入侵防禦系統簡介
http://www.cert.org.tw/documen....php?key=100--------------------------------------------------------------------------------
一、前言
隨著網際網路的發達,網路上攻擊的手法也是不斷地精進與翻新。比去過去,目前造
成資訊安全危機的各種不同攻擊手段是更具多樣性、快速、與自動化,因此在防禦這些攻
擊的難度也是與日俱增,能夠正確無誤的防範當然是首當要務,更重要的是還要講求能夠
及時反應的時效性以盡量降低攻擊帶來的損害。入侵偵測系統IDS (Intrusion Detection
System) 所提供的防範方式雖然能夠偵測出惡意的攻擊,但在時效性方面卻有大大的不足
,往往發現攻擊才來補救可能已經造成了無法挽回的損失。所以入侵防禦系統 IPS
(Intrusion Prevention System)於是應運而生。本文即針對IPS做個簡單的介紹,包括了
IPS 與 IDS 的比較、IPS 的分類、IPS 檢驗與回應方式、及一個簡單易用的 IPS 工具:
Snort-inline,來對 IPS 有個初步的了解。
二、IPS 與IDS 的比較
IPS 入侵防禦系統簡單來說就是 IDS 入侵偵測系統的加強版,除了可以擁有 IDS 偵
測發出警訊的功能,更重要的就是IPS 能夠主動地將符合資格的攻擊行為給立即適時地斬
斷,對那些惡意封包的傳送,可以自動化地檢視並直接做出反應的手段,相對於IDS 只是
單純發出警戒的訊號記錄來讓管理人員查看再補救,IPS 的優勢就是能在攻擊尚未真正達
成前就立即阻擋。且在目前網路行為頻繁,網路流量及頻寬越來越大的時代,IDS 所產生
攻擊警訊的報表也是大量地增長,可能在極短的時間內警訊通知就有如雪花般地出現,而
為了要排除誤判與真正的攻擊,管理人員光是要觀看這些大量的通知就已經捉襟見肘,不
但管理上的不方便,也延長了對攻擊反應的時間,所以IPS 的自動回應攻擊行為不但能補
足了IDS 一直在時效性上的缺失,還能方便管理者的管理,減少花費在檢視報表的時間。
不過IPS 也並不是完美無懈可擊的,事實上要使用IPS 與IDS 的爭議是一直都未停止,雖
然IPS 能夠立即主動地將攻擊封包給阻隔,但也因為這樣,當在誤判產生時,也就將本來
合法、正常的流量給阻斷掉,反而影響到企業平常的運作,這些損失就是IPS 所造成的,
並且IPS 拖慢網路速度也是其中一個令人垢病的缺失。所以IDS 與IPS 的使用目前並沒有
一定的定論,也沒有誰絕對好用的講法,還是得視使用的需求與實際的情況來決定。
三、IPS的分類
大概對IPS 有粗淺的認知後,接下來我們談談IPS 的分類。IPS 的分類,若以IPS 所
檢視分析對象的資料來源來看,我們可以分成下列兩種:
(一)、網路型入侵防禦系統(Network IPS):也就是檢視分析的對象來源是網路上傳
輸的封包,透過檢查網路封包內容的方式來防範是否有入侵行為,故稱為網路型的IPS。
(二)、主機型入侵防禦系統(Host IPS):也就是檢視分析的對象來源是重要主機上的
一些日誌檔案或目錄,透過檢查這些主機上檔案目錄的狀態完整性來防範是否有入侵行為
,故稱為主機型的IPS。
而若以IPS分析的方法來看,我們可以分成下列兩種:
(一)、攻擊特徵比對法(Misuse):將可疑的攻擊行為事先定義好特徵(signatures)與
規則(rules),然後檢視分析看看是否符合這些定義好的特徵與規則,若符合則做出適當
回應行為。此方法缺點是必需事先針對特定行為來定義好特徵與規則,所以若今天有一較
新、未知的攻擊或病毒產生的話則沒有辦法自動偵測回應,需等待一段時間後對攻擊手段
確實清楚了解後才能撰寫特徵與規則供使用,故時效性較低。優點是誤判率較低,能有較
準確的防範。
(二)、異常行為分析法(Anomaly):利用一些比較進階的演算技術如統計、資料探勘
、有限狀態機、類神經網路等等,對要監控的環境下決定出所可以容忍的正常行為標準,
和一定程度的偏移範圍,若發現某些行為超出此容忍的範圍,則判斷為異常行為而採取相
關回應動作。此方法的缺點為誤判率較高,優點則可以對未知、較新的攻擊行為做防禦。
而IPS也以軟體與硬體兩種形式存在,如下述:
(一)、軟體型:就是以程式模擬、開發出來的IPS,價格便宜且彈性大,易於架設與
使用,不過系統執行效能上較硬體型來得低。
(二)、硬體型:直接將IPS提供的功能及其規則製作成硬體來部署,系統效能運作較
佳,但是價格較昂貴且不易架設與使用。
