鈺松國際 ISS RealSecure Network Sensor 7.0

完整的解決方案，建立企業安全防護網
集中式管理，分散性的主從式架構

在開放的電子商務環境中，RealSecure是屬於企業風險管理機制的一部分，為企業網路提供免於威脅的防護，保持網路的安全性。RealSecure可以辨認網路攻擊行為和不當使用網路等兩種主要威脅，包括惡意程式、DoS攻擊、違規存取（Back Orifice或暴力破解密碼）、濫用系統管理者許可權（安裝不允許的服務程式）、HTTP活動（誰在上網、上哪些網站）、共用資源（檔案分享）及電子郵件等。

RealSecure 採用分散式的三層式架構，可以分成Sensor（感應器）和Workgroup Manager（管理模組）兩大類。Sensor提供自動偵測及威脅回應，可以被安裝在企業網路的重要節點，依功能分成網路型及主機型兩種感應模組，其中Network Sensor可以即時監測網路通信中是否含有惡意程式，並且自動進行回應；Server Sensor負責監測單一主機對內與對外的網路活動，並同時分析作業系統的重要系統檔，偵測是否有違規的存取與攻擊入侵行為。

Workgroup Manager模組可以設定Sensor的組態，並且分析管理Sensor所搜集的威脅資料，Workgroup Manager 6.6包含Console、Event Collector、Enterprise Database及Asset Database等4個元件。當Sensor偵測到事件時，會立即將威脅資料送給Event Collector，再由Event Collector傳送至Console，並將資料儲存在Enterprise Database資料庫。Console控制臺是管理中心，負責管理Event Collector及Sensor，即時顯示警報，並且整合系統資料產生報表。Asset Database資料庫則儲存Event Collector及Sensor等元件資料。

Sensor和Workgroup Manager的對應關係是多對多，可以有多個Sensor回報到一個Event Collector，而一個Enterprise資料庫最多可以有5個Event Collector同時傳輸資料。要用多少個Sensor或Console來監看警報訊息是互相獨立不受干擾的，企業可以依不同地域和部門彈性建構系統。

因為每個Network Sensor只能監控同一個網路區段的封包流量，最好在每個重要的網路區段放置一個Network Sensor。在不同的網路區段間，可能會有防火牆、交換器、集線器及橋接器等設備妨礙Network Sensor的監控能力，因此需要多個Network Sensor同時監控不同的網段。檔案伺服器、非交戰區的網路主機、通訊主機和儲存重要資料的伺服器最好也裝上Server Sensor，以監控每臺主機的狀態。

單一個Console最多可監控50個Sensor，在技術上雖然還可以繼續增加Sensor數量，然而真正的瓶頸是管理者的監控能力，主要受限於管理者的反應能力，通常一個Console可以監看10至20個Network Sensor。

Sensor的實際監測數要視RealSecure Sensors和Event Collector的設定，以及管理者選擇對於即時事件的處理方法而定。如果重視事件發生後的調查研究更勝於即時反應，企業可以把RealSecure Sensors的即時警報流量降低，主要的工作是將事件寫入資料庫，這時可以連結20到30個Network Sensor。有些需要部署大量Sensor的單位，幾乎不從Console管理Sensor，而是從ISS Command Line介面管理。監控Gigabit網路頻寬

RealSecure將網路卡設定為promiscuous模式，以接收網段中的所有封包，假如封包符合攻擊特徵，則會被解碼並使用攻擊分析邏輯解析。Sensor會追蹤每一個Session，即使分段成多個封包（IP分片）的攻擊行動也會被偵測出。

Network Sensor 7.0和Gigabit Network Sensor是RealSecure 7.0新增的功能，除了更容易安裝與建置，X-Press Update模組也讓Sensor即時更新攻擊特徵，系統並支援10Mbps和100Mbps全雙工與半雙工的傳輸速率。Gigabit Network Sensor搭配Windows 2000的Intel Pro 1000F驅動程式，可以達到90%的Gigabit傳輸頻寬使用率。

使用Gigabit Network Sensor必須另外購買Gigabit授權碼，而且主機除了安裝Intel Pro 1000F網路卡，必須還有另一張一般的網路卡。Network Sensor預設使用901埠，Server Sensor使用902埠，而Event Collector使用903埠，在管理上需注意。

RealSecure 7.0支援更多的Session處理，可以同時處理上百個，甚至上千個TCP連線，提供更高的穩定性與準確性。目前Network Sensor 和Gigabit Network Sensor 都可以支援VLAN（802.1q）的網路封包。X-Press Update
提前防範Slammer

