思科系統 Cisco IDS解決方案

企業在資訊網路和電子商務的安全防護上，大都是倚賴防火牆和入侵偵測系統，但這些防護工具所能提供的效果仍然有限，駭客仍能利用系統漏洞和DoS攻擊侵入，Cisco認為要作好企業的網路安全管理，必須從硬體與網路的安全規畫、監控管理、軟體的建置及網路安全政策制訂等方面著手，並提出SAFE企業網路安全建置白皮書，希望能與合作伙伴協同防護企業網路。

完整的Cisco網路安全解決方案應包括擴充性強、功能完整的Cisco Secure PIX防火牆，主動式安全防護的入侵偵測系統，提供安全性與管理功能的VPN，配合模組化的安全政策管理系統Cisco Secure Policy Manager，才能建構真正完善的安全防護。
IDS Everywhere，智慧型網路安全解決方案

Cisco Secure IDS是即時的入侵偵測系統，可用來監視和阻絕任何未經授權的網路活動。經過授權的內部使用者，如果嘗試透過網路傳送機密文件，或非法修改網路存取權，會立即被偵測出，並加以記錄和中止連線；當外部入侵者試圖侵入網路時，也會以同樣的方式處理。

Cisco IDS 4200系列包含Cisco IDS 4210、Cisco IDS 4235、Cisco IDS 4250及Cisco IDS 4250-XL等4種感測器，從每秒45Mbps到Gigabits的流量，支援小型到大型的網路環境，相信可以滿足企業不同頻寬的需求。

Cisco IDS 4210可以監控45Mbps的流量，適合T1、E1或T3專線的環境。在200Mbps的速度下，Cisco IDS 4235可以防護多條T3專線的子網路和交換器環境，而且能夠支援10/100/1000BASE-TX網路介面。Cisco IDS 4250支援500Mbps的速度，可防護Gigabit等級的子網路，只要插上一張加速卡，就可以讓Cisco IDS 4250升級成為Cisco IDS 4250-XL，達到1Gbps的流量，因為加速卡專門負責封包重組，讓處理器可以更有效的傳遞資訊。

除了這4款IDS產品，Cisco最近也發表Catalyst 6500 IDSM-2（Intrusion Detection System）擴充模組，只要佔據一個Catalyst交換器擴充槽，就能將入侵偵測功能整合進交換器中，除了降低整體擁有成本，也減少技術支援費用。Cisco表示下半年將會支援Catalyst 4500系列交換器，另外還有防火牆及路由器擴充模組，讓入侵偵測系統「Everywhere」無所不在。

企業建置IDS系統時，主要視網路流量而擺放合適的IDS感測器，但是不同企業會有不同的網路環境和特性，因此政策也會有所不同，所以除了IDS 4200系列，IDSM和防火牆擴充模組也是不錯的選擇。另外，政策調整也是後續的重要工作之一，以免誤報過多。

不少IDS廠商也支援Cisco交換器，但他們只能利用外掛的方式，除了要有交換器，還要有IDS感測器，若是企業需要部署50個點，那就代表MIS要多管理50臺裝置，不但工作負擔增加，故障發生的頻率也會增加。IDSM將IDS整合到既有網路架構中，裝置減少了，單點故障率自然也降低，唯一的缺點就是只能搭配Cisco的產品。
瀏覽器管理，精靈模式協助設定

Cisco IDS內建Web-based的IDM（IDS Device Manager）和IEV（IDS Event Viewer）管理軟體，利用瀏覽器就能管理IDS。管理者不必熟悉繁雜的命令列模式（Command Line Interface），只須透過簡單、直覺式的IDM圖形管理介面，就可以設定IDS。IDM的使用者介面也支援精靈模式，經過幾個步驟點選後，就能夠完成組態設定，大幅降低管理時間。利用預設的組態參數完成初步設定後，管理者可再使用直覺式下拉選單和對話方塊，進行IDS的細部調整，客製化所需的感測器功能，以因應各種環境威脅。

IDM能夠指定入侵特徵的安全層級，並依據各項安全層級設定回應動作。IDM並與Cisco Signature Micro-Engine（SME）相容，管理者可依需求客製化入侵特徵，並調整現有的入侵特徵，將誤報的發生率降到最低。

透過IEV，管理者輕鬆地從大量警告訊息擷取（data mining）出所需資料，隨時掌握網路上發生的事件。IEV也提供許多種範例，讓管理者從不同的觀點來檢視資料。

