編輯室臺大首頁計中首頁

第0012期 • 2010.03.20 發行

ISSN 2077-8813

歷史回顧 訂閱/取消 校務服務 專題報導   技術論壇 推薦刊物
首頁 >專題報導
專題報導

校園網路最佳守門員-IPS

作者:李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師

校園是個開放自由的環境,隨著各類型網路應用服務的出現而趨之若鶩,造成校園網路骨幹傳輸量大增。從資安的角度來看,駭客的攻擊手法不斷更新,如何維持網路高速傳輸並兼顧校園網路安全之防護,是網路管理者迫切需要解決的難題。

一、前言
隨著網路應用多樣化,網路架構的規模、複雜度大幅成長,易遭受網路攻擊之可能性也隨之提高。然而,攻擊者可免費或低價取得攻擊工具與技術,防禦者則因防禦技術跟不上攻擊技術發展的速度,而急需找出適當的解決方案,以解決所面臨的各種威脅。由於攻擊者手法不斷翻新,傳統的防火牆、防毒軟體以及入侵偵測系統(Intrusion Detection System,IDS)皆無法即時且有效地防護校園之網路安全。近年比較佔優勢的解決方案是,於校園網路的進出口部署入侵偵測防禦系統(Intrusion Detection and Prevention System,IDP 或 IPS),即時檢測流經設備的網路封包,一旦發現異常封包,立即阻擋與過濾,以主動升起校園網路的安全防護機制。

二、IPS類型
依照IPS檢視分析的對象不同,可以分成三種類型:

() 主機型IPS (HIPS)

 主機型IPS可以監控網路連線的行為,並防止未經授權的讀寫或篡改。HIPS利用安裝在主機系統中的代理程式 (agent) 進行防護,該程式與作業系統底層與常駐服務間密切溝通,以偵測並防禦不正常的系統指令。

 () 網路型IPS (NIPS)

 可以視為一個混合式的系統,結合了IDS和防火牆的功能。NIPS偵測經過設備的所有網路封包,並以類似於IDS的方式判斷封包是否可疑。若偵測到異常網路流量,立刻進行攔截,而不影響整個網路正常運作。

 () 應用型IPS

 可視為主機型IPS防護之延伸。由於應用伺服器弱點不斷出現,吸引駭客的高度興趣,透過應用伺服器攻擊連線的使用者。因此,於應用伺服器前部署應用型IPS,達到保護連線應用伺服器之主機。


三、IPS偵測與防禦功能
即時檢測與主動防禦是IPS的核心理念,也是與IDS及防火牆最主要的差異。除此之外,IPS必須具備以下功能,方能滿足最佳防禦之需求:

() 線上作業(In-Line)

 只有線上作業才能使IPS裝置執行真正的防護,過濾所有異常封包,確認不包含異常活動或可疑內容後方可進入內部網路。

 () 即時阻斷

 IPS具有強有力的即時阻斷功能,能夠即時攔截入侵和攻擊的網路流量,避免影響網路之正常運作。

 () 高精確的偵測能力

 IPS辨識攻擊特徵的能力必須準確無慮,因為誤報可能導致網路服務中斷。新的攻擊特徵也必須定期更新,並快速、無間地 (IPS不需重新開機) 部署到設備上。

 () 高效能與低延遲

 IPS在實際運作時的封包處理速度必須接近線速 (wire speed),而且設備在啟用所有攻擊特徵後是必須達到宣稱的執行效能。

 () 可靠性與可用性

 如果線上的IPS出問題時,必須具備故障復原(Failover) 的功能,將工作切換到另一個替換群組的裝置。

 () 自我學習與調整能力

 IPS必須具備人工智慧的自我學習與調整能力,依據所在網路的網路環境,分析新的攻擊特徵以更新特徵碼,並提供新的安全防禦策略。


四、IPS部署步驟
為了防止IPS誤擋正常網路封包,部署IPS之前需要依照內網之網路流量,調整各類異常偵測的臨界值,以及所需的攻擊特徵之項目。IPS正式上線前建議依照以下四階段進行:

() 階段一 偵測/不防禦:

IPS以被動式IDS模式運作,連線到路由器的SPAN埠或分接裝置,以偵測與分析網路封包,無阻檔功能。此一階段,管理者可依據偵測的結果作適當的調整,以減少誤報(False positive)的情形發生,為第二階段作預備。

() 階段二 線上偵測/不防禦:

即使IPS部署於線上 (In-line Mode),也可以純偵測模式運作,不使用任何原則來阻擋網路流量。此種部署模式下,所有網路流量都將經過IPS,並做即時且深層的檢測,此時可觀察IPS 是否能以wire speed 運作。此階段仍須對IPS 的攻擊特徵偵測與異常協定偵測進行更細微的調整。

() 階段三 全面偵測/部分防禦:

啟動少部份有把握不會誤擋的過濾機制,然後再以漸進的方式,逐步擴大防禦範圍,進入下一階段。

() 階段四 線上偵測/全面防禦:

經由前三個階段,可以確認IPS In-line 模式正常運作,並且對各項偵測完成適當的調整,可以導入全部的攻擊特徵。確認可能發生誤報的攻擊特徵,可完全停用,或者認定仍有相關攻擊流量的風險時,可設定為偵測模式而不阻擋。此階段,IPSwire speed進行網路流量過濾,立即攔截異常封包,達成全面防禦的效益。


五、結語
IPS提供線上偵測、即時阻斷、主動防禦、深層檢測以及高效能的入侵偵測與防禦,在部署IPS時必須透過幾個重要部署階段,讓管理人員深入的調整,以增加IPS檢測與阻擋的效能以及降低誤擋的可能性,方能成為校園最佳的防護守門員。
由於校園網路是一個開放自由的環境,各類型的網路運用充斥於校園網路中,加重了IPS誤擋的機率。IPS進行全面阻檔前,如何準確分析出各類異常偵測的臨界值,去除誤報的攻擊特徵,增加漏報的過濾特徵,必須由網路管理者投入長時間的檢測與調整。

參考資料
[1] 微電腦傳真月刊 入侵偵測防禦系統專欄講座
http://www.broadweb.com.tw/pdf/tech-3000-4.pdf
[2] 行政院 國家資通安全會報 - 技術服務中心 - 資安論壇
http://forum.icst.org.tw/phpbb/viewtopic.php?t=9373

版權所有 © 國立台灣大學計算機及資訊網路中心 All Rights Reserved.
電話:02-33665022 或 3366-5023 傳真: 02-23637204
讀者意見信箱:ntuccepaper@ntu.edu.tw
地址:10617 臺北市羅斯福路四段一號
建議最佳螢幕解析度 1024*768