IDS的交換機局限問題的分析與對策
2023-07-18 15:40:33 admin 871
一、面臨的問題
入侵檢測系統(tǒng)(Intrusion Detection System, IDS)是近兩年熱起
來的安全產(chǎn)品,它在網(wǎng)絡(luò)安全體系中所發(fā)揮的作用是可以檢測到
入侵行為并報警。這里所說的入侵行為涵蓋范圍很廣,不僅包括
黑客攻擊,還包括各種網(wǎng)絡(luò)異常行為,如內(nèi)部網(wǎng)絡(luò)機密信息泄漏
和非法使用網(wǎng)絡(luò)資源等等。
為了保障網(wǎng)絡(luò)的安全,要使用很多安全產(chǎn)品,有防病毒、防火
墻、服務(wù)器安全加固、加密傳輸和身份認(rèn)證等等。和它們相比,I
DS具有更多的智能特性,能夠判斷出網(wǎng)絡(luò)入侵行為并報警和實時
阻斷。
但是這兩年,廠商、媒體和網(wǎng)站一直是從正面宣傳IDS的功能,卻回避IDS的缺陷。在眾多的缺陷中,交換
機的數(shù)據(jù)鏡像、VLAN給網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)的運用帶來很大的麻煩。而眾多的IDS廠商卻避而不談,這
必然會誤導(dǎo)用戶,使用戶無法實現(xiàn)自身安全價值的最大化。
二、問題的分析
由于共享式集線器(HUB)可以進(jìn)行網(wǎng)絡(luò)監(jiān)聽,將給網(wǎng)絡(luò)安全帶來極大的威脅,故而現(xiàn)在網(wǎng)絡(luò),尤其是高速網(wǎng)
絡(luò)基本上都采用交換機(Switch),從而給網(wǎng)絡(luò)入侵檢測系統(tǒng)的網(wǎng)絡(luò)監(jiān)聽帶來麻煩。
1.問題之一:交換機端口鏡像
要了解入侵檢測系統(tǒng)在交換機環(huán)境中監(jiān)聽的問題,需要了解集線器和交換機在工作原理上的不同。集線器
沒有連接的概念,而是將每一個數(shù)據(jù)包發(fā)送到集線器的除了該數(shù)據(jù)包進(jìn)來的端口外的每一個端口。然而,
交換機是基于連接,當(dāng)交換機上的一個臨時連接進(jìn)來一個數(shù)據(jù)包時,交換機會將數(shù)據(jù)包發(fā)送給連接的目的
端口,接著從目的端口轉(zhuǎn)發(fā)出去。所以在集線器環(huán)境中,我們能夠?qū)⒕W(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器接在任意
端口;而對于交換機,必須確信傳感器能夠“看”到所需的網(wǎng)絡(luò)流量。
這時就需要在交換機上設(shè)置專門監(jiān)聽端口。監(jiān)聽端口是交換機上配置的一個特殊端口,SPAN(Switch Port
Analyzer)通常用來察看網(wǎng)絡(luò)的使用情況,SPAN端口通常也被稱為監(jiān)聽(Spy)端口或鏡像(Mirror)端口。
交換機會將指定端口的通信數(shù)據(jù)鏡像到該監(jiān)聽端口,這樣網(wǎng)絡(luò)傳感器就可以捕獲到指定端口的數(shù)據(jù)。例如
圖1所示,我們?yōu)榱吮O(jiān)聽交換機和資源主機之間的連接,就需要告訴交換機將資源主機的端口的數(shù)據(jù)鏡像到
IDS的端口。這種方法可以對傳輸?shù)臄?shù)據(jù)、接收的數(shù)據(jù)和上述兩者起作用。某些交換機不支持鏡像端口功
能,某些交換機不能將100%的數(shù)據(jù)傳輸給鏡像端口,因此即使IDS配置了針對特定攻擊的檢測規(guī)則,該攻擊
也會被漏掉。而且,交換機在同一時刻,只能鏡像一個端口,所以監(jiān)控多個機器將會變得很困難和不可
能。
圖1:交換機端口鏡像監(jiān)聽
此外,在交換環(huán)境,端口鏡像還有如下缺陷:
