今天和大家聊一聊如何有效的部署和操作IDPS。顾名思义，对于安全事态来说，IDPS 是一种事前检测并主动防御的安全设备。

IDPS

为了防范恶意活动而监视系统的入侵检测系统 IDS 和入侵防御系统 IPS 的软件应用或设备，IDS 仅能对发现的这些活动予以报警，而 IPS 则有能力阻止某些检测到的入侵。

IDPS是什么？

部署目的

部署入侵检测和防御系统 ( IDPS ) 的目的是被动监视、检测和记录不适当的、不正确的、可能产生风险的，或者异常的活动，当有可能入侵的活动被检测到时，IDPS 会发出报警或自动响应。我们可以通过获取 IDPS 软件和硬件产品来部署 IDPS，当然也可以直接通过 IDPS 服务厂商提供外包 IDPS 能力的方式部署 IDPS。

关键词

监测、分析、响应

类型

一般来说，IDPS 分为两种类型，一种是基于网络的 IDPS ( NIDPS ) ，另一种是基于主机的 IDPS ( HIDPS ) ，各有不同的特征。

NIDPS：监视特定网络段或设备的网络流量，通过分析网络和应用协议活动来识别可疑活动 ;

HIDPS：监视单个主机及发生在主机中的事件特征，通过三种基础方法 ( 即基于特征检测、基于异常统计检测、状态协议分析检测 ) 对可疑活动进行检测分析。

那么基于主机和基于网络的入侵一般发生在哪些方面。

因此，在部署 IDPS 时，从安全角度考虑，我们一般都会把 NIDPS 和 HIDPS 结合在一起使用，达到更好的安全事态覆盖和报警分析的能力。

部署时值得注意的是：

部署一阶段

想要选到符合公司自身需求的 IDPS 产品是非常不容易的，为什么这么说 ? 因为现在市面上的 IDPS 产品太多，并且产品之间可能存在不兼容的情况，这就需要通过集成，所以也就提高了部署的难度。

从前，我们可以在低成本主机上部署免费的 IDPS 产品，随着信息化的发展，当前用的都是依靠最新硬件支撑的昂贵商用系统。

在选择 IDPS 之前，至少要做三件事情：

第一件，公司需要做一个全面的信息安全风险评估，针对可能存在的脆弱性和威胁进行识别，再基于风险评估和资产保护优先级 ( 确定优先保护什么资产 ) 来考虑部署 IDPS，为 IDPS 提供的功能提供需求基础。

至少需要收集的系统环境信息包括：

第二件，识别当前已经有的安全保护机制。

例如：

第三件，考虑 IDPS 的性能。

一般考虑因素有以下 5 个：

在某些时候，当带宽或网络流量增加时，许多 IDPS 将不再能够有效和持续地检测入侵，会导致错过或者漏掉可能是攻击的流量包。有此属性的 IDPS 不建议考虑。

部署二阶段

确定 IDPS 的安全策略，该阶段需要确定几件事情，如下：

对什么信息资产进行监视 ;

需要什么类型的 IDPS;

部署在什么位置能满足公司安全需求 ;

要检测什么类型的攻击 ;

要记录什么类型的信息 ;

未成功打开或未成功关闭情形采取什么策略 ;

检测到攻击时能提供什么类型的响应或报警。

注：当前一般可采用的报警策略包括电子邮件、网页、短信系统 ( SMS ) 、SNMP 事态以及攻击源的自动阻止。

上面我们聊过，现在基于硬件支撑的 IDPS 非常昂贵，想必没有哪个公司会在每台主机上都部署 HIDPS，只能在关键主机上部署，并且部署时建议根据风险分析结果和成本效益两个因素进行优先级排序，当 HIDPS 部署在所有或者相当大数量的主机上时，应该部署具备集中管理和报告功能的 IDPS，这样可以降低对 HIDPS 报警实施管理的复杂度。

