在我们上一次网络广播中,我们了解了这些疯狂的首字母缩略词IDS和IPS的遗留问题以及它们与UTM软件模块的相似之处。每个人都喜欢引物和简单的描述性定义,所以让我们一起思考一下。
IDS
入侵检测传感器(IDS)是一种最明显可以检测到的东西;但是有什么事情?最终它可能是任何东西,但幸运的是大多数供应商都包含大量的“签名”和/或检测东西的方法。我想要检测什么?对于每个网络,这个答案会有所不同,尽管通常它会寻找不寻常的流量。什么不寻常?简单来说,它是您不希望在网络上流量的流量,无论是策略/滥用(IM,游戏等)还是最新的恶意软件。
正如他们在房地产中所说:它的位置,位置,位置。不是机架中的位置,而是IDS将监控的网络部分。监控入口/出口点的流量将显示进出的情况(当然,在防火墙策略批准之后),但可能不允许您看到远程办公室连接到核心组件。
您不想做的一件事是检查防火墙公共端的流量。监控内部交换机上的所有流量(如LAN或DMZ)将允许IDS监控用户活动或密钥服务器,但不会发现网络其他部分发生的事情。除非您拥有无限的资源,否则您可能无法监控网络上的所有内容,因此关键决策将是哪个流量最重要,哪个网段提供最佳优势。
IDS可以被动地监控多个网段,并可以监控IPS或UTM永远不会看到的流量,例如完全停留在LAN或DMZ内的流量。因此,IDS可以在桌面计算机上发出警报,攻击LAN上的其他桌面计算机,这是IPS或UTM因内联而错过的内容。
IPS与IDS
IPS(入侵防御传感器)在大多数情况下都是IDS,除了它可以对当前流量进行内联操作。这听起来很棒吗?好几乎。IPS和UTM本质上必须是内联的,因此只能看到进出区域的流量。一个巨大的问题是IPS可以防止业务合法或创收流量(IPS,记住,可以改变流量)。IPS操作包括drop,reset,shun或custom脚本操作,所有这些操作都会在签名匹配时立即发生。如果IPS丢弃合法流量,这种可能的负面行为会使负责安全的人现在对收入损失负责。根据我们的经验,只要您还利用区分IPS的关键组件,IPS设备就能成为出色的工具。
确保您的IPS设备能够“失效打开”;这意味着如果应用程序的任何部分发生故障,甚至机箱发生故障(任何人都会断电),该设备将继续通过流量。没有人想要一块阻碍数据流动的砖块。
还要意识到实际上只有一小部分签名可以被允许对流量采取行动。为了帮助减少误报率,应该有一个非常明确的家庭网或受保护的范围,允许面向方向的签名更有效。您还需要花费大量时间查看警报和事件输出,以确保允许采取措施的签名按预期工作。您可以在每次签名更新时花更多时间预先花费更多时间,查看供应商选择采取行动的签名,并考虑这会如何影响您的流量。我们已经看到这种方法在防火墙在“开放”网段之间不是很受欢迎的环境中效果最好。
UTM设备中基于软件的模块
这将我们带入统一威胁管理(UTM)设备中基于软件的模块。关于这些设备的关键项目恰好是缺点,尽管这并没有降低它们的功效。显然,它们只能位于UTM本身所在的位置。通常,这是您的Internet网关或LAN和DMZ之间的访问控制点的交接点。在这种情况下,UTM将无法查看DMZ或LAN上的所有系统到系统流量,而只能看到来自该段的流量。
此外,UTM不是专用平台,因此倾向于具有更高的误报率(尽管这越来越好)。在高CPU或内存利用率的情况下,它们将关闭软件模块以保留设备的主要功能,作为防火墙。这是与不是专用平台相关的重要一点,有助于证明对专用设备的请求是合理的。如果您拥有的是这样的设备,我们会说它!从您的网络进出流量比看到根本没有任何IDS要好得多。请您的供应商验证他们是否在防火墙策略后对逻辑流量进行了逻辑检查,如果您的设备进入保存模式或始终看到高资源利用率,请务必立即通知自己。
因此,总之,比较IDS,IPS和UTM
这三者中没有一个是“设置并忘记它”的设备。每天都会出现新的恶意软件和利用和检测的载体。无论您的选择如何,您都会经常在签名事件/警报输出中重复进行维护,并且需要更新和管理您的策略,尤其是在IPS的情况下。更新可以自动应用于所讨论的任何设备,但这并不能免除人工审查的需要。每天留出一些时间来检查您的设备,并考虑关闭在您的环境中没有任何作用的签名组(想想“基于策略”)并精确调整其他噪音。
我们所写的所有警示性声明都希望不会吓到你。在您的环境中进行流量检查是了解网络流量的好方法。
