文/ 零壹科技網路整合部經理李文興
調查顯示,目前多數政府單位及民間大規模企業均已具備防火牆的裝置,然而這些網路安全設備,當網頁被置換或內部主機遭植入後門時,仍無法有效的保障網路系統安全。主要原因是防火牆的建置對企業而言,只能提高網路安全及降低風險,但是無法百分之百地達到防止駭客入侵行為。因此目前網路安全專家一致性地認為最佳資訊安全防禦方法,乃是同時延長橫向整合與多層次之安全防禦機制,大幅提高入侵者企圖滲透企業內部之取得成本與困難度,而使IT人員有足夠時間發現入侵行為並進行防護措施及證據保全,進而降低企業的安全風險。
針對網路安全市場,在多層次安全防禦機制中第二道的防禦機制IDS(入侵偵測系統)與IPS(入侵預防系統)已成為愈來愈普遍的解決方案,二者均能有效地降低入侵成功的可能性。IDS入侵偵測與IPS入侵預防非但在名稱上的不同外,在資訊安全產品上的類型區隔亦南轅北轍。就整體網路安全架構上而言IDS入侵偵測位置市架設在Firewall與Router之間,或DMZ區段及內部網路通往外部網路的咽喉點。透過IDS攻擊模式資料庫的入侵偵測比對系統讓管理員可以了解到,是否有非法者正在進行入侵動作,其主要是防禦駭客從Internet進行入侵動作。而IPS則是保護主機來防禦自外部與內部的破壞者,確實達到滴水不漏的防禦功能。因此IPS與IDS針對網路區段的偵測保護是不一樣的。
入侵偵測
就整體網路安全架構上而言IDS入侵偵測位置市架設在Firewall與Router之間,或DMZ區段及內部網路通往外部網路的咽喉點。 |
典型的入侵偵測系統其入侵簽章認證的模式類似於防毒產品的模式,要維持入侵系統的正常運作,則入侵簽章必須隨時保持在最新的狀況下,就如同防毒系統之運作,要維持防毒系統的正常運作,病毒定義檔必須隨時保持在最新的狀況下。然而,由於網路駭客慣用操作TCP/IP封包進行惡意破壞的行徑,因此TCP/IP封包常被入侵簽章列入偵測的對象,其偵測的紀錄常為資訊來源位置、IP來源位置、通訊埠、加密鑰匙、網卡硬體位置及封包格式是否正確。
入侵偵測系統屬於監控產品的種類,使用入侵偵測系統就好像將X光顯像設備放置於網路上,藉由X光的能力可以得知網路上封包狀態及情況,因此入侵偵測系統是一套針對檢查網路封包及監看網路情況的安全產品,IDS(入侵偵測系統)能做連續訊息紀錄之外,也可以處理資訊回應的收集,常見的方式是將IDS安裝在重要的網路區段上以方便收集不同狀態的網路情況。
部分入侵偵測系統監控網路中正在使用的服務,同時進行比對出違反現行企業組織安全政策的服務;然而,若防火牆有做適當的設定,除了特定被允許的服務外應該不會有其他的服務被允許進入企業內部網路。所以入侵偵測系統真正的重點是將報表調整為只留下與攻擊訊息有關的精簡資料。因為留下每個封包的packet header及 payload等資料是無意義的,且在長期使用下這些的儲存資料將佔據大量的硬體空間且必須另做備援與增加儲存設備的需求。
在入侵偵測市場的廠商,例如像Cisco、ISS及NFR等,將自己的相關軟體安裝在開放式作業系統平台上,而該相關軟體會由控制中心集中管理入侵資訊,這些相關軟體被稱為「偵測器」。透過網路端偵測網路資料流的狀態比對,當偵測比對中發現這些封包與入侵簽章有所異常時,入侵偵測系統就會立刻發出警訊同時根據這些異常封包狀態執行預先設定的標準作業程序。諸如,Syn-flood 列為高敏感度的入侵攻擊之首,ICMP-flood 次之。
當網路技術不斷的演進,IDS也慢慢浮現出些許的技術問題:
- 越來越多的網路通訊採用加密技術,而IDS並無法將加密過的通訊資料解譯成一般的明文資料。
- 由於網路使用已大幅度成長,進而使傳統的網路架構技術進而轉形成大型的交換式網路,造成IDS無法完全監測全部網路流量,使用者必須花費大量的成本及時間來增設大量IDS Sensors(入侵偵測系統偵測器),或透過交換器Port Mirror技術來監控大型交換式網路。
- 過多的攻擊簽章清單將增加偵測的複雜性與降低處理效能,造成IDS失誤率及假警報,往往增加IT人員管理上的不便。
- 新的入侵簽章每次多久會發佈更新?新的入侵攻擊出現後,廠商能夠在多少時間內更新其入侵簽章?
