傳統(tǒng)的入侵檢測(cè)系統(tǒng)(IDS)只能被動(dòng)地給管理員提供檢測(cè)報(bào)告����,最終還必須通過人工來解決問題����。雖然大部分IDS產(chǎn)品能夠在攻擊發(fā)生后與防火墻進(jìn)行互動(dòng)�,但是這種互動(dòng)只能夠?qū)Τ掷m(xù)的低層次攻擊產(chǎn)生很好的阻止作用���,在容易受到深層次攻擊的場(chǎng)合����,用戶還是希望采用能夠?qū)粜袨檫M(jìn)行實(shí)時(shí)阻斷的產(chǎn)品,來提高信息系統(tǒng)的安全級(jí)別�,因此入侵防護(hù)系統(tǒng)McAfee IntruShield應(yīng)運(yùn)而生����。
體驗(yàn)部署和配置
IntruShield 2600有別于基于通用平臺(tái)的產(chǎn)品����,它采用NP(network processor)和ASIC(專用集成電路)混合的架構(gòu)設(shè)計(jì)。因?yàn)樾枰獙?shí)現(xiàn)實(shí)時(shí)阻斷�,所以IntruShield 2600在進(jìn)行協(xié)議重組的過程中需要比傳統(tǒng)IDS更強(qiáng)的處理能力。通用的硬件平臺(tái)在多端口的配置的情況下很難滿足實(shí)時(shí)阻斷的需求����。NP加ASIC這種結(jié)構(gòu)在高端的3層交換機(jī)和防火墻中被大量采用����,能夠?qū)崿F(xiàn)非常高的轉(zhuǎn)發(fā)率,可以幫助入侵防護(hù)設(shè)備進(jìn)行實(shí)時(shí)阻斷���。
靈活多樣的配置方式
這款產(chǎn)品配置了8個(gè)端口�,在SPAN (Switched Port Analysis)模式工作時(shí),全部可以用作檢測(cè)端口,即如果用戶只需要傳統(tǒng)的IDS功能�,這款產(chǎn)品完全可以充當(dāng)一個(gè)8口的IDS,不過在部署時(shí)需要考慮到吞吐量�。IntruShield 2600的拿手好戲在于對(duì)入侵和非法的數(shù)據(jù)包進(jìn)行阻斷����,這是在In-line的模式下實(shí)現(xiàn)的,這個(gè)模式是把IPS作為一個(gè)以太網(wǎng)的橋接器����,透明地連接到已有的網(wǎng)絡(luò)中�,而不需要改動(dòng)原有網(wǎng)絡(luò)的配置���,對(duì)于一個(gè)復(fù)雜的網(wǎng)絡(luò)來說���,這種設(shè)計(jì)可以減輕調(diào)試安裝設(shè)備對(duì)原有網(wǎng)絡(luò)的影響����。在這種模式下,必須成對(duì)地配置端口���。因此在只使用全部100M銅纜口時(shí),這款產(chǎn)品幾乎可以達(dá)到100%的利用率,而在使用千兆光口時(shí)�,這款產(chǎn)品就只能處理60%左右的網(wǎng)絡(luò)流量����,對(duì)于一個(gè)正常設(shè)計(jì)的網(wǎng)絡(luò)來說�,60%已經(jīng)是很高的突發(fā)流量了���。
即插即用的快速部署
這款產(chǎn)品的軟件和硬件的配合程度是非常高的���。雖然各個(gè)管理服務(wù)器上都需要安裝多個(gè)服務(wù)程序���,但是McAfee通過把這些服務(wù)打包����,整合成安裝向?qū)峁┙o了用戶。我們只需要點(diǎn)擊幾次“下一步”,并且設(shè)置好管理端口的IP地址���,就能夠完成安裝。通過RS-232配置好控制網(wǎng)絡(luò)接口的IP地址后,我們就可以采用瀏覽器對(duì)設(shè)備進(jìn)行管理了�。
整個(gè)管理配置界面完全是由動(dòng)態(tài)網(wǎng)頁和Java Applet組成�,既能在管理服務(wù)器本機(jī)上進(jìn)行管理���,還可以在任意能夠訪問管理服務(wù)器的計(jì)算機(jī)上通過瀏覽器進(jìn)行管理和配置�。這樣可以把警告信息匯總到單個(gè)管理服務(wù)器上,然后在其他節(jié)點(diǎn)上進(jìn)行分析或者報(bào)告。
高性能的安全屏障、檢測(cè)率測(cè)試
我們選擇了Blade測(cè)試工具進(jìn)行模擬攻擊測(cè)試,選取50種典型攻擊樣例�。通過模擬攻擊和被攻擊的環(huán)境���,把IntruShield 2600設(shè)置為阻斷模式���,通過比較發(fā)出的攻擊和從控制臺(tái)上觀察到的報(bào)警信息來確定設(shè)備檢測(cè)的正確性����。Blade是目前可以模擬攻擊類型最多的安全測(cè)試工具。我們選擇的攻擊樣例也是按照最近比較盛行、危害比較大以及容易發(fā)生的原則來進(jìn)行的����。
測(cè)試結(jié)果非常令人振奮。在測(cè)試中����,所有的攻擊都沒有被漏報(bào)�。但是����,在這樣的測(cè)試中,我們并不能確定攻擊是否真的被阻斷了,于是我們進(jìn)行了下面的測(cè)試。
