在现代网络安全中,有两种主要类型的保护边缘:入侵检测系统(IDS)和入侵防御系统(IPS)。
IPS在线,在网络中坐在线,并触摸每个数据包到往互联网。它通过检查数据包和基于预先配置的静态规则(即签名匹配)来提供保护或丢弃数据包。另一方面,一个ID将无法触摸任何数据包,它只基于签名嗅探用于检测的数据包,然后为管理员提供调查的警报。
鉴于防御能力的这种差异,IPS听起来比IDS更好的工具。如果这是实际情况,那么为什么它不是由于ID而被广泛的,或者更广泛地部署?
时间和延迟束缚
有几个原因。不计算IPS上的高价格标签,需要考虑许多技术限制。首先,IPS必须非常小心,它的“时间预算”,在检查和匹配期间不应持有太长的数据包,否则它会由于它将引入的延迟或延迟而妨碍通信的平稳通信方式。用户不喜欢在线系统到CLOG或慢速他们的网络。这是在线系统的根本要求。这成为IPS的关键限制,这需要尽可能快地进行事件,特别是当它需要匹配以越来越多的签名列表时。该约束有效地减少了它可以处理的带宽。
ID没有这个约束;它只是在数据包上嗅探,不会在通信中引入任何延迟或中断。实际上,ID可以稍后处理数据包秒,并且不会影响网络的性能或延迟。此外,带宽问题对IDS的问题较少,因为多个设备可以共享负载。在这个设计优势之上,市场上有多种开源ID可用,使其对许多企业的周边和边缘防御是相对安全的(和保守的)方法。
通过包注射保护
我们都知道保护是最终目标,所以它可能是一个好奇的问题,但是;ID可以提供任何有意义的保护吗?答案是一个合格的是的。即使IDS未构建为保护,ID可以执行一个有用的技巧:我们可以将ID连接到网络点击坐在内并注入数据包以扰乱目标会话。
在TCP会话的情况下,ID可以发送杀死数据包(TCP RST)以终止给定的会话。这个技巧早在2003年就业哼声,开源IDS的先驱。
保护所有类型的网络会话的部分更难在UDP会话的情况下。UDP会话较少,没有建立和终止阶段。但是,尽管如此,可以通过注入数据包来破坏UDP会话。除了注入UDP数据包外,还可以注入ICMP端口无法访问的数据包。这将欺骗UDP应用程序,以思考其发送的UDP数据包由于目的端口上没有任何应用程序而被删除。
为了找到这种方法的有效性,只需要使用着名的命令“netcat”来运行简单的测试。
$ netcat 10.0.0.1 8888 -U
上面的命令将使用目标端口8888打开与服务器(10.0.0.1)的UDP连接。当用户键入“HI”时,NetCat将以UDP数据包的形式发送此消息。由于没有在主机10.0.0.1上运行的服务器(或在UDP端口8888上侦听),因此主机10.0.0.1将发送ICMP'端口无法访问的'消息(请参阅数据包嗅探器的以下快照)。然后,Netcat将在查看此ICMP数据包后关闭套接字并退出。
通过数据包注入保护非常有效地使用TCP中断恶意软件通信。此技术对针对使用UDP进行通信的恶意软件非常有用。
ID和IPS - 一起,不是/或
抛弃数据包,IDS是补充IPS解决方案的一种不错选择,因为它在现代网络安全方向上移动,网络犯罪分子正在变得更聪明,更聪明地:网络防御时间和预算的更大部分将被花在上面检测威胁。这是可以理解的,因为恶意软件经常使用许多最新的加密和混淆技术,从而呈现基于签名的保护要效果得多。ID,因为它不是内联,可以在检测中提供更灵活性:
- 使用具有多个输出端口的网络点击,如我们的好合作伙伴那些,乐动体育菠菜,组织可以部署多个ID可以并排运行,处理相同的流量,通过互相补充来实现更好的检测比。
- 基于行为的检测工具,例如Capstar实时代理(Capstarrt),可以迅速使用,利用水龙头来实现网络和安全专业人士构思的观测和技术。例如,网络流量的许多方面和行为,例如各协议字段的计数,顺序和一致性,可以用于检测具有从合法软件中观看的那些具有微妙但达到差异的流量。最终,检测恶意软件流量(因此恶意软件)比才能跟上恶意软件作者,他们不断地提出新技术,以逃避当前的保护系统。
很少有人不同意网络安全景观越来越复杂。结果,它需要了解,并诚实地对现有解决方案的局限性,以及这样做,愿意接受提供更好保护的新解决方案和技术。如果您有IP,请不要自满,思维完全受到保护。相反,对提高基于IDS的解决方案的有效性来说,这将是一个很好的想法。
学习更多关于联合解决方案来自帽子和花环技术。乐动体育菠菜