---- 安全是网络界一个永恒的话题,随着Internet的普及,网络的安全问题越来越突出。在这种情况下,各种入侵检测系统(IDS)便应运而生。
----为帮助读者了解目前国际上主流的IDS产品,本期我们编发了国际权威评测机构对市场上现有的各种基于主机和基于网络的入侵检测系统的测试报告。此次测试包括Intruder Alert and NetProwler、Cisco Secure Intrusion Detection/NetRanger、CyberSafe的Centrax 2.2、Internet Security System的RealSecure 3.2、 NFR Intrusion Detection Appliance 4.0、BlackIce Defender and Enterprise Icepac 1.0和Dragon IDS七种系统。
RealSecure 3.2
----脆弱性评估和入侵检测长期以来一直是Internet Security Systems(ISS)的强项。在以前的测试中,我们发现ISS的RealSecure是综合表现最好的一个。ISS在准确检测网络入侵企图和有效显示那些不可用格式的数据之间实现了很好的平衡。它的最大不足是在定制的灵活性方面。
----这次测试发现RealSecure不仅网络引擎(3.2版)有了较大的改进,而且还加入了主机代理。尽管RealSecure仍然有一些令人不满意的地方,但ISS 采取了将基于主机和基于网络进行入侵检测的技术结合起来,同时具有强大的数据表示方法,这使得它遥遥领先于其他的竞争者。
----RealSecure的网络引擎几乎能够发现我们发起的每一种主流攻击方式(包括远程缓冲区溢出、拒绝服务攻击和已知的CGI漏洞等),但是不能检测到一些更隐蔽的入侵方式(如利用最近的RDS/ODBC漏洞和一些第三方CGI脚本的攻击等)。ISS还增加了一个定制选择功能,用户可以检查数据包的负载情况,并且使用规则的表达式来搜索这些负载中的某类数据包。
----RealSecure提供了简单而又有效的管理接口,这个接口在总体设计方面领先于其他竞争者。RealSecure的管理控制台使用分级树设计,因此管理员可以根据攻击类型、攻击者或目标主机等分类查看检测到的入侵数据。任何一个做过安全事故响应工作的人都会知道拥有这些数据是多么重要。有关接口任何一个部分的信息都可以通过右击相应的条目在另外一个窗口中打开。当报警提示弹出到控制台时,用户能迅速地查看到所有与之相关的信息。RealSecure允许用户将所有的报警从控制台上一次完全清除。
----ISS是大力鼓吹将基于主机和基于网络的入侵检测技术集成起来的三家厂商之一。使用系统级事件(如失败的登录企图和修改注册密钥等)来检测基于主机的攻击(包括端口扫描和远程缓冲区溢出攻击)是极其有效的。与Axent的入侵检测工具不同的是,RealSecure实现了基于主机检测功能和基于网络检测功能的无缝集成。NT主机代理的安装过程非常顺利,并且能够迅速地将其插到控制台上。当我们试图修改一些系统文件和注册设置时,RealSecure及时发现了这种企图。RealSecure还提供了小组管理功能。它甚至还发现了我们企图使用netcat作为后门进行攻击并且成功地加以阻止。它是这次参测产品中唯一一种能够发现这一点的基于主机的IDS方案。据称 RealSecure系统代理对Exchange、MS SQL、LDAP、Oracle和Sybase特定问题具有40 多种检查方法。
----RealSecure最大的不足在于它无法重组破碎的封包,这是一个较严重的缺陷。它还缺乏对管理控制台事件窗口中全部事件的清除功能。
----综合来看,在检测入侵行为并且成功地阻止这些行为方面,ISS的RealSecure是基于主机检测和基于网络检测技术实现最佳集成的典范。
----RealSecure 3.2售价8995美元,有关情况可访问 www.iss.net。
Dragon IDS
----Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气,但它在测试中表现极好。它在检测到我们发起的所有攻击方面都打了高分。Dragon是一个非常原始的工具,建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话, Dragon还是一个很不错的选择。
----Dragon通过命令行方式来执行,只有非常简单的基于Web 的报告工具。除了NFR外,NSW是唯一一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件,使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活,但它同样能够达到目的。通过使用一个基本的参数定义集合,用户可以定义要搜索的端口、协议、样本大小、字符串等。
