6、金诺网安KIDS 3000
金诺网络安全技术发展股份有限公司2000年成立于上海,自主开发的拥有知识产权的部分产品有:金诺网安入侵检测系统KIDS、金诺网安外联监控系统KNCS、金诺网安介质取证系统DISKFOREN等。KIDS采用了智能的检测技术,它综合了特征匹配、协议分析和流量异常监测等多种检测技术的优点,能检测多种入侵攻击行为,包括扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等11大类的安全事件,目前拥有的检测规则超过1800条,安全报警事件1200多条。系统具有完善的攻击事件库,并与国际上标准的漏洞库CVE、BugTraq和Whitehats等保持兼容。KIDS提供了多种分析工具,具有强大的安全事件追踪分析功能。KIDS采用了新一代的包处理技术和协议分析算法,传感器具备强劲的流量处理引擎。
7、东软NetEye IDS 2100 - FE2
东软集团来自东北大学,创立于1991年,总部位于中国沈阳。东软NetEye IDS利用独创的数据包截取技术对网络进行不间断的监控,扩大网络防御的纵深,同时采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警、响应和防范。是防火墙之后的第二道安全闸门。同时具备强大的网络信息审计功能,可对网络的运行,使用情况进行全面的监控、记录、审计和重放,使用户对网络的运行状况一目了然。并且提供网络嗅探器和扫描器用于分析网络的问题,定位网络的故障。不但保障网络的安全,同时保障网络的健康运行。NetEye入侵检测系统可对自身的数据库进行自动维护,不需要用户的干预。学习和使用及其简易,不对网络的正常运行造成任何干扰,是完整的网络审计、监测、分析和管理系统。NetEye 入侵检测系统可与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
三、实际应用实例
应用环境:在一个企业级的Intranet网络中,在多个关键网段中(DMZ网络服务区、内网区、工作组区)分别部署IDS系统,以实现多处设防;采用IDS管理中心进行集中监控,同时也可与防火墙、网管平台等外围设备进行集成互动。图1 网络拓扑结构
IDS通常只有两个端口,1个管理口与1个网络监听端口。管理口与控制中心连接,监听端口连接到所要检测区域的中心交换机上。
1、配置交换机的端口镜像
在非共享式的交换机上需要配置端口镜像。交换机端口镜像功能将从指定的交换机端口中复制端口流量到镜像端口中,以便进行流量和协议分析。下面以思科的3500、2900系统的交换机为例讲述如何配置端口镜像:
型号
配置方式
命令步骤
说明
3500,2900 系列
IOS
enable,password
configure
configure terminal
interface fastethernet moudle/port
模块 / 端口
port monitor {moudal/port | vlanID}
镜像源端口或 vlan
end
write
show intterface fastethernet moudle/port mornitor
查看镜像
2、设置控制中心
控制中心的任何操作都是通过菜单来完成的,为了增加操作的方便,对常用的一些操作设置了专门的按钮。图2 主界面
3、配置探测引擎
探测引擎分两部分,工具栏和探测引擎/子控制列表。工具栏里罗列了和探测引擎控制相关的常用工具按钮。列表里面是受控制中心直接管理的探测引擎、和子控制中心。有名称、IP地址、运行策略、通道状态、应用策略的时间等信息。添加、修改探测引擎配置如下:图3 管理探测引擎
4、编辑策略
策略分为系统策略以及衍生策略两类,系统策略为系统固有的策略,不可以进行编辑、删除及重命名。衍生策略为系统固有策略的衍生策略,可以由用户更改。
选中一个策略,并按动"衍生策略"按钮,系统则复制一份完全一样的模板,名称是在原有的名字后面加上"衍生策略"。选中一个衍生策略,原"查看策略"按钮就会自动变成"编辑策略",按动该按钮,系统则以读写方式打开策略编辑器。如图:图4 策略定义
5、分析报表
IDS的一个最大的特点就是有详细的入侵检测报表分析,对每一件的网络攻击事件都有详细的记录(如:事件发生的时间、源IP与目的IP、攻击事件等)。根据不同的条件分为几组,方便查找。如图:图5 分析报表
6、联动
由于IDS的接入方式都是采用旁路方式来监听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前的行为,阻断的范围很小,只能阻断建立在TCP基础之上的一些行为,如TELNET、FTP、HTTP等,对建立在UDP基础之上或已经完成了TCP三次握手之后的行为就无能为力了。IDS与防火墙联动的目的就是为了更有效的阻断所发生的攻击事件。在联动菜单的设置如下:图6 防火墙联动
在窗口中,选择防火墙的类型;添加防火墙的IP地址即可。当IDS发现有黑客攻击的时候,就会发出阻断数据包传输到防火墙,由防火墙来阻断攻击行为,更好的保护网络。
四、入侵检测系统的一些比较
