|
 | 作者: TomyChen [quest]
 版主 |
登录 |
| 入侵检测之――工具篇 网络是新生的,它便利、快捷,可是他却是危险的,而网络安全又是一个令人沉思的话题。安全是网络界一个永恒的话题,随着Internet的普及,网络的安全问题越来越突出。在这种情况下,各种入侵检测系统(IDS)便应运而生。 为了便于让学员了解目前国际上主流的IDS产品,在我们编发了国际权威评测机构对市场上现有的各种基于主机和基于网络的入侵检测系统的测试报告。此次测试包括Intruder Alert and NetProwler、Cisco Secure Intrusion Detection/NetRanger、CyberSafe的Centrax 2.2、Internet Security System的RealSecure 3.2、 NFR Intrusion Detection Appliance 4.0、BlackIce Defender and Enterprise Icepac 1.0和Dragon IDS七种系统。 RealSecure 3.2 脆弱性评估和入侵检测长期以来一直是Internet Security Systems(ISS)的强项。在以前的测试中,我们发现ISS的RealSecure是综合表现最好的一个。ISS在准确检测网络入侵企图和有效显示那些不可用格式的数据之间实现了很好的平衡。它的最大不足是在定制的灵活性方面。 这次测试发现RealSecure不仅网络引擎(3.2版)有了较大的改进,而且还加入了主机代理。尽管RealSecure仍然有一些令人不满意的地方,但ISS 采取了将基于主机和基于网络进行入侵检测的技术结合起来,同时具有强大的数据表示方法,这使得它遥遥领先于其他的竞争者。 RealSecure的网络引擎几乎能够发现我们发起的每一种主流攻击方式(包括远程缓冲区溢出、拒绝服务攻击和已知的CGI漏洞等),但是不能检测到一些更隐蔽的入侵方式(如利用最近的RDS/ODBC漏洞和一些第三方CGI脚本的攻击等)。ISS还增加了一个定制选择功能,用户可以检查数据包的负载情况,并且使用规则的表达式来搜索这些负载中的某类数据包。 RealSecure提供了简单而又有效的管理接口,这个接口在总体设计方面领先于其他竞争者。RealSecure的管理控制台使用分级树设计,因此管理员可以根据攻击类型、攻击者或目标主机等分类查看检测到的入侵数据。任何一个做过安全事故响应工作的人都会知道拥有这些数据是多么重要。有关接口任何一个部分的信息都可以通过右击相应的条目在另外一个窗口中打开。当报警提示弹出到控制台时,用户能迅速地查看到所有与之相关的信息。RealSecure允许用户将所有的报警从控制台上一次完全清除。 ISS是大力鼓吹将基于主机和基于网络的入侵检测技术集成起来的三家厂商之一。使用系统级事件(如失败的登录企图和修改注册密钥等)来检测基于主机的攻击(包括端口扫描和远程缓冲区溢出攻击)是极其有效的。与Axent的入侵检测工具不同的是,RealSecure实现了基于主机检测功能和基于网络检测功能的无缝集成。NT主机代理的安装过程非常顺利,并且能够迅速地将其插到控制台上。当我们试图修改一些系统文件和注册设置时,RealSecure及时发现了这种企图。RealSecure还提供了小组管理功能。它甚至还发现了我们企图使用netcat作为后门进行攻击并且成功地加以阻止。它是这次参测产品中唯一一种能够发现这一点的基于主机的IDS方案。据称 RealSecure系统代理对Exchange、MS SQL、LDAP、Oracle和Sybase特定问题具有40 多种检查方法。 RealSecure最大的不足在于它无法重组破碎的封包,这是一个较严重的缺陷。它还缺乏对管理控制台事件窗口中全部事件的清除功能。 综合来看,在检测入侵行为并且成功地阻止这些行为方面,ISS的RealSecure是基于主机检测和基于网络检测技术实现最佳集成的典范。 RealSecure 3.2售价8995美元,有关情况可访问 www.iss.net。 Dragon IDS Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气,但它在测试中表现极好。它在检测到我们发起的所有攻击方面都打了高分。Dragon是一个非常原始的工具,建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话, Dragon还是一个很不错的选择。 Dragon通过命令行方式来执行,只有非常简单的基于Web 的报告工具。