产品是构成系统的基础和核心,它决定着整个系统的性能,而安全产品市场千变万化,IDS产品纷繁复杂,型号、性能日新月异。据赛迪评测不完全统计,目前在国内市场上共有52款不同厂家的入侵检测产品。由于入侵检测系统的研发在技术投入方面的要求相对较高,不同实力的厂商所生产的产品的品质差异较大,同时,用户需求又是各式各样,因此无论是对于企业用户,还是对行业用户而言,要想在充满变数的市场中选择一款适合自己的产品真的不是一件很容易的事情。
因此本期专题我们组织了一组相关的文章,以期帮助广大网管员根据自己企业的需求来确定产品的采购原则,并推荐了不同类型的具有代表性的几款产品,也许我们推荐的产品并不是最好的,但是也许是最适合你的需要的。 同时由于篇幅所限,无法将所有满足需求的产品一一列出,我们只是希望能给广大网管员一个总的选型原则,能对您的工作有所帮助。
主机型IDS实例—Intruder Alert
Intruder Alert属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。在上一期的介绍中,我们把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。这是因为二者采集信息的来源相同,都是那些被监视保护的主机,而且黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。
Intruder Alert是Symantec公司的产品,目前的最新版本是3.6版。Intruder Alert是一个非常典型的主机型入侵检测系统,我们可以通过了解它的体系结构与工作原理来了解这一类型的入侵检测技术。
主要作用
◆ 不停地监视用户(user)对操作系统和应用所做的任何操作;
◆ 不断地对系统、应用、数据的完好性进行评估和主动地进行维护;
◆ 创建新的安全监视策略并实时进行更新;
◆ 检测未经授权的行为,同时发出相应的警报也可以执行预设的响应措施;
◆ 收集并保护所有日志以便日后分析。
工作原理
Intruder Alert采用三层体系结构,包括四个部件,如图1所示:
1. Administrator。是一个NT 和Unix(Solaris)平台下的图形化的用户接口(GUI),主要起管理维护作用,对Intruder Alert的大部分管理、配置工作都在这里进行。它的主要作用为建立和断开和Manager的连接、组织和配置代理(Agent)、创建和管理各种类型策略、管理Intruder Alert 用户和用户优先级、在需要的时候更新Manager的许可证优先级等等。
2. Event Viewer。这是一个单独的NT和Unix(Solaris)平台下的图形化用户界面,用于查看从Agent中获取的各种事件数据,也就是报警的窗口。这是Intruder Alert比较独特的一点。一般来说入侵检测系统的管理配置与事件查看功能会结合在一起,用户在看到事件查看模块中的报警后,可以利用管理配置模块来进行策略的调配或者采取其他行动。Intruder Alert这种分开的做法是出于对管理员职责划分的考虑,在某些企业里可能会把安全管理员分为不同的级别,级别高的管理员可以做所有的事情,而级别低的管理员只允许进行日常的状态与安全情况的监护,但不能实际采取操作去处理问题,他必须向上汇报情况,由上级管理员来处理。这时一个只能显示报警而不能进行实际策略的更改的Event Viewer就比较合适了。如果不需要这么细的管理措施,也可以把Event Viewer与Administrator安装到一个管理工作台上,这样即可以显示报警,也可以配置策略。
此外,Event Viewer还可以查询Manager的事件数据库,从而可以查看选定的刚刚发生的或已经发生的各种事件;向代理(Agent)发送各种Intruder Alert指令;生成并查看各种在线或历史报告。
3. Manager。是一个运行在后台的应用软件,Manager没有图形化界面,其主要功能是维护与所有注册代理(Agent)的安全通讯;维护域的主列表和把相应的策略分发到每一个代理(Agent);把有关域和策略的变化通知给相应的代理(Agent);接收和存储来自于代理的事件数据;作为Intruder Alert Administrator、Intruder Alert Event Viewer和Agent之间通讯的桥梁,维护策略列表和所属域。
