今天想和大家聊一聊如何有效的部署和操作IDPS。顧名思義，對于安全事態(tài)來說，IDPS是一種事前檢測并主動防御的安全設備。

小師妹系列前傳：

• 小師妹聊安全標準
• 小師妹聊安全標準(二)

首先還是對IDPS做一個書面解釋吧!

[[262236]]

IDPS

為了防范惡意活動而監(jiān)視系統(tǒng)的入侵檢測系統(tǒng)IDS和入侵防御系統(tǒng)IPS的軟件應用或設備，IDS僅能對發(fā)現(xiàn)的這些活動予以報警，而IPS則有能力阻止某些檢測到的入侵。

部署目的

部署入侵檢測和防御系統(tǒng)(IDPS)的目的是被動監(jiān)視、檢測和記錄不適當?shù)?、不正確的、可能產(chǎn)生風險的，或者異常的活動，當有可能入侵的活動被檢測到時，IDPS會發(fā)出報警或自動響應。我們可以通過獲取IDPS軟件和硬件產(chǎn)品來部署IDPS，當然也可以直接通過IDPS服務廠商提供外包IDPS能力的方式部署IDPS。

關鍵詞

監(jiān)測、分析、響應

類型

一般來說，IDPS分為兩種類型，一種是基于網(wǎng)絡的IDPS(NIDPS)，另一種是基于主機的IDPS(HIDPS)，各有不同的特征。

• NIDPS：監(jiān)視特定網(wǎng)絡段或設備的網(wǎng)絡流量，通過分析網(wǎng)絡和應用協(xié)議活動來識別可疑活動;
• HIDPS：監(jiān)視單個主機及發(fā)生在主機中的事件特征，通過三種基礎方法(即基于特征檢測、基于異常統(tǒng)計檢測、狀態(tài)協(xié)議分析檢測)對可疑活動進行檢測分析。
• 聊到這里，我們可以再來了解一下，基于主機和基于網(wǎng)絡的入侵一般發(fā)生在哪些方面。

因此，在部署IDPS時，從安全角度考慮，我們一般都會把NIDPS和HIDPS結(jié)合在一起使用，達到更好的安全事態(tài)覆蓋和報警分析的能力。

部署時值得注意的是：

部署一階段

想要選到符合公司自身需求的IDPS產(chǎn)品是非常不容易的，為什么這么說?因為現(xiàn)在市面上的IDPS產(chǎn)品太多，并且產(chǎn)品之間可能存在不兼容的情況，這就需要通過集成，所以也就提高了部署的難度。

從前，我們可以在低成本主機上部署免費的IDPS產(chǎn)品，隨著信息化的發(fā)展，當前用的都是依靠新硬件支撐的昂貴商用系統(tǒng)。

在選擇IDPS之前，至少要做三件事情：

• 第一件，公司需要做一個全面的信息安全風險評估，針對可能存在的脆弱性和威脅進行識別，再基于風險評估和資產(chǎn)保護優(yōu)先級(確定優(yōu)先保護什么資產(chǎn))來考慮部署IDPS，為IDPS提供的功能提供需求基礎。

至少需要收集的系統(tǒng)環(huán)境信息包括：

• 第二件，識別當前已經(jīng)有的安全保護機制。

例如：

• 第三件，考慮IDPS的性能。

一般考慮因素有以下5個：

在某些時候，當帶寬或網(wǎng)絡流量增加時，許多IDPS將不再能夠有效和持續(xù)地檢測入侵，會導致錯過或者漏掉可能是攻擊的流量包。有此屬性的IDPS不建議考慮。

部署二階段

確定IDPS的安全策略，該階段需要確定幾件事情，如下：

• 對什么信息資產(chǎn)進行監(jiān)視;
• 需要什么類型的IDPS;
• 部署在什么位置能滿足公司安全需求;
• 要檢測什么類型的攻擊;
• 要記錄什么類型的信息;
• 未成功打開或未成功關閉情形采取什么策略;
• 檢測到攻擊時能提供什么類型的響應或報警。

注：當前一般可采用的報警策略包括電子郵件、網(wǎng)頁、短信系統(tǒng)(SMS)、SNMP事態(tài)以及攻擊源的自動阻止。

上面我們聊過，現(xiàn)在基于硬件支撐的IDPS非常昂貴，想必沒有哪個公司會在每臺主機上都部署HIDPS，只能在關鍵主機上部署，并且部署時建議根據(jù)風險分析結(jié)果和成本效益兩個因素進行優(yōu)先級排序，當HIDPS部署在所有或者相當大數(shù)量的主機上時，應該部署具備集中管理和報告功能的IDPS，這樣可以降低對HIDPS報警實施管理的復雜度。

在部署NIDPS時，主要考慮將系統(tǒng)傳感器放置在哪個位置比較合適，一般來說，可部署在：

典型的NIDPS部署如圖：

1. 位于外部防火墻之內(nèi)的NIDPS

優(yōu)點：

• 識別源于外部網(wǎng)絡、已經(jīng)滲入防護邊界的攻擊
• 能幫助檢測防火墻配置策略上的錯誤
• 監(jiān)視針對DMZ(非軍事區(qū))中系統(tǒng)的攻擊
• 能被配置為檢測源于組織內(nèi)部、針對外部目標的攻擊