除了NFR外,NSW是唯一一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件,使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活,但它同样能够达到目的。通过使用一个基本的参数定义集合,用户可以定义要搜索的端口、协议、样本大小、字符串等。 不幸的是,Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具,它产生的数据冗长而又复杂,很不容易看懂。在测试中,还出现了会破坏一些签名的签名偏移问题。虽然NSW 在24小时内修正了这一问题,但是这个事件说明Dragon的成熟的确还需要一个过程。 Dragon是这次测试中能够处理碎片重组的三种产品之一。它不仅能够无错地重组碎片,而且即使当网络占用率达70~80%时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒,这些功能盒能够以130Mbps的速率运行,但是我们的实验室配置无法对这一点进行测试。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话,那么Dragon是很好的选择。 Dragon IDS售价4500美元,Web站点: www.securitywizards.com。 Cisco Secure Intrusion Detection System/NetRanger Cisco的NetRanger最近半年来变化不大,它仍然是我们见到的表现最好的入侵检测系统之一,也仍然严重依赖HP的OpenView,并且仍然定价太高。一个传感器(sensor)以及基于Solaris的“director"软件(不包括在SPARC工作站的价格内)价格超过22000美元,与离它价格最接近的竞争产品相比也贵了一倍多。 同RealSecure一样,NetRanger使用引擎/控制台模型。 NetRanger的检测装置(也称为“传感器”)是一台运行Solaris X86的Pentium Ⅱ PC机。 Cisco为我们提供了一个传感器、一个基于Solaris的director(控制台)和一个拥有集成化 IDS/防火墙IOS的Cisco 2621路由器。在测试中,除了碎片攻击外,NetRanger几乎检测到了所有的攻击。它虽然能够报告已经发现了网络上的碎片,但是不能确定这些碎片包含的内容。 真正引起我们兴趣的是在Cisco的系列路由器中包含了入侵检测技术。尽管Net- Ranger有自己的缺点,然而Cisco具有可以方便地应用基于网络的 IDS技术的优势:IOS(运行于Cisco交换设备和路由器的OS)的防火墙设置具有内置的入侵检测技术。 基于网络的IDS的一个最大问题是可伸缩性。在交换式 100Mbps或更快的环境中,绝大多数基于网络的入侵检测系统无法正常工作。如果Cisco 在它的系列交换设备中提供一种集成化的入侵检测技术,那么它就能完成IDS厂商以前无法完成的在快速网络的核心进行检测的功能。 我们测试了一台装有防火墙IOS的2621路由器,它工作起来没有问题。我们配置了路由器,让它直接向NetRanger控制台报告,紧接着向NetRanger 传感器装置报警。我们能够将输出重定向到UNIX系统日志中,这给了我们更大的灵活性。 IDS IOS中只提供大约60个攻击签名,也表现很好。 但在以前测试中曾遇到的对OpenView严重依赖的问题仍然存在。执行nmap FIN扫描时意外地导致了数百个报警,结果产生一大堆恼人的小图标。更令人失望的是,在运行一个拒绝服务攻击时导致了OpenView无休止地进行报警。 NetRanger也是我们遇到的IDS产品中配置起来最困难的一个,它的配置灵活性是最差的。 幸运的是,Cisco正在对NetRanger进行改进。我们见到了Cisco新推出的安全管理器,它改进了接口的不足并且消除了NetRanger对OpenView的依赖。HP已经发布了NT版本的NetRanger,这将有助于在非UNIX平台上推广NetRanger。 Cisco Secure Intrusion Detection System/NetRanger,传感器售价12500美元,Director售价9500美元,详情请访问www.cisco.com/ netranger。 Intruder Alert and NetProwler Axent在今年5月份收购了Internet Tools公司,后者是 ID-Trak的生产商。当时Axent公司的单一性入侵检测产品Intruder Alert只是一个基于主机的检测产品。