IDS的交換機局限問題的分析與對策

一、面臨的問題
入侵檢測系統(Intrusion Detection System, IDS)是近兩年熱起
來的安全產品，它在網絡安全體系中所發揮的作用是可以檢測到
入侵行為并報警。這里所說的入侵行為涵蓋范圍很廣，不僅包括
黑客攻擊，還包括各種網絡異常行為，如內部網絡機密信息泄漏
和非法使用網絡資源等等。
為了保障網絡的安全，要使用很多安全產品，有防病毒、防火
墻、服務器安全加固、加密傳輸和身份認證等等。和它們相比，I
DS具有更多的智能特性，能夠判斷出網絡入侵行為并報警和實時
阻斷。
但是這兩年，廠商、媒體和網站一直是從正面宣傳IDS的功能，卻回避IDS的缺陷。在眾多的缺陷中，交換
機的數據鏡像、VLAN給網絡入侵檢測系統(NIDS)的運用帶來很大的麻煩。而眾多的IDS廠商卻避而不談，這
必然會誤導用戶，使用戶無法實現自身安全價值的最大化。
二、問題的分析
由于共享式集線器(HUB)可以進行網絡監聽，將給網絡安全帶來極大的威脅，故而現在網絡，尤其是高速網
絡基本上都采用交換機(Switch)，從而給網絡入侵檢測系統的網絡監聽帶來麻煩。
1.問題之一:交換機端口鏡像
要了解入侵檢測系統在交換機環境中監聽的問題，需要了解集線器和交換機在工作原理上的不同。集線器
沒有連接的概念，而是將每一個數據包發送到集線器的除了該數據包進來的端口外的每一個端口。然而，
交換機是基于連接，當交換機上的一個臨時連接進來一個數據包時，交換機會將數據包發送給連接的目的
端口，接著從目的端口轉發出去。所以在集線器環境中，我們能夠將網絡入侵檢測系統的傳感器接在任意
端口;而對于交換機，必須確信傳感器能夠“看”到所需的網絡流量。
這時就需要在交換機上設置專門監聽端口。監聽端口是交換機上配置的一個特殊端口，SPAN(Switch Port
Analyzer)通常用來察看網絡的使用情況，SPAN端口通常也被稱為監聽(Spy)端口或鏡像(Mirror)端口。
交換機會將指定端口的通信數據鏡像到該監聽端口，這樣網絡傳感器就可以捕獲到指定端口的數據。例如
圖1所示，我們為了監聽交換機和資源主機之間的連接，就需要告訴交換機將資源主機的端口的數據鏡像到
IDS的端口。這種方法可以對傳輸的數據、接收的數據和上述兩者起作用。某些交換機不支持鏡像端口功
能，某些交換機不能將100%的數據傳輸給鏡像端口，因此即使IDS配置了針對特定攻擊的檢測規則，該攻擊
也會被漏掉。而且，交換機在同一時刻，只能鏡像一個端口，所以監控多個機器將會變得很困難和不可
能。
圖1:交換機端口鏡像監聽
此外，在交換環境，端口鏡像還有如下缺陷:
●通常連接到交換機時都是全雙工的，即在100MB的交換機上雙向流量可能達到200MB，但監聽端口的流量
最多達到100MB，從而導致交換機丟包;
●為了節省交換機端口，很可能配置為一個交換機端口監聽多個其它端口，在正常的流量下，監聽端口能
夠全部監聽，但在受到攻擊的時候，網絡流量可能加大，從而使被監聽的端口流量總和超過監聽端口的上
限，引起交換機丟包;
●一般的交換機在負載較大的時候，監聽端口的速度趕不上其它端口的速度，從而導致交換機丟包。如果
一個監聽端口要監聽所有交換機端口的數據，那么交換機的丟包現象會更加嚴重;
●增加監聽端口即意味做需要更多的交換機端口，這可能需要購買額外的交換機，甚至修改網絡結構(例如
原來在一臺交換機上的一個VLAN現在需要分布到兩臺交換機上);
●不同廠商、不同型號的交換機對鏡像端口支持功能的強弱是不同的。有的交換機能夠將任意端口設置為
鏡像端口，有的交換機只能將某個端口設置為鏡像端口(如端口1);有的交換機在鏡像端口上可以監聽所有
端口的數據，有的交換機在鏡像端口上同時只能監聽某一個端口;
●支持監聽的交換機比不支持的交換機要貴許多，很多網絡在設計時并沒有考慮到網絡監聽的需求，購買
的交換機并不支持網絡監聽，或者監聽性能不好，從而在準備安裝NIDS的時候需要更換交換機。