|
|
|
11-8 網路型入侵偵測系統
隨著防火牆設備(防禦主機或封包過濾器)或伺服主機的『主機型入侵偵測系統』(Host-based IDS, HIDS),多半與該設備上的作業系統有所關聯,不同系統之間很少可以交互使用,所以一般廠商所販賣的入侵偵測系統大多屬於網路型。『網路型入侵系統』(Network-based IDS,NIDS)可隨需要安裝在任何地方,包含外部網路、DMZ 網路或內部網路,基本上,它是一個獨立系統,與運作環境系統無關。 11-8-1 NIDS - 系統缺陷 NIDS 系統的偵測技術可以是誤用偵測或異常偵測,甚至將兩種技術整合而成的『混合型偵測系統』(Hybrid IDS),其運作原理是儘可能由網路蒐集所有流通的 IP 封包,再利用偵測技術去尋找出可疑的流通訊息。然而,問題在於 HIDS 在蒐集可能的封包時,可能會發生的問題有:
解決第一個問題,可由兩方面來思考,一者提高 HIDS 的處理速度,即使用較快的 CPU 或較大的記憶體空間;另一者是加強『資料引擎』的處理能力,一般來講誤用偵測技術會比異常偵測來得快,這是一般 HIDS 多半採用誤用偵測技術的主要原因。 解決第二個問題的關鍵,在於不要讓 HIDS 設備安裝於交換器上即可。由圖 11-7 連接方式可以看出,唯有通往 HIDS 設備的封包才會被轉送到該連接埠口上,如此一來,HIDS 將無法蒐集到其他電腦之間的流通封包。另一個解決方案是在某些交換器都預留一個通訊埠口,由此埠口上可以蒐集到所有該交換器的訊務,但也侷限於所連接的交換器而已,再說並非所有交換器都有此通訊埠口。
圖 11-7 HIDS 無法蒐集訊務的連接方式 解決第三個問題最為棘手,IDS 會成為被入侵對象的主因是,所儲存的資料正是駭客最期望盜取或竄改的資料。譬如 HIDS 採用誤用偵測技術,則該系統內必須收集許多入侵行為的『特徵』,駭客只要修改這些資料的話,便成為入侵系統最明顯的漏洞。有一個最簡單的解決方法是,蒐集設備不要與分析軟體安裝於同一部主機內,甚至另外安裝的分析主機也必須與原網路分離,如此一來,入侵者就找不到攻擊的對象,如圖 11-8 所示。其中蒐集主機上安裝有兩片網路卡,一者連接到私有網路上,並負責蒐集流通訊務;另一片網路卡連接到分析主機上,將所蒐集的訊務透過該網路傳送給分析主機,並且蒐集主機必須取消兩片網路卡之間的路由轉送功能。
圖 11-8 NIDS 設備的裝置 11-8-2 NIDS - 系統配置 如果可以將 NIDS 分成蒐集主機與分析主機兩者分別處理相關工作的話,則前面所述的三個問題都可以迎刃而解。第一個問題,如分析主機採用較高速的處理設備,並且不用處理蒐集訊務的工作,應該可以提高許多處理能力。第二個問題,我們不可能將所有網路設施都改成 Hub 連線,如此一來,不但網路連線範圍會受到限制,傳輸效率也會降低許多。然而,僅負責蒐集訊務的主機並不需要很昂貴的伺服主機,只要一般個人電腦層次的工作站即可。因此,我們可以將多部蒐集主機分別裝設於各個通訊節點,再將所蒐集的訊務集中傳送給分析主機即可。圖 11-9 即是由上述概念所建構的 IDS 配置。
圖 11-9 安全性 HIDS 配置 圖 11-9 並沒有繪出 Hub 連線配置,這方面請讀者於實務架設時必須特別留意。另存在一個困難點,目前 HIDS 多半採用『誤用偵測技術』,而入侵行為的特徵大多由 IDS 廠商提供,並且隨時下載到客戶端的資料引擎上(與防毒措施類似)。如果採用圖 11-9 網路配置的話,則廠商將無法直接由網路下載最新發現的入侵特徵,需由人工下載來解決這個問題。 |
翻轉工作室:粘添壽
資訊與網路安全技術
翻轉電子書系列:
|