四、IPS檢驗與回應方式
再來我們談談IPS可以在整個網路流量的那些地方做檢驗與它大致上對攻擊回應的方式
。以網路七層來看,IPS可以檢查應用層、傳輸層、網路層、資料鏈結層的資料並且主動回
應,以下分而簡述之:
(一)、應用層:對應用層攻擊的回應,會將可疑資料的封包給丟掉或拒絕掉,且除了
直接丟掉封包另外一個比較有用的方式是可以對應用層的封包做一些操作,如修改或替換
掉封包的內容,此方式在下一段會有較詳細的描述。而有些具有人工智慧、可學習式的IPS
能觀察並自動學習把不正常的應用層程式給終止。
(二)、傳輸層:一般對傳輸層回應的方式大概就是將識為攻擊行為後的UDP 或TCP 的
某些port 給阻斷,使得如駭客常使用來做探測掃描的ICMP 封包會回應無法到達目地端的
錯誤訊息。另外封包的port號轉譯機制也是一項不錯的技術。
(三)、網路層:在網路層方面,識別可疑攻擊來源端的IP 位址後,就把所有來自此IP
位址的網路封包都給丟棄,也就是拒絕了此IP的連線,使得來源端無法進一步與目的端連
線而達成防禦的效果。
(四)、資料鏈結層:例如可以適當地觀察並控制因攻擊產生的大量資料量,做法是可
以在一段時間內設定一個允許傳輸的資料量,若超過此量則採取相對應的回應動作,不過
由於位於資料鏈結層,能監控的範圍就是區域網路下的範圍。
而其中一個值得我們談談位於應用層IPS 的有效回應攻擊動作的方法,也就是可以立
即將IPS 線上目前檢視到的封包內容作修改,這也在下文我們介紹IPS 工具裡有提到。也
許有些人會問:為什麼對封包內容修改會是一個IPS 提供的一個有效的回應動作呢?就直
接如上述地將那些可疑的封包給丟棄掉或拒絕可疑的連線不是更快嗎?當然直接丟棄封包
也是一種有效的方法,但是有時候直接丟棄封包或拒絕連線的動作可能會讓駭客更好奇,
駭客可能會藉此不正常的丟棄封包或無法連線的結果猜到遠端網路下可能有某個IPS 在保
護,那麼駭客可能會直接探測那台IPS 機器,再以其他手段攻擊那台IPS 機器,因為只要
將IPS 機器給攻陷後,那麼此網路依然曝露在危險之中,雖然可能使得駭客的攻擊較不容
易,但是也給駭客一個入侵的新方向與目標,所以有時候不把封包拒絕或終止連線,而是
把封包內容做個修改也是一種安全而有彈性的措施。
五、IPS工具介紹:Snort-inline
Snort-inline 是基於一個有名的IDS:Snort,為基礎所開發出來的一個open source
IPS,具有易安裝使用,容易擴充,功能完整的特性,它是使用特徵比對法的 IPS,可在
http://snort-inline....rge.net/ 裡找到有關它的資訊與相關檔案或文件。
Snort-inline的運作方式其實就是以Snort 這個IDS 為主然後再搭配防火牆如iptables
來達成IPS 的功能,所以在使用Snort-inline 前系統必須安裝並啟動iptables。
在使用方面首先要先啟用iptables 裡的queue 功能,此動作iptables 會將所有搜集
到欲觀察的封包都先儲存起來以供Snort-inline 來檢驗,然後Snort-inline 再將這些儲
存起來的封包逐一與事先定義好的規則來進行比對檢查,若符合了規則裡定義的不合法攻
擊行為則再採取規則中定義的相關回應動作,而Snort-inline規則裡提供的回應動作包括
有 "drop"、"sdrop"、"reject",我們分述如下:
‧drop:將此可疑封包丟棄,並產生記錄檔。
‧sdrop:只將此可疑封包丟棄,但並不產生記錄檔。
‧reject:將此可疑的連線給拒絕,並產生記錄檔。
而除了上述三個主要的回應動作外,另外在Snort-inline規則的選項裡也提供了一個
有用的額外設定為 "replace" 可使用,也就是像前文所提到的可將符合定義的封包內容做
修改、替換的功能。而Snort-inline 規則上的撰寫也相當容易,管理者可以自由地視網路
環境的需求不同而輕易設置不同的規則檔,而在
http://www.bleedi...t.com/ 裡也提
供了很多新的、免費的規則檔可供下載使用。
六、結語
雖然IPS 在資訊安全領域中扮演的角色是日益重要,但IPS 系統真正成功與否卻還是
得視需求與真實網路環境而定,管理人員必須對欲保護的網路環境與目前相關的網路攻擊
手法有著相當清楚的了解與認知,而這也是架設IPS 最關鍵、最困難的地方,並不是IPS
裝好後就能一勞永逸,必須要能夠針對特定的需求與環境來設定完善的IPS 規則才能使IPS
帶來最大的效益。