在部署 NIDPS 时，主要考虑将系统传感器放置在哪个位置比较合适，一般来说，可部署在：

典型的 NIDPS 部署如图：

1. 位于外部防火墙之内的 NIDPS

优点：

识别源于外部网络、已经渗入防护边界的攻击

能帮助检测防火墙配置策略上的错误

监视针对 DMZ ( 非军事区 ) 中系统的攻击

能被配置为检测源于组织内部、针对外部目标的攻击

缺点：

由于其接近于外部网络，不能作为强保护

不能监视防火墙阻止 ( 过滤掉 ) 的攻击

2. 位于外部防火墙之外的 NIDPS

允许对源于外部网络的攻击的数量和类型进行文件化管理

可以发现未被防火墙阻止 ( 过滤掉 ) 的攻击

可减轻拒绝服务攻击的影响  

在与位于外部防火墙内部的 IDPS 合作的情况下，IDPS 配置能评估防火墙的有效性

当传感器位于网络安全边界之外时，它受制于攻击本身，因此需要一个加固的隐形设备

在此位置上产生的大量数据，使得分析已收集的 IDPS 数据非常困难

 IDPS 传感器和管理平台的交互作用要求在防火墙中打开额外的突破口，导致存在外部访问到管理控制台的可能

3. 位于重要骨干网络上的 NIDPS

监视大量的网络流量，因此提高了发现攻击的可能性  

在 IDPS 支持一个重要骨干网络的情况下，在拒绝服务攻击对关键子网造成破坏之前，具备了阻止它们的能力  

在组织的安全边界内部检测授权用户的未授权活动  

识别不到子网上主机对主机的攻击

捕获和存储敏感的或保密性数据的风险

IDPS 将会处理大量数据

检测不到不通过骨干网络的攻击

检测不到不通过骨干网络的攻击

4. 位于关键子网上的 NIDPS

监视针对关键系统、服务和资源的攻击  

允许有限资源聚焦于最大价值的网络资产上

子网间相互关联的安全事态问题

如果报警没有在专用网络上传输，IDPS 相关的流量可增加关键子网上的网络负载

如果配置不正确，IDPS 可捕获和存储敏感信息，并在未指定路径的情况下访问这些信息

部署三阶段

对 IDPS 进行数据保护。

IDPS 数据库存储了大量与公司信息基础设施内发生的可疑活动和攻击相关的所有数据，所以，需要对该部分数据进行安全防护。

可采取的措施如下：

对存储的 IDPS 数据进行加密 ;

适当配置数据库，比如：使用访问控制机制 ;

使用校验码对存储的数据进行完整性校验 ;

对数据库以及备份程序进行技术维护 ;

对运行 IDPS 数据库的系统进行充分加固以抵抗渗透 ;

连接 IDPS 到以太网集线器或者交换机的嗅探 ( 只接收 ) 电缆 ;

单独的 IDPS 管理网络线路的实施 ;

定期对 IDPS 和连接系统进行脆弱性评估和渗透测试。

注：考虑到安全因素，建议把日志存储在单独的日志主机上，放本地的话容易被越权操作。

部署四阶段

在部署完成后，需要对 IDPS 进行调试。

在确定 IDPS 报警的特性、何时及如何使用 IDPS 报警特性，并且对这些特性进行日常调整。比如，可以将脆弱性评估数据和系统补丁级别与 IDPS 报警配置进行比较。

在这种情况下，网络发现工具和流量分析器的使用可进一步提高价值，并进一步调整报警规则。

当然，同其他网络设备一样，许多 IDPS 存在安全弱点，如发送未加密的日志文件、限制访问控制和缺乏对日志文件的完整性检查。解决办法是以一种安全的方式实施 IDPS 传感器和控制平台，并处理 IDPS 的潜在弱点。

作为网络安全事态的事前检测和防御系统，IDPS 通常会产生大量的输出，包括一些没有价值的报警信息和会产生严重影响的报警信息，所以必须将这些信息区分开。

一般来讲，IDPS 所检测到的攻击信息内容包括： ( 一些 IDPS 提供了比较详细的信息 )

