入侵防御系统简介
http://www.cert.org.tw/documen....php?key=100--------------------------------------------------------------------------------
一、前言
随着网际网路的发达,网路上攻击的手法也是不断地精进与翻新。比去过去,目前造
成资讯安全危机的各种不同攻击手段是更具多样性、快速、与自动化,因此在防御这些攻
击的难度也是与日俱增,能够正确无误的防范当然是首当要务,更重要的是还要讲求能够
及时反应的时效性以尽量降低攻击带来的损害。入侵侦测系统IDS (Intrusion Detection
System) 所提供的防范方式虽然能够侦测出恶意的攻击,但在时效性方面却有大大的不足
,往往发现攻击才来补救可能已经造成了无法挽回的损失。所以入侵防御系统 IPS
(Intrusion Prevention System)于是应运而生。本文即针对IPS做个简单的介绍,包括了
IPS 与 IDS 的比较、IPS 的分类、IPS 检验与回应方式、及一个简单易用的 IPS 工具:
Snort-inline,来对 IPS 有个初步的了解。
二、IPS 与IDS 的比较
IPS 入侵防御系统简单来说就是 IDS 入侵侦测系统的加强版,除了可以拥有 IDS 侦
测发出警讯的功能,更重要的就是IPS 能够主动地将符合资格的攻击行为给立即适时地斩
断,对那些恶意封包的传送,可以自动化地检视并直接做出反应的手段,相对于IDS 只是
单纯发出警戒的讯号记录来让管理人员查看再补救,IPS 的优势就是能在攻击尚未真正达
成前就立即阻挡。且在目前网路行为频繁,网路流量及频宽越来越大的时代,IDS 所产生
攻击警讯的报表也是大量地增长,可能在极短的时间内警讯通知就有如雪花般地出现,而
为了要排除误判与真正的攻击,管理人员光是要观看这些大量的通知就已经捉襟见肘,不
但管理上的不方便,也延长了对攻击反应的时间,所以IPS 的自动回应攻击行为不但能补
足了IDS 一直在时效性上的缺失,还能方便管理者的管理,减少花费在检视报表的时间。
不过IPS 也并不是完美无懈可击的,事实上要使用IPS 与IDS 的争议是一直都未停止,虽
然IPS 能够立即主动地将攻击封包给阻隔,但也因为这样,当在误判产生时,也就将本来
合法、正常的流量给阻断掉,反而影响到企业平常的运作,这些损失就是IPS 所造成的,
并且IPS 拖慢网路速度也是其中一个令人垢病的缺失。所以IDS 与IPS 的使用目前并没有
一定的定论,也没有谁绝对好用的讲法,还是得视使用的需求与实际的情况来决定。
三、IPS的分类
大概对IPS 有粗浅的认知后,接下来我们谈谈IPS 的分类。IPS 的分类,若以IPS 所
检视分析对象的资料来源来看,我们可以分成下列两种:
(一)、网路型入侵防御系统(Network IPS):也就是检视分析的对象来源是网路上传
输的封包,透过检查网路封包内容的方式来防范是否有入侵行为,故称为网路型的IPS。
(二)、主机型入侵防御系统(Host IPS):也就是检视分析的对象来源是重要主机上的
一些日志档案或目录,透过检查这些主机上档案目录的状态完整性来防范是否有入侵行为
,故称为主机型的IPS。
而若以IPS分析的方法来看,我们可以分成下列两种:
(一)、攻击特征比对法(Misuse):将可疑的攻击行为事先定义好特征(signatures)与
规则(rules),然后检视分析看看是否符合这些定义好的特征与规则,若符合则做出适当
回应行为。此方法缺点是必需事先针对特定行为来定义好特征与规则,所以若今天有一较
新、未知的攻击或病毒产生的话则没有办法自动侦测回应,需等待一段时间后对攻击手段
确实清楚了解后才能撰写特征与规则供使用,故时效性较低。优点是误判率较低,能有较
准确的防范。
(二)、异常行为分析法(Anomaly):利用一些比较进阶的演算技术如统计、资料探勘
、有限状态机、类神经网路等等,对要监控的环境下决定出所可以容忍的正常行为标准,
和一定程度的偏移范围,若发现某些行为超出此容忍的范围,则判断为异常行为而采取相
关回应动作。此方法的缺点为误判率较高,优点则可以对未知、较新的攻击行为做防御。
而IPS也以软体与硬体两种形式存在,如下述:
(一)、软体型:就是以程式模拟、开发出来的IPS,价格便宜且弹性大,易于架设与
使用,不过系统执行效能上较硬体型来得低。
(二)、硬体型:直接将IPS提供的功能及其规则制作成硬体来部署,系统效能运作较
佳,但是价格较昂贵且不易架设与使用。