Manager是整个运行体系信息流的枢纽,它的应用使Intruder Alert可以适应大型网络的需要。Agent收集到的攻击与可疑信息会通过Manager向Event Viewer报告,Administrator和Viewer发出的命令与配置指令也会通过Manager下传到Agent上面。在配置时,Administrator、Evnet Viewer与Agent都需要首先到某一个Manager上注册,加入这个Manager所管理的域,才可以参与这个域的安全活动。简单说,就是Administrator注册到Manager A上后,才可以去管理Manager A上已经注册的Agent;Event Viewer注册到Manager A之后才能接受并显示它负责的Agent上报的信息;新的Agent注册到Manager A之后,才可以接受相关的Administrator的策略配置,并把安全报警在相应的Event Viewer上显示。
4. Agent。主要起如下作用:监视时间收集器;在发现攻击时,执行相应的动作如通知用户、发送E-mail、通知管理员、终止会话、关闭机器等。从Manager中接受安全升级(Security Update)。建立与Manager的安全连接,同时加密数据以便数据可以在网络中安全传送。Intruder Alert代理被安装在服务器或工作站中,这些代理可以监视该系统中的所有行为,包括和操作系统的交互通信以及特定的应用,从而可以主动保护企业资源和业务免受非法使用和破坏。
技术特点
Intruder Alert除了前面介绍的具有典型的主机型入侵检测系统的特性外,还有其他一些特点:
◆ Drop and Detect技术
Drop and Detect 测试函数特性的预先定义方案使得安全管理人员能够快速简单地安装入侵报警系统。使管理员能够避免最常见的危险的威胁,以保护您的NT、Unix、Linux或其他关键的企业系统。同时,Drop and Detect 测试函数让安全管理员不必等待新“hard-coded”版的软件包就可以升级系统。
◆ Intruder Alert监视操作系统种类全面
Administrator可以运行于Windows NT、HP-UX、Sun Solaris;
Manager可以运行于AIX、HP-UX、Solaris、Windows NT;
Agent可以运行于AIX、Digital Unix、HP-UX、Solaris、Linux、Windows NT、NetWare等。
在选择主机型入侵检测系统的时候,需要特别注意的是Agent可以适应的平台。主机型入侵检测系统的基础是Agent,只有Agent安装好了,相应的主机才能得到监控与保护。在选择时,仔细考虑好该入侵检测系统产品是否能满足您目前管理的所有操作系统平台的需要,还有将来发展的需要。
◆ 基于策略的入侵检测
管理员可以非常方便地把基于策略的入侵检测系统防护实施到系统中。通过基于策略的监测,管理员可以完全控制如何监测系统,定义要监测什么系统、监测系统中何种行为,同时在发现攻击时采取什么措施。
◆ 动态地、实时地更新安全策略
可以动态地、实时地更新入侵检测策略。Intruder Alert提供一套完整的工具来创建新的入侵检测策略,同时实时地应用到系统中。
◆ 适应大型企业、大型网络规模的管理
Intruder Alert可以和各种主要的企业管理工具集成使用,从而为用户提供一个很好的管理控制平台,它支持用户自定义的安全目的;提供管理向导,使得日常维护工作更加容易;当发现安全冲突事件时,可以实时监测和显示安全事件;可以远程静默安装和调整,比较方便管理员进行软件的实施和维护;提供和Tivoli、BMC Patrol、HP OpenView的集成模块。
◆ 和NetProwler事件集成,更完整地进行安全事件报告
NetProwler是Symantec公司开发的网络型入侵检测系统,与Intruder Alert并列。它可以监测网络数据包,并提前警告来自Internet的攻击,为整个企业的网络和重要的商业服务器和应用提供一个集成的入侵检测系统安全点,同时在NetProwler发现攻击时,还可以和Intruder Alert连动,可以收集并提供多个系统中发生的相关的攻击报告。
◆ 用户自定义攻击特征
攻击特征可以检测并防止黑客通过命令尝试来探测或挖掘已知系统和应用的漏洞。管理员可以根据企业的资源和应用的具体情况制定相应的攻击特征。因此可以保护企业特定的资源和应用。在Intruder Alert的使用中,同一时间可以有多个安全策略起作用。
基于网络的IDS实例—Real Secure
ISS公司的Real Secure实际上是一个混合型的IDS,也就是说它既可以进行基于网络的入侵检测,也可以进行基于主机的入侵检测,这是通过实施不同类型的Agent来实现的。而不同类型的Agent可以统一地在一个管理界面中显示、报警,可以提供更全面的信息给管理员。
Real Secure的体系结构
