今天想和大家聊一聊如何有效的部署和操作IDPS。顧名思義，對(duì)于安全事態(tài)來(lái)說(shuō)，IDPS是一種事前檢測(cè)并主動(dòng)防御的安全設(shè)備。

小師妹系列前傳：

• 小師妹聊安全標(biāo)準(zhǔn)
• 小師妹聊安全標(biāo)準(zhǔn)(二)

首先還是對(duì)IDPS做一個(gè)書面解釋吧!

[[262236]]

IDPS

為了防范惡意活動(dòng)而監(jiān)視系統(tǒng)的入侵檢測(cè)系統(tǒng)IDS和入侵防御系統(tǒng)IPS的軟件應(yīng)用或設(shè)備，IDS僅能對(duì)發(fā)現(xiàn)的這些活動(dòng)予以報(bào)警，而IPS則有能力阻止某些檢測(cè)到的入侵。

部署目的

部署入侵檢測(cè)和防御系統(tǒng)(IDPS)的目的是被動(dòng)監(jiān)視、檢測(cè)和記錄不適當(dāng)?shù)?、不正確的、可能產(chǎn)生風(fēng)險(xiǎn)的，或者異常的活動(dòng)，當(dāng)有可能入侵的活動(dòng)被檢測(cè)到時(shí)，IDPS會(huì)發(fā)出報(bào)警或自動(dòng)響應(yīng)。我們可以通過(guò)獲取IDPS軟件和硬件產(chǎn)品來(lái)部署IDPS，當(dāng)然也可以直接通過(guò)IDPS服務(wù)廠商提供外包IDPS能力的方式部署IDPS。

關(guān)鍵詞

監(jiān)測(cè)、分析、響應(yīng)

類型

一般來(lái)說(shuō)，IDPS分為兩種類型，一種是基于網(wǎng)絡(luò)的IDPS(NIDPS)，另一種是基于主機(jī)的IDPS(HIDPS)，各有不同的特征。

• NIDPS：監(jiān)視特定網(wǎng)絡(luò)段或設(shè)備的網(wǎng)絡(luò)流量，通過(guò)分析網(wǎng)絡(luò)和應(yīng)用協(xié)議活動(dòng)來(lái)識(shí)別可疑活動(dòng);
• HIDPS：監(jiān)視單個(gè)主機(jī)及發(fā)生在主機(jī)中的事件特征，通過(guò)三種基礎(chǔ)方法(即基于特征檢測(cè)、基于異常統(tǒng)計(jì)檢測(cè)、狀態(tài)協(xié)議分析檢測(cè))對(duì)可疑活動(dòng)進(jìn)行檢測(cè)分析。
• 聊到這里，我們可以再來(lái)了解一下，基于主機(jī)和基于網(wǎng)絡(luò)的入侵一般發(fā)生在哪些方面。

因此，在部署IDPS時(shí)，從安全角度考慮，我們一般都會(huì)把NIDPS和HIDPS結(jié)合在一起使用，達(dá)到更好的安全事態(tài)覆蓋和報(bào)警分析的能力。

部署時(shí)值得注意的是：

部署一階段

想要選到符合公司自身需求的IDPS產(chǎn)品是非常不容易的，為什么這么說(shuō)?因?yàn)楝F(xiàn)在市面上的IDPS產(chǎn)品太多，并且產(chǎn)品之間可能存在不兼容的情況，這就需要通過(guò)集成，所以也就提高了部署的難度。

從前，我們可以在低成本主機(jī)上部署免費(fèi)的IDPS產(chǎn)品，隨著信息化的發(fā)展，當(dāng)前用的都是依靠新硬件支撐的昂貴商用系統(tǒng)。

在選擇IDPS之前，至少要做三件事情：

• 第一件，公司需要做一個(gè)全面的信息安全風(fēng)險(xiǎn)評(píng)估，針對(duì)可能存在的脆弱性和威脅進(jìn)行識(shí)別，再基于風(fēng)險(xiǎn)評(píng)估和資產(chǎn)保護(hù)優(yōu)先級(jí)(確定優(yōu)先保護(hù)什么資產(chǎn))來(lái)考慮部署IDPS，為IDPS提供的功能提供需求基礎(chǔ)。

