次世代IPS不可或缺的5大重要功能

現在的網路環境下，我們已非常習慣雲端服務，像是使用Dropbox存放檔案、GoogleDocs編輯文件、YouTube看影片。

而這些應用服務，以非過往需透過特定軟體才能做到的事情，雖然對於使用者非常方便，但對於網管人員來說，這些流量都是透過80埠進出，而大多防火牆設備，幾乎無法辨識它們與一般網頁服務存取行為的差異，而IPS也只能辨識部分應用服務。

另一個變化是行動裝置的流行，許多人對於軟體的使用重心，紛紛從傳統的電腦轉移到智慧型手機或平板電腦上。而過往大家使用MSN、Skype等即時通訊軟體，現在已經變成使用微信、WhatsApp、Line等通訊App。而環境與應用的改變，迫使著資安產品進化。

雖然Gartner分析次世代IPS，認為應具備應用程式辨識與可視性、情境感知、內容感知、敏捷式引擎等4大功能。不過，各廠商除了參考Gartner的定義外，他們也分析現行網路的狀況，將一些新功能加入到IPS中，例如虛擬化、APT和Botnet攻擊的防禦等功能。

我們將這些傳統IPS幾乎都不具備的功能，分為應用程式控管、情境感知、APT和Botnet防護功能、虛擬化支援、SSL加解密功能共5種。

其中，較重要的是情境感知功能，IT人員可以用它來了解一個攻擊事件中的綜合資訊，譬如發動攻擊的IP位址、IP位址的信譽評價、本身被攻擊的應用程式弱點。除此之外，該功能也可以掃描網路中的主機服務，像是對外的服務埠、資料庫等，次世代IPS能依照這些變動，自動調校防禦政策，讓系統在防護方面能更及時。

除了情境感知外，另我們意外的是，大多數次世代IPS都支援SSL加解密功能，因為這項功能以往不多見，而且是在其他設備上較常具備，而加入到次世代IPS後，不論流量是否加密皆能夠納入防護範圍。

功能1－ Layer 7控管不再侷限電腦軟體，可控管行動裝置App

在次世代IPS中，應用程式的辨識與可視性是一項非常重要的功能，設備除了因此可辨識更多類型的流量外，同時也更有能力控管應用程式存取。

大多數IPS都具備限制軟體和網站的存取能力。不過，次世代IPS與傳統IPS最大的差異，除了可辨識的類型更廣外，控管層度也更深入。不過，在控管應用層的掌握度上，各家雖都具備該功能，但在深度上則有所差異。

以McAfee的M系列IPS為例。在IM軟體的控管上，它能限制Yahoo即時通的連線存取外，也能限制該程式的檔案傳輸功能；而網站方面，McAfee則能控管網站部分功能的存取，以Facebook來說，IT人員能限制聊天室、狀態更新、遊戲等功能，讓管理者能有限度的控管。這些細部功能的控管，讓企業有限度開放網站和軟體給員工使用。

在行動裝置方面，除了能藉由原有的功能控管網站存取，不少IPS產品也將行動裝置的App納入控管範圍。

以App來說，在次世代IPS上非常普遍，但各家對於提供控管的類型及項目則有所不同。以威播的EX（EnforcerX）系列設備來說，由於地緣關係，國內不少使用者也會使用中國的網站及應用程式，所以EX系列在相關控管項目上，提供的較齊全。它能夠阻擋像QQ、微信等通訊類型的App外，也能阻擋人人網這類中國社群網站。

在控管App上，我們發現像Sourcefire的3D系列設備，它們已經能夠控管iOS、Android、Blackberry這3個行動裝置平臺上的瀏覽器，可強制使用者無法藉此上網。

功能2－ 可因應已知弱點資訊，自動補強設備的網路防禦規則

在情境感知方面，Gartner的報告提到，需能針對惡意攻擊的連線，及時提供IP位址、信譽等級等資訊，同時還要能掃描和阻擋惡意封包，立刻拆解並分析其中的惡意程式，並根據該漏洞增添防禦規則。不過實際上，要做到這些並非單一功能所為，是多個功能組成。

