企业应该配置网络入侵防御系统吗?

日期: 2008-05-20 作者:Mike Chapple翻译:李娜娜 来源:TechTarget中国 英文

三年多以前,我在大型学术网络上见证了试验性配置入侵防御系统(IPS)的情形。我们正在讨论的技术是一个顶级经销商(该经销商今天仍然存在)力荐的产品。该产品已经做了大量的销售广告,许诺消除所有的网络威胁,并且多年来首次使安全分析家高枕无忧。   那么启动该系统后发生了什么情况呢?正如你所预料到的,在15分钟内,它就崩溃了了,在一个未过滤的网络连接上,被试图推行经销商所谓“最佳方式”的IPS信号所淹没。

执行失败并与其它组织的同事交流以后,我们发现,显而易见,那时的企业还没有完全准备好配置IPS(或者,更好的说法是:IPS技术还不够成熟!)。   三年过去了,换了一些销售代表以后,还是那些经销商正忙于……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

三年多以前,我在大型学术网络上见证了试验性配置入侵防御系统(IPS)的情形。我们正在讨论的技术是一个顶级经销商(该经销商今天仍然存在)力荐的产品。该产品已经做了大量的销售广告,许诺消除所有的网络威胁,并且多年来首次使安全分析家高枕无忧。

  那么启动该系统后发生了什么情况呢?正如你所预料到的,在15分钟内,它就崩溃了了,在一个未过滤的网络连接上,被试图推行经销商所谓“最佳方式”的IPS信号所淹没。执行失败并与其它组织的同事交流以后,我们发现,显而易见,那时的企业还没有完全准备好配置IPS(或者,更好的说法是:IPS技术还不够成熟!)。

  三年过去了,换了一些销售代表以后,还是那些经销商正忙于敲我们的门、打电话、承诺IPS市场已经“成熟”了,是时候再给这项技术一次机会了。今天的IPS设备能跟上高速网络连接,并且进程规则数据库变得更有效率。我不能确定技术本身是否已经成熟;但实际上,它并没有发生很大的变化。

  入侵防御系统是入侵监测系统的一个基本扩展;它们可以监测到对网络的攻击,并且一旦监测到,可以准确阻止其到达目的地。这与入侵检测系统(IDS)形成对比,IDS允许攻击通过并随后提醒管理员。当然,不同的经销商已经加上了一些铃声和口哨声,比如IPS与网络设备交互的能力(防火墙、转换器等),这些功能可以在网络中的不同点实施执行准入控制决定。多年来,经销商已经添加了监测暂漏头角技术性攻击的能力,比如那些反VoIP系统或IPv6网络。

  然而,一个成功的IPS产品归结到底是一个高质量的监测引擎和平稳的用户界面。核心技术与第一版Snort有惊人的类似度。Snort是一种流行的开源入侵检测系统,10年前,Sourcefire公司的创始者Martin Roesch向世界介绍了该系统。

  尽管如此,我的确相信在过去三年间入侵防御系统的使用和采用已经发生了显著的变化。然而,标志性变化不在于新添加的特色,而是经销商和安全专业人士在配置和维护IPS时所采用的最佳方式。

  这里有一些关于最佳方式的简单总结,您可以遵循以下几条,以成功实施IPS:

  • 在“监控”模式下运行IPS,直到确定系统的配置合理。在企业网络中采用经销商授权的默认策略,简单地将其调为免除格式,进而配置IPS,这种做法是一个巨大的错误。(如果你忘记了这么做的理由,请重新阅读这篇文章的前两段!)在监控模式下配置设备更为安全,监控模式与IDS的运行方式相同。仔细观察,直到它正确地执行你企业的安全策略,让您满意为止。

  仔细检查任何一个警告,留心误报检测信号,并且切记一旦你在这些任何一个规则中启用积极反应,那么这些连接确实会受到阻挡。这里关键的一步是:调试阶段投入大量的时间分析IPS警报。简单地数出误报数目是远远不够的。深入研究它们:如果两个误报就已经阻止了你的电子商务应用程序与销售数据库相连接,会怎么样呢?保全自己,谨防犯下导致职业生涯结束的错误。

  • 保持“块”模式规则的数量在一个微小、精确的设置状态。最为成功的IPS配置使用了一种混合的IDS/IPS方法。只需要设置与极高信用率有关的规则便可,以阻止信息流横穿网络。比如,如果IPS检测出某个网外系统使用SSH探测器系统地搜索了你的地址空间,你绝对想要阻止该通道。过去几年间,经销商也已经对这种忠告熟悉起来。现在,大多数经销商推荐“块”规则的一小核心组,同时将其余的保留在典型的IDS警戒模式。这是一种谨慎的态度,能够显著提高你成功配置IPS的可能性。
  • 考虑使用应急开放设备。IPS的另一个缺点是为了在“块”模式中运行,设备在物理上必须是内嵌的。正如任何网络工程师告诉你的,内嵌设备的数量越少越好。在网络中增加单点故障是存在的一个问题,此外,当出现一些尚未找出原因的问题时,这就为其他任何人提供了指责安全小组的机会。

  阻止这些问题发生的方法之一是在IPS上使用应急开放技术。这样,如果设备失去作用,它就像一根直铜线,不会导致整个网络中断。如果预算允许的话,也可以考虑将备用IPS设备配置为高可用性模式。

  总之,毋庸置疑,IPS市场在过去三年中已经变得成熟了。这些变化不仅仅体现在技术本身之中,而且体现在其配置和操作方式上。现在,经过恰当的管理,IPS设备在企业安全构架中可以起到重大作用。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

相关推荐

  • 如何利用基于云的沙箱来分析恶意软件?

    为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块……

  • 网络入侵防御系统全解

    现在有很多网络入侵防御系统产品,它们主要有三种形式,而本文重点介绍的作为专用硬件和软件产品的IPS,这种IPS直接部署到企业的网络,以及虚拟设备以部署到服务器内虚拟网络。

  • 绿盟科技四款产品入围电信集采

    在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。

  • 戴尔SonicWALL SuperMassive E10800再次入围NSS实验室“推荐”评级

    戴尔运行SonicOS 6.0软件和集成式入侵防御服务的下一代防火墙SonicWALL SuperMassive E10800再度赢得美国NSS实验室2013入侵防御系统安全值图的“推荐”评级。