也沒有打算變更網路架構或提供其他整合方案。以現況看來，即使是最先進的IPS產品也沒有提供集線、提升封包交換的能力，來取代現有的交換式網路架構。
面對複雜的網路架構，廠商會建議你僅針對部分重要的網路區段，部署內部防火牆與IPS。這並非完整的解決方案，假使採用in-line IPS部署策略，就必須同時在網路上部署多個攔截點，這種作法忽略了部署多個IPS其成本與複雜度的考量，還有可能被大量的假警報(false positives)所騷擾。
這樣說來，IPS對於大型企業所產生的邊際效益並不高，可能僅適用於特定條件下的網路，例如小型企業或ISP。假使IPS部署於防火牆之前，可以在封包未進入防火牆就先行過濾阻擋，不過，有些功能強悍的防火牆就可以做到這點；反過來說，將IPS部署於防火牆之後，可以彌補防火牆的疏漏以保護內部的伺服器。這兩種方案均可防禦蠕蟲攻擊和偵測來自內部的破壞行為，但是無法對躲在加密封包中的攻擊威脅，做到有效防禦。
安全管理者常常要擔心一些問題，大至越趨複雜的網路架構、不斷增加的設備，所造成的管理負擔，小至電源線被踢掉、資料無法同步，這些雞毛蒜皮的雜事，想必你也是深有同感。在大型網路中常見的「防火牆三部曲」—負載平衡器、防火牆及多到數不清的交換器，構成一個龐大的網路架構。如果在這種環境中再丟幾個網路裝置（IPS）進去，勢必會增加不少安全管理上的風險與複雜程度，這樣做是明智的選擇嗎？
假使新的IPS產品可以整合傳統的乙太網路交換器，取代原先的網路設施，這不是挺棒的嗎？難道IPS廠商沒有足夠的生產線或是經驗來做到這件事嗎？
整合型IPS系統產品包括：Juniper 的NetScreen與SonicWALL。在功能上其實也有一些誇大其詞，就其功能而言，防火牆部分的功能就是做到阻擋非允許的流量，而這些產品的IPS功能只是其附加功能的一小部分，跟真正in-lineIPS的功能比起來，是稍顯不足。當防火牆製造商更進一步研發IPS功能，雖然能夠處理更多的威脅攻擊，但同時也會產生許多誤判的假警報。