傳統(tǒng)的入侵檢測系統(tǒng)(IDS)只能被動(dòng)地給管理員提供檢測報(bào)告,最終還必須通過人工來解決問題。雖然大部分IDS產(chǎn)品能夠在攻擊發(fā)生后與防火墻進(jìn)行互動(dòng),但是這種互動(dòng)只能夠?qū)Τ掷m(xù)的低層次攻擊產(chǎn)生很好的阻止作用,在容易受到深層次攻擊的場合,用戶還是希望采用能夠?qū)粜袨檫M(jìn)行實(shí)時(shí)阻斷的產(chǎn)品,來提高信息系統(tǒng)的安全級(jí)別,因此入侵防護(hù)系統(tǒng)McAfee IntruShield應(yīng)運(yùn)而生。
體驗(yàn)部署和配置
IntruShield 2600有別于基于通用平臺(tái)的產(chǎn)品,它采用NP(network processor)和ASIC(專用集成電路)混合的架構(gòu)設(shè)計(jì)。因?yàn)樾枰獙?shí)現(xiàn)實(shí)時(shí)阻斷,所以IntruShield 2600在進(jìn)行協(xié)議重組的過程中需要比傳統(tǒng)IDS更強(qiáng)的處理能力。通用的硬件平臺(tái)在多端口的配置的情況下很難滿足實(shí)時(shí)阻斷的需求。NP加ASIC這種結(jié)構(gòu)在高端的3層交換機(jī)和防火墻中被大量采用,能夠?qū)崿F(xiàn)非常高的轉(zhuǎn)發(fā)率,可以幫助入侵防護(hù)設(shè)備進(jìn)行實(shí)時(shí)阻斷。
靈活多樣的配置方式
這款產(chǎn)品配置了8個(gè)端口,在SPAN (Switched Port Analysis)模式工作時(shí),全部可以用作檢測端口,即如果用戶只需要傳統(tǒng)的IDS功能,這款產(chǎn)品完全可以充當(dāng)一個(gè)8口的IDS,不過在部署時(shí)需要考慮到吞吐量。IntruShield 2600的拿手好戲在于對(duì)入侵和非法的數(shù)據(jù)包進(jìn)行阻斷,這是在In-line的模式下實(shí)現(xiàn)的,這個(gè)模式是把IPS作為一個(gè)以太網(wǎng)的橋接器,透明地連接到已有的網(wǎng)絡(luò)中,而不需要改動(dòng)原有網(wǎng)絡(luò)的配置,對(duì)于一個(gè)復(fù)雜的網(wǎng)絡(luò)來說,這種設(shè)計(jì)可以減輕調(diào)試安裝設(shè)備對(duì)原有網(wǎng)絡(luò)的影響。在這種模式下,必須成對(duì)地配置端口。因此在只使用全部100M銅纜口時(shí),這款產(chǎn)品幾乎可以達(dá)到100%的利用率,而在使用千兆光口時(shí),這款產(chǎn)品就只能處理60%左右的網(wǎng)絡(luò)流量,對(duì)于一個(gè)正常設(shè)計(jì)的網(wǎng)絡(luò)來說,60%已經(jīng)是很高的突發(fā)流量了。
即插即用的快速部署
這款產(chǎn)品的軟件和硬件的配合程度是非常高的。雖然各個(gè)管理服務(wù)器上都需要安裝多個(gè)服務(wù)程序,但是McAfee通過把這些服務(wù)打包,整合成安裝向?qū)峁┙o了用戶。我們只需要點(diǎn)擊幾次“下一步”,并且設(shè)置好管理端口的IP地址,就能夠完成安裝。通過RS-232配置好控制網(wǎng)絡(luò)接口的IP地址后,我們就可以采用瀏覽器對(duì)設(shè)備進(jìn)行管理了。
整個(gè)管理配置界面完全是由動(dòng)態(tài)網(wǎng)頁和Java Applet組成,既能在管理服務(wù)器本機(jī)上進(jìn)行管理,還可以在任意能夠訪問管理服務(wù)器的計(jì)算機(jī)上通過瀏覽器進(jìn)行管理和配置。這樣可以把警告信息匯總到單個(gè)管理服務(wù)器上,然后在其他節(jié)點(diǎn)上進(jìn)行分析或者報(bào)告。
高性能的安全屏障、檢測率測試
我們選擇了Blade測試工具進(jìn)行模擬攻擊測試,選取50種典型攻擊樣例。通過模擬攻擊和被攻擊的環(huán)境,把IntruShield 2600設(shè)置為阻斷模式,通過比較發(fā)出的攻擊和從控制臺(tái)上觀察到的報(bào)警信息來確定設(shè)備檢測的正確性。Blade是目前可以模擬攻擊類型最多的安全測試工具。我們選擇的攻擊樣例也是按照最近比較盛行、危害比較大以及容易發(fā)生的原則來進(jìn)行的。