Real Secure是典型的分布式IDS,也是适应大型网络入侵检测工作的一个必要条件。我们以Real Secure 6.0版本为例来介绍它的体系结构。Real Secure 6.0的体系结构可以分为三个层次:
◆ 控制层。主要部件是Console。
◆ 信息处理层。主要部件是Event Controller。
◆ 探测层。主要部件是Sensor。
◆ 另外还包括两个数据库:Enterprise Database和Asset Database。
以下详细介绍这几部分的作用为。
Console的功能
可以通过Console进行策略配置,并把不同的配置附加到相应的Sensor上去。这些策略就是在Sensor进行入侵检测工作时的依据,Sensor要监测哪一块网卡、要对什么信息进行检查、有了值得注意的情况后向谁报告、采取什么动作,都是由策略来决定的。
Console需要连接到Event Collector,从Event Controller实时地接收信息。这些信息包括:
◆ 关于事件的详细资料。如:目的与来源IP地址、相应端口号等;
◆ 可以取得关于某个事件的详细说明;
◆ 可以即时对画面上的事件显示进行管理。
Event Collector 的功能
Event Collector是RealSecure中的信息处理层部件。其主要的功能为:接收Sensor发来的事件,将接收的事件记录到 Enterprise Database,同时向Console发出即时的警报。
Sensor的功能
当Sensor检测到有事件发生时,会立即传送给Event Collector,Event Collector在接收到Sensor传过来的事件时,会记录在Enterprise Database中,用于日后生成报表;并立即传送同样的信息给Console,显示在屏幕上,用于即时警告和分析。
数据库的功能
正像上面介绍的一样,Enterprise Database就是Event Collector用来存放事件信息用的,准备产生报表。
当Console要与Sensor连接时,需先到Asset Database查询Sensor相关资料,再与Sensor连接。同时,Asset Database 也可以将资讯提供给其他管理界面,用来记录Event Collector传来的事件资料,并且在Console要产生报表时,将记录下来的事件资料传送给 Console产生报表。
Asset Database 的功能在部署了大量的 Sensor 和 Console 之后,管理者须要有一个资料库将Sensor 与其他网路装置的相关资讯记录下来,这个资料库就是Asset Database。
请注意Event Controller只负责把Sensor上报的信息传送给Console,而不负责把策略配置向下传送给Sensor,Console会直接把信息传给Sensor。
安装与加密key
Real Secure共计有十几种部件,各个部件之间有相当多的组合安装方式。在一般场合,推荐把 Console 与 Asset Database 安装在一起,Event Collector与 Enterprise Database安装在一起,此种安装组合在Console 、Event Collector 、Sensor 之间互相通讯时会有很高的效率,给系统和网路带来的负担也比较轻。
为了防止盗版和自身安全性,Real Secure中采用了加密传输与验证,这都会涉及到key。在Real Secure 6.0中所提到的Key有两种,一是License Key,一是Authentication Key。配合三层式的架构后,Key的配置和之前的版本有些不同。在 License Key方面,在Console和Event Collector上都必须有 License Key 才可正常运作;在 Authentication Key方面,Authentication Key有三种,一种是Console的Authentication Key,一种是Event Collector的Authentication Key,一种是Sensor自己的Authentication Key 。
管理这么多加密key比较麻烦,但这也是ISS为了安全和防止盗版而不得不使用的办法。
入侵检测产品选择26问
现在国内外有多至几十种的入侵检测产品可供我们使用。在已知这些产品和特点的情况下,挑选合适的产品使其与您的网络安全需求相适应,是一件非常复杂和费力的事情。下面列出了一系列问题,可以让我们在对入侵检测产品进行选择时,通过用户自己和厂商对这些问题的回答来判断这种入侵检测产品是否真正适合您的需要。
问题一:您的网络环境是怎样的?