缺點：

• 由于其接近于外部網(wǎng)絡，不能作為強保護
• 不能監(jiān)視防火墻阻止(過濾掉)的攻擊

2. 位于外部防火墻之外的NIDPS

優(yōu)點：

• 允許對源于外部網(wǎng)絡的攻擊的數(shù)量和類型進行文件化管理
• 可以發(fā)現(xiàn)未被防火墻阻止(過濾掉)的攻擊
• 可減輕拒絕服務攻擊的影響 
• 在與位于外部防火墻內(nèi)部的IDPS合作的情況下，IDPS配置能評估防火墻的有效性

缺點：

• 當傳感器位于網(wǎng)絡安全邊界之外時，它受制于攻擊本身，因此需要一個加固的隱形設備
• 在此位置上產(chǎn)生的大量數(shù)據(jù)，使得分析已收集的IDPS數(shù)據(jù)非常困難
•  IDPS傳感器和管理平臺的交互作用要求在防火墻中打開額外的突破口，導致存在外部訪問到管理控制臺的可能

3. 位于重要骨干網(wǎng)絡上的NIDPS

優(yōu)點：

• 監(jiān)視大量的網(wǎng)絡流量，因此提高了發(fā)現(xiàn)攻擊的可能性 
• 在IDPS支持一個重要骨干網(wǎng)絡的情況下，在拒絕服務攻擊對關鍵子網(wǎng)造成破壞之前，具備了阻止它們的能力 
• 在組織的安全邊界內(nèi)部檢測授權用戶的未授權活動 
• 識別不到子網(wǎng)上主機對主機的攻擊

缺點：

• 捕獲和存儲敏感的或保密性數(shù)據(jù)的風險
• IDPS將會處理大量數(shù)據(jù)
• 檢測不到不通過骨干網(wǎng)絡的攻擊
• 檢測不到不通過骨干網(wǎng)絡的攻擊

4. 位于關鍵子網(wǎng)上的NIDPS

優(yōu)點：

• 監(jiān)視針對關鍵系統(tǒng)、服務和資源的攻擊 
• 允許有限資源聚焦于最大價值的網(wǎng)絡資產(chǎn)上

缺點：

• 子網(wǎng)間相互關聯(lián)的安全事態(tài)問題
• 如果報警沒有在專用網(wǎng)絡上傳輸，IDPS相關的流量可增加關鍵子網(wǎng)上的網(wǎng)絡負載
• 如果配置不正確，IDPS可捕獲和存儲敏感信息，并在未指定路徑的情況下訪問這些信息

部署三階段

對IDPS進行數(shù)據(jù)保護。

IDPS數(shù)據(jù)庫存儲了大量與公司信息基礎設施內(nèi)發(fā)生的可疑活動和攻擊相關的所有數(shù)據(jù)，所以，需要對該部分數(shù)據(jù)進行安全防護。

可采取的措施如下：

• 對存儲的IDPS數(shù)據(jù)進行加密;
• 適當配置數(shù)據(jù)庫，比如：使用訪問控制機制;
• 使用校驗碼對存儲的數(shù)據(jù)進行完整性校驗;
• 對數(shù)據(jù)庫以及備份程序進行技術維護;
• 對運行IDPS數(shù)據(jù)庫的系統(tǒng)進行充分加固以抵抗?jié)B透;
• 連接IDPS到以太網(wǎng)集線器或者交換機的嗅探(只接收)電纜;
• 單獨的IDPS管理網(wǎng)絡線路的實施;
• 定期對IDPS和連接系統(tǒng)進行脆弱性評估和滲透測試。

注：考慮到安全因素，建議把日志存儲在單獨的日志主機上，放本地的話容易被越權操作。

部署四階段

在部署完成后，需要對IDPS進行調(diào)試。

在確定IDPS報警的特性、何時及如何使用IDPS報警特性，并且對這些特性進行日常調(diào)整。比如，可以將脆弱性評估數(shù)據(jù)和系統(tǒng)補丁級別與IDPS報警配置進行比較。

在這種情況下，網(wǎng)絡發(fā)現(xiàn)工具和流量分析器的使用可進一步提高價值，并進一步調(diào)整報警規(guī)則。

當然，同其他網(wǎng)絡設備一樣，許多IDPS存在安全弱點，如發(fā)送未加密的日志文件、限制訪問控制和缺乏對日志文件的完整性檢查。解決辦法是以一種安全的方式實施IDPS傳感器和控制平臺，并處理IDPS的潛在弱點。

作為網(wǎng)絡安全事態(tài)的事前檢測和防御系統(tǒng)，IDPS通常會產(chǎn)生大量的輸出，包括一些沒有價值的報警信息和會產(chǎn)生嚴重影響的報警信息，所以必須將這些信息區(qū)分開。

