欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

小师妹聊如何部署IDPS

来源:本站整理 作者:佚名 时间:2019-04-12 TAG: 我要投稿

IDPS
为了防范恶意活动而监视系统的入侵检测系统IDS和入侵防御系统IPS的软件应用或设备,IDS仅能对发现的这些活动予以报警,而IPS则有能力阻止某些检测到的入侵。
部署目的
部署入侵检测和防御系统(IDPS)的目的是被动监视、检测和记录不适当的、不正确的、可能产生风险的,或者异常的活动,当有可能入侵的活动被检测到时,IDPS会发出报警或自动响应。我们可以通过获取IDPS软件和硬件产品来部署IDPS,当然也可以直接通过IDPS服务厂商提供外包IDPS能力的方式部署IDPS。
关键词
监测、分析、响应
类型
一般来说,IDPS分为两种类型,一种是基于网络的IDPS(NIDPS),另一种是基于主机的IDPS(HIDPS),各有不同的特征。

NIDPS:监视特定网络段或设备的网络流量,通过分析网络和应用协议活动来识别可疑活动;
HIDPS:监视单个主机及发生在主机中的事件特征,通过三种基础方法(即基于特征检测、基于异常统计检测、状态协议分析检测)对可疑活动进行检测分析。
聊到这里,我们可以再来了解一下,基于主机和基于网络的入侵一般发生在哪些方面。

因此,在部署IDPS时,从安全角度考虑,我们一般都会把NIDPS和HIDPS结合在一起使用,达到更好的安全事态覆盖和报警分析的能力。
部署时值得注意的是:

部署一阶段
想要选到符合公司自身需求的IDPS产品是非常不容易的,为什么这么说?因为现在市面上的IDPS产品太多,并且产品之间可能存在不兼容的情况,这就需要通过集成,所以也就提高了部署的难度。
从前,我们可以在低成本主机上部署免费的IDPS产品,随着信息化的发展,当前用的都是依靠最新硬件支撑的昂贵商用系统。
在选择IDPS之前,至少要做三件事情:
第一件,公司需要做一个全面的信息安全风险评估,针对可能存在的脆弱性和威胁进行识别,再基于风险评估和资产保护优先级(确定优先保护什么资产)来考虑部署IDPS,为IDPS提供的功能提供需求基础。
至少需要收集的系统环境信息包括:
1
主机数量和位置、网络入口以及与外部网络连接点的网络拓扑图的详细说明
2
公司网络管理系统的描述
3
每个主机的操作系统
4
网络设备的数量和类型,如:路由器、网桥和交换机
5
服务器和拨号线路的数量和类型
6
任意网络服务器的描述,包括:类型、配置、应用软件和正在运行的版本
7
与外部网络的连接,包括:标称带宽和支持协议
8
与引入连接路径不同的文档返回路径,即:不对称数据流
第二件,识别当前已经有的安全保护机制。
例如:
非军事区(DMZ)
防火墙和过滤路由器的数量、类型和位置
身份鉴别服务器
数据和通信链路加密
反恶意软件或反病毒包
访问控制产品
专业的安全硬件如加密硬件
虚拟专用网络(VPNs)
其他已安装的安全机制
第三件,考虑IDPS的性能。
一般考虑因素有以下5个:

在某些时候,当带宽或网络流量增加时,许多IDPS将不再能够有效和持续地检测入侵,会导致错过或者漏掉可能是攻击的流量包。有此属性的IDPS不建议考虑。
部署二阶段
确定IDPS的安全策略,该阶段需要确定几件事情,如下:
(1)对什么信息资产进行监视;
(2)需要什么类型的IDPS;
(3)部署在什么位置能满足公司安全需求;
(4)要检测什么类型的攻击;
(5)要记录什么类型的信息;
(6)未成功打开或未成功关闭情形采取什么策略;
(7)检测到攻击时能提供什么类型的响应或报警。
注:当前一般可采用的报警策略包括电子邮件、网页、短信系统(SMS)、SNMP事态以及攻击源的自动阻止。
上面我们聊过,现在基于硬件支撑的IDPS非常昂贵,想必没有哪个公司会在每台主机上都部署HIDPS,只能在关键主机上部署,并且部署时建议根据风险分析结果和成本效益两个因素进行优先级排序,当HIDPS部署在所有或者相当大数量的主机上时,应该部署具备集中管理和报告功能的IDPS,这样可以降低对HIDPS报警实施管理的复杂度。
在部署NIDPS时,主要考虑将系统传感器放置在哪个位置比较合适,一般来说,可部署在:
位置1
外部防火墙之内
位置2
外部防火墙之外
位置3
主要的骨干网络上
位置4
关键子网上
典型的NIDPS部署如图:

(一)位于外部防火墙之内的NIDPS
优点
缺点
(1)识别源于外部网络、已经渗入防护边界的攻击
(1)由于其接近于外部网络,不能作为强保护
(2)能帮助检测防火墙配置策略上的错误

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载