至少需要收集的系統(tǒng)環(huán)境信息包括：

• 第二件，識(shí)別當(dāng)前已經(jīng)有的安全保護(hù)機(jī)制。

例如：

• 第三件，考慮IDPS的性能。

一般考慮因素有以下5個(gè)：

在某些時(shí)候，當(dāng)帶寬或網(wǎng)絡(luò)流量增加時(shí)，許多IDPS將不再能夠有效和持續(xù)地檢測(cè)入侵，會(huì)導(dǎo)致錯(cuò)過(guò)或者漏掉可能是攻擊的流量包。有此屬性的IDPS不建議考慮。

部署二階段

確定IDPS的安全策略，該階段需要確定幾件事情，如下：

• 對(duì)什么信息資產(chǎn)進(jìn)行監(jiān)視;
• 需要什么類型的IDPS;
• 部署在什么位置能滿足公司安全需求;
• 要檢測(cè)什么類型的攻擊;
• 要記錄什么類型的信息;
• 未成功打開或未成功關(guān)閉情形采取什么策略;
• 檢測(cè)到攻擊時(shí)能提供什么類型的響應(yīng)或報(bào)警。

注：當(dāng)前一般可采用的報(bào)警策略包括電子郵件、網(wǎng)頁(yè)、短信系統(tǒng)(SMS)、SNMP事態(tài)以及攻擊源的自動(dòng)阻止。

上面我們聊過(guò)，現(xiàn)在基于硬件支撐的IDPS非常昂貴，想必沒(méi)有哪個(gè)公司會(huì)在每臺(tái)主機(jī)上都部署HIDPS，只能在關(guān)鍵主機(jī)上部署，并且部署時(shí)建議根據(jù)風(fēng)險(xiǎn)分析結(jié)果和成本效益兩個(gè)因素進(jìn)行優(yōu)先級(jí)排序，當(dāng)HIDPS部署在所有或者相當(dāng)大數(shù)量的主機(jī)上時(shí)，應(yīng)該部署具備集中管理和報(bào)告功能的IDPS，這樣可以降低對(duì)HIDPS報(bào)警實(shí)施管理的復(fù)雜度。

在部署NIDPS時(shí)，主要考慮將系統(tǒng)傳感器放置在哪個(gè)位置比較合適，一般來(lái)說(shuō)，可部署在：

典型的NIDPS部署如圖：

1. 位于外部防火墻之內(nèi)的NIDPS

優(yōu)點(diǎn)：

• 識(shí)別源于外部網(wǎng)絡(luò)、已經(jīng)滲入防護(hù)邊界的攻擊
• 能幫助檢測(cè)防火墻配置策略上的錯(cuò)誤
• 監(jiān)視針對(duì)DMZ(非軍事區(qū))中系統(tǒng)的攻擊
• 能被配置為檢測(cè)源于組織內(nèi)部、針對(duì)外部目標(biāo)的攻擊

缺點(diǎn)：

• 由于其接近于外部網(wǎng)絡(luò)，不能作為強(qiáng)保護(hù)
• 不能監(jiān)視防火墻阻止(過(guò)濾掉)的攻擊

2. 位于外部防火墻之外的NIDPS

優(yōu)點(diǎn)：

• 允許對(duì)源于外部網(wǎng)絡(luò)的攻擊的數(shù)量和類型進(jìn)行文件化管理
• 可以發(fā)現(xiàn)未被防火墻阻止(過(guò)濾掉)的攻擊
• 可減輕拒絕服務(wù)攻擊的影響 
• 在與位于外部防火墻內(nèi)部的IDPS合作的情況下，IDPS配置能評(píng)估防火墻的有效性

缺點(diǎn)：

• 當(dāng)傳感器位于網(wǎng)絡(luò)安全邊界之外時(shí)，它受制于攻擊本身，因此需要一個(gè)加固的隱形設(shè)備
• 在此位置上產(chǎn)生的大量數(shù)據(jù)，使得分析已收集的IDPS數(shù)據(jù)非常困難
•  IDPS傳感器和管理平臺(tái)的交互作用要求在防火墻中打開額外的突破口，導(dǎo)致存在外部訪問(wèn)到管理控制臺(tái)的可能

