https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

入侵防禦系統雷聲大雨點小?(上)

2004 / 09 / 06
文 JOEL SNYDER/翻譯 路克
入侵防禦系統雷聲大雨點小?(上)

近來,入侵防禦系統(Intrusion prevention system以下簡稱IPS)被稱作是最偉大的網路安全救世主,其實是有道理的。IPS不像入侵偵測系統(IDS,intrusion detection system)是以被動方式過濾可疑封包,檢驗網路傳輸中是否含有惡意攻擊封包,然後發出警訊通知管理者,充其量也僅僅作到偵察與阻擋在網路應用層中可被識別的攻擊型態。
IDS在發現攻擊事件時,不見得能夠提供即時防禦,但是對於已被攻陷主機的鑑識調查上,還是有其價值存在;而IPS在攻擊行為發生當下,就可以即時提供保護網路與阻絕攻擊行為的措施。
但是這些都是廠商在行銷廣告上所說的。很不幸,事實並不如想像中的美好。
以IPS技術水準的發展,目前並不是非常成熟、完整,這表示未來還是有很大的發展空間。在這個獨特的新興市場中,很多廠商都信誓旦旦地提出,一般IPS該具備哪些功能、在網路安全上必須扮演什麼角色,部分廠商將IPS定位為取代防火牆功能的產品,也有廠商將IPS安置於防火牆之後,成為內部網路吞吐的樞紐。再者,有人建議將IPS更進一步安裝在每一台主機上,隨時監控各種由惡意程式所引發、執行的異常核心指令。
在大型企業方面,由於其複雜的網路架構,導致無法有效將IPS部署於網路樞紐上,令IPS英雄無用武之地。正如IPS廣告中說的,IPS如果部署在一個注重安全控管、身份鑑別、權限管理等監控機制均已臻完善的環境,便可以發揮強大的防禦功能。但是,在跨平台的複雜網路中,就不是這麼一回事了!IPS的安全方案無法發揮太大的效用。 從這些殘酷的事實現況來看,不禁令人質疑IPS未來的發展前景到底在哪裡?目前只有一句話可以形容,就是「妾身未明」。在我們揭發這些事之前,先來看看網路安全的現況發展。
深入追蹤
本文的焦點是針對網路型的IPS(Network-based IPS),而非主機型的IPS(Host-based IPS)。因為目前主機型IPS的產品,如:Cisco、Network Associates、Sana Security與Forescout,都有其優點跟一些問題存在,這留待下次有機會我們再來探討。

網路型IPS的共同特色是,大多安置於網路主幹上,採即時分析(in-line)的方式,針對異常流量與封包內容檢驗與示警,通常針對這些異常流量,施以阻絕、隔離或干擾的處置,以預防可疑程式碼進入目標主機中執行。
然而,絕大多數IPS都是屬in-line mode,但是並非所有產品都真正達到即時反應的成效。像StillSecure的Border Guard,是一套結合防火牆與主動式IDS的系統,可以做到即時偵測、即時反應,而不需在封包通 L之前,檢驗每一個封包內容,稱得上是IDS/IPS的混合體。in-line的重要性在於,假使遭遇到「單一封包完成攻擊」的情況,也就是說一次攻擊的開始與結束,僅在小小的一個封包傳遞中完成,這是可以預期的趨勢,而in-line IPS必須阻擋這種攻擊。知名的Witty、SQL Slammer及Code Red蠕蟲,都證實了這種攻擊的可行性。

市場上IPS產品的功能與型態,各家巧妙各有不同,就IPS的型態而言,可以區分二大類: 1. 獨立型(stand-alone):包括TippingPoint、Network Associates、TopLayer Networks; 2. 整合型產品(integrated):包括Check Point和Secure Computing。 獨立型的IPS比較容易分辨與比較其功能,他們通常都是一台硬體設備,內含一套強韌度夠的作業系統,以內建軟體完整提供所有功能,且具備隨插即用的設定方式。

整合型的IPS就比較複雜一點。通常跟其他過濾及存取控管的裝置合而為一,例如:防火牆、交換器、路由器。舉例來說,最新版的Check Point 的 FireWall-1和Juniper Networks的 NetScreen-5GT,均採用防火牆與IPS整合的設計。(Check Point與Juniper同時也賣獨立型的IPS。)
目前市場上,獨立型IPS具備較強的功能,同時在處理高負載的效能最佳化上也表現的比較好。但是,在面對企業安全管理人員,對於一些附加花樣與常用功能的評比中,獨立型IPS還是常常被拒於門外。

