一、面臨的問題

入侵檢測系統(tǒng)(Intrusion Detection System, IDS)是近兩年熱起來的安全產(chǎn)品，它在網(wǎng)絡(luò)安全體系中所發(fā)揮的作用是可以檢測到入侵行為并報警。這里所說的入侵行為涵蓋范圍很廣，不僅包括黑客攻擊，還包括各種網(wǎng)絡(luò)異常行為，如內(nèi)部網(wǎng)絡(luò)機(jī)密信息泄漏和非法使用網(wǎng)絡(luò)資源等等。

為了保障網(wǎng)絡(luò)的安全，要使用很多安全產(chǎn)品，有防病毒、防火墻、服務(wù)器安全加固、加密傳輸和身份認(rèn)證等等。和它們相比，IDS具有更多的智能特性，能夠判斷出網(wǎng)絡(luò)入侵行為并報警和實時阻斷。

但是這兩年，廠商、媒體和網(wǎng)站一直是從正面宣傳IDS的功能，卻回避IDS的缺陷。在眾多的缺陷中，交換機(jī)的數(shù)據(jù)鏡像、VLAN給網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)的運(yùn)用帶來很大的麻煩。而眾多的IDS廠商卻避而不談，這必然會誤導(dǎo)用戶，使用戶無法實現(xiàn)自身安全價值的最大化。

二、問題的分析

由于共享式集線器(HUB)可以進(jìn)行網(wǎng)絡(luò)監(jiān)聽，將給網(wǎng)絡(luò)安全帶來極大的威脅，故而現(xiàn)在網(wǎng)絡(luò)，尤其是高速網(wǎng)絡(luò)基本上都采用交換機(jī)(Switch)，從而給網(wǎng)絡(luò)入侵檢測系統(tǒng)的網(wǎng)絡(luò)監(jiān)聽帶來麻煩。

1.問題之一:交換機(jī)端口鏡像

要了解入侵檢測系統(tǒng)在交換機(jī)環(huán)境中監(jiān)聽的問題，需要了解集線器和交換機(jī)在工作原理上的不同。集線器沒有連接的概念，而是將每一個數(shù)據(jù)包發(fā)送到集線器的除了該數(shù)據(jù)包進(jìn)來的端口外的每一個端口。然而，交換機(jī)是基于連接，當(dāng)交換機(jī)上的一個臨時連接進(jìn)來一個數(shù)據(jù)包時，交換機(jī)會將數(shù)據(jù)包發(fā)送給連接的目的端口，接著從目的端口轉(zhuǎn)發(fā)出去。所以在集線器環(huán)境中，我們能夠?qū)⒕W(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器接在任意端口;而對于交換機(jī)，必須確信傳感器能夠“看”到所需的網(wǎng)絡(luò)流量。

這時就需要在交換機(jī)上設(shè)置專門監(jiān)聽端口。監(jiān)聽端口是交換機(jī)上配置的一個特殊端口，SPAN(Switch Port Analyzer)通常用來察看網(wǎng)絡(luò)的使用情況，SPAN端口通常也被稱為監(jiān)聽(Spy)端口或鏡像(Mirror)端口。

交換機(jī)會將指定端口的通信數(shù)據(jù)鏡像到該監(jiān)聽端口，這樣網(wǎng)絡(luò)傳感器就可以捕獲到指定端口的數(shù)據(jù)。例如圖1所示，我們?yōu)榱吮O(jiān)聽交換機(jī)和資源主機(jī)之間的連接，就需要告訴交換機(jī)將資源主機(jī)的端口的數(shù)據(jù)鏡像到IDS的端口。這種方法可以對傳輸?shù)臄?shù)據(jù)、接收的數(shù)據(jù)和上述兩者起作用。某些交換機(jī)不支持鏡像端口功能，某些交換機(jī)不能將100%的數(shù)據(jù)傳輸給鏡像端口，因此即使IDS配置了針對特定攻擊的檢測規(guī)則，該攻擊也會被漏掉。而且，交換機(jī)在同一時刻，只能鏡像一個端口，所以監(jiān)控多個機(jī)器將會變得很困難和不可能。

　
圖1:交換機(jī)端口鏡像監(jiān)聽

此外，在交換環(huán)境，端口鏡像還有如下缺陷:

●通常連接到交換機(jī)時都是全雙工的，即在100MB的交換機(jī)上雙向流量可能達(dá)到200MB，但監(jiān)聽端口的流量最多達(dá)到100MB，從而導(dǎo)致交換機(jī)丟包;

●為了節(jié)省交換機(jī)端口，很可能配置為一個交換機(jī)端口監(jiān)聽多個其它端口，在正常的流量下，監(jiān)聽端口能夠全部監(jiān)聽，但在受到攻擊的時候，網(wǎng)絡(luò)流量可能加大，從而使被監(jiān)聽的端口流量總和超過監(jiān)聽端口的上限，引起交換機(jī)丟包;

●一般的交換機(jī)在負(fù)載較大的時候，監(jiān)聽端口的速度趕不上其它端口的速度，從而導(dǎo)致交換機(jī)丟包。如果一個監(jiān)聽端口要監(jiān)聽所有交換機(jī)端口的數(shù)據(jù)，那么交換機(jī)的丟包現(xiàn)象會更加嚴(yán)重;

●增加監(jiān)聽端口即意味做需要更多的交換機(jī)端口，這可能需要購買額外的交換機(jī)，甚至修改網(wǎng)絡(luò)結(jié)構(gòu)(例如原來在一臺交換機(jī)上的一個VLAN現(xiàn)在需要分布到兩臺交換機(jī)上);

●不同廠商、不同型號的交換機(jī)對鏡像端口支持功能的強(qiáng)弱是不同的。有的交換機(jī)能夠?qū)⑷我舛丝谠O(shè)置為鏡像端口，有的交換機(jī)只能將某個端口設(shè)置為鏡像端口(如端口1);有的交換機(jī)在鏡像端口上可以監(jiān)聽所有端口的數(shù)據(jù)，有的交換機(jī)在鏡像端口上同時只能監(jiān)聽某一個端口;

●支持監(jiān)聽的交換機(jī)比不支持的交換機(jī)要貴許多，很多網(wǎng)絡(luò)在設(shè)計時并沒有考慮到網(wǎng)絡(luò)監(jiān)聽的需求，購買的交換機(jī)并不支持網(wǎng)絡(luò)監(jiān)聽，或者監(jiān)聽性能不好，從而在準(zhǔn)備安裝NIDS的時候需要更換交換機(jī)。