●通常連接到交換機時都是全雙工的,即在100MB的交換機上雙向流量可能達(dá)到200MB,但監(jiān)聽端口的流量
最多達(dá)到100MB,從而導(dǎo)致交換機丟包;
●為了節(jié)省交換機端口,很可能配置為一個交換機端口監(jiān)聽多個其它端口,在正常的流量下,監(jiān)聽端口能
夠全部監(jiān)聽,但在受到攻擊的時候,網(wǎng)絡(luò)流量可能加大,從而使被監(jiān)聽的端口流量總和超過監(jiān)聽端口的上
限,引起交換機丟包;
●一般的交換機在負(fù)載較大的時候,監(jiān)聽端口的速度趕不上其它端口的速度,從而導(dǎo)致交換機丟包。如果
一個監(jiān)聽端口要監(jiān)聽所有交換機端口的數(shù)據(jù),那么交換機的丟包現(xiàn)象會更加嚴(yán)重;
●增加監(jiān)聽端口即意味做需要更多的交換機端口,這可能需要購買額外的交換機,甚至修改網(wǎng)絡(luò)結(jié)構(gòu)(例如
原來在一臺交換機上的一個VLAN現(xiàn)在需要分布到兩臺交換機上);
●不同廠商、不同型號的交換機對鏡像端口支持功能的強弱是不同的。有的交換機能夠?qū)⑷我舛丝谠O(shè)置為
鏡像端口,有的交換機只能將某個端口設(shè)置為鏡像端口(如端口1);有的交換機在鏡像端口上可以監(jiān)聽所有
端口的數(shù)據(jù),有的交換機在鏡像端口上同時只能監(jiān)聽某一個端口;
●支持監(jiān)聽的交換機比不支持的交換機要貴許多,很多網(wǎng)絡(luò)在設(shè)計時并沒有考慮到網(wǎng)絡(luò)監(jiān)聽的需求,購買
的交換機并不支持網(wǎng)絡(luò)監(jiān)聽,或者監(jiān)聽性能不好,從而在準(zhǔn)備安裝NIDS的時候需要更換交換機。
入侵檢測系統(tǒng)(Intrusion Detection System, IDS)是近兩年熱起
來的安全產(chǎn)品,它在網(wǎng)絡(luò)安全體系中所發(fā)揮的作用是可以檢測到
入侵行為并報警。這里所說的入侵行為涵蓋范圍很廣,不僅包括
黑客攻擊,還包括各種網(wǎng)絡(luò)異常行為,如內(nèi)部網(wǎng)絡(luò)機密信息泄漏
和非法使用網(wǎng)絡(luò)資源等等。
為了保障網(wǎng)絡(luò)的安全,要使用很多安全產(chǎn)品,有防病毒、防火
墻、服務(wù)器安全加固、加密傳輸和身份認(rèn)證等等。和它們相比,I
DS具有更多的智能特性,能夠判斷出網(wǎng)絡(luò)入侵行為并報警和實時
阻斷。
但是這兩年,廠商、媒體和網(wǎng)站一直是從正面宣傳IDS的功能,卻回避IDS的缺陷。在眾多的缺陷中,交換
機的數(shù)據(jù)鏡像、VLAN給網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)的運用帶來很大的麻煩。而眾多的IDS廠商卻避而不談,這
必然會誤導(dǎo)用戶,使用戶無法實現(xiàn)自身安全價值的最大化。
二、問題的分析
由于共享式集線器(HUB)可以進(jìn)行網(wǎng)絡(luò)監(jiān)聽,將給網(wǎng)絡(luò)安全帶來極大的威脅,故而現(xiàn)在網(wǎng)絡(luò),尤其是高速網(wǎng)
絡(luò)基本上都采用交換機(Switch),從而給網(wǎng)絡(luò)入侵檢測系統(tǒng)的網(wǎng)絡(luò)監(jiān)聽帶來麻煩。
1.問題之一:交換機端口鏡像
要了解入侵檢測系統(tǒng)在交換機環(huán)境中監(jiān)聽的問題,需要了解集線器和交換機在工作原理上的不同。集線器
沒有連接的概念,而是將每一個數(shù)據(jù)包發(fā)送到集線器的除了該數(shù)據(jù)包進(jìn)來的端口外的每一個端口。然而,
交換機是基于連接,當(dāng)交換機上的一個臨時連接進(jìn)來一個數(shù)據(jù)包時,交換機會將數(shù)據(jù)包發(fā)送給連接的目的