ID-Trak这种基于网络的IDS则更名为NetProwler发布。现在,Axent正式集成这两种产品。这次测试了部分的集成功能。 NetProwler比当初的ID-Trak有了很大的改进:它的管理程序使用起来容易多了,报告工具也更直观易用。除了对数据包进行入侵检查外, NetProwler还有其他入侵检测产品都没有的有趣特性。比如,“对话者”模块允许用户实时地捕捉和显示正在进行的会话,它不仅能简单地进行协议解码,而且还能实时翻译和显示Telnet、Ftp、SMTP、Pop和Irc会话。另一个有趣的特性是内容和集成性检查。 NetProwler可以经由RIP查询变化的路由表。它还可以根据预先定义的规则对Web页面进行检查以发现是否被做了敌意的修改。尽管这些特性可能不属于传统的入侵检测范畴,但它们是相当有用的。 NetProwler能够准确检测到大量的各种攻击,其中包括一些RealSecure和NetRanger都无法查出来的CGI漏洞。然而,当我们转移到碎片攻击时,它似乎力不从心了,NetProwler服务有时甚至完全停止了。NetProwler还有一个有趣的自我配置的方法:绝大多数基于网络的IDS产品检查经过的所有数据包,但NetProwler只检查发向已知主机的数据包。这样,NetProwler可以以更高的速率工作。通过它的“描述器(profiler)”工具,NetProwler自动地查询、识别和配置自己以便监视多个主机。在测试中我们发现它在十几台至几十台主机的环境中工作得很好,但能否扩展到成百甚至上千个节点令人质疑。 我们使用NetProwler时,也遇到了一些问题。在一次预备测试中我们针对Windows 95工作站发起了一次Winnuke攻击,NetProwler是唯一无法检测到的产品。为了验证这一点,我们重新检查了配置,结果发现当我们运行profiler时, Windows 95机器已经关机了。我们重新运行profiler,再次执行攻击程序问题就解决了。这无疑是NetProwler的一个不足:每当要增加或修改重要网络组件时都需要重新对其进行配置。 Intruder Alert (ITA)是一个基于主机的产品,它主要通过检查事件日志来发现问题。ITA是本次测试基于主机的产品中最灵活的,但也是应用范围最窄的。它使用控制台/代理的方式工作,因此如果你想使用它,就需要操作系统的支持。ITA在事件定义和事故反应方面尤其灵活。用户可以配置ITA来进行一些操作分类:通过寻呼机、E-mail来报警,执行一个命令或脚本、关闭一个任务或进程、废除一个用户账号等。 用户还可以配置ITA从多种数据源而不仅仅是从简单的事件日志中提取数据,并且向多个目标报告。然而,我们发现它的接口难于使用,而且用到的术语比其他产品更混乱。与RealSecure的管理控制台相比,ITA的可管理性存在严重的不足,将NetProwler集成到这个接口中同样也是很困难的。 Axent最近发布了NetProwler Turbo,首次采用了软-硬件集成的方法对基于网络的入侵进行检测。NetProwler使用了由NetBoost提供的技术,据称能够检查速率高达100Mbps或更快的数据包。不幸的是,NetProwler Turbo未能参加我们这次测试。如果Axent将Intruder Alert和NetProwler集成为一个单一的产品,将会对 RealSecure构成强有力的威胁。 Intruder Alert ,管理器售价1995美元,代理/控制台售价995 美元,NetProwler售价7995美元,详情可以访问 www.axent.com。 BlackIce Defender and Enterprise Icepac 1.0 Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时,它并没有给人留下特别的印象:管理接口相当麻烦,配置选择也不是很多。然而BalckIce执行起来非常好,它是本次测试能够进行碎片重组的3个入侵检测产品之一。 BlackIce能够检测我们发起的相当一部分攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名,BlackIce要比许多其他基于网络的入侵检测产品表现都好。 但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用,通信未加密就通过HTTP在线路上进行传输,而RealSecure和Dragon对所有从传感器到控制台的通信都进行加密。 BlackIce还提供一个被称为Black Track的服务,这对于一些企业是十分有用的,但它对于想隐蔽地进行入侵检测的用户来讲很不适用。