3. 位于重要骨干網(wǎng)絡(luò)上的NIDPS

優(yōu)點(diǎn)：

• 監(jiān)視大量的網(wǎng)絡(luò)流量，因此提高了發(fā)現(xiàn)攻擊的可能性 
• 在IDPS支持一個(gè)重要骨干網(wǎng)絡(luò)的情況下，在拒絕服務(wù)攻擊對(duì)關(guān)鍵子網(wǎng)造成破壞之前，具備了阻止它們的能力 
• 在組織的安全邊界內(nèi)部檢測(cè)授權(quán)用戶的未授權(quán)活動(dòng) 
• 識(shí)別不到子網(wǎng)上主機(jī)對(duì)主機(jī)的攻擊

缺點(diǎn)：

• 捕獲和存儲(chǔ)敏感的或保密性數(shù)據(jù)的風(fēng)險(xiǎn)
• IDPS將會(huì)處理大量數(shù)據(jù)
• 檢測(cè)不到不通過(guò)骨干網(wǎng)絡(luò)的攻擊
• 檢測(cè)不到不通過(guò)骨干網(wǎng)絡(luò)的攻擊

4. 位于關(guān)鍵子網(wǎng)上的NIDPS

優(yōu)點(diǎn)：

• 監(jiān)視針對(duì)關(guān)鍵系統(tǒng)、服務(wù)和資源的攻擊 
• 允許有限資源聚焦于最大價(jià)值的網(wǎng)絡(luò)資產(chǎn)上

缺點(diǎn)：

• 子網(wǎng)間相互關(guān)聯(lián)的安全事態(tài)問(wèn)題
• 如果報(bào)警沒(méi)有在專用網(wǎng)絡(luò)上傳輸，IDPS相關(guān)的流量可增加關(guān)鍵子網(wǎng)上的網(wǎng)絡(luò)負(fù)載
• 如果配置不正確，IDPS可捕獲和存儲(chǔ)敏感信息，并在未指定路徑的情況下訪問(wèn)這些信息

部署三階段

對(duì)IDPS進(jìn)行數(shù)據(jù)保護(hù)。

IDPS數(shù)據(jù)庫(kù)存儲(chǔ)了大量與公司信息基礎(chǔ)設(shè)施內(nèi)發(fā)生的可疑活動(dòng)和攻擊相關(guān)的所有數(shù)據(jù)，所以，需要對(duì)該部分?jǐn)?shù)據(jù)進(jìn)行安全防護(hù)。

可采取的措施如下：

• 對(duì)存儲(chǔ)的IDPS數(shù)據(jù)進(jìn)行加密;
• 適當(dāng)配置數(shù)據(jù)庫(kù)，比如：使用訪問(wèn)控制機(jī)制;
• 使用校驗(yàn)碼對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行完整性校驗(yàn);
• 對(duì)數(shù)據(jù)庫(kù)以及備份程序進(jìn)行技術(shù)維護(hù);
• 對(duì)運(yùn)行IDPS數(shù)據(jù)庫(kù)的系統(tǒng)進(jìn)行充分加固以抵抗?jié)B透;
• 連接IDPS到以太網(wǎng)集線器或者交換機(jī)的嗅探(只接收)電纜;
• 單獨(dú)的IDPS管理網(wǎng)絡(luò)線路的實(shí)施;
• 定期對(duì)IDPS和連接系統(tǒng)進(jìn)行脆弱性評(píng)估和滲透測(cè)試。

注：考慮到安全因素，建議把日志存儲(chǔ)在單獨(dú)的日志主機(jī)上，放本地的話容易被越權(quán)操作。

部署四階段

在部署完成后，需要對(duì)IDPS進(jìn)行調(diào)試。

在確定IDPS報(bào)警的特性、何時(shí)及如何使用IDPS報(bào)警特性，并且對(duì)這些特性進(jìn)行日常調(diào)整。比如，可以將脆弱性評(píng)估數(shù)據(jù)和系統(tǒng)補(bǔ)丁級(jí)別與IDPS報(bào)警配置進(jìn)行比較。