例如：次世代IPS可以整合使用者識別、弱點掃描、動態增加防護條件等，除了讓管理者能夠取得更詳細的資料外，它還能輔助使用者增加防禦條件。而傳統的IPS，在攻擊事件發生後，大多只提供攻擊的來源和目的IP位址，而詳細資訊則需透過其他類型設備分析。

從使用者識別來看，傳統IPS是透過整合Windows AD、LDAP等身分伺服器，來辨識每個IP位址所代表的使用者。但若要取得進階的資訊，譬如發動攻擊IP位址的信譽等級、被攻擊主機的作業系統、運作的服務等資訊，則需要透過掃描網路中的封包取得資訊，而該功能各廠商的運作方式各有不同，其中我們以Sourcefire和McAfee為例。

藉由掃描封包，取得網路環境中的設備及軟體資訊

Sourcefire的情境感知功能，不需使用外接設備，它是透過3D系列IPS上的FireSIGHT功能實作。

FireSIGHT是使用被動式探索技術，分析經過IPS的封包，藉此得知網路設備、實體和虛擬主機、應用程式等資訊。而它能看到的資訊非常多，譬如員工使用Chrome瀏覽器上網時，管理者能透過IPS，查看該名員工的IP位址、主機作業系統、使用的瀏覽器，甚至瀏覽網頁的URL都能夠得知。

使用被動式探索的優點不少，一來是不需部署應用程式在設備上，二來是新的網路設備、行動裝置連網時，也能夠掃描到該設備的資訊。

由於設備能夠掃描到這麼多資訊，所以FireSIGHT還能夠掃描網路中主機的弱點，並根據弱點動態調整防護規則，使用者可以選擇自動套用。不過，由於電腦的判斷依舊可能有誤，所以也能選擇半自動，讓管理者依照環境需求，選擇真正需要啟動的防護規則。

搭配專屬硬體，透過連動取得網路內外的詳細資料

在McAfee方面，產品的情境感知功能應用時，需要以M系列的IPS額外搭配一臺NTBA（Network Threat Behavior Analysis）才能實作。NTBA是一臺硬體設備，同時也提供虛擬主機的版本，它支援具備NetFlow的交換器與路由器，譬如Cisco、Juniper、Extreme等廠牌的網路設備，它能透過網路中的Flow取得資訊。

NTBA透過分析封包，它能了解攻擊主機的IP位址、國別、信譽評價，從哪個服務埠攻擊等資訊。除此之外，它也能夠分析網路中，未授權的應用程式的使用行為與使用者的關連，並利用行為式演算法識別事件是否為惡意攻擊。

除了能與IPS連動阻擋惡意攻擊外，也能與 McAfee的ePolicy Orchestrator（ePO）安全管理軟體整合，讓IT人員可透過IPS單一介面，除了查看整體網路環境的資訊外，還能透過ePO查詢端點的系統資訊、入侵事件等資料。

功能3－ 可防護Botnet及APT等進階攻擊，提升設備應變能力

在目前的網路環境中，最讓企業IT人員感到麻煩的資安威脅，莫過於Botnet和APT這2項，幾乎所有廠商皆在次世代IPS中，紛紛加入相對應的防護功能。

Botnet防禦功能已普及化

以Botnet防護來說，在各次世代IPS產品上非常普遍，大多是透過自家資料庫中的IP信譽服務等特徵檔，辨識並阻擋流量。以威播的EX系列IPS為例，它們是使用命令及控制伺服器（C&C Sever，Command & Control Sever）和RBL（Real-Time Black List）偵測，阻擋Botnet攻擊。

C&C和RBL防禦，前者主要是透過封包的連線、內容等特徵，來判定是否為C&C活動，若判定為C&C活動時，系統則會記錄及阻擋連線；而RBL防禦，則是使用特徵檔比對主機連線的IP位址及URL，若為黑名單中的位址連線時，會阻擋該連線。

