精誠資訊 Intrusion SecureNet

第一家獲得Common Criteria EAL2認證的入侵偵測廠商
共享決策邏輯，2000種攻擊特徵
7款產品滿足各種流量需求
3層式管理架構，階層式管理架構

買食品要選通過GMP認證，買電腦要選保固廠商，那買資訊安全產品呢？臺灣的企業或政府機關要採購資訊安全並沒有任何標準可循，反觀美國國防部，他們要求資訊安全產品必須通過Common Criteria認證，在這樣的需求下，Common Criteria成為資訊安全產品的重要指標，Intrusion則是第一家獲得Common Criteria EAL2認證的入侵偵測廠商。

SecureNet Pro可用純軟體的方式，獨立安裝在Red Hat Linux 6.2平臺上，也可以預載到多種不同的入侵偵測精簡伺服器中，建置「即插即保護（plug-and-protect）」的入侵偵測系統。

SecureNet Pro採用狀態檢視（Stateful Inspection）追蹤所有通訊的狀態和內容，加上35種通訊協定解析模組（Protocol Decode）與共享決策邏輯（Shared Decision Logic，SDL）辦識服務種類，擷取相對的攻擊模式，取代舊式的直線式政策分析，並結合字串比對和封包組織分析攻擊特徵（Context Analysis Attack Signatures）兩種技術，在高網路流量下仍能有效處理封包，即使駭客利用IP分片攻擊，仍能有效重組封包（IP Fragment Reassembly），避免遭到欺騙或閃躲，正確辨識出攻擊。

SecureNet內建2000種的入侵辨識特徵，可偵測DNS、防火牆、FTP、IDS、電子郵件、遠端存取……等TCP/IP網路服務，能夠辨識出Port Scan、Buffer Overflow（緩衝區溢位）、DoS、後門程式及密碼破解等入侵攻擊事件。

針對各種不同的網路流量，Intrusion提供2000、5000及7000等3系列的精簡型伺服器，每款產品均內建Red Hat Linux 7.2作業系統，並預先安裝SecureNet Pro網路入侵偵測軟體。

SecureNet 7000是1U高度的精簡伺服器，可堆疊機架式設計除了提高機架使用率，也簡化管理成本，適合部署在企業網路入口、資料中心或DMZ區。SecureNet 7000使用一個Gigabit光纖網路卡連接監測的網段，並由另外一張網路卡（100BASE-T）將偵測結果傳送到管理介面，兩個偵測介面獨立可以增加入侵偵測系統的安全性。

SecureNet 5000系列同樣採可堆疊機架式設計，適合部署在100 MB/s流量的企業電腦機房或資料代管的資料中心。SecureNet 5000可以設定成入侵偵測系統的偵測器或主控臺，也可以設定為同時包含偵測器和主控臺的獨立入侵偵測系統，不論是企業內或是橫跨多個分公司都很容易管理。

SecureNet 2000產品尺寸約A4大小，高4.4公分，可以直接放在桌面上，方便企業將入侵偵測系統植入企業整體網路中，適合部署在企業分公司、遠端辦公室及子網路。

SecureNet精簡型伺服器可以2階層（Tier）的方式一對多集中管理，由單一主控臺管理多個入侵偵測系統，或是多對一的方式，由多個主控臺管理單一入侵偵測系統。如果另外選購SecureNet Provider決策分析系統，可以升級成3層式集中管理架構，集中監控整個企業中的入侵偵測系統，讓收集的資料更有價值。

為了加強SecureNet Pro偵測器與主控臺的效益，SecureNet Provider加入監控與報表功能，方便管理者從雜亂的資料萃取出有價值的資訊。SecureNet Provider採用關聯式方析架構（Correlation），可以從單一定點監控各種型式的SecureNet Pro偵測器，並將所有資訊儲存在Microsoft SQL Server 2000資料庫，提供高度客製化和集中式的監控與報表功能。

在客製化方面，管理者可以自訂回應、自訂記錄、自訂入侵辨識特徵及自訂報表等。SecureNet提供類似C語言的SNP-L程式語言，管理者利用簡單的腳本語言（Script）自行開發入侵辨識特徵與回應方式，將系統調校成適合自身網路特性的入侵偵測系統。雙向連線錄製，即時監看與重播入侵事件
搭配防火牆和弱點掃描主動防禦

SecureNet內建多種報表格式，管理者可以依據日期、時間、IP……等篩選條件，選擇以HTML、TXT或CSV格式產生報表。另外，透過SecureNet Provider決策分析系統，管理者可以使用Excel和Access迅速產生文字或圖形報表。

當入侵辨識特徵資料庫更新時，Intrusion會寄發電子郵件通知管理者，可由管理者手動下載，或設定Intrusion APT Repository的Live Update自動更新功能，取得最新的資料庫。

SecureNet通過OPSEC認證，可在入侵初期將警訊發送到Check Point VPN-1/Firewall-1的管理臺。另外，SecureNet具備Terminate TCP Session（中斷 TCP 通訊）、Binary Log Data（二進位記錄）、Text Log Data（文字記錄）、Tcpdump Log Data（Tcpdump記錄檔）等即時回應功能，並可以利用警報（Alert）、電子郵件、SNMP或呼叫器等方式警告管理者。獨特的Client to Server、Server to Client雙向連線錄製功能，提供管理者即時監看與重播入侵事件。

從十幾萬的SecureNet 2000系列到數百萬的SecureNet 7000系列，採購入侵偵測系統除了考慮售價，更新服務及授權方式也是比較的重點之一。SecureNet精簡型伺服器提供一年的免費升級服務，特徵資料庫則是永久免費更新。SecureNet Provider則有兩種授權方式，可以數量計費或無限制使用者，1個使用者授權費約9萬元。

精誠表示，企業大多是採購精簡型伺服器搭配SecureNet Provider的解決方案，除了管理方便，伺服器經過調校後，會有更佳的性能和效能。

使用入侵偵測系統就可以高枕無憂嗎？入侵偵測是屬於被動式的防禦措施（reactive protection），只能偵測到已經發生的事件，並無法有效預防駭客入侵，而且每天都有新的漏洞被發現，駭客的攻擊手法更是千變萬化，最好能夠採取主動式的防禦措施（proactive protection），除了防火牆和入侵偵測系統等防禦機制，還要加上定期的網路安全弱點掃描與稽核改善，由管理者主動去修補漏洞，加上適當的存取控制，相信駭客就不得其門而入。

在建構入侵偵測系統前，建議管理者先利用弱點掃描工具掌握企業網路環境內的漏洞，並且優先修補該漏洞。精誠在建置SecureNet時有提供一次免費弱點掃描服務。

雖然入侵偵測系統無法百分之百防止駭客入侵，僅能記錄或回應已經發生的入侵事件，但就電腦犯罪調查而言，入侵偵測系統所攔截下來的資訊有利於事後的調查與問題改善。文⊙陳世煌