McAfee IntruShield

IDS的一小步，IPS的一大步

提到Network Associates的McAfee，大概都會想到「咖啡」和防毒產品，很少人會聯想到IDS或IPS，其實McAfee有系統安全防護和網路安全防護解決方案，除了防毒軟體，也在今年5月併購IntruVert，增強IPS產品線。

IntruShield產品線包括IntruShield 4000、IntruShield 2600及IntruShield 1200等3款感應器（Sensor），以及IntruShield Security Management（ISM）管理系統，其中IntruShield 1200是針對中小企業，其餘兩款則適合大型組織。ASIC設計，強化效能

目前市面上已經有多家廠商推出硬體閘道型入侵防護裝置，但大多數的廠商採軟體搭配硬體的設計方式，而IntruShield則是使用晶片（ASIC）設計，優點是效能更好，但產品價格也較高。產品的另一個特點是偵測埠、回應埠及管理埠分開設計，例如在IntruShield 2600上，我們可以看到8個偵測埠、2個回應埠及1個管理埠，這樣的設計可避免遭受攻擊時，系統卻無法做出反應。

由於IPS的運算處理比防火牆更複雜，而且對效能（流量）的要求也更高，如果該裝置沒有好的效能，不僅是網路會壅塞，也可能造成封包流失，所以常見的解決方式是僅處理少數攻擊，自然也就無法達到全面防護；IntruShield的硬體晶片設計，則強化在通訊協定分析、字串比對和統計分析的工作效能，提高系統的負載能力。至於哪種比較好？也許就像硬體ASIC防火牆和軟體防火牆之爭，完全視企業需求和預算而定。IDS真正進化成IPS

在入侵偵測方面，IntruShield具備常見的攻擊特徵比對、異常通訊協定偵測、DoS偵測和自訂攻擊特徵等功能，而且還增加了智慧學習功能（learning mode），當機器連結企業網路後，系統會自動收集2天內的資料流量，並依此建立臨界點，以分離出正常流量和攻擊流量，而且系統每2周會自動再判斷一次，完成合乎實際狀況的防護。

為了將IntruShield由IDS轉變成為IPS，系統新增入侵智慧（Intrusion Intelligence）功能，能提供更詳細、準確的入侵辨識、類型、方向、影響程度及分析等資訊，以有效防護主機安全。以入侵辨識為例，它能正確的辨識出大多數的攻擊，配合Protocol Discovery和Protocol Tunneling等進階功能，能偵測出躲避IDS的繞道性攻擊；攻擊確認也是重要功能之一，我們會知道哪臺主機有弱點，駭客發動哪些攻擊，但卻無法知道主機被攻擊後會產生什麼反應，除非管理者願意冒險一試，IntruShield的攻擊確認功能可判斷攻擊成功時，將產生什麼樣的影響，讓安全人員能將時間用在關鍵事件上。

Virtual IDS（VIDS，虛擬入侵偵測）也是不錯的功能之一，它能將IntruShield的感應器分成多個虛擬感應器，而且每個虛擬感應器能夠自行定義個別的安全政策，包括攻擊及回應策略，例如在連結3臺主機的交換器前安裝IntruShield，VIDS功能可以將流量自動區分成3條，而且不用在主機上安裝代理程式，功能類似主機型IDS。此外，VIDS不只能根據IP位址，也可以依所連結的設備或特定埠進行定義。

在部署上，IntruShield提供4種部署模式，包括SPAN、Tap、Port Clustering及In-Line等模式。SPAN模式類似一般的IDS 的Sniffer運作模式；Tap模式就是失效開放（Fail Open）機制，一旦系統停止運作，整個網路流量不經檢測即通過，IntruShield 2600及IntruShield 1200支援此模式；Port Clustering模式能將多個埠的流量匯集成一個，以更完整地進行分析，通常用在傳入（inbound）和傳出（outbound）不同的兩條專線上；In-Line模式也可以說是真正的入侵預防，因為位在網路閘道上，所以任何資料都會通過它，可在第一時間管理流量和丟棄惡意封包。5種警訊呈現方式

IntruShield Security Management（ISM）管理系統包含IntruShield Global Manager及IntruShield Manager等2種管理系統，兩者都支援Windows 2000作業系統及MySQL資料庫，主要差異在Global Manager支援Oracle資料庫，所以能支援數百個感應器，而Manager最多只能支援6個。

Web管理介面，讓管理者從遠端就可以登入管理，包括配置、安全政策、回應措施和排程等任務，登入系統後，管理者可以立即檢視目前的風險狀態和攻擊數目，並進行管理、安全政策及感應器設定。

比較特別的是IntruShield將警訊分成5種，包括成功、未知、失敗、可疑及阻擋等，系統能立即呈現阻擋警訊，而且顯示出攻擊特徵、CVE編號和回應方式等。管理者也可以自行客製化所需的內容，在第一時間看到所需的警訊。系統的回應方式大致可分為三類：選擇性攔截攻擊、警訊通知及管理者定義。

在企業的網路架構中，除了IPS，還包括許多應用程式，例如HP OpenView、或CA Unicenter，ISM支援透過SNMP轉發警訊到這些網路網理應用程式，以整合全部的網路架構。文⊙陳世煌