威播主要是透過自家的Botnet特徵檔，來阻擋Botnet的連線。廠商有自己的惡意程式分析雲，它透過垃圾信、Honeypots等方式收集惡意程式，並用靜態及沙箱的動態分析，來取得C&C伺服器的IP位址、網域名稱及溝通協定製作Botnet特徵檔。

對於難以防禦的APT攻擊，各廠商有不同的對應方式

在APT防護方面，以Sourcefire和Stonesoft為例，前者是透過特徵比對的方式，後者則是將封包標準化，並以不同的傳輸方式來掃描，以避免變形的惡意攻擊。

就Sourcefire來說，它提供FireAMP（Advanced Malware Protection）這個APT防護模組，它能夠防護未知型態的攻擊，並涵蓋網路端、行動裝置和VM虛擬環境。

在網路端，Sourcefire的3D系列IPS能夠偵測封包中的檔案，所以當檔案經過設備時，IPS會取得檔案特有的SHA值（Secure Hash Algorithm，安全雜湊演算法），檔案若是經過竄改，該數值則會不同。設備取得該值後，會藉由廠商提供的SHA值資料庫比對，來確認該檔案是否為惡意文件。

除此之外，FireAMP還能防護行動裝置及VM虛擬環境。在行動裝置方面，它是透過App掃描設備上的程式，是否存在惡意程式，而目前僅提供Android平臺下載；而VM方面，Sourcefire則會藉由VMware Endpoint Security（EPSEC）模組，直接將VM與虛擬安全設備連結在一起，讓APT檢測在Hypervisor層實作，而不是在VM上實作。

除了Sourcefire外，Stonesoft的IPS也具備APT防護，該廠商強調其次世代IPS具備檢測高級逃逸技術（Advanced Evasion Techniques，AET）的檢測功能，而AET則為APT攻擊中的一部分。

AET行為可以將弱點攻擊、惡意內容等攻擊方式，偽裝成正常並安全的流量，藉此躲避IPS的檢查，它只需將傳輸協定、封包切割大小等方式，進行隨機組合及變更，因此一種惡意攻擊可以以多種不同方式攻擊。

Stonesoft的檢測方式，是解碼並正規化所有OSI七層的流量，並藉由特徵檔偵測及阻擋。簡單來說，該技術檢查攻擊行為時，不侷限在該行為經常攻擊的應用層，而是以其它協議層的方式檢查，避免變形的惡意攻擊。

功能4－ 將IPS虛擬化，以便保護虛擬環境的網路存取

由於虛擬化技術的盛行，不少企業紛紛將實體主機虛擬化，整併到一臺ESX/ESXi主機上管理。因為這樣，使得網路流量不如以往方便管理，而需使用虛擬網路設備控管。

面對VM的流量，IPS目前有2種方式能夠過濾，一種是透過硬體IPS掃描或阻擋；另一種則是將IPS虛擬化，讓虛擬層的流量在虛擬IPS上處理。

藉由硬體IPS偵測和阻擋惡意攻擊

透過硬體掃描封包的做法，有HP TippingPoint、McAfee和威播的IPS產品使用，雖是透過硬體掃描，但各家在做法上仍有些許差異。

以HP TippingPoint的IPS為例，若要掃描虛擬主機流量，須在ESX/ESXi主機上安裝HP的vController，它的位置在虛擬交換器後面。當封包進到vController時，會將封包導向到實體的IPS上過濾，再回傳至VM上。

而在McAfee方面做法則較繁雜，它需搭配VMware vShield防護機制使用。管理者需讓IPS與ESX/ESXi主機連動，並將VM的網路流量複製給IPS掃描。當IPS偵測到惡意攻擊時，能連動VMware vShield的防火牆功能阻擋。

