入侵检测系统,顾名思义,就是能够及时发现入侵行为的系统。它通过对网络中的若干关键点收集网络数据信息并对其进行分析,从中鉴别网络中违反安全策略的行为和被攻击的迹象。与其他安全产品相比,入侵检测系统需要更加智能,而不是像防火墙只是判断这些数据符不符合安全策略。一个好的入侵检测系统能大大的提高网络安全系数。
防火墙并不安全
防火墙是长期以来保障网络安全最常用的工具。它是一种用来加强网络之间访问控制的特殊网络互连设备,它对内部网络和外部网络之间传输的数据按照设定的安全策略对其进行检查,来决定哪些数据非法。这样有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
如图1所示,一般防火墙系统分为两层,内层是带包过滤功能的路由器,外层是代理服务器。包过滤防火墙只接受代理服务器发出的服务请求和内部网络发起的服务连接,代理服务器负责向公共网用户提供内部网络允许的网络服务。
 |
| 图1 |
包过滤和代理技术的双层防火墙系统,从一定程度上提高了系统的安全性。但它主要是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源,如果使用得当,可以在很大程度上提高网络安全性能,但是防火墙虽然能对外部网络的攻击进行有效的防护,但对来自内部网络的攻击却无能为力,事实上据统计 60 %以上的网络安全问题来自内部网络,而且网络程序和网络管理系统中可能存在缺陷。因此网络安全单靠防火墙技术是不够的。
因为防火墙有它自身的局限:
1.有欠灵活
防火墙是通过严格限制进出流来保障网络安全的。但是这样不可避免就会造成网络本身过于封闭,很多服务如Telnet,FTP...会被屏蔽掉。
2.家贼难防
防火墙所执行的任务是把住大门,防止外部用户非法获得敏感数据或者非法操作。可是它对内部用户的行为毫无约束。这时内部用户无法无天也就不奇怪了。
3.后门失守
防火墙把的是大门,可如果本网络有后门呢,且又被控制了呢?这时防火墙形同虚设。
防火墙有这么多的局限,这时人们就想到了“主动出击”,派出“入侵检测系统”进驻公司内部,在网络关键节点巡逻,随时揪出入侵之敌。
技术要求
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。
一个好的网络入侵检测系统至少应满足这些功能要求:
1、实时性:
如果网络攻击或者攻击的企图尽快的被发现,这就有可能阻止进一步的攻击活动,有可能把损失控制在最小限度。实时入侵检测可以避免常规情况下,管理员通过对系统日志进行审计以辨别入侵行为时的低效和延迟。
2、可扩展性:
一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时,可以通过某种机制在无需对入侵检测系统本身进行改动的情况下,使系统能够检测到新的攻击行为。并且在入侵检测系统的整体功能设计上,也必须建立一种可以扩展的结构,以便系统结构本身能够适应未来可能出现的扩展要求。
3、事件记录:
作为一个完备的网络入侵检测系统,对于检测到的入侵事件必须具备完善的日志记录和日志审计功能。
4、安全性:
入侵检测系统必须尽可能的完善与健壮,不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。
5、有效性与易用性:
能够保证设计的网络入侵检测系统是切实有效的,即对于攻击行为的错报与漏报能够控制在一定范围内。并且系统应该是友好的,简洁易用的。
应用实例
下面以中科大国祯网络入侵检测系统为例来说明网络入侵检测系统的主要特性和配置方法。
* 分布式系统设计。可依据不同的网络拓扑结构灵活配置整个系统。
* 检测速度快。感应器通常能在微秒或毫秒级发现问题。
* 安全性好。系统各个模块间采用先进的加密传输。
* 易于控制。系统由感应器、控制中心和反应单元组成。其中感应器和反应单元都是基于无人值守设计的。用户只须在控制中心掌控整个系统。
* 智能反击。系统在感应器报警后会由控制中心下达反击命令,根据不同协议或切断连接或数据包过滤。
* 数据过滤。能对特定数据包实现过滤,并可按用户需求过滤一定时间。
* 系统可扩展性好。系统的分布式结构设计和核心感应器的结构设计决定了系统的可扩展性较好。
* 隐蔽性和独立性好。感应器不像一般主机在明处,因而也不那么容易遭受攻击。而且它不运行其他的应用程序,不提供网络服务,故有利于保障网络安全。
* 资源配置要求不高。由于使用一个检测器就可以保护一个共享的网段,所以不需要很多的检测器。但是,如果在一个交换环境下,采用分接器(Tap),将其接在所有要检测的线路上。还有,感应器不占用被保护资源。
* 容易捕获证据。网络入侵检测系统基于正在发生的网络通讯进行实时检测,所以攻击者无法转移证据。且系统具备完善的日志记录功能和审计功能。这样黑客就不能靠擦除系统记录来掩盖作案痕迹了。
既然网络入侵检测系统这样的好,那么该怎样在具体的网络环境中配置它呢?下面(图2)以安徽国祯环保节能科技股份有限公司厂区网络为例来说明。
该网络采用1000M高速以太交换网。网络结构为星型分级拓扑结构。主干交换机,即图中一级节点,采用Cisco4006(配一个WS-X4232-L3,两个WS-5484模块),二级节点采用两台Cisco3524XL(各配一个WS-5484)交换机;接入系统采用CISCO2621路由器(配 一个NM-8AM模块)。采用1000BASE-SX、100 BASE-FX、100 BASE-TX标准,构造100/1000M的网络带宽,提供到达桌面的100M连接。
可以看得出来,该网络有一级节点一个,二级节点三个,三级节点一个。那么怎么把网络入侵检测系统配置在这个网络中呢?
一般来说反应单元是置于网关上的,如图所示。控制中心随意放置于内部网络方便的地方,这里把它置于中心机房。而感应器乃系统的灵魂所在,必须置于网络流量集中的地方。否则系统性能将得不到保证。这里把它置于3个二级节点和1个三级节点上。
应用效果
配置好系统后,整个网络对付攻击的效果怎样呢?
中科大国祯网络入侵检测系统能够检测到1200多种包括缓冲区溢出及拒绝服务攻击和各种网络扫描的网络攻击行为。
为了测试系统性能,我们进行了一系列攻击测试。包括Ping of Death,SYN Flood,UDP Flood,Smurf,Unicode Attack以及使用著名的网络扫描工具Nmap和Nessus以及Shadow Security Scanner产生网络攻击。
在上述攻击中,我们的系统表现出了一个好的网络入侵检测系统所具备的实时高效,安全有效,日臻完善的优点。
还有,在网络大负载时系统表现又怎样呢?实验证明我们的系统在40M/sec的网络环境中和60M/sec的网络环境中表现依旧相当令人满意。在90M/sec的网络环境中系统性能有所下降,但是仍能够检测到60%的网络攻击。这是个尚待解决的普遍存在的问题。
我们提出的网络安全解决方案在上面的例子中已经展示出来了。那就是结合防火墙和网络入侵检测系统的优点,在企业局域网络的出入口处配置防火墙,以应对基本的外部网络攻击,在内部网络中配置网络入侵检测系统,以弥补防火墙的不足,并负责在内部网络中巡逻,检测来自内部网络的攻击。