一般來講，IDPS所檢測到的攻擊信息內(nèi)容包括：(一些IDPS提供了比較詳細的信息)

• 檢測到攻擊的時間或日期
• 檢測到攻擊的傳感器IP地址
• 攻擊名稱
• 源IP和目的IP地址
• 源端口號和目的端口號
• 用于攻擊的網(wǎng)絡協(xié)議
• 易受到攻擊的軟件類型和版本號的列表
• 相關補丁的列表
• 攻擊的文本描述
• 攻擊利用的脆弱性類型

在收到IDPS發(fā)出的報警時，一般由公司的應急響應團隊根據(jù)安全態(tài)勢的緊急程度作出相應的安全響應，并在事后制作安全事件報告。

至于IDPS設備本身，也有主動響應和被動響應的屬性。

1. 主動響應

主動響應是當IDPS檢測到攻擊活動的會自動采取行動，提供主動響應的入侵檢測系統(tǒng)也稱為入侵防御系統(tǒng)(IPS)。主動響應內(nèi)容如下：

• 收集可疑攻擊的附加信息;
• 變更系統(tǒng)環(huán)境，阻止攻擊;
• 報警之后不需要人為參與，IPS采取防御措施，主動拒絕通信和(或)終止通信會話。

IPS和IDS有很多相似的功能，如包檢測、協(xié)議確認、攻擊特征匹配和狀態(tài)分析。然而，每個設備的部署均有不同的目的。

IPS代表了保護能力和入侵檢測能力的結(jié)合，它首先檢測攻擊，接著以靜態(tài)或者動態(tài)的方式防范攻擊。換句話說，IPS通過排除惡意網(wǎng)絡流量為信息資產(chǎn)提供保護，并繼續(xù)允許合法活動發(fā)生。

2. 被動響應

被動響應是當攻擊發(fā)生時，僅提供攻擊的信息，需要人工提出指示才會采取后續(xù)動作。被動響應的內(nèi)容有：

• 報警和通知，通常是屏幕報、彈出窗口和傳呼或手機信息;
• 配置SNMP陷阱，以響應中央管理控制臺。

IDPS安全伴侶

部署IDPS并不能完全保證信息系統(tǒng)不受攻擊，網(wǎng)絡能夠安全運行，為了加強公司的安全自控能力，建議考慮部署以下安全設備共同防護。

1. 防火墻或安全網(wǎng)關

防火墻主要功能是限制網(wǎng)絡間的訪問，例如：如果公司只希望接受電子郵件服務器(端口號25)或者web服務器(端口號80)的流量，就可以通過防火墻實現(xiàn)。當防火墻位于一個封閉區(qū)域內(nèi)時，可以減少NIDPS需要檢查的流量。

2. 網(wǎng)絡蜜罐

蜜罐用來欺騙、分散、轉(zhuǎn)移及引誘攻擊者在看似有價值的信息上花費時間，但這些信息實際上是捏造的，對合法用戶來說沒有一點價值。蜜罐的主要目的是收集對組織有威脅的信息，并引誘入侵者遠離關鍵系統(tǒng)。

3. 文件完整性檢查器

文件完整性檢查器主要利用關鍵文件和對象的信息摘要或者其它的加密校驗碼，與參考值相比較，標記差異或者變更。由于攻擊者經(jīng)常會修改系統(tǒng)文件，在攻擊的三個階段使用加密校驗碼是很重要的。

• 第一階段，攻擊者修改了作為攻擊目標的系統(tǒng)文件(例如，放置木馬)。
• 第二階段，攻擊者試圖在系統(tǒng)內(nèi)留下后門，以便隨后能重新進入。
• 最后階段，攻擊者試圖掩蓋痕跡，使得系統(tǒng)責任人可能意識不到攻擊。

4. 網(wǎng)絡管理工具

網(wǎng)絡管理工具通過收集網(wǎng)絡部件和拓撲信息來進行網(wǎng)絡基礎設施配置和管理的功能。該工具與IDPS報警的相互關聯(lián)可幫助IDPS操作者恰當?shù)奶幚韴缶λ麄兯O(jiān)視系統(tǒng)的影響做出分析。

5. 脆弱性評估工具

脆弱性評估是風險評估必要的組成部分，脆弱性評估工具用來測試網(wǎng)絡主機對危險的易感性。脆弱性評估工具結(jié)合IDPS使用，不管是在攻擊檢測還是攻擊反應方面，都為檢查IDPS的有效性提供了幫助。

脆弱性評估工具分為基于主機或基于網(wǎng)絡的類型?；谥鳈C的脆弱性工具通過查詢數(shù)據(jù)源(如文件內(nèi)容)、配置細節(jié)和其他狀態(tài)信息，來評估信息系統(tǒng)的安全。

基于主機的工具允許訪問目標主機，通過遠程連接在主機上運行?；诰W(wǎng)絡的脆弱性工具是用來掃描與網(wǎng)絡服務相關聯(lián)的主機的脆弱性。

說明

小師妹實戰(zhàn)經(jīng)驗并不豐富，希望通過不斷成長，為各位兄弟們帶來更多更好的分享!