在架構上，若IPS同時負擔實體與虛擬主機的流量，且虛擬層的網路流量非常龐大時，不但會影響IPS的效能外，重複傳遞可能會造成實體網路負擔。

在虛擬層掃描網路封包

另一種解決方式，則是使用虛擬化IPS，像IBM、Sourcefire、Stonesoft皆有提供。我們以Sourcefire為例，它們提供虛擬3D感應器（Virtual 3D Sensor）。管理者只要將3D感應器部署在虛擬主機環境中，並透過虛擬交換器指定流量到虛擬IPS，就能夠掃描封包。

這種方式的優點，除了架構簡單，還不需耗費硬體IPS效能，但是其效能則需視ESX/ESXi主機的硬體條件而定。

功能5－ 使用SSL連線的加密封包也能夠掃描

當次世代IPS遇到SSL加密連線的流量時，都是透過IPS設備自行加解密，或是讓設備做為SSL代理伺服器建立連線，以查看SSL連線的封包。以IPS來說，做法以加解密為主，因為代理伺服器連線會比較適合防火牆來擔任。

目前IPS的SSL加解密功能，主要有3種作法：用IPS本身的處理器、專屬晶片、專屬SSL加解密設備。透過處理器運算SSL加解密，通常非常消耗設備效能，且能提供的SSL流量也不高，但好處是，通常這類設備價格較平價，適合SSL流量不大的企業；專屬晶片通常價格不斐，但對於IPS的負擔較少。

就我們所知，透過處理器運算的IPS有Stonesoft的設備，算是較少數的做法。而McAfee和IBM的IPS，皆具備專屬的SSL加解密晶片，但這兩間廠商的低階設備並不搭載晶片，所以McAfee的入門設備不具備SSL加解密功能，但IBM是透過處理器運算。

除此之外，HP TippingPoint和Sourcefire都須透過專屬的SSL加解密硬體設備，才能夠掃描SSL連線中的封包。而這種作法帶來的效能最好，但成本也最貴。

我們觀察到，提供SSL加解密功能的IPS產品已越來越多，但像威播的IPS目前並不具備，該公司技術服務部協理李培寧表示，目前SSL加解密功能已經在未來計畫中，可能會以專屬晶片的方式提供SSL加解密。

遭受惡意攻擊時，次世代IPS能側錄攻擊封包

企業網路每當遭受攻擊時，IT人員僅能透過防火牆、IPS等資安設備的log中，查看攻擊方的IP位址等資訊。但這些資料太少，無法深度調查。

部分IPS廠商，則會提供封包側錄功能，它能夠將攻擊的封包儲存成樣本，供企業進一步了解攻擊資訊。以McAfee的M系列來說，設備具備封包捕獲的功能，它能設定IP位址、服務埠、傳輸協定等條件，將攻擊事件錄製成封包檔，提供給資安人員分析。

它提供2種記錄方式，一種是將封包記錄成100MB的檔案，並從IPS上傳至自家的Network Security Manager設備；另一種則是將封包提供給外部的封包捕捉設備。

相關報導請參考「次世代IPS」

Layer 7控管功能：可限制應用程式細部功能的存取
網管人員在IPS設定應用程式規則時，能依行動裝置、社群網站、軟體等類別操作，並在該規則中添加應用程式控管項目，並能選擇阻擋或放行，圖為Sourcefire IPS的規則設定頁面。

情境感知功能：IPS可自動態調整防護規則

透過情境感知功能，可以查詢連網裝置的硬體、廠商、作業系統版本等資訊，對於IT人員查詢資料時非常方便，圖為Sourcefire的FireSIGHT功能。

情境感知功能：管理者能獲得位於內網的行動裝置資訊

透過情境感知功能，IPS可以掃描自身網路中主機所開啟的對外服務，而系統透過這些服務，會動態調整需啟動的防護規則，圖為Sourcefire IPS的FireSIGHT功能。

情境感知功能：可查看攻擊事件中的應用層資料

次世代IPS與傳統IPS最大的差異，在於應用層識別能力，當攻擊事件發生時，透過次世代IPS能查看到攻擊主機的類型、方式，甚至還能看到點擊哪個URI遭受攻擊，圖為McAfee IPS的功能頁面。

(看大圖)