資訊與網路安全技術 第 十一章 入侵偵測與網路病毒  上一頁      下一頁

 

11-8 網路型入侵偵測系統

內容:

隨著防火牆設備(防禦主機或封包過濾器)或伺服主機的『主機型入侵偵測系統』(Host-based IDS, HIDS),多半與該設備上的作業系統有所關聯,不同系統之間很少可以交互使用,所以一般廠商所販賣的入侵偵測系統大多屬於網路型。『網路型入侵系統』(Network-based IDSNIDS)可隨需要安裝在任何地方,包含外部網路、DMZ 網路或內部網路,基本上,它是一個獨立系統,與運作環境系統無關。

11-8-1 NIDS - 系統缺陷

NIDS 系統的偵測技術可以是誤用偵測或異常偵測,甚至將兩種技術整合而成的『混合型偵測系統』(Hybrid IDS),其運作原理是儘可能由網路蒐集所有流通的 IP 封包,再利用偵測技術去尋找出可疑的流通訊息。然而,問題在於 HIDS 在蒐集可能的封包時,可能會發生的問題有:

  • 處理能力問題:網路流通是『線』的傳輸速率,一般至少有 100 Mbps 的流通速率。如果訊務流通過於忙碌的話,HIDS 可能無法及時處理所有流通封包,勢必將某些封包拋棄,然而拋棄越多的封包,其檢測能力將會受到限制。

  • 交換器隔離:目前一般私有網路多半利用 Switch/Hub 來架構區域網路,甚至需利用交換器來延伸網路範圍。然而,交換器是利用 Ethernet 位址來轉送訊框,如果目的位址不在某一傳輸埠口上時,訊框將不會被轉送到該埠口上。因此,利用 HIDS 來窺視網路傳輸訊息,如果架設位置不理想的話,可能蒐集不到任何封包,或僅能蒐集到某一部份的訊息。

  • HIDS 安全性問題:入侵偵測系統本身也是一個主機設備,必須經由 TCP/IP 裝置才能蒐集網路上流通的訊息,主機通常包含大量待搜尋的資料,因此,極可能成為被入侵對象。

解決第一個問題,可由兩方面來思考,一者提高 HIDS 的處理速度,即使用較快的 CPU 或較大的記憶體空間;另一者是加強『資料引擎』的處理能力,一般來講誤用偵測技術會比異常偵測來得快,這是一般 HIDS 多半採用誤用偵測技術的主要原因。

解決第二個問題的關鍵,在於不要讓 HIDS 設備安裝於交換器上即可。由圖 11-7 連接方式可以看出,唯有通往 HIDS 設備的封包才會被轉送到該連接埠口上,如此一來,HIDS 將無法蒐集到其他電腦之間的流通封包。另一個解決方案是在某些交換器都預留一個通訊埠口,由此埠口上可以蒐集到所有該交換器的訊務,但也侷限於所連接的交換器而已,再說並非所有交換器都有此通訊埠口。

11-7 HIDS 無法蒐集訊務的連接方式

解決第三個問題最為棘手,IDS 會成為被入侵對象的主因是,所儲存的資料正是駭客最期望盜取或竄改的資料。譬如 HIDS 採用誤用偵測技術,則該系統內必須收集許多入侵行為的『特徵』,駭客只要修改這些資料的話,便成為入侵系統最明顯的漏洞。有一個最簡單的解決方法是,蒐集設備不要與分析軟體安裝於同一部主機內,甚至另外安裝的分析主機也必須與原網路分離,如此一來,入侵者就找不到攻擊的對象,如圖 11-8 所示。其中蒐集主機上安裝有兩片網路卡,一者連接到私有網路上,並負責蒐集流通訊務;另一片網路卡連接到分析主機上,將所蒐集的訊務透過該網路傳送給分析主機,並且蒐集主機必須取消兩片網路卡之間的路由轉送功能。

11-8 NIDS 設備的裝置

11-8-2 NIDS - 系統配置

如果可以將 NIDS 分成蒐集主機與分析主機兩者分別處理相關工作的話,則前面所述的三個問題都可以迎刃而解。第一個問題,如分析主機採用較高速的處理設備,並且不用處理蒐集訊務的工作,應該可以提高許多處理能力。第二個問題,我們不可能將所有網路設施都改成 Hub 連線,如此一來,不但網路連線範圍會受到限制,傳輸效率也會降低許多。然而,僅負責蒐集訊務的主機並不需要很昂貴的伺服主機,只要一般個人電腦層次的工作站即可。因此,我們可以將多部蒐集主機分別裝設於各個通訊節點,再將所蒐集的訊務集中傳送給分析主機即可。圖 11-9 即是由上述概念所建構的 IDS 配置。

11-9 安全性 HIDS 配置

11-9 並沒有繪出 Hub 連線配置,這方面請讀者於實務架設時必須特別留意。另存在一個困難點,目前 HIDS 多半採用『誤用偵測技術』,而入侵行為的特徵大多由 IDS 廠商提供,並且隨時下載到客戶端的資料引擎上(與防毒措施類似)。如果採用圖 11-9 網路配置的話,則廠商將無法直接由網路下載最新發現的入侵特徵,需由人工下載來解決這個問題。

主講人:粘添壽博士

 

資訊與網路安全技術