阻斷能力測(cè)試
我們找來了一個(gè)針對(duì)Windows NetBIOS缺陷的攻擊工具���,這個(gè)缺陷存在于Windows 2000 SP3(包括SP3)以下的版本中。在沒有打開IntruShield 2600阻斷功能的情況下,僅打了SP2補(bǔ)丁的目標(biāo)主機(jī)直接藍(lán)屏����,在進(jìn)行內(nèi)存轉(zhuǎn)存以后自動(dòng)啟動(dòng)�,而在開啟IntruShield 2600阻斷功能后再次發(fā)起攻擊�,目標(biāo)主機(jī)就會(huì)安然無恙,并且兩次攻擊在管理服務(wù)器上都有詳細(xì)的報(bào)告���,這說明IntruShield 2600的阻斷能力非常出色。
大家可能已經(jīng)發(fā)現(xiàn)了�,我們所采用的攻擊類型并不是簡(jiǎn)單的畸形IP包攻擊���,而是在防火墻看來正確連接的情況下進(jìn)行的高層次的操作���,這些操作大多是利用系統(tǒng)或者應(yīng)用本身的缺陷���,制造異常操作來導(dǎo)致其無法正常工作���,尤其是一些七層攻擊����,如果只采用IDS和防火墻互動(dòng)的方法來阻止攻擊���,很可能讓攻擊得逞���,因此需要在攻擊進(jìn)行中立即阻斷���。在阻斷模式下���,IntruShield 2600除了要重組協(xié)議進(jìn)行判斷外���,還需要放行正確的數(shù)據(jù)����,因此面臨著嚴(yán)峻的性能考驗(yàn)����。
吞吐能力測(cè)試
為了考驗(yàn)NP/ASIC架構(gòu)的性能,我們創(chuàng)建了一個(gè)穩(wěn)定的背景流�,然后模擬攻擊���。通過觀察在處于標(biāo)稱吞吐量邊緣的IntruShield 2600對(duì)攻擊的報(bào)告情況來確定這款產(chǎn)品的實(shí)際吞吐性能���。
我們采用思博倫通信的Avalanche和Reflector���,制造了一個(gè)約等于600Mbps的HTTP流量�,然后依然沿用功能驗(yàn)證中的攻擊檢測(cè)方法對(duì) IntruShield 2600進(jìn)行了測(cè)試����。在標(biāo)稱的600Mbps吞吐量下����,IntruShield 2600居然能一個(gè)不漏地檢測(cè)到攻擊���,這一測(cè)試結(jié)果一方面肯定了這種基于NP和ASIC混合平臺(tái)的優(yōu)勢(shì)���,另一方面����,也說明了這款產(chǎn)品在標(biāo)稱的吞吐量下���,還保留了一部分處理能力�,用于應(yīng)付突發(fā)的流量對(duì)系統(tǒng)正常運(yùn)作帶來的影響。
測(cè)試總結(jié)
由于采用了NP/ASIC架構(gòu)���,在進(jìn)行大數(shù)據(jù)量的協(xié)議分析時(shí),這款產(chǎn)品表現(xiàn)出了非常強(qiáng)的吞吐性能�,使得阻斷攻擊這一獨(dú)特的功能沒有受到任何影響����。因?yàn)檫@款產(chǎn)品主要聚焦在4到7層的攻擊類型���,在測(cè)試中���,我們并沒有看到太多基于一些3層以下的入侵檢測(cè)和阻斷手段���。不過�,在后來我們采用Nessus端口掃描工具進(jìn)行變形逃逸測(cè)試時(shí),發(fā)現(xiàn)這款產(chǎn)品對(duì)于SynScan等掃描入侵手段能夠進(jìn)行檢測(cè)���,但是需要配合防火墻來更徹底地杜絕這類攻擊。由此證實(shí)了我們的推斷����,單一的 SynScan或者Flood攻擊對(duì)于系統(tǒng)是沒有攻擊性的,并且由于這類攻擊非常簡(jiǎn)單,不需要IPS進(jìn)行復(fù)雜的協(xié)議分析,只需要在偵測(cè)出攻擊后�,通過和防火墻聯(lián)動(dòng)����,由防火墻就能進(jìn)行處理����。
通過對(duì)IntruShield 2600進(jìn)行測(cè)試,我們發(fā)現(xiàn):IPS是對(duì)IDS的增強(qiáng)和延伸�,能夠彌補(bǔ)和防火墻之間的空白�,而不是簡(jiǎn)單地對(duì)防火墻和IDS進(jìn)行融合的結(jié)果�。
IntruShield 2600
產(chǎn)品亮點(diǎn)
● 在1U厚度實(shí)現(xiàn)2個(gè)千兆光口,6個(gè)銅纜百兆端口的入侵阻斷系統(tǒng)����,所有端口可以靈活配置�,完全邏輯隔離���。
● 能夠快速進(jìn)行安裝部署����,支持分布式部署管理。
● 完善的檢測(cè)引擎�,沒有漏報(bào)一個(gè)測(cè)試樣例中的攻擊����。
● 高性能的吞吐能力����,能夠在高達(dá)600Mbps的HTTP背景流下正常工作。
(e129)