在這種情況下，網(wǎng)絡(luò)發(fā)現(xiàn)工具和流量分析器的使用可進(jìn)一步提高價(jià)值，并進(jìn)一步調(diào)整報(bào)警規(guī)則。

當(dāng)然，同其他網(wǎng)絡(luò)設(shè)備一樣，許多IDPS存在安全弱點(diǎn)，如發(fā)送未加密的日志文件、限制訪問(wèn)控制和缺乏對(duì)日志文件的完整性檢查。解決辦法是以一種安全的方式實(shí)施IDPS傳感器和控制平臺(tái)，并處理IDPS的潛在弱點(diǎn)。

作為網(wǎng)絡(luò)安全事態(tài)的事前檢測(cè)和防御系統(tǒng)，IDPS通常會(huì)產(chǎn)生大量的輸出，包括一些沒(méi)有價(jià)值的報(bào)警信息和會(huì)產(chǎn)生嚴(yán)重影響的報(bào)警信息，所以必須將這些信息區(qū)分開。

一般來(lái)講，IDPS所檢測(cè)到的攻擊信息內(nèi)容包括：(一些IDPS提供了比較詳細(xì)的信息)

• 檢測(cè)到攻擊的時(shí)間或日期
• 檢測(cè)到攻擊的傳感器IP地址
• 攻擊名稱
• 源IP和目的IP地址
• 源端口號(hào)和目的端口號(hào)
• 用于攻擊的網(wǎng)絡(luò)協(xié)議
• 易受到攻擊的軟件類型和版本號(hào)的列表
• 相關(guān)補(bǔ)丁的列表
• 攻擊的文本描述
• 攻擊利用的脆弱性類型

在收到IDPS發(fā)出的報(bào)警時(shí)，一般由公司的應(yīng)急響應(yīng)團(tuán)隊(duì)根據(jù)安全態(tài)勢(shì)的緊急程度作出相應(yīng)的安全響應(yīng)，并在事后制作安全事件報(bào)告。

至于IDPS設(shè)備本身，也有主動(dòng)響應(yīng)和被動(dòng)響應(yīng)的屬性。

1. 主動(dòng)響應(yīng)

主動(dòng)響應(yīng)是當(dāng)IDPS檢測(cè)到攻擊活動(dòng)的會(huì)自動(dòng)采取行動(dòng)，提供主動(dòng)響應(yīng)的入侵檢測(cè)系統(tǒng)也稱為入侵防御系統(tǒng)(IPS)。主動(dòng)響應(yīng)內(nèi)容如下：

• 收集可疑攻擊的附加信息;
• 變更系統(tǒng)環(huán)境，阻止攻擊;
• 報(bào)警之后不需要人為參與，IPS采取防御措施，主動(dòng)拒絕通信和(或)終止通信會(huì)話。

IPS和IDS有很多相似的功能，如包檢測(cè)、協(xié)議確認(rèn)、攻擊特征匹配和狀態(tài)分析。然而，每個(gè)設(shè)備的部署均有不同的目的。

IPS代表了保護(hù)能力和入侵檢測(cè)能力的結(jié)合，它首先檢測(cè)攻擊，接著以靜態(tài)或者動(dòng)態(tài)的方式防范攻擊。換句話說(shuō)，IPS通過(guò)排除惡意網(wǎng)絡(luò)流量為信息資產(chǎn)提供保護(hù)，并繼續(xù)允許合法活動(dòng)發(fā)生。

2. 被動(dòng)響應(yīng)

被動(dòng)響應(yīng)是當(dāng)攻擊發(fā)生時(shí)，僅提供攻擊的信息，需要人工提出指示才會(huì)采取后續(xù)動(dòng)作。被動(dòng)響應(yīng)的內(nèi)容有：

