您的位置: 网界网 > 周报全文 > 正文

[周报全文]McAfee IntruShield 2600:基于硬件的IPS解决方案

2004年09月13日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:McAfee IntruShield 2600:基于硬件的IPS解决方案

标签

    McAfee IntruShield 2600:基于硬件的IPS解决方案

    入侵防护系统(IPS)的设计旨在对常规网络流量中的恶意数据包进行检测(这是目前的防火墙产品无法做到的)、阻止入侵活动、预先对攻击性的流量进行自动拦截,使它们无法造成损失,McAfee IntruShield 2600就是这样一款基于硬件的解决方案。

    独特的功能

    这款产品和同类产品相比,拥有一些出众的特性:

    1. 多种流量监控方法

    SPAN 或集线器模式 — IntruShield 传感器可以连接到交换机的 SPAN 端口或集线器的某个端口,从而以端口镜像模式来运行。IntruShield 2600最多可监控八个SPAN连接。

    接入模式 — 与 IntruShield 产品家族的其他成员不同,IntruShield 2600带有内部TAP。通过外部TAP,IntruShield 2600传感器能够接收每秒600Mbps的流量(总流量)。检测引擎最高可以每秒600Mbps的速度来处理流量。

    嵌入模式—直接置于某个网段路径中时,IntruShield 2600最高能够以每秒600Mbps的速度处理网络流量,实时检测违反安全策略的活动。通过检测引擎的流量经过检查后,会被发送回网络中。

    端口群集 — 使得单一 IntruShield 系统通过多个端口监控的流量能够“聚合”成一个流量集,以便进行状态分析和入侵分析。该功能对于非对称路由环境尤其有用,因为这种环境下,请求数据包和响应数据包可能会通过不同的网络路径进行传送。单一的 IntruShield 系统就能够监控多个链接,同时可以维护准确、完整的状态信息。

    8 个监控端口,其中包括 6 个快速以太网端口和 2 个 GBIC 插槽,最高可监控每秒 600Mb 的流量。在全双工模式下,这些端口可用来最多监控四个网段(接入模式或嵌入模式),在半双工模式下,则可用来监控八个网段(监控 SPAN 端口或集线器),或者同时对全双工链接和半双工链接进行监控。在以嵌入模式对其它接口进行监控的同时,该传感器还能够以探测模式(在全双工链接或半双工链接上)对自己的某些接口进行监控。

    2. 虚拟入侵检测系统

    IntruShield 体系结构允许用户创建多个虚拟入侵检测系统 (VIDS)。对于一个用户来说,我们可以针对其中特定的部门、地理位置或职能单位设置多达 1000 个虚拟 IDS 域,并针对每一个虚拟 IDS 单独设置安全策略。

     VIDS 功能可通过以下几种方法来实现:

    ● 将虚拟局域网 (VLAN) 标记分配给一组网络资源。

    ● 使用无类别域间路由 (CIDR) 块来保护一批 IP 地址。

    ● 专门指定 IntruShield 系统接口来保护用户特定部门、区域或职能单位的网络资源。

    图1 IntruShield实现虚拟IDS(VIDS)

    独特的硬件设计

    IntruShield 传感器的功能是通过专用的、定制的硬件来实现的,该硬件提供了准确检测所需的性能,能够以极高的速度对网络入侵进行预防,同时不会丢失数据包。IntruShield 系统所执行的绝大多数任务都受益于ASIC硬件。例如,IntruShield的签名处理功能要求硬件加速来处理重复性的签名检测任务,例如字符串匹配。这样一来,IntruShield 体系结构不仅能够从理论上以数千兆字节的数据处理速度支持上千种攻击签名,而且能够持续对新攻击和拒绝服务攻击进行检测和预防。

    便于快速实施

    1. 高易用性

    在易用性方面,这款产品也提供了非常好的解决方法,IntruShield 传感器和管理器 (Manager) 的安装非常简单直观。管理器可以安装在一台 Windows 2000 主机上(目前,管理器还不支持 XP),需要做的只是插入光盘并运行安装程序。如果管理器主机上没有预先安装Java运行环境(Java Runtime Environment,JRE),则安装程序会在安装过程中将其安装到该主机上。第一次运行控制台时,用户有必要通过系统配置工具将每一台传感器添加到资源树中。每一台传感器都被指定了惟一的名称和共享密钥,以便确保管理器和传感器之间初始公钥交换的安全性。

    2. 易于部署

    IntruShield 产品线的设计和开放均充分考虑了高速交换网络和大规模分布式部署的要求。我们从其硬件和管理软件中都不难看出这种设计理念,而后者更是具备了一些十分成熟且实用的功能。对于规模较大的分布式网络管理员来说,IntruShield 最具吸引力的功能就是管理域。管理域还能够包含其他管理域、传感器、传感器接口以及传感器子接口。管理域的概念使得企业能够创建出一个中央授权机构,负责对整个IntruShield 系统进行管理,这个中央授权机构可以将 IntruShield 安全资源的日常操作委派给适当的实体。

    在使用 IntruShield 策略时,我们常常会用到攻击这个词,而很少用到签名。根据 IntruShield 的定义,攻击是由一个或多个签名组成的,此时,每一个签名就是对针对特定系统漏洞的攻击企图进行检测的方法。这些签名可能包含针对性非常强的已知漏洞攻击识别方法,或者包含多种有助于检测未知漏洞攻击(例如缓冲区溢出)的一般性检测方法。如果将多种此类签名整合在单一的攻击中,即可实现准确率最高的攻击检测效果。

