对于“IDS和IPS(IDP)谁更满足用户需求?”这个问题,给人一个二选一的感觉。对于IDS和IPS的业界讨论,也从2003年 Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝,入侵防御将万古长青》的报告开始在安全业界掀起不小的波动。经过了这么长时间的反复文字争论,以及观看近来的产品开发和市场反馈,冷静的业界人士和客户已经看到这根本不是一个二选一的问题。回答这个问题和回答“IDS和防火墙谁更满足用户需求?”“IPS和防火墙谁更满足用户需求?”这些问题是一样的。
“用户需求”是什么?
分析哪个产品更加满足用户需求,就需要我们真正看清用户的安全需求到底是什么。
很显然,用户需要的不是单一的产品,也不是众多产品的简单堆砌。现在一个比较流行的说法就是“信息安全保障体系(系统)”。也就是用户的安全是要靠众多技术产品、服务和管理等要素组合成一个完整的体系,来解决所面临的安全威胁保护自己的信息资产和业务。
下图是启明星辰提出的一个用户应当考虑建立的信息安全保障体系的示意图:
在上面的安全保障框架中,不同的产品、服务、措施会在不同的地方发挥作用。比如,PKI和生物鉴别机制在“鉴别认证”领域,入侵检测在“监测、监控和预警”领域,防火墙和IPS在“访问控制”领域,数据加密和内容过滤在“内容安全”领域,等等。讨论不同的安全技术领域那个更加符合用户的需求,其实不如探讨如何让各种安全技术如何有效地协同工作。
当然,有些技术会跨越多个技术领域,比如VPN就兼具访问控制和内容安全两个方面。IPS就是另外一个例子,其技术涉及到访问控制和检测两个方面。
IPS真的能够替代防火墙和IDS吗?有了包子,是不是就不需要馒头和肉丸?这里面关键要看IPS到底覆盖了多少?
安全功能满足安全需求,不是文字游戏
提供IPS(IDP)的厂商常常声称其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测。
“某某IPS可以精确检测各种攻击行为。某某IPS部署在…深度检查每一个进出的数据包。当检测出恶意流量时,该设备就会丢弃相应连接,使之不能进入网络。”
上面是典型的宣传IPS的说法。但是,应当说这是对于客户的误导。因为,紧紧将两个词汇拼合在一起,是不能真正解决问题的。
防火墙和IDS是两种截然不同的技术行为:
●防火墙是网关形式,要求高性能和高可靠性。因此防火墙会非常看重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。
●而IDS是一个检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对于性能的追求主要是在抓包不能漏,分析不能错,而不是微秒级的快速结果。IDS由于其技术特征,所以其计算复杂度是非常高的。
IPS是试图将防火墙和IDS两个技术之间存在的天然矛盾糅合在一起。但是在技术本质上存在的矛盾是客观的:
●对于串接在网络中的IPS来说,分析得越清晰准确,计算复杂度越高,传输延迟就会大大增加。怎么能够让IPS去检测优秀IDS的超过2000多种攻击方法,而还能保持高的传输性能?
●IDS的检测准确度是永远不能达到100%;而防火墙的动作是一个绝对的通断操作。用一个并不完全准确地检测结果,指导一个绝对的阻断操作,是不是风险太大了?
所以,把IPS看作是防火墙和IDS的组合其实是玩一种文字游戏,希望利用广大用户已建立起来的对IDS和防火墙产品的充分认可,企图达到把IPS 的作用上升到1+1>2的效果。但是很遗憾,实际上并不是这样,我们必须从技术本质上寻找解决办法。
检测和访问控制(防御)的协同是必然趋势
前面谈到检测技术和访问控制技术的矛盾,但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。那么,二者到底应当怎么融合?IPS是不是一个好的融合方向?
从屈延文老先生提出的“软件行为学”看,屈先生提出“监测要集中,控制要分布”。这个观点对于如何看待检测类技术的走向是非常重要的。
一个准确度不能完全令人满意的IDS,经过人工的分析可以变得准确;同样,经过大规模的IDS部署后的集中分析,以及和其他检测类技术的关联分析,可以获得更加精确的结果。这样局部的事件(Event)检测,就像全局性的事件(incident)检测发展。根据全局性的检测结果就可以进行全局性的响应和控制。这是从宏观看检测和访问控制的融合方向。
全局性的检测可以有效解决检测的准确率问题,但是同时带来的就是检测过程变长,局部速度不够快的问题。所以,面对一些局部的事件问题,可以相当准确地判断出的问题,阻断后带来的负面效应相对较少的时候,针对其检测可以比较快速的时候,IPS就是一个比较好的方案了。
因此,就目前的检测技术、传输技术、芯片技术等多方面分析,目前IPS能够解决的主要是准确的单包检测和高速传输的融合问题,对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效的检测和及时的阻断防护,而对于更为复杂的攻击(如采用变形攻击、攻击包拆分发送)就无法实现。
当然,检测和访问控制如何协同和融合将一直是我们研究的课题,会有更多好的技术形态出现,不管叫什么名字。
IDS和IPS(IDP)满足的是用户不同的安全需求。两种技术在相当长的时间里,会和防火墙技术一起共存,并在用户的信息安全保障体系中担当不同的角色,并协同工作。