点击蓝字
关注我们
始于理论,源于实践,终于实战
老付话安全,每天一点点
激情永无限,进步看得见
严正声明
本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。
特此声明!!!
什么是入侵防御IPS
一种实时网络流量分析设备,通过深度包检测(DPI)和模式匹配技术,主动拦截恶意流量并阻断攻击行为。从定义我们可以看出来,这个设备和防火墙的主要功能没什么两样也是深度包解析和特征匹配。所谓特征匹配就是对签名检测,比对已知攻击特征库(如CVE漏洞利用模式),进行拦截。再次基础上又增加一些辅助功能。增加了高级路由功能,厂商可能为了满足个性化场景。但是这些功能防火墙也具备呢,那有没有必要买了防火墙后,再在其后部署一套IPS呢?每个人有每个人的看法。
有一种情况,IPS特征库开启后着实影响防火墙性能,可能会部署专用的ips设备。这个可以理解,问题是现在的硬件设备配置已经足够大了,是否可以开启ips特征库过滤呢?那防火墙的IPS库关闭了,只用路由功能是不是可以选用路由器呢?这个各位看官可以仔细斟酌。但是对于大流量的大数据中心可能会有另一种想法。这个要根据场景需求来判断,虽说花的钱不是个人的都是企业,但是能为企业着想不是更好吗。您说呢!
说完IPS,再来聊聊IDS
什么是入侵检测IDS。
IDS的功能和IPS其实也是一样的,无非就是一个阻断一个不阻断,核心思想都是流量检测,特征匹配;一个串行,一个旁路镜像收取流量。
那要不要买IDS设备呢?
从机制上来讲,因为如果防火墙部署在三层交换机边界,有些二层流量是无法穿过防火墙,也就无法进行拦截阻断;从这个角度讲IDS是有意义的。
再一种情况,防火墙需要串接断网,可能某些场景不允许断网,先用IDS检测着,但这样就得有人盯着IDS看,或者发生问题后再去回溯。就和视频监控一样,发现丢东西了再去查监控看看是谁偷的。有点像亡羊补牢的意思。
现在厂商为了多卖设备,在IDS上增加很多辅助性的功能,如资产识别与管理功能,可以通过流量识别资产名称,固件版本等信息,再把资产与资产之间的互联关系可视化出来,以资产为单位展示风险。流量中的哪些信息会标识资产信息以及如何从流量中识别的呢?
|
|
|
|
|---|---|---|
| 操作系统 |
|
|
| 设备厂商 |
0x43(读设备标识)返回施耐德PLC的VendorID=0x000003;解析Modbus/S7Comm等工业协议头部的厂商标识字段, |
|
| 固件版本 |
|
|
| 设备类型 |
|
|
还可以使用无损探测包技术(非侵入式探测)
|
|
|
|
|---|---|---|
| 协议握手 |
|
|
| 状态查询 |
Read Holding Registers请求(地址范围0-10) |
|
| 服务发现 |
GetRequest查询1.3.6.1.2.1.1.1.0(系统描述OID) |
|
| 模糊探测 |
|
|
无论采用哪种技术,其底层逻辑是还是要有设备指纹库,通过某种方式来获取信息,其识别率可以看出也不是百分百的完全识别,还要靠人工复检和调整,无形中又增加了运维负担,但是有比没有强,有一定作用。
通过这个分析,各位怎么看待设备的选购呢?如果财大气粗那就全部都上线吧,当成工具来使用。但是运维人员维护的设备就多了,而且也会产生大量的日志,海量的误报。随着人工智能技术的来临,希望能够解决一部分问题。
END
原文始发于微信公众号(老付话安全):入侵检测IDS与与入侵防御IPS的那些事
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论