|
IPS设计上的挑战
在考虑IPS的设计方向时,有若干挑战是在设计以被动方式工作的IDS装置时所没有的,所有这些挑战都是基于这样一个事实,IPS装置是以在线方式工作,从而面对一个潜在的单点失效的危险。如果一个以消极方式工作的IDS失效,面对的最坏情况是所有攻击数据包通过而未经检测,而当在线装置失效时,它有可能严惩影响整个网络的工作性能,有可能是整体延迟到达了一个无法接受的程序,也可能是该装置自己造成“拒绝服务”的局面,当然从好的方面讲是无任何外部攻击可以通过,但这还是无法自我安慰的,因为所有的电子商务网站都无法接通了,另外一点就是即使一个IPS没有失效,它仍然可能是潜在的瓶颈,例如它可能造成延迟增加,整体带宽下降等。当使用大量签名库时,对使用常规商业上可购买到的硬件的IPS装置将会遇到挑战。
作为网络整体中的一个单元,网络IPS装置必须表现得像网络交换机它必须达到在非常严格意义下定义的性能及可靠性指标,由于很少客户愿意在牺牲网络性能和可靠性的前提下来达到安全的目的,能造成网络整体性能下降,或阻碍正常数据包通过,或网络停顿的IPS是无法接受的。未检测到违规数据包是另一个问题,因为即使只有一个这样的数据包遗漏了,它有可能造成整个包含该数据包的数据流通过,因此制造高档IPS的制造商大多采用专门设计的硬件及使用先进的FPGA和ASIC等。
另一个潜在的问题是虚假报警问题。当一个攻击签名设计得不十分合理时,正常的数据包也能造成它的触发,在以被动方式工作的IDS虽然也会遇到类似问题,但它总是只能造成网络安全管理人员浪费时间,但同一问题造成的影响对在线IPS来说就大得多了,这就是一个由自己引起的“拒绝服务”,如果受影响的是某客户的订单,我们可以确信,该客户将不再劳神和你的商业网站做联络了。
另一个千兆速率IPS或IDS共同面对的问题是:一、警报数量问题,在一个非常忙碌的网络上,它每天或每小时会产生多少警报呢?如果是每秒10次报警,那么一天产生的报警数就是864,000次,因而进行有效的签名设计最大化的减少报警也是非常重要的,此外,警报处理和事后分析能力,包括能够提供详尽攻击信息以及对数据包内容作分析也有可能成为一个IPS或IPS成功与否的重要因素。
明显的,IPS之所以优于IDS是它的设计理念是用于防止攻击,而不像IDS,不过是用来检测和记录攻击,因此IPS大量减少那些需要分析,检查报警及评估造成的损失的工作量。
有效范围的基本条件
上节我们指出IPS设计中潜在的各种问题,那么哪些基本条件是一个IPS所必须应有的呢?
在线工作方式---防护于只有IPS在线时,IPS才能提供防护可靠性---由于在线IPS的失效可能造成整个网络的关闭,自我引起DOS攻击,所以一个好的IPS必须有极低的失效率。该装置应提供失效冗余,当签名库升级时的下机时间。
灵活性---对于IPS的最低要求是,一旦装置失效或者断电,IPS应表现为“失效关闭”,但一个具有灵活性的产品应该是允许用户配置的。例如,配置成主动到主动的失效自恢复能力,从而避免了网络中的单点换的问题。
低延迟---当IPS在线工作时,它必须能做到对网络性能影响减至最小,它的延迟性能应可类比于L2/L3交换机,至少不超过一个L4设备如防火墙和负载平衡器。
高性能---对数据包的处理速度应等同于实时网络数据包发送速度,该装置应预留至少3年的空间给可能新产生的签名需求,总之该装置性能应不受增加签名库的影响。
无可辩驳的检测精度---这点是无庸置疑的,因为任何一个“虚假报警”都会造成“拒绝服务”攻击。
检测的精细度及控制能力---准确确认哪种违规攻击方式及确认是由哪台计算机发动的是很重要的。
先进的警报处理及事后分析能力---一旦警报发生并且该警报送至中央控制平台,必须对该警报进行检查及相关(correlate)处理,然后再决定采用何种措施,控制平台所能提供的实时的或历史的警报的可读性及报告归类能力是非常关键的,它一定程度上反映了该IPS的有效性。 (结束)
1 2 3
Copyright ©2005 安捷通网络技术有限公司 |