Black Trace 通过发起NetBIOS和DNS反向查询来收集敌对主机信息。幸运的是,与NetProwler不一样,BlackIce允许用户自己禁止这些查询。 BlackIce的一个有趣特性是它可以作为一个个人IDS和防火墙的组合方案。BlackIce能关闭它检测到产生敌意操作的所有网络。 那些想保证自己的移动用户安全的公司可能对BlackIce 特别感兴趣。它的个人防火墙特性可以允许网络管理员扩展一些更高级别的安全保护。而它的价格只有大约40美元,是相当物有所值的产品。 BlackIce Defender的价格是39.95美元,Enterprise Icepac 的售价是在1000个节点的系统中每个节点37美元。详情可进一步访问 www.networkice.com。 NFR Intrusion Detection Appliance 4.0 NFR是提出开放源代码概念的唯一IDS厂商,这是它能够不断普及的最重要原因。NFR通过NFR“研究版”免费发布它早期版本的源代码,尽管正式版与研究版相比进行了许多修改,但是后者仍然能提供一个完整的IDS方案。 在IDA 4.0中,NFR已经解决了它在管理工具和签名设置方面的种种不足。程序采用一个基于Win32的GUI管理工具来取代原来基于Java的工具,因为基于Java的管理工具由于浏览器的Java实现不连续会经常崩溃。新的管理GUI为管理员提供了一个简单的方法来配置和监视部署的NFR传感器,但事件清除仍然是一件费力的事情。 管理员只能得到单行的攻击描述,对攻击数据进行翻页操作非常麻烦。如果用户对常用攻击方式的表达不是很熟悉的话,就不得不经常需要参考手册的帮助。 另一个问题是NFR一直缺乏一个可靠的签名集。虽然通过使用NFR内置的过滤脚本n-code,用户可以编写自己的签名,然而很少有哪一个公司有时间或资源这样做。为了帮助解决这个问题,NFR已经与L0pht Heavy Industries(www.l0pht.com)合作来产生攻击签名集。L0pht提供了300多个签名,并且还将提供另外数百个签名。不过这次我们只能测试其中的一小部分。这次测试的签名工作得很好,但是RealSecure和NetRanger有大得多的攻击签名集。只有NFR发布了完整的签名集以后,IDA才会成为一个真正强有力的产品。 我们偶然发现NFR是一个非常有用的网络监视和报告工具:除了入侵检测外,NFR还允许用户收集通过网络的Telnet、Ftp和Web数据。这个功能看似不起眼,但它对于那些想拥有这类集中化信息(尤其是当跨越多个平台时)的用户来讲却非常有用。 NFR Intrusion Detection Appliance 4.0售价3100美元,详情可进一步访问www.nfr.net。 Centrax 2.2 同Axent和ISS一样,CyberSafe正向集成化的基于主机和基于网络的入侵检测方向发展。其Centrax提供了三种类型的客户端:一个批处理器、一个实时主机检查器和一个实时网络检查器。一旦用户搞清楚了哪一个组件是完成什么功能的,就会发现这个产品用起来相当容易。 Centrax使用传感器/控制台方法,工作方式与RealSecure 的管理台类似。与Axent的产品不同的是,Centrax能够无缝地集成到主管理控制台中。管理部署的传感器制定一个模板策略,然后将它“推”给适当的传感器。修改和更新所有远程机器上的策略极其容易,只需简单地选择它们并且“应用(apply)”一个预先定义的策略即可。 对Centrax的管理台我们只有两点不满意。第一,用户无法清除报警。第二,对报警进行分类处理很困难。当四五十个报警同时出现时,无法对它们进行分类控制,这会很快使管理员陷入困境。 以基于主机的方式进行检测时,Centrax从NT事件日志中提取绝大部分数据。Centrax相当棒的地方是它能够进行大范围的主机内容检查,包括失败的登录、修改的系统文件和注册设置等。 然而,Centrax基于网络的检测功能要弱得多。Centrax网络传感器预先定义的攻击签名只有约50个。虽然它具有良好的入侵检测结构,但是极弱的签名库影响了它准确检测基于网络的攻击的能力。对于基于NT主机的监视,Centrax 现在表现得不是很令人满意。 Centrax 2.2起价2500美元, |
| 地主 发表时间: 05/22 22:52 |
 | 回复: coki [coki]  论坛用户 |
登录 |
|
好的文章是要认真读的呀 |
| B1层 发表时间: 05/27 14:28 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 入侵检测之―工具篇