四、IPS检验与回应方式
再来我们谈谈IPS可以在整个网路流量的那些地方做检验与它大致上对攻击回应的方式
。以网路七层来看,IPS可以检查应用层、传输层、网路层、资料链结层的资料并且主动回
应,以下分而简述之:
(一)、应用层:对应用层攻击的回应,会将可疑资料的封包给丢掉或拒绝掉,且除了
直接丢掉封包另外一个比较有用的方式是可以对应用层的封包做一些操作,如修改或替换
掉封包的内容,此方式在下一段会有较详细的描述。而有些具有人工智慧、可学习式的IPS
能观察并自动学习把不正常的应用层程式给终止。
(二)、传输层:一般对传输层回应的方式大概就是将识为攻击行为后的UDP 或TCP 的
某些port 给阻断,使得如骇客常使用来做探测扫描的ICMP 封包会回应无法到达目地端的
错误讯息。另外封包的port号转译机制也是一项不错的技术。
(三)、网路层:在网路层方面,识别可疑攻击来源端的IP 位址后,就把所有来自此IP
位址的网路封包都给丢弃,也就是拒绝了此IP的连线,使得来源端无法进一步与目的端连
线而达成防御的效果。
(四)、资料链结层:例如可以适当地观察并控制因攻击产生的大量资料量,做法是可
以在一段时间内设定一个允许传输的资料量,若超过此量则采取相对应的回应动作,不过
由于位于资料链结层,能监控的范围就是区域网路下的范围。
而其中一个值得我们谈谈位于应用层IPS 的有效回应攻击动作的方法,也就是可以立
即将IPS 线上目前检视到的封包内容作修改,这也在下文我们介绍IPS 工具里有提到。也
许有些人会问:为什么对封包内容修改会是一个IPS 提供的一个有效的回应动作呢?就直
接如上述地将那些可疑的封包给丢弃掉或拒绝可疑的连线不是更快吗?当然直接丢弃封包
也是一种有效的方法,但是有时候直接丢弃封包或拒绝连线的动作可能会让骇客更好奇,
骇客可能会藉此不正常的丢弃封包或无法连线的结果猜到远端网路下可能有某个IPS 在保
护,那么骇客可能会直接探测那台IPS 机器,再以其他手段攻击那台IPS 机器,因为只要
将IPS 机器给攻陷后,那么此网路依然曝露在危险之中,虽然可能使得骇客的攻击较不容
易,但是也给骇客一个入侵的新方向与目标,所以有时候不把封包拒绝或终止连线,而是
把封包内容做个修改也是一种安全而有弹性的措施。
五、IPS工具介绍:Snort-inline
Snort-inline 是基于一个有名的IDS:Snort,为基础所开发出来的一个open source
IPS,具有易安装使用,容易扩充,功能完整的特性,它是使用特征比对法的 IPS,可在
http://snort-inline....rge.net/ 里找到有关它的资讯与相关档案或文件。
Snort-inline的运作方式其实就是以Snort 这个IDS 为主然后再搭配防火墙如iptables
来达成IPS 的功能,所以在使用Snort-inline 前系统必须安装并启动iptables。
在使用方面首先要先启用iptables 里的queue 功能,此动作iptables 会将所有搜集
到欲观察的封包都先储存起来以供Snort-inline 来检验,然后Snort-inline 再将这些储
存起来的封包逐一与事先定义好的规则来进行比对检查,若符合了规则里定义的不合法攻
击行为则再采取规则中定义的相关回应动作,而Snort-inline规则里提供的回应动作包括
有 "drop"、"sdrop"、"reject",我们分述如下:
‧drop:将此可疑封包丢弃,并产生记录档。
‧sdrop:只将此可疑封包丢弃,但并不产生记录档。
‧reject:将此可疑的连线给拒绝,并产生记录档。
而除了上述三个主要的回应动作外,另外在Snort-inline规则的选项里也提供了一个
有用的额外设定为 "replace" 可使用,也就是像前文所提到的可将符合定义的封包内容做
修改、替换的功能。而Snort-inline 规则上的撰写也相当容易,管理者可以自由地视网路
环境的需求不同而轻易设置不同的规则档,而在
http://www.bleedi...t.com/ 里也提
供了很多新的、免费的规则档可供下载使用。
六、结语
虽然IPS 在资讯安全领域中扮演的角色是日益重要,但IPS 系统真正成功与否却还是
得视需求与真实网路环境而定,管理人员必须对欲保护的网路环境与目前相关的网路攻击
手法有着相当清楚的了解与认知,而这也是架设IPS 最关键、最困难的地方,并不是IPS
装好后就能一劳永逸,必须要能够针对特定的需求与环境来设定完善的IPS 规则才能使IPS
带来最大的效益。