首先,指出系统环境的各个技术情况。这里所列出的信息包括网络拓扑图和主机数量、位置的示意图,每一台主机的操作系统,网络设备(如路由器、网桥和交换机等)的数量和类型,终端服务器的数量和类型以及拨号连接的数量和类型,网络上的服务器的描述信息,包括类型、配置、每一台服务器上应用软件和版本。如果您的网络中运行着企业级网络管理系统,也应考虑进去。
问题二:您的网络中已经使用了哪些安全手段?
在列出了系统环境的技术属性后,还需要列出那些已经在使用的安全保护措施。需要列出网络防火墙的数量、类型和位置,标识与鉴别服务器,数据和链路加密装置,反病毒软件,访问控制产品,特殊的安全硬件(例如Web服务器的加密、加速硬件),虚拟专用网,以及其他任何在系统中使用的安全机制。
问题三:您最主要关心的是不是防御外来的安全威胁?
明确安全目的的最简单方法就是将您的企业所关心的安全威胁进行分类,尽可能明确地指出所关心的是否是从企业外部而来的安全威胁。
问题四:您是否担心内部人员的攻击?
重复上一步,这一次强调的是来自您的企业内部的安全威胁,这些安全威胁不仅包括从内部发起的攻击(例如送货员试图访问并修改工资单系统),还包括授权用户越过了他们的权限,由此造成的授权用户违反了企业的安全策略或者制度(例如,出于好奇心,顾客服务代理处访问收入和工资表记录来得到一些公共的数据)。
问题五:是否希望IDS对与安全无关的网络使用情况管理控制进行支持?
在有些企业内,许多系统使用策略都是以用户行为作为对象的,它们都可以被归类为人员管理,这些使用策略与系统安全问题无关。这些策略限制对象包括了访问那些提供了不正当内容的Web站点(例如色情文学),或者是使用了企业内的系统发送电子邮件或者其他恶意消息给别人诸如此类的行为。许多入侵检测提供了对违反管理控制的行为进行检测的功能。
问题六:当前的安全策略是如何构成的?
将安全目的清晰地表达出来,以标准的安全目的(完整性、机密性和可用性)的形式以及通用的管理目的(秘密性、保护系统没有倾向性、可管理性)的形式,把安全策略列出来。
问题七:当前系统中用户的日常工作是如何进行的?
列出系统用户的所有通常工作职责(对于单独的一个用户来说,可能会有几个工作职责)。同时,列出每一个工作职责所要进行的数据和网络访问。
问题八:安全策略是否包含了合理的使用政策和其他的管理规定?
在前面已经提到,许多公司把系统的使用政策作为了安全策略的一部分。
问题九:是否已经制定了违反安全事件发生时的处理程序?
当检测到系统中发生了违规操作时,如果这时安全管理员能够明白现在究竟应该去做些什么,这会使安全事件的处理效率大大提高。在管理层并不想对某种违规行为进行反应的情况下,把入侵检测系统配置成要求对这种违规行为进行检测就成了毫无意义的事。从另一方面来说,如果管理层希望对这种违规行为做出主动反应,入侵检测的操作守护人员就应该完全了解既定的响应策略,这样他们就可以用适当的方式来处理警报。
问题十:在预算时,是否完全考虑了IDS系统硬件、软件和后期维护的成本?
这是首先要明确的,得到了入侵检测软件本身并不意味着就已经是拥有软件的总成本了;我们还需要建立并且运行一个入侵检测系统。在安装、配置和维护入侵检测系统时,一般都需要对您的职员进行专业的培训。很多公司在购买入侵检测产品时,往往会忽视后一部分成本。
问题十一:是否有足够的人员来专职监视一个IDS系统?
许多入侵检测系统在设计时都做了这样一个假设:安全管理员会不间断地、夜以继日地监视入侵检测系统。如果希望不需要一直有人进行实时的守护,那么就需要采用那些不必实时看管的入侵检测系统,或者是考虑一下那些设计为不需要进行看管的入侵检测系统。
问题十二:该入侵检测产品是如何测试的?
