在现代网络安全中,保护边缘的设备主要有两种类型:入侵检测系统(IDS)和入侵防御系统(IPS)。IPS位于网络中,并处理来往Internet的每个数据包。它根据预先配置的静态规则(即签名匹配)对报文进行检测,并转发或丢弃报文,从而提供保护。另一方面,IDS不能接触任何数据包,它只能根据签名嗅探数据包以进行检测,然后生成警报供管理员进行调查。考虑到防御能力的这种差异,IPS听起来像是比IDS更好的工具。如果这是实际情况,那么为什么它没有像IDS那样广泛部署,或者部署得比IDS更广泛呢?
时间和延迟限制
有几个原因。不算IPS的高价格,还有许多技术限制需要考虑。首先,IPS必须非常注意它的“时间预算”,不应该在检查和匹配过程中持有数据包太长时间,否则由于它将引入延迟或延迟而有可能妨碍顺利通信。用户不喜欢在线系统阻塞或减慢他们的网络。这是直列系统的基本要求。这成为IPS的一个关键限制,因为IPS需要尽可能快地完成任务,特别是当它需要匹配不断增长的签名列表时。这个约束有效地减少了它可以处理的带宽。IDS没有这个约束;它只是嗅探数据包,不会在通信中引入任何延迟或中断。实际上,IDS可以在几秒钟后处理数据包,并且不会影响网络的性能或延迟。此外,带宽问题对IDS来说不是问题,因为多个设备可以共享负载。除了这种设计优势之外,市场上还有多种可用的开源IDS,使其成为许多企业进行外围和边缘防御的相对安全(和保守)的方法。
包注入保护
体育博彩平台推荐都知道保护是最终目标,所以这可能是一个奇怪的问题,但是;IDS能提供任何有意义的保护吗?答案是有条件的肯定。尽管IDS不是为保护而构建的,但IDS可以做一个有用的技巧:体育博彩平台推荐可以将IDS连接到内联的网络接口,并注入一个数据包来中断目标会话。
在TCP会话的情况下,IDS可以发送一个终止包(TCP RST)来终止给定的会话。这个伎俩早在2003年就被Snort是开源ids的先驱。
保护所有类型的网络会话的困难部分是在UDP会话的情况下。UDP会话连接较少,没有建立和终止阶段。但是,通过注入数据包来中断UDP会话是可能的。除了注入UDP报文外,还可以注入ICMP端口不可达报文。这将欺骗UDP应用程序,使其认为由于没有应用程序在目的端口上侦听,它发送的UDP数据包被操作系统反弹。
要发现这种方法的有效性,只需要使用著名的命令“netcat”运行一个简单的测试。
$ netcat 10.0.0.1 8888 -u
上面的命令将打开到服务器(10.0.0.1)的UDP连接,目的端口为8888。当用户输入“hi”时,netcat将以UDP包的形式发送此消息。由于主机10.0.0.1上没有服务器运行(或监听UDP端口8888),主机10.0.0.1将发送ICMP“端口不可达”消息(参见以下数据包嗅探器的快照)。Netcat将在看到这个ICMP包后关闭套接字并退出。
数据包注入保护在破坏使用TCP的恶意软件通信方面非常有效。这种技术对使用UDP通信的恶意软件也非常有帮助。
IDS和IPS -一起,而不是非此即彼
除了杀死数据包之外,IDS是补充IPS解决方案的一个很好的选择,因为它朝着现代网络安全的方向发展,网络罪犯变得越来越聪明:网络防御的大部分时间和预算将用于检测威胁。这是可以理解的,因为恶意软件经常使用许多最新的加密和混淆技术,从而使基于签名的保护效果大大降低。IDS,因为它不是内联的,所以可以在检测方面更加灵活:
- 使用具有多个输出端口的网络抽头,就像体育博彩平台推荐的好合作伙伴体育博彩平台的抽头一样,组织可以部署多个IDS并排运行,处理相同的流量,通过相互补充实现更好的检测比。
- 基于行为的检测工具,例如CapStar实时代理(capstart),可以快速地利用TAP来实现由网络和安全专业人员构思的观察和技术。网络流量的许多方面和行为,例如,各种协议字段的计数、顺序和一致性,可以用于检测与合法软件中看到的流量有细微但致命的差异的流量。最后,检测恶意软件流量(因此是恶意软件)比跟踪恶意软件作者要容易得多,也要快得多,因为恶意软件作者不断地提出新技术来逃避当前系统的保护。
几乎没有人会不同意网络安全形势正变得越来越复杂。因此,IT专业人员需要意识到现有解决方案的局限性,并对自己诚实,这样做,就愿意接受提供更好保护的新解决方案和技术。如果你有一个IPS,不要自满地认为你得到了充分的保护。相反,密切关注改进基于ids的解决方案的有效性的方法将是一个好主意。
了解更多关于联合解决方案来自CapStar和体育博彩平台。