• 報(bào)警和通知，通常是屏幕報(bào)、彈出窗口和傳呼或手機(jī)信息;
• 配置SNMP陷阱，以響應(yīng)中央管理控制臺(tái)。

IDPS安全伴侶

部署IDPS并不能完全保證信息系統(tǒng)不受攻擊，網(wǎng)絡(luò)能夠安全運(yùn)行，為了加強(qiáng)公司的安全自控能力，建議考慮部署以下安全設(shè)備共同防護(hù)。

1. 防火墻或安全網(wǎng)關(guān)

防火墻主要功能是限制網(wǎng)絡(luò)間的訪問(wèn)，例如：如果公司只希望接受電子郵件服務(wù)器(端口號(hào)25)或者web服務(wù)器(端口號(hào)80)的流量，就可以通過(guò)防火墻實(shí)現(xiàn)。當(dāng)防火墻位于一個(gè)封閉區(qū)域內(nèi)時(shí)，可以減少NIDPS需要檢查的流量。

2. 網(wǎng)絡(luò)蜜罐

蜜罐用來(lái)欺騙、分散、轉(zhuǎn)移及引誘攻擊者在看似有價(jià)值的信息上花費(fèi)時(shí)間，但這些信息實(shí)際上是捏造的，對(duì)合法用戶來(lái)說(shuō)沒(méi)有一點(diǎn)價(jià)值。蜜罐的主要目的是收集對(duì)組織有威脅的信息，并引誘入侵者遠(yuǎn)離關(guān)鍵系統(tǒng)。

3. 文件完整性檢查器

文件完整性檢查器主要利用關(guān)鍵文件和對(duì)象的信息摘要或者其它的加密校驗(yàn)碼，與參考值相比較，標(biāo)記差異或者變更。由于攻擊者經(jīng)常會(huì)修改系統(tǒng)文件，在攻擊的三個(gè)階段使用加密校驗(yàn)碼是很重要的。

• 第一階段，攻擊者修改了作為攻擊目標(biāo)的系統(tǒng)文件(例如，放置木馬)。
• 第二階段，攻擊者試圖在系統(tǒng)內(nèi)留下后門，以便隨后能重新進(jìn)入。
• 最后階段，攻擊者試圖掩蓋痕跡，使得系統(tǒng)責(zé)任人可能意識(shí)不到攻擊。

4. 網(wǎng)絡(luò)管理工具

網(wǎng)絡(luò)管理工具通過(guò)收集網(wǎng)絡(luò)部件和拓?fù)湫畔?lái)進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施配置和管理的功能。該工具與IDPS報(bào)警的相互關(guān)聯(lián)可幫助IDPS操作者恰當(dāng)?shù)奶幚韴?bào)警并對(duì)他們所監(jiān)視系統(tǒng)的影響做出分析。

5. 脆弱性評(píng)估工具

脆弱性評(píng)估是風(fēng)險(xiǎn)評(píng)估必要的組成部分，脆弱性評(píng)估工具用來(lái)測(cè)試網(wǎng)絡(luò)主機(jī)對(duì)危險(xiǎn)的易感性。脆弱性評(píng)估工具結(jié)合IDPS使用，不管是在攻擊檢測(cè)還是攻擊反應(yīng)方面，都為檢查IDPS的有效性提供了幫助。

脆弱性評(píng)估工具分為基于主機(jī)或基于網(wǎng)絡(luò)的類型?；谥鳈C(jī)的脆弱性工具通過(guò)查詢數(shù)據(jù)源(如文件內(nèi)容)、配置細(xì)節(jié)和其他狀態(tài)信息，來(lái)評(píng)估信息系統(tǒng)的安全。

基于主機(jī)的工具允許訪問(wèn)目標(biāo)主機(jī)，通過(guò)遠(yuǎn)程連接在主機(jī)上運(yùn)行。基于網(wǎng)絡(luò)的脆弱性工具是用來(lái)掃描與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的主機(jī)的脆弱性。

說(shuō)明

小師妹實(shí)戰(zhàn)經(jīng)驗(yàn)并不豐富，希望通過(guò)不斷成長(zhǎng)，為各位兄弟們帶來(lái)更多更好的分享!