注:木桶原理最适合来描述网络安全问题,如果仅以简单的依靠修修补补提高安全性很难,该提速的时候刻不容缓。
思科信息安全部门于2001年部署了Cisco IDS 4230传感器。此次部署不但证实了这种部署方案对思科的价值,还增进了思科对入侵检测的了解。但是,IDS 4230传感器的性能和管理还有一些局限,为突破这些局限,思科移植到了Cisco IDS 4250和IDS 4250-XL传感器。
背景
在网络安全领域中,防火墙就好像是坚固的门锁和窗闩一样,能够阻挡他人的非法入侵。事实上,好的安全战略也应该使用入侵检测。与安全大厦内的警报器和摄像机相似,IDS警报不但能为警卫提供很多详细信息,包括入侵者进入大厦的方法和目前所在的位置等,还能提供必要的数据,帮助警卫确定快速缉拿入侵者的最佳方式,以及将来怎样预防类似入侵的发生。思科内部信息安全(Infosec)部门在思科内部部署了防火墙和IDS。这些安全设备证明是有效的,例如,2001年(思科部署入侵检测传感器的当年),全球服务器共遭受了两次灾难性攻击:Code Red 1和2(2001年7月)和NMDA(2001年9月)。在这两次攻击过程中,Cisco IDS 4230传感器都在几分钟之内就注意到了可疑流量的迅速增加,在一小时之内,Infosec和IT工程师立即采取了相应的措施。
挑战
思科网络和数据中心骨干网由超高速连接组成,多数为千兆位以太网。互联网接入的速度也很高。但是思科原先采用的Cisco IDS 4230传感器性能是一个瓶颈。另一个问题是,IDS 4230提供了很少的管理工具。为自动执行所需的许多管理功能,Infosec花费了几个月来开发工具,包括更新配置和签名文件、重新启动传感器等(参见附录1:吸取的教训)。
解决方案和成效
思科Infosec已经开始用IDS 4250取代IDS 4230,以便在更大的互联网DMZ内支持500Mbps的流量。此项工作从圣何塞开始。第一个IDS 4250传感器(那时正处于β测试阶段)于2002年11月安装在圣何塞的DMZ,替换了两个IDS 4230。替换之后,Infosec取消了小型IRSD传感器不得不实行的流量分割和交换机跨区,简化了体系结构,使IDS传感器能够首次“读”所有的网络流量,从而能够更加全面地抵御各种威胁。我们不但能为IDS添加双工警报签名,还能为IDS 4250传感器部署Cisco IDS Sensor Software 4.1,这样,思科IT不但能享受到这些好处,还能将一台设备配置为多个“虚拟传感器”,更换掉数据中心里的大量IDS 4230传感器。这种方法不仅释放了数据中心的空间,还降低了管理成本。
下一步计划
思科Infosec计划通过三个步骤升级到最新的IDS。第一步是将互联网接入点中的35个Cisco IDS 4230传感器升级为IDS 4250传感器,此项工作在圣何塞升级成功之后进行。第二步是将数据中心里的IDS 4230升级到IDS 4250-XL,以便利用其千兆位性能处理通往数据中心的千兆位以太网网关接口。当这些升级都完成时,Infosec将能够完全取消IDS内的流量分割和交换机跨区。第三步是将这些IDS 4250传感器移植到最新的IDS Sensor Software 4.1,以便改善管理,降低虚警率,这些因素是Infosec当前IDS部署的最大问题(参见附录1:吸取教训)。目前,Infosec正在为计划的内升级进行评估IDS Sensor Software 4.1,具体时间表将由人力资源部和预算审核部确定。