----不幸的是,Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具,它产生的数据冗长而又复杂,很不容易看懂。在测试中,还出现了会破坏一些签名的签名偏移问题。虽然NSW 在24小时内修正了这一问题,但是这个事件说明Dragon的成熟的确还需要一个过程。
----Dragon是这次测试中能够处理碎片重组的三种产品之一。它不仅能够无错地重组碎片,而且即使当网络占用率达70~80%时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒,这些功能盒能够以130Mbps的速率运行,但是我们的实验室配置无法对这一点进行测试。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话,那么Dragon是很好的选择。
----Dragon IDS售价4500美元,Web站点: www.securitywizards.com。
Cisco Secure Intrusion Detection System/NetRanger
----Cisco的NetRanger最近半年来变化不大,它仍然是我们见到的表现最好的入侵检测系统之一,也仍然严重依赖HP的OpenView,并且仍然定价太高。一个传感器(sensor)以及基于Solaris的“director"软件(不包括在SPARC工作站的价格内)价格超过22000美元,与离它价格最接近的竞争产品相比也贵了一倍多。
----同RealSecure一样,NetRanger使用引擎/控制台模型。 NetRanger的检测装置(也称为“传感器”)是一台运行Solaris X86的Pentium Ⅱ PC机。 Cisco为我们提供了一个传感器、一个基于Solaris的director(控制台)和一个拥有集成化 IDS/防火墙IOS的Cisco 2621路由器。在测试中,除了碎片攻击外,NetRanger几乎检测到了所有的攻击。它虽然能够报告已经发现了网络上的碎片,但是不能确定这些碎片包含的内容。
----真正引起我们兴趣的是在Cisco的系列路由器中包含了入侵检测技术。尽管Net- Ranger有自己的缺点,然而Cisco具有可以方便地应用基于网络的 IDS技术的优势:IOS(运行于Cisco交换设备和路由器的OS)的防火墙设置具有内置的入侵检测技术。
----基于网络的IDS的一个最大问题是可伸缩性。在交换式 100Mbps或更快的环境中,绝大多数基于网络的入侵检测系统无法正常工作。如果Cisco 在它的系列交换设备中提供一种集成化的入侵检测技术,那么它就能完成IDS厂商以前无法完成的在快速网络的核心进行检测的功能。
----我们测试了一台装有防火墙IOS的2621路由器,它工作起来没有问题。我们配置了路由器,让它直接向NetRanger控制台报告,紧接着向NetRanger 传感器装置报警。我们能够将输出重定向到UNIX系统日志中,这给了我们更大的灵活性。 IDS IOS中只提供大约60个攻击签名,也表现很好。
----但在以前测试中曾遇到的对OpenView严重依赖的问题仍然存在。执行nmap FIN扫描时意外地导致了数百个报警,结果产生一大堆恼人的小图标。更令人失望的是,在运行一个拒绝服务攻击时导致了OpenView无休止地进行报警。 NetRanger也是我们遇到的IDS产品中配置起来最困难的一个,它的配置灵活性是最差的。
----幸运的是,Cisco正在对NetRanger进行改进。我们见到了Cisco新推出的安全管理器,它改进了接口的不足并且消除了NetRanger对OpenView的依赖。HP已经发布了NT版本的NetRanger,这将有助于在非UNIX平台上推广NetRanger。
----Cisco Secure Intrusion Detection System/NetRanger,传感器售价12500美元,Director售价9500美元,详情请访问www.cisco.com/ netranger。
Intruder Alert and NetProwler
----Axent在今年5月份收购了Internet Tools公司,后者是 ID-Trak的生产商。当时Axent公司的单一性入侵检测产品Intruder Alert只是一个基于主机的检测产品。ID-Trak这种基于网络的IDS则更名为NetProwler发布。现在,Axent正式集成这两种产品。这次测试了部分的集成功能。
----NetProwler比当初的ID-Trak有了很大的改进:它的管理程序使用起来容易多了,报告工具也更直观易用。除了对数据包进行入侵检查外, NetProwler还有其他入侵检测产品都没有的有趣特性。比如,“对话者”模块允许用户实时地捕捉和显示正在进行的会话,它不仅能简单地进行协议解码,而且还能实时翻译和显示Telnet、Ftp、SMTP、Pop和Irc会话。另一个有趣的特性是内容和集成性检查。 NetProwler可以经由RIP查询变化的路由表。它还可以根据预先定义的规则对Web页面进行检查以发现是否被做了敌意的修改。尽管这些特性可能不属于传统的入侵检测范畴,但它们是相当有用的。
|