就IPS功能面而言,可以分成「以出現頻率為基礎的IPS(rate-based)」、「以內容過濾為基礎的IPS(content-based)」兩大類。以出現頻率為基礎的IPS,以判斷流量大小與出現頻率的方式,決定是否阻絕該網路傳輸。像Top Layer的 Attack Mitigator IPS,就是以連線建立次數的頻率高低、頻寬耗用量,選擇性的阻絕高頻率與高流量的網路傳輸行為,這種功能對於阻止阻斷式服務攻擊(DoS)和找出遭受蠕蟲感染的主機而言,是相當有用的。

而以內容過濾為基礎的IPS,則是運用類似IDS以過濾特徵值的方式,達到異常偵測的目的。還有一些產品加入了弱點掃瞄的功能,用來識別易受害的主機,輔助強化特徵值的過濾功能,類似的產品像:TippingPoint的UnityOne IPS,就是使用上述技術來辨識與丟棄可疑的惡意封包,亦提供自訂規則的功能,以限制某些惡意封包所容許的最大頻寬值。ISS 的Proventia也具備上述功能,同時整合內容過濾與頻率限制的特色。

IPS運作方式有瑕疵?
IPS為了要阻擋所有潛在的攻擊,必須在封包進入內部網路之前,仔細檢查每個封包。因此,我們發現許多產品宣稱具備「深層封包檢測(deep packet inspection)」機制,使用高階的處理晶片,而不致於使網路速度下降,且具備高可靠度與負載平衡,以避免發生單點錯誤導致網路癱瘓。
更重要的是,in-line IPS最大的爭議,竟是難以與現有網路整合,假使IPS一定要使用in-line架構,那就必須在對外的每一條線路上都部署一台,但是,企業內部通常已經砸下大筆經費,建構交換式、分散型的網路設施,使得部署in-line IPS困難重重,廠商也沒有打算變更網路架構或提供其他整合方案。以現況看來,即使是最先進的IPS產品也沒有提供集線、提升封包交換的能力,來取代現有的交換式網路架構。
面對複雜的網路架構,廠商會建議你僅針對部分重要的網路區段,部署內部防火牆與IPS。這並非完整的解決方案,假使採用in-line IPS部署策略,就必須同時在網路上部署多個攔截點,這種作法忽略了部署多個IPS其成本與複雜度的考量,還有可能被大量的假警報(false positives)所騷擾。
這樣說來,IPS對於大型企業所產生的邊際效益並不高,可能僅適用於特定條件下的網路,例如小型企業或ISP。假使IPS部署於防火牆之前,可以在封包未進入防火牆就先行過濾阻擋,不過,有些功能強悍的防火牆就可以做到這點;反過來說,將IPS部署於防火牆之後,可以彌補防火牆的疏漏以保護內部的伺服器。這兩種方案均可防禦蠕蟲攻擊和偵測來自內部的破壞行為,但是無法對躲在加密封包中的攻擊威脅,做到有效防禦。
安全管理者常常要擔心一些問題,大至越趨複雜的網路架構、不斷增加的設備,所造成的管理負擔,小至電源線被踢掉、資料無法同步,這些雞毛蒜皮的雜事,想必你也是深有同感。在大型網路中常見的「防火牆三部曲」—負載平衡器、防火牆及多到數不清的交換器,構成一個龐大的網路架構。如果在這種環境中再丟幾個網路裝置(IPS)進去,勢必會增加不少安全管理上的風險與複雜程度,這樣做是明智的選擇嗎?
假使新的IPS產品可以整合傳統的乙太網路交換器,取代原先的網路設施,這不是挺棒的嗎?難道IPS廠商沒有足夠的生產線或是經驗來做到這件事嗎?
整合型IPS系統產品包括:Juniper 的NetScreen與SonicWALL。在功能上其實也有一些誇大其詞,就其功能而言,防火牆部分的功能就是做到阻擋非允許的流量,而這些產品的IPS功能只是其附加功能的一小部分,跟真正in-lineIPS的功能比起來,是稍顯不足。當防火牆製造商更進一步研發IPS功能,雖然能夠處理更多的威脅攻擊,但同時也會產生許多誤判的假警報。