測試結(jié)果非常令人振奮。在測試中,所有的攻擊都沒有被漏報(bào)。但是,在這樣的測試中,我們并不能確定攻擊是否真的被阻斷了,于是我們進(jìn)行了下面的測試。
阻斷能力測試
我們找來了一個(gè)針對(duì)Windows NetBIOS缺陷的攻擊工具,這個(gè)缺陷存在于Windows 2000 SP3(包括SP3)以下的版本中。在沒有打開IntruShield 2600阻斷功能的情況下,僅打了SP2補(bǔ)丁的目標(biāo)主機(jī)直接藍(lán)屏,在進(jìn)行內(nèi)存轉(zhuǎn)存以后自動(dòng)啟動(dòng),而在開啟IntruShield 2600阻斷功能后再次發(fā)起攻擊,目標(biāo)主機(jī)就會(huì)安然無恙,并且兩次攻擊在管理服務(wù)器上都有詳細(xì)的報(bào)告,這說明IntruShield 2600的阻斷能力非常出色。
大家可能已經(jīng)發(fā)現(xiàn)了,我們所采用的攻擊類型并不是簡單的畸形IP包攻擊,而是在防火墻看來正確連接的情況下進(jìn)行的高層次的操作,這些操作大多是利用系統(tǒng)或者應(yīng)用本身的缺陷,制造異常操作來導(dǎo)致其無法正常工作,尤其是一些七層攻擊,如果只采用IDS和防火墻互動(dòng)的方法來阻止攻擊,很可能讓攻擊得逞,因此需要在攻擊進(jìn)行中立即阻斷。在阻斷模式下,IntruShield 2600除了要重組協(xié)議進(jìn)行判斷外,還需要放行正確的數(shù)據(jù),因此面臨著嚴(yán)峻的性能考驗(yàn)。
吞吐能力測試
為了考驗(yàn)NP/ASIC架構(gòu)的性能,我們創(chuàng)建了一個(gè)穩(wěn)定的背景流,然后模擬攻擊。通過觀察在處于標(biāo)稱吞吐量邊緣的IntruShield 2600對(duì)攻擊的報(bào)告情況來確定這款產(chǎn)品的實(shí)際吞吐性能。
我們采用思博倫通信的Avalanche和Reflector,制造了一個(gè)約等于600Mbps的HTTP流量,然后依然沿用功能驗(yàn)證中的攻擊檢測方法對(duì) IntruShield 2600進(jìn)行了測試。在標(biāo)稱的600Mbps吞吐量下,IntruShield 2600居然能一個(gè)不漏地檢測到攻擊,這一測試結(jié)果一方面肯定了這種基于NP和ASIC混合平臺(tái)的優(yōu)勢(shì),另一方面,也說明了這款產(chǎn)品在標(biāo)稱的吞吐量下,還保留了一部分處理能力,用于應(yīng)付突發(fā)的流量對(duì)系統(tǒng)正常運(yùn)作帶來的影響。
測試總結(jié)
由于采用了NP/ASIC架構(gòu),在進(jìn)行大數(shù)據(jù)量的協(xié)議分析時(shí),這款產(chǎn)品表現(xiàn)出了非常強(qiáng)的吞吐性能,使得阻斷攻擊這一獨(dú)特的功能沒有受到任何影響。因?yàn)檫@款產(chǎn)品主要聚焦在4到7層的攻擊類型,在測試中,我們并沒有看到太多基于一些3層以下的入侵檢測和阻斷手段。不過,在后來我們采用Nessus端口掃描工具進(jìn)行變形逃逸測試時(shí),發(fā)現(xiàn)這款產(chǎn)品對(duì)于SynScan等掃描入侵手段能夠進(jìn)行檢測,但是需要配合防火墻來更徹底地杜絕這類攻擊。由此證實(shí)了我們的推斷,單一的 SynScan或者Flood攻擊對(duì)于系統(tǒng)是沒有攻擊性的,并且由于這類攻擊非常簡單,不需要IPS進(jìn)行復(fù)雜的協(xié)議分析,只需要在偵測出攻擊后,通過和防火墻聯(lián)動(dòng),由防火墻就能進(jìn)行處理。
通過對(duì)IntruShield 2600進(jìn)行測試,我們發(fā)現(xiàn):IPS是對(duì)IDS的增強(qiáng)和延伸,能夠彌補(bǔ)和防火墻之間的空白,而不是簡單地對(duì)防火墻和IDS進(jìn)行融合的結(jié)果。
IntruShield 2600
產(chǎn)品亮點(diǎn)
● 在1U厚度實(shí)現(xiàn)2個(gè)千兆光口,6個(gè)銅纜百兆端口的入侵阻斷系統(tǒng),所有端口可以靈活配置,完全邏輯隔離。
● 能夠快速進(jìn)行安裝部署,支持分布式部署管理。
● 完善的檢測引擎,沒有漏報(bào)一個(gè)測試樣例中的攻擊。
● 高性能的吞吐能力,能夠在高達(dá)600Mbps的HTTP背景流下正常工作。
(e129)