用IDS 4230傳感器改善Cisco IT IDS性能
2019-11-05 00:07:19
供稿:網(wǎng)友
注:木桶原理最適合來(lái)描述網(wǎng)絡(luò)安全問(wèn)題����,假如僅以簡(jiǎn)單的依靠修修補(bǔ)補(bǔ)提高安全性很難�,該提速的時(shí)候刻不容緩�。
思科信息安全部門于2001年部署了Cisco IDS 4230傳感器。此次部署不但證實(shí)了這種部署方案對(duì)思科的價(jià)值,還增進(jìn)了思科對(duì)入侵檢測(cè)的了解。但是,IDS 4230傳感器的性能和治理還有一些局限��,為突破這些局限�,思科移植到了Cisco IDS 4250和IDS 4250-XL傳感器。
背景
在網(wǎng)絡(luò)安全領(lǐng)域中,防火墻就似乎是堅(jiān)固的門鎖和窗閂一樣,能夠阻擋他人的非法入侵��。事實(shí)上��,好的安全戰(zhàn)略也應(yīng)該使用入侵檢測(cè)����。與安全大廈內(nèi)的警報(bào)器和攝像機(jī)相似�����,IDS警報(bào)不但能為警衛(wèi)提供很多具體信息���,包括入侵者進(jìn)入大廈的方法和目前所在的位置等�����,還能提供必要的數(shù)據(jù)�����,幫助警衛(wèi)確定快速緝拿入侵者的最佳方式���,以及將來(lái)怎樣預(yù)防類似入侵的發(fā)生���。思科內(nèi)部信息安全(Infosec)部門在思科內(nèi)部部署了防火墻和IDS����。這些安全設(shè)備證實(shí)是有效的�����,例如�,2001年(思科部署入侵檢測(cè)傳感器的當(dāng)年)���,全球服務(wù)器共遭受了兩次災(zāi)難性攻擊:Code Red 1和2(2001年7月)和NMDA(2001年9月)�。在這兩次攻擊過(guò)程中,Cisco IDS 4230傳感器都在幾分鐘之內(nèi)就注重到了可疑流量的迅速增加�����,在一小時(shí)之內(nèi)����,Infosec和IT工程師立即采取了相應(yīng)的措施。
挑戰(zhàn)
思科網(wǎng)絡(luò)和數(shù)據(jù)中心骨干網(wǎng)由超高速連接組成�����,多數(shù)為千兆位以太網(wǎng)���?����;ヂ?lián)網(wǎng)接入的速度也很高��。但是思科原先采用的Cisco IDS 4230傳感器性能是一個(gè)瓶頸。另一個(gè)問(wèn)題是����,IDS 4230提供了很少的治理工具���。為自動(dòng)執(zhí)行所需的許多治理功能����,Infosec花費(fèi)了幾個(gè)月來(lái)開(kāi)發(fā)工具��,包括更新配置和簽名文件���、重新啟動(dòng)傳感器等(參見(jiàn)附錄1:吸取的教訓(xùn))���。
解決方案和成效
思科Infosec已經(jīng)開(kāi)始用IDS 4250取代IDS 4230����,以便在更大的互聯(lián)網(wǎng)DMZ內(nèi)支持500Mbps的流量�。此項(xiàng)工作從圣何塞開(kāi)始。第一個(gè)IDS 4250傳感器(那時(shí)正處于β測(cè)試階段)于2002年11月安裝在圣何塞的DMZ�����,替換了兩個(gè)IDS 4230��。替換之后,Infosec取消了小型IRSD傳感器不得不實(shí)行的流量分割和交換機(jī)跨區(qū),簡(jiǎn)化了體系結(jié)構(gòu),使IDS傳感器能夠首次“讀”所有的網(wǎng)絡(luò)流量���,從而能夠更加全面地抵御各種威脅。我們不但能為IDS添加雙工警報(bào)簽名,還能為IDS 4250傳感器部署Cisco IDS Sensor Software 4.1�,這樣��,思科IT不但能享受到這些好處,還能將一臺(tái)設(shè)備配置為多個(gè)“虛擬傳感器”,更換掉數(shù)據(jù)中心里的大量IDS 4230傳感器。這種方法不僅釋放了數(shù)據(jù)中心的空間����,還降低了治理成本���。
下一步計(jì)劃
思科Infosec計(jì)劃通過(guò)三個(gè)步驟升級(jí)到最新的IDS�。第一步是將互聯(lián)網(wǎng)接入點(diǎn)中的35個(gè)Cisco IDS 4230傳感器升級(jí)為IDS 4250傳感器����,此項(xiàng)工作在圣何塞升級(jí)成功之后進(jìn)行。第二步是將數(shù)據(jù)中心里的IDS 4230升級(jí)到IDS 4250-XL,以便利用其千兆位性能處理通往數(shù)據(jù)中心的千兆位以太網(wǎng)網(wǎng)關(guān)接口���。當(dāng)這些升級(jí)都完成時(shí),Infosec將能夠完全取消IDS內(nèi)的流量分割和交換機(jī)跨區(qū)���。第三步是將這些IDS 4250傳感器移植到最新的IDS Sensor Software 4.1,以便改善治理,降低虛警率��,這些因素是Infosec當(dāng)前IDS部署的最大問(wèn)題(參見(jiàn)附錄1:吸取教訓(xùn))�。目前,Infosec正在為計(jì)劃的內(nèi)升級(jí)進(jìn)行評(píng)估IDS Sensor Software 4.1,具體時(shí)間表將由人力資源部和預(yù)算審核部確定。