端口,接著從目的端口轉(zhuǎn)發(fā)出去。所以在集線器環(huán)境中,我們能夠?qū)⒕W(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器接在任意
端口;而對于交換機,必須確信傳感器能夠“看”到所需的網(wǎng)絡(luò)流量。
這時就需要在交換機上設(shè)置專門監(jiān)聽端口。監(jiān)聽端口是交換機上配置的一個特殊端口,SPAN(Switch Port
Analyzer)通常用來察看網(wǎng)絡(luò)的使用情況,SPAN端口通常也被稱為監(jiān)聽(Spy)端口或鏡像(Mirror)端口。
交換機會將指定端口的通信數(shù)據(jù)鏡像到該監(jiān)聽端口,這樣網(wǎng)絡(luò)傳感器就可以捕獲到指定端口的數(shù)據(jù)。例如
圖1所示,我們?yōu)榱吮O(jiān)聽交換機和資源主機之間的連接,就需要告訴交換機將資源主機的端口的數(shù)據(jù)鏡像到
IDS的端口。這種方法可以對傳輸?shù)臄?shù)據(jù)、接收的數(shù)據(jù)和上述兩者起作用。某些交換機不支持鏡像端口功
能,某些交換機不能將100%的數(shù)據(jù)傳輸給鏡像端口,因此即使IDS配置了針對特定攻擊的檢測規(guī)則,該攻擊
也會被漏掉。而且,交換機在同一時刻,只能鏡像一個端口,所以監(jiān)控多個機器將會變得很困難和不可
能。
圖1:交換機端口鏡像監(jiān)聽
此外,在交換環(huán)境,端口鏡像還有如下缺陷:
●通常連接到交換機時都是全雙工的,即在100MB的交換機上雙向流量可能達(dá)到200MB,但監(jiān)聽端口的流量
最多達(dá)到100MB,從而導(dǎo)致交換機丟包;
●為了節(jié)省交換機端口,很可能配置為一個交換機端口監(jiān)聽多個其它端口,在正常的流量下,監(jiān)聽端口能
夠全部監(jiān)聽,但在受到攻擊的時候,網(wǎng)絡(luò)流量可能加大,從而使被監(jiān)聽的端口流量總和超過監(jiān)聽端口的上
限,引起交換機丟包;
●一般的交換機在負(fù)載較大的時候,監(jiān)聽端口的速度趕不上其它端口的速度,從而導(dǎo)致交換機丟包。如果
一個監(jiān)聽端口要監(jiān)聽所有交換機端口的數(shù)據(jù),那么交換機的丟包現(xiàn)象會更加嚴(yán)重;
●增加監(jiān)聽端口即意味做需要更多的交換機端口,這可能需要購買額外的交換機,甚至修改網(wǎng)絡(luò)結(jié)構(gòu)(例如
原來在一臺交換機上的一個VLAN現(xiàn)在需要分布到兩臺交換機上);
●不同廠商、不同型號的交換機對鏡像端口支持功能的強弱是不同的。有的交換機能夠?qū)⑷我舛丝谠O(shè)置為
鏡像端口,有的交換機只能將某個端口設(shè)置為鏡像端口(如端口1);有的交換機在鏡像端口上可以監(jiān)聽所有
端口的數(shù)據(jù),有的交換機在鏡像端口上同時只能監(jiān)聽某一個端口;
●支持監(jiān)聽的交換機比不支持的交換機要貴許多,很多網(wǎng)絡(luò)在設(shè)計時并沒有考慮到網(wǎng)絡(luò)監(jiān)聽的需求,購買
的交換機并不支持網(wǎng)絡(luò)監(jiān)聽,或者監(jiān)聽性能不好,從而在準(zhǔn)備安裝NIDS的時候需要更換交換機。
為您推薦
底部簡介
工業(yè)網(wǎng)絡(luò)布線 視頻會議系統(tǒng)集成商 安裝監(jiān)控攝像頭 公司布線 視頻會議子系統(tǒng) 監(jiān)控攝像頭安裝 公司辦公室布線 視頻會議系統(tǒng)對比 視頻監(jiān)控安...
底部新聞
底部圖文
聯(lián)系我們
- 13714001599
- sales@lancom.net.cn
- 深圳福田彩田南路彩虹大廈1棟16G