1、入侵检测系统和等其他安全产品的区别
不同的安全产品会起到不同的作用。单位虽然有了防火墙,但只能对外部来的网络攻击起到防御作用,对于调制解调器的后门却是毫无能力。据国际IDC统计,70%以上的攻击都是来自防火墙管不到的网络内部。依据目前黑客所掌握的攻击能力,使得现有的安全产品如防火墙、身份认证、防病毒、加密等,在现有的操作系统本身以及各种应用软件的环境下, 都不能阻止黑客对系统网络的攻击。
另外,针对不同的行业需求, 比如金融机构对数据防篡改、防抵赖、身份认证的高度重视程度,政府机构对信息的保密性、隐蔽性、防窃密、防泄密的要求,以及电信、电力等行业对数据业务连续性的保障需求等等,我们应该利用各种安全产品的不同功效提出不同的解决方案,同时也要考虑到一些黑客的攻击的共性,例如操作系统一旦被攻破,整个系统的数据和业务都将全部被黑客掌握,信息网络安全的保密性、防篡改性、业务连续性都将被彻底破坏。这些问题是值得各行各业都要关注和重视的。相关安全产品对比表如下:
功能 产品
防火墙
网络型 IDS
主机型 IDS
审计系统
安全体系分布
最外层
网络通道
服务器
服务器 / 外加
检测入侵时间
不能
预警 / 实时
实时 / 事后
事后
阻断攻击
可以
可以(全网)
仅限制本机
不能
防范黑客型病毒
不能
可以(全网)
仅限制本机
不能
防止后门
不能
可以(全网)
仅限制本机
不能
保护内网
不能
可以(全网)
仅限制本机
可以(事后)
影响原系统负荷
有
无
有
有
防范纯网络型攻击
可以
可以
不能
不能
与防火墙互动
当然
可以
不能
不能
网络安全审计
部分
有
不能
部分
主机安全审计
无
无
有
部分
2、性能与价格的比较
产品名称
警告通知方式
自动将事件信息记录到关系数据库中
对详细的信息深入追究
提供可定制的报告
获得的许可证
价 格(单位:人民币元)
东软 NetEye IDS 2100 - FE2
日志、邮件、实时界面显示以及声音
√
√
包括 IP、端口、警报内容、危险级别以及访问站点列表等
公安部销售许可证、国家信息安全测评认证中心认证、军用信息安全产品认证
150000
金诺网安 KIDS 3000
控制台报警、邮件、短信、传呼机、传真、 SNMP Trap消息、Winpopup、声音、自定义程序、日志记录、中断TCP会话、伪造ICMP应答、根据黑名单断开、通过防火墙阻断等
√
√
可自由选择报表模板,任意定义条件,包括时间范围、传感器 ID、攻击风险、事件类型、事件ID、目标地址、源地址、目标端口、远端口
公安部销售许可证、国家信息安全测评认证中心证书、国家保密局科学技术成果鉴定证书、军用信息安全产品证书
175000
启明星辰 N500
E-mail、呼(手)机、Windows短消息、声音、自定义方式
√
√
包括事件名称、 IP、端口、警报内容、危险级别等
公安部计算机信息系统安全专用产品销售许可证、国家信息安全认证、军用信息安全产品认证、国家保密局科学技术鉴定
218600
中科网威 NPIDS-SB
E-mail、声音、SNMP陷阱、NT消息
√
√
√
公安部销售许可证、国家信息安全测评认证中心证书、军用信息安全产品证书以及国家保密局鉴定
186000
中联绿盟 NIDS100-P
E-mail呼机、通过学习Web服务器在浏览器中实时显示
√
√
包括 IP、端口、警报内容、危险级别等
公安部销售许可证、国家信息安全测评认证中心认证、军用信息安全产品认证、军密认证
218000
安氏 ND200
E-mail呼机、通过学习Web服务器在浏览器中实时显示
√
√
包括 IP、端口、警报内容、危险级别等
公安部销售许可证、国家信息安全测评认证中心认证
226600
五、如何选购入侵检测系统
1. 入侵检测系统的价格
入侵检测系统本身的价格是必需考虑的要点,不过,性能价格比、以及要保护系统的价值可是更重要的因素。象反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。特征库升级与维护是需要额外的费用。
2. 部署入侵检测系统的环境
在选购入侵检测系统之前,首先要分析产品所部署的网络环境,如果在512K或2M专线上部署网络入侵检测系统,则只需要100M的入侵检测引擎;而在负荷较高的环境中,则需要采用1000M的入侵检测引擎
3. 入侵检测系统的实际性能
产品的实际检测性能是否稳定,对于一些常见的针对入侵检测系统的攻击手法(如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击)是否能清楚的识别。
4. 产品的可伸缩性
入侵检测系统所支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽是否可以升级。
5.
产品的入侵响应方式
要从本地、远程等多个角度考虑,通常的一些响应方式有:短信、手机、传真、邮件、警报、SNMP等。
6. 是否通过了国家权威机构的评测
产品是否获得了《计算机信息系统安全专用产品销售许可证》、《国家信息安全产品测评认证证书》、《军用信息安全产品认证证书》和《涉密网网络安全产品科技成果鉴定》。