    用户还可以在一台传感器上混合使用多种接口模式,并在每一个接口上应用不同的策略。举个例子:我们使用了嵌入模式下的一对端口,端口上运行着严格的策略,同时针对某些签名启用了入侵防护功能,但禁用了所有可能导致误报的签名。我们还在同一个接口对上创建了一个 VIDS,它包含一个单独的邮件服务器,接着,我们将一个稍有差别的嵌入式策略(更侧重于 SMTP 攻击)应用到该 VIDS 上。然后,我们使用余下的一个端口采用SPAN模式,将其连接到交换机的 SPAN 端口上,同时应用了一个覆盖面更为广泛的策略,将其设置为捕获整个数据流。虽然 VIDS 的初始配置需要仔细的考虑,但配置完毕后,为不同的 VIDS 分配策略就会变得异常简单。

    详尽的事件管理

    在 IntruShield 系统中,警报的表现形式可以是以下三种状态之一:未确认 (unacknowledged)、已确认 (acknowledged) 以及标记为删除 (marked for deletion)。第一次发出的警报将在管理器中显示为未确认状态,并保持该状态直到管理员对其进行确认或删除。这些警报会显示在网络控制台的未确认警报摘要部分以及警报查看器的实时查看视图。对警报进行确认即可将它们从这些视图中清除掉,此后,它们将仅显示在警报查看器的历史记录视图以及相关报告中。但是,我们无法在确认警报的同时,对其加以批注— 这也造成一些不便,因为批注功能对我们记录警报分析结果是非常有用的,它可以详细记录为什么我们最终将某个警报确认为不重要的警报。删除警报可同时完成两步操作,即确认警报以及将警报标记为删除。实际上,在按照日程安排执行文件维护操作之前,这些警报都不会真正被删除掉,在执行文件维护操作时,IntruShield 才会清除所有标记为删除的警报,以及那些符合计划指定的删除标准的警报(例如,已超过 30 天的警报)。在实际使用中,很多警报信息都被简单地显示为“未知”,但大量测试用例都显示为“可疑”,而那些明显失败(Web 服务器返回 404 错误)或成功(检测到带有攻击的 Unix shell 命令)的测试案例则能够被准确地识别出来。这无疑是一个非常有用的功能。

    为了实现更为全面的取证分析,IntruShield 还推出了“事件 (Incidents)”的概念。事件就是能够由事件生成器 (Incident Generator) 根据预配置的标准(例如在 15 分钟内(+微信关注网络世界),来自同一攻击源的 100 个攻击)自动建立关联的相关警报的集合。管理员也可以手动创建事件,也就是使用用户自定义事件工具 (User-Generated Incidents),从警报查看器中选择并组合一组相关的警报。定义事件使得管理员能够构建一个用于分析和调查的文件,还可以将其用于其他取证分析。事件查看器显示了事件的状态信息,提供了一个批注区域以便进行案例管理,此外,用户还可以通过它删除某些事件,其基本工作流程功能使得每一个事件都可以分配给多个人员,这些人员也能够对事件进行批注。

    虽然警报查看器提供了实时监控和交互式取证分析功能(以及将所选定的窗口保存为PDF或CSV格式以便创建快速报告的功能),但报告生成器 (Report Generator) 却使管理员能够创建出更为全面、更为高水平的总结报告,报告不仅可以采用文本格式,还可以采用图形格式。与警报查看器相同,报告生成器也可以通过在IntruShield 网络控制台视图中单击按钮打开。IPS 报告提供了有关已安装的传感器所生成的警报的摘要信息。生成的警报信息包括:攻击的源 IP 地址和目标 IP 地址、攻击发生的时间以及检测到该攻击的传感器等等。

    出色的整体性能

    这款产品的管理服务器和控制台从根本设计上就是为了处理大规模分布式部署,此外,它们所包含的多种实用功能也大大简化了对此类部署的处理。首先来说,该设备能够在八个端口上定义最多100个虚拟 IDS,并能够为每一个虚拟 IDS分配独立的策略,单从这一点来看,IntruShield 就是我们在实验室中所见过的最灵活的系统之一。然而,IntruShield 进一步提升了这种灵活性,因为它能够以不同的方式来配置每一个端口或端口对,它能够以“传统的”SPAN 模式、Tap接入模式或者In-line嵌入模式来实现最强大的防护功能。或者,它们也可以组合在一起,形成一个端口群集,并使网络流量通过它们进行聚合。虽然其他产品也能够实现在单一设备上运行混合模式,但IntruShield 的虚拟 IDS 功能是比较独特的,其运行和操作也给我们留下了深刻的印象。管理域和用户角色功能使得规模再大的用户也能够轻松实现最为细致的控制。同时,基于规则的策略定义功能简化了复杂策略的定义过程,用户只需简单地在资源树中的适当层上分配这些策略,即可将其全面部署到单一传感器或整个网络中。而且,一旦应用这些策略后,警报处理功能(包括警报的关联)和取证分析功能将变得非常灵活。

    这款产品在标称的负载状态下,能够百分之百地检测并拦截所有的攻击。根据供应商提供的数据,IntruShield 2600 的实际额定吞吐量为每秒 600Mbps。

    IntruShield 2600 的预设配置表现出了优异的签名识别功能, IntruShield 2600所生成的警报类型虽然描述有些笼统,有时对同一攻击发出多个警报。这就导致用户必须对这些警报进行仔细的分析,才能判断出设备检测到的究竟是哪种攻击。

    此外,在我们设置的所有逃避检测测试中,IntruShield 2600也表现得非常出色。IntruShield 2600不会受到欺骗而对我们的无状态攻击发出警报,这也说明了它能够有效抵御通过重放工具(例如 Stick 和 Snot)发起的基于 TCP 的攻击。(本文参考来源:NSS Group)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]