大约在两年前,IPS(入侵防护)的概念被推到了台前。对于误报和漏报,刘科全认为,这主要是与IDS检测机制的缺乏有关。赛门铁克将蜜罐诱捕技术引入IDS当中,增加IDS应对未知攻击的防护能力。
如何选择IPS
市场上既有独立的IPS设备,如ISS的Proventa系列、McAfee的IntruShield系列、Juniper的IDP系列,也有安全厂商将入侵防护的功能集成到安全设备当中,例如赛门铁克、WatchGuard、SonicWall等都将入侵防护作为一个功能模块集中到自己的安全网关设备当中。独立的设备和集合式的网关各有优点和不足。
陈联认为,独立的设备在性能方面有保障,还有助于进一步进行功能扩展。McAfee计划在IPS设备中添加ACL等功能,使其主动阻止入侵的特点更加鲜明,而Juniper也打算将防火墙、VPN、IDP集成为一个产品。
在面对集成形式的IPS时,用户通常会有三种疑虑:一是当多种安全功能整合在一起时,每台设备会增加开销;二是当多种安全功能组合在一起时,设备管理变得更加困难;三是设备的性能会受到影响。赛门铁克的技术经理郭训平认为,集成产品不是简单的堆砌,而是深度整合,所以在功能上不但不会损失反而还会加强,而适当开启和关闭某些功能模块可以使这种集成产品保持出色的性能。
除了考虑IPS的实现形式外,陈联建议用户从性能、检测准确性以及稳定性三方面入手选择IPS。首先,由于IPS是以在线方式接入网络的,这就要求IPS必须具有一定的性能,不会拦截合法流量,不会过度影响网络或主机的性能。如果IPS的性能对合法流量产生了瓶颈作用,那么就不是一款合格的产品。其次,检测的准确度反映了IPS 是否会拦截合法流量以及是否能够对多数常见攻击进行检测和拦截,如果一个 IPS设备会拦截合法流量的话,就不能称为一个合格的嵌入式IPS设备。面对多种常见的逃避技术时,IPS是否依然能够检测和拦截基本的攻击,这对用户具有重要意义。对于IPS设备来说,设备故障可能导致网络崩溃,因此IPS的稳定性对于保护网络的正常运行至关重要。
Juniper的工程师认为,延时和响应时间也是考察IPS的一项重要指标。不同IPS的延时和响应时间是不同的,进而所起的保护作用也是有区别的,用户需要弄清自己所能接受的IPS的最高延迟时间。
某证券机构在几个月前,通过天刚数码购买了Juniper IDP设备。该证券公司的IT主管夏先生认为一个出色入侵防护的系统应该符合三项标准:一是不阻碍日常流量,网络型IPS不应影响到网络性能和产生延迟效应,主机型IPS则不得占用10%以上的系统资源;二是应当采用多种算法,不能局限于提供类似于防病毒功能的阻断方式;三是最好能够分辨攻击事件和正常事件,能够提醒管理人员可疑事件,以便做进一步调查。
IPS的五大作用
◆阻断利用系统漏洞进行传播的病毒和蠕虫
◆ 阻止拒绝服务攻击
◆ 对付试探扫描
◆ 对付未知攻击和“零日攻击”
◆ 保护在线应用
编看编想
IPS只是主动防护的一部分
◆ 宋丽娜
当国外用户在为选择哪种品牌的IPS而发愁时,大多数国内用户还在IDS和IPS之间难以抉择。不过,国内高端用户(如电信、金融等)对IPS的接受之快还是出乎从事IPS研究的厂商意料之外。IPS市场的启动与主动防御理论的接受程度息息相关,在国外,IPS已被广泛接受,而在国内,IPS的市场仍在教育和培养之中。
在采访中,有专家认为,入侵防护应该是由多种安全设备组成的安全体系共同来实现,而不是由IPS这种设备单独来完成,IPS只是主动防护的一部分,而不是主动防护的全部。东软信息安全的曹斌博士就持这种观点。持这种观点的专家指出,主动防护系统还需要加入应用级防火墙与应用级IDS,应用级的IDS产品能够重组信息流,跟踪应用会话过程,并准确描述和识别攻击,而应用级的防火墙能够阻断向应用层发起的攻击,保护Web应用。其实,上述这种观点是有渊源的。早在2001年,Check Point、天融信等厂商所提倡的防火墙和IDS的联动,就是希望通过不同设备的分工配合实现主动防护的功效,只是这种联动实现起来还存在一定困难,需要厂商找到提高联动效率和协同准确性的有效途径。
在这里仍有必要为饱受争议的IDS再说几句公道话,在主动防御渐入人心之时,担当网络警卫的IDS的报警作用更加重要。尽管IDS功过参半,但是IDS的报警功能仍是主动防御系统所必需的,也许IDS的产品形式会消失,但是IDS的检测功能并不会因形式的消失而消失,只是逐渐被转化和吸纳到其他的安全设备当中。