随着当今威胁级别的提高,许多公司都加强了防御措施,并增加了入侵检测系统(IDS)到他们的安全堆栈。通过不断监视恶意活动或政策违规的网络和系统活动,IDS应用程序可以警告安全管理员违反可能未被发现的违规行为。
知道一个IDS只与它接收到的信息一样有效,那么如何将IDS物理连接到网络以确保它接收100%的流量呢?
如果安全解决方案无法访问所有网络流量,因为它流入并退出网络时,它无法准确地发现问题。为了确保您的ID从每个图层中看到每个数据包,您需要从一开始就需要强大的网络设计和安全连接计划。
网络连接考虑因素
任何IDS网络设计项目的第一步都是验证物理网络的参数。检查线路——是铜的还是光纤的?光纤是单模还是多模?然后检查速度——1G网络和10G网络之间的差异对设备和连接计划都有重大影响。
那么,如何将IDS物理连接到网络,以确保它接收100%的流量呢?最佳实践网络设计建议使用网络旁路利用。旁路抽头是一种专用硬件,它唯一的工作是为安全设备提供防故障网络连接。它们可以插入网络中的任何位置,这使得IDS解决方案可以分析和比较流量模式。与交换机或路由器不同,旁路TAP不会主动对流量做任何事情,所以它不会影响发送到IDS的数据。
通常,公司试图将其IDS设备连接到网络交换机上的跨度/镜像端口,认为它将适用于带外解决方案。这种设计有各种问题。跨端口受到限制并且需要各种网络管理任务,这导致当更紧迫的问题浮出水面时,IDS会被拔掉一些时间。但是,即使它被插入,也不能保证它会看到并发送所有的数据包。从网络管理的角度来看,IDS应用程序的优先级较低。当流量负载增加时(就像公司受到攻击时那样),交换机将任务关键业务应用程序优先于IDS解决方案。乐动体育 足球快讯定时更改(会话和流量不再同步)和/或数据包被丢弃。实际上,如果没有入侵检测系统,乐动体育 足球快讯这家公司就会像以前一样脆弱和不受保护。
架构需求
在安装IDS之前,重要的是决定您要收集的数据以及您的网络整个网络中有多少分点?能够将流量从防火墙中的流量进行比较到外部的流量可以识别漏洞,其中关键数据正在稳定地发送到特定的IP地址。同样,在流过Web应用程序服务器之前和之后分析数据可以揭示关键问题。事先识别您的流量收集点,以便相应地优化网络设计和连接计划。
从这里,您可以确定应该如何配置IDS解决方案本身,因为它取决于所收集的数据量以及数据来自何处。例如,如果您有10个1G的收集点,您是希望聚合数据并将它们连接到一个10G IDS服务器以减少管理问题,还是希望使用10个1G服务器以减少成本?
对于某些项目,预算或设备限制可能要求您评估媒体转换选项。乐动 赞助西甲使用铜的产品比使用纤维的产品便宜。使用昂贵单模光纤的公司可能更愿意在网络抽头和IDS之间使用多模光纤连接,以降低成本。旁通水龙头可以处理任何需要的介质转换。
负载平衡
负载均衡是网络设计过程中的一个关键部分——如果解决方案能够处理流量峰值和信息包被IDS丢失,那么它可能会被关闭。如果在适当的地方有一个网络旁路,它将减轻这种风险——一旦资源可用,会话感知流量流可以被存储和分析。乐动体育 南安普顿合作伙伴否则,您将需要一个复杂的策略控制算法。然而,当网络资源稀缺时,为了支持业务关键型应用程序,这些也往往会被覆盖。乐动体育 南安普顿合作伙伴
入侵检测系统完全取决于您的网络设计和连接计划以正常运行。将项目预算增加5-10%,以包括网络旁路水龙头将非常值得投资,以确保在始终分析100%的网络流量。
[欲了解更多IDS信息,请下载我们的白皮书:管理网络边缘:安全架构师的新需求]