很多厂商在介绍自己的入侵检测产品时只是简单地说它具有某些特定的功能,这并不足以证明这些功能确实是真的。应该要求对入侵检测产品的主要功能进行必要的演示,以便显示出其对当前环境和安全目的的适用性。
问题十三:产品是否经过了功能性需求测试?
在通过功能性需求测试时,要询问厂商在使用这种入侵检测产品时是否对于安全目的和客户环境有所限制。
问题十四:产品是否经过了攻击测试?
应详细地询问厂商,产品经过了什么样的安全测试。如果该产品中包含有基于网络的漏洞评估部件,还要明确那些会造成系统崩溃或者其他的拒绝服务攻击的测试脚本是否已经在系统文档和用户界面中被标识了出来。
问题十五:该产品所面向的用户专业知识水平如何?
不同的入侵检测产品厂商面向拥有不同技术和安全专门技能的用户。要询问厂商,他们对于使用其产品的用户具有什么样的技术要求。
问题十六:产品能够适应于用户知识的增长吗?
是否可以在入侵检测系统正工作时,对入侵检测接口进行配置(配置快捷键、可自定义的警报要素以及自定义入侵特征)。应询问这些特点是否已经包括在文档中,并且已经获得了厂商支持。
问题十七:产品能够适应于系统结构的增长与变化吗?
这个问题是与入侵检测对扩展和日益变化的网络的伸缩能力相关的。对于当目标网络增长时如何调整他们的产品,大多数厂商都很有经验。明确他们关于对支持新的协议标准及平台类型的一些承诺。
问题十八:产品能够适应安全环境的增长与变化吗?
对于在当前的因特网安全环境下,这个问题特别重要。目前,每个月都会有30到40种新的攻击被发布到Internet上。
问题十九:厂商如何对产品安装和配置进行支持?
许多厂商在用户安装和配置入侵检测系统的过程中提供了专家帮助;还有一些厂商则希望客户自己来安装和配置入侵检测系统,他们只提供电话或者电子邮件帮助。这都要在选用时考虑自己的能力与成本。
问题二十:产品的升级费用如何?是否已经包含了对攻击特征进行升级?
由于大多数入侵检测都是错误使用类型的检测器,因此,产品的价值将与分析事件所使用的特征数据库等同。大多数厂商都提供了一段时间内(典型情况下是一年)对攻击特征进行升级的预定。
问题二十一:攻击特征库的升级预计多长时间一次?
在当今的安全环境下,每个月都会有30到40种安全攻击被公布出来,这个问题就显得十分关键。
问题二十二:在一个攻击公布后,多长时间内厂商可以发给客户新的攻击特征?
如果是在使用入侵检测系统保护企业的关键业务部门或者流量十分大的站点,您是否能尽快收到新的攻击的特征就是个非常关键的问题。
问题二十三:升级时包含了软件升级吗?
大多数入侵检测是软件产品,因此,它将会有bug的存在,也就会有修订的出现。请询问厂商关于软件升级和补丁支持的相关事宜,确定所购买的产品中包含了什么样的升级与补丁。
问题二十四:在软件中的一个问题报告给厂商后,多长时间内厂商会发布软件更新或者补丁?
如果入侵检测中软件的bug为攻击者所用,他们将不费吹灰之力就可以达到目的。因此,快捷、可靠地对这些问题进行修正也是非常重要的。
问题二十五:包括了技术支持服务吗?费用如何?
技术支持服务包括了厂商在用户需要调节入侵检测系统,或让入侵检测能够适应于特殊的需求(例如它们是在监视您的企业内部一个特殊的定制系统或者遗留下来的系统,或者以一种定制的协议或格式汇报入侵检测的检查结果)时提供帮助。
问题二十六:从厂商那里可以得到什么样的培训资源,费用如何?
如果入侵检测厂商并没有提供培训学习来作为产品包的一部分,就要考虑一下在什么地方能够获得所需的培训,这是必须的。
作者:徐一丁 付飞