RealSecure 使用政策依詢式（Policy Enforcement）引擎，Sensor會先接收資料，接著再比對特徵資料庫，如果符合就採取適當回應。特徵資料庫的來源是ISS的X-Force研發團隊。所有的Sensor都允許使用者自訂特徵，企業也可以調整Policy的屬性值，制訂最適合自身網路環境的攻擊特徵值。

Network Sensor 7.0也整合BlackICE Sentry產品的攻擊特徵模式，再加上Network Sensor 6.5與X-Press Update 4.3的最新攻擊特徵資料，目前擁有超過1200筆的攻擊特徵資料。除了RealSecure原有的攻擊特徵之外，ISS可以整合Snort入侵偵測系統的攻擊特徵語法。

從RealSecure 5.0之後，RealSecure可以利用X-Press Update功能更新系統，而且只要安裝完成RealSecure Console後，就可以從遠端更新Event Collector和Sensor，不須親自到每臺機器前進行升級動作。

X-Press Update可分成Micro-Update、Service Release及Upgrade等3種方式。Micro-Update包含新增函式、修正程式的DLL或共用函式庫，Service Release用來修正嚴重的軟體錯誤，而Upgrade負責系統版本的更新，例如6.5版更新到7.0版。

今年大出風頭的SQL Slammer蠕蟲，是利用微軟SQL資料庫的安全漏洞進行攻擊，一旦得逞，就可以透過漏洞常駐在系統記憶體中，以躲避防毒軟體的偵測，進而一傳十、十傳百，造成網路頻寬被佔用。微軟在去年7月24日公布SQL的相關漏洞，並在今年1月17日公布修補程式，只是大多數企業缺乏完善的安全管理機制，而且管理人員未能即時修補該漏洞，進而導致Slammer有機可乘。

ISS在去年9月18日所釋出的特徵資料庫中，就已經列出相關的訊息，所以有安裝RealSecure Network Sensor，並利用X-Press Update將資料庫更新的企業，當然也就不會遭受池魚之殃。先認證再加密傳輸資料
Network Sensor與Server Sensor需要同時存在嗎？

由於RealSecure使用分散式架構，事件訊息（Event Messages）、原始傳輸資料及紀錄資料必須安全的傳遞，所以Sensor、Event Collector及Console間的傳輸方式是整體架構的關鍵點。為了確保穩定性、隱密性和完整性，RealSecure在傳輸訊息時使用加密的傳輸通道，除了原本支援的RSA 1024位元加密傳輸，現在也能支援1536位元的加密傳輸。

資料傳輸的命令也都是由Workgroup Manager發出，而不會由Sensor 發出要求，確保Sensor能夠先向Workgroup Manager進行認證。當資料傳輸時，接收通訊端會確認發送端是已知的節點，在傳輸的資料流上沒有經過proxy 轉接點。

RealSecure 7.0在事件回應的選項中新增19 種資訊，讓入侵事件的回應方式也更多樣化，除了常見的電子郵件、TCP RST封包和重新設定Check Point防火牆，使用者也可以自訂專屬的事件回應，讓系統能針對特定事件呼叫對應的程式，例如啟動呼叫器、播放聲音或系統管理軟體。

因為Network Sensor和Server Sensor所產生的資料是互補的，同時部署會有最佳的成效。NIDS（網路型入侵偵測系統）能夠即時偵測網路資料流，是屬於早期預警方法，可以讓管理者即早發現威脅，並在造成破壞前阻止它，然而Network Sensor 不能告訴你攻擊行動到底有沒有成功，因為他們只能搜集網路環境上的資料。

HIDS（主機型入侵偵測系統）能夠確認攻擊行為是否成功，辨別系統特定的事件資料，例如未經授權的存取行為，彌補Network Sensor的不足。在某些環境下部署Server Sensor會比較符合成本效益，並達到一定程度的網路偵測，只是隨著網路流量越來越大，也就越難即時監測進入主機的所有封包。

本機使用者可以直接攻擊系統而不被Network Sensor偵測。當駭客或員工可以直接操作伺服器主機時，他可以整天不停猜密碼而不被Network Sensor發現。合法的使用者更可以執行駭客工具將他的帳號加入進系統管理者群組中，或將木馬程式植入系統，這些主機內部的攻擊行動都無法被Network Sensor偵測。同時部署Network Sensor與Server Sensor可以擁有最佳的防範效果。文⊙陳世煌