检测到攻击的时间或日期

检测到攻击的传感器 IP 地址

攻击名称

源 IP 和目的 IP 地址

源端口号和目的端口号

用于攻击的网络协议

易受到攻击的软件类型和版本号的列表

相关补丁的列表

攻击的文本描述

攻击利用的脆弱性类型

在收到 IDPS 发出的报警时，一般由公司的应急响应团队根据安全态势的紧急程度作出相应的安全响应，并在事后制作安全事件报告。

至于 IDPS 设备本身，也有主动响应和被动响应的属性。

1. 主动响应

主动响应是当 IDPS 检测到攻击活动的会自动采取行动，提供主动响应的入侵检测系统也称为入侵防御系统 ( IPS ) 。主动响应内容如下：

收集可疑攻击的附加信息 ;

变更系统环境，阻止攻击 ;

报警之后不需要人为参与，IPS 采取防御措施，主动拒绝通信和 ( 或 ) 终止通信会话。

IPS 和 IDS 有很多相似的功能，如包检测、协议确认、攻击特征匹配和状态分析。然而，每个设备的部署均有不同的目的。

IPS 代表了保护能力和入侵检测能力的结合，它首先检测攻击，接着以静态或者动态的方式防范攻击。换句话说，IPS 通过排除恶意网络流量为信息资产提供保护，并继续允许合法活动发生。

2. 被动响应

被动响应是当攻击发生时，仅提供攻击的信息，需要人工提出指示才会采取后续动作。被动响应的内容有：

报警和通知，通常是屏幕报、弹出窗口和传呼或手机信息 ;

配置 SNMP 陷阱，以响应中央管理控制台。

IDPS 安全伴侣

部署 IDPS 并不能完全保证信息系统不受攻击，网络能够安全运行，为了加强公司的安全自控能力，建议考虑部署以下安全设备共同防护。

1. 防火墙或安全网关

防火墙主要功能是限制网络间的访问，例如：如果公司只希望接受电子邮件服务器 ( 端口号 25 ) 或者 web 服务器 ( 端口号 80 ) 的流量，就可以通过防火墙实现。当防火墙位于一个封闭区域内时，可以减少 NIDPS 需要检查的流量。

2. 网络蜜罐

蜜罐用来欺骗、分散、转移及引诱攻击者在看似有价值的信息上花费时间，但这些信息实际上是捏造的，对合法用户来说没有一点价值。蜜罐的主要目的是收集对组织有威胁的信息，并引诱入侵者远离关键系统。

3. 文件完整性检查器

文件完整性检查器主要利用关键文件和对象的信息摘要或者其它的加密校验码，与参考值相比较，标记差异或者变更。由于攻击者经常会修改系统文件，在攻击的三个阶段使用加密校验码是很重要的。

第一阶段，攻击者修改了作为攻击目标的系统文件 ( 例如，放置木马 ) 。

第二阶段，攻击者试图在系统内留下后门，以便随后能重新进入。

最后阶段，攻击者试图掩盖痕迹，使得系统责任人可能意识不到攻击。

4. 网络管理工具

网络管理工具通过收集网络部件和拓扑信息来进行网络基础设施配置和管理的功能。该工具与 IDPS 报警的相互关联可帮助 IDPS 操作者恰当的处理报警并对他们所监视系统的影响做出分析。

5. 脆弱性评估工具

脆弱性评估是风险评估必要的组成部分，脆弱性评估工具用来测试网络主机对危险的易感性。脆弱性评估工具结合 IDPS 使用，不管是在攻击检测还是攻击反应方面，都为检查 IDPS 的有效性提供了帮助。

脆弱性评估工具分为基于主机或基于网络的类型。基于主机的脆弱性工具通过查询数据源 ( 如文件内容 ) 、配置细节和其他状态信息，来评估信息系统的安全。

基于主机的工具允许访问目标主机，通过远程连接在主机上运行。基于网络的脆弱性工具是用来扫描与网络服务相关联的主机的脆弱性。