輪撥

2017年3月22日 星期三

網路型入侵偵測系統(Network-based Intrusion Detection System)

隨著網絡的蓬勃的發展,在我們的生活中已經很難脫離Internet了,但也因為Internet這樣的盛行而產生了各種各樣的資訊安全問題,如網絡中蠕蟲、病毒及垃圾郵件肆意氾濫,木馬無孔不入,駭客攻擊行為幾乎無時無刻都在發生。如何及時準確的發現違反安全策略的事件,避免資訊資產遭受破壞,並及時處理,是所有企業用戶迫切需要解決的問題。

資訊資產是企業的命脈,許多企業甚至是國家重大民生設施,例如電力、航空、銀行等,都需依賴資訊系統才得以運行,假若資訊資產遭受破壞或中斷,這些企業將受到重大傷害。

為了更強化企業網路的安全性,入侵偵測系統IDS的偵測類型除了HIDS主機型入侵偵測系統、還有網路型入侵偵測系統(Network-based Intrusion Detection System,以下簡稱為 NIDS),那什麼是NIDS呢? NIDS可以幹嘛?NIDS又跟HIDS有什麼差異呢?

先來回顧一下,在您的網路環境中,HIDS是佈署在主機端上,即時的監控日誌檔,檢查系統檔案是否遭更改過並偵測出潛在的惡意活動。

那麼NIDS呢?顧名思義前面的N就是只Network,用來監控與分析網路上的所有封包是否有異常的攻擊行為,當NIDS發現封包中有惡意的行為或攻擊跡象(檢測到常見攻擊,如後門類、FTP類、HTTP類、DNS類、Mail類、ICMP類、Finger類、RPC類和DoS類等...),NIDS也會主動立即通知系統管理者。

簡單的說NIDS就是網路監控工具,而HIDS就是系統與檔案監控工具

NIDS佈署範例參考
從上圖可以看得出來,NIDS是佈署在個網段的節點中,分析各網段的封包流量,好處是不會增加網段中主機的負擔。

NIDS也可以安裝在:
  • 放在防火牆外 :
    • 優點是NIDS能夠看到所有來自Internet的攻擊者對系統的各種攻擊手段。
    • 缺點就是NIDS的負荷會加重,且有可能被打掛。
  • 放在防火牆內:
    • 經由防火牆第一道的把關,已將違反防火牆政策的封包給阻擋在外,可以減低NIDS的負擔,讓NIDS的分析專注於高水準的攻擊上。這樣把NIDS保護在防火牆內,免於遭受攻擊。
  • 防火牆內外都放IDS:
    • 如果企業的經費充足的話,可以在防火牆的內外都放IDS,這樣就可以得到以上兩種方法的優點。
NIDS的優點
  • 成本較低
  • 可偵測到主機型入侵偵測系統偵測不到的
  • 駭客消除入侵證據較困難
  • 可偵測到未成功或惡意的入侵攻擊
  • 與作業系統無關
NIDS的缺點
  • 沒有主動防禦的能力:IDS只有告警的能力,無法主動防禦入侵行為。
  • 性能普遍不足:現在市場上的IDS產品多依賴單一主機,因現今網路流量十分龐大,這種IDS產品已不能適應交換網路技術和高頻寬環境的發展,一旦資源耗盡,就無法運作了。
  • 加密封包無法辨識:越來越多攻擊用加密封包,使得IDS監控網路流量的能力產生盲點,因IDS是擷取網路封包進行分析的,如果封包加密,就無法辨識其內容,也就無法進行分析。
總結
IDS是企業網路中不可或缺的安全工具,主要用於檢測Hacker或Cracker通過網路進行的入侵行為。建議環境中同時佈署HIDS與NIDS來彌補互相的不足,增強企業資訊安全的防護。

沒有留言:

張貼留言

網頁