- 對主機的作業系統而言,IDS資料庫中應有多少入侵簽章才算是足夠?入侵簽章的細項是否能針對主機作業系統和應用程式的環境,以提供這兩者的任何層級系統保護。
以上所討論的五個問題,正是許多企業考慮同時佈署IDS與IPS的原因。
入侵預防
IPS(入侵預防系統)產品是入侵偵測產品的延伸,兩者所提供的功能面不盡相同。由於作業系統自身或安裝應用程式後往往會存在許多安全漏洞,運行在其上的應用軟體與資料無一不受到威脅。IPS不僅提供即時的入侵監測,更重要的是提供即時入侵防護,而且能夠阻止攻擊,以避免對系統造成任何傷害。入侵預防系統是特別設計來監測和阻止:如埠搜索和企圖利用作業系統及網路服務中的弱點進行的惡意攻擊,對進出系統的流量進行監測,以檢查和防止駭客利用常用技術搜索、破壞和闖入作業系統。
IPS的重要特徵是保護主機系統運作正常避免遭受攻擊,而該主機以外的網路不論是處在內部網路還是外部網路都認爲是不可信任的(Untrusted),因此可以針對該主機上運行的具體應用和對外提供的服務設定提供強固的安全政策。IPS使安全政策不僅僅執行於網路與網路之間,而是把安全政策延伸到每個網路末端。例如:在一般的狀況下,有經驗的駭客一旦鎖定特定攻擊目標時,他會先對這台電腦做Ping的動作已確定這台的IP Address,然後再對其安全狀態做一次掃描的動作,掃描的第一個步驟通常是針對所有的通訊埠,並探測已開放存取之通訊埠。
更進一步,駭客還會定義出所開放的通訊埠執行何種通訊服務(例:Telnet、Web、FTP),與測試作業系統及版本等相關資訊,利用軟體的漏洞或存取管制的漏洞成功的入侵這台電腦甚至植入後門程式並清除相關入侵資訊。然而當IPS收到有人對它做Ping或Scan的動作時,它會將這請求封包drop不予回應並動態地關閉主機的連接埠。駭客將無法確認主機是否存在與是否提供網路服務。因為IPS已將所保護的這台電腦在網路上隱藏起來了,雖然仍無法百分之百的保證能做到滴水不漏的安全境界,但這方面IPS卻是嚴密的把關。
IPS的重點在於預先保護重要資訊系統的運作,而非辛苦的搜尋網路入侵者之犯罪證據。IPS在主機及工作站上過濾來自Internet或Intranet進與出(Inbound & Outbound)的雙向網路交通,以避免受到內部網路或來自網際網路的攻擊,進而遭人利用成為攻擊的跳板或竊取、損毀、假造企業內部資料,而嚴重影響企業運作與商譽。
在入侵預防市場的廠商,例如Network-1,這類型的產品功能是系統執行服務或修改重要檔案資料時,於應用層上扮演系統分析監控者的角色。在訂定完成路徑規則後,資料進入程式接取點的路徑必須與應用層所要求的溝通管道與方式吻合。一但發現資料溝通管道或方式異常的路徑時,監控應用層的系統即會採取禁止資料入侵的行為。IPS在系統資料處於正常狀態時,應用程式會讓資料繼續執行,反之IPS則立刻關閉溝通管道。整體而言, IPS會在應用程式系統記憶體執行前阻擋與路徑規則不符的入侵資料。
善用現有資訊安全技術
IT決策者在選擇企業組織最佳的守門員時,應依照資訊安全計劃穩紮穩打地落實在企業內部網路架構上,不論是選擇使用IDS或IPS亦或兩者同時建置。因此,決定採購之前應該清楚明瞭公司資訊安全需求與現有網路架構,當然經費預算亦是很重要的一環。但是如果行業別是屬於金融業或醫療業,應該在企業網路上同時佈署IDS和IPS兩套系統,之所以建議這兩套系統並存以期能發揮最大的防護效益,則是基於兩項高風險因素:巨大的財物損失和嚴重的生命威脅。
由於IDS或IPS之保護方式與重點有所差異,但卻與企業能否永續經營息息相關,IT決策者應切記以下之技術關鍵:
- IDS安裝在網路段,監視特定網路區段狀態。
- IPS安裝在伺服器及桌上型電腦,加強保護特定目標。
- IDS需要額外的資訊安全專家的設定與監控。
- IDS需要額外管理經費與較大的紀錄儲存空間。
- IDS無法解析網路上的加密訊息。
- IDS和 IPS都應具備集中式安全管理平台。
- IPS對於保護應用程式系統較佳。
- PS是最理想的網站保護系統。
- IDS和IPS都無法取代防火牆。