而且在感測器上就會自動判斷攻擊是否有效，並過濾沒有威脅性的攻擊，有效的攻擊才往後送到控制臺，不僅降低事件傳送率，也減低系統癱瘓的機率。
VMS做到管理all-in-one

為了完整管理SAFE環境，網路管理解決方案必須能夠管理所有SAFE架構內的元件，支援所有的裝置和軟體，所以推出CiscoWorks VPN/安全管理解決方案（VMS），可以用來管理VPN、防火牆及主機型和網路型入侵偵測系統。管理4種不同的裝置只要學1套管理系統，相信會比學4套來得容易。

VMS不只是管理安全基礎架構，還可以管理網路的基礎架構，能夠監控PIX防火牆和IOS系統日誌，以及IDS所傳送的事件和事件的關聯性，並且由同一個管理介面控制。

IDS感測器管理中心（Management Center for IDS Sensors）負責設定網路型IDS（IDS 4200系列）感測器，管理員可以利用這個模組定義感測器的層級架構（群組及次群組），再使用群組概況檔同時設定多臺感測器。

Cisco安全政策管理員（Cisco Secure Policy Manager）是Cisco Works VMS的元件之一，負責管理感測器的設定組態，可由遠端微調不同的參數設定。管理員可以根據不同的入侵特徵，設定不同的回應動作，包括TCP重設、阻斷（封鎖）及IP交談紀錄等。系統並可整合Cisco路由器、PIX防火牆及Catalyst 5000/6000交換器，只要偵測到網路上的非法活動時，就會自動執行回應，立即阻斷非法連結。

安全政策管理員收到警示訊息後，會立即以電子郵件或呼叫器通知管理者。除了使用內建的script範例外，企業也可以客製所需的script，以簡訊或語音等方式通知管理者。

IDS必須定期更新政策，才能提供有效的防護。以前的政策更新是採用被動式（push），雖然可以應用在已知的裝置上，但卻無法應用在未知位址（IP）的遠端裝置，或是沒有隨時運作的設備，必須由管理者手動更新每部遠端裝置。自動更新功能可以讓每部裝置定期聯繫更新伺服器，並下載最新的安全組態，輕鬆的更新多部裝置，對於需要部署許多遠端或局部裝置的企業，能夠更快、更容易的更新政策，而且確保所有政策的一致性。

網路設備除了安全防護功能，同時也負責網路的連接服務，所以必須擁有存取控制和認證等功能。Cisco採用集中式的身分存取控制（Centralized Role-Based Access Control，RBAC），讓VMS能夠與安全存取控制伺服器（ACS，Access Control Server）整合，方便使用者、管理者、裝置和應用程式都能使用共同的ACS登入，即使不同的群組，也都會有相對應的權限，可以說是具備擴充彈性的安全網路架構。

網路安全資料庫（NSDB，Network Security Database）是一套線上參考工具，能夠詳細說明攻擊類型，以及解決這些問題的各種方法，並連結至可用的修補程式（patches）。Cisco Countermeasure Research Team（C-CRT）團隊除了會不斷地開發新的安全弱點定義與探測方式，並負責維護NSDB，只要有新的漏洞和攻擊特徵，NSDB就會持續更新，讓企業在快速變遷的網路環境，仍能維持網路的安全性。
代理商協同防護企業網路

併購是企業擴大事業版圖最快的方法，像Cisco的主機型入侵偵測系統就是併購Okena而來，但在整個SAFE安全藍圖中，卻還缺了兩塊。其中一塊是防毒軟體，由於Cisco目前並沒有研發防毒軟體的計畫，所以在國內是與趨勢科技合作，協助企業建置防毒系統。另一塊則是弱點掃描系統，Cisco原先的弱點掃瞄系統已經停產，未來是否會推出新產品仍不可知，若企業有需求，國內的代理商則有提供相關的服務，以聚碩為例，他們是代理龍網科技的弱點掃描系統，目前正與Cisco防火牆進行整合。

Cisco IDS在報表方面只提供基本的工具，可以建立並檢視IDS監視到的網路活動，包含警告、來源、目的或摘要等，報表都是HTML格式，能夠透過電子郵件傳送給管理人員。企業若需要清楚又易懂的報表，或提出相關的建議措施，只能尋求其他報表軟體或代理商的協助。

Cisco的網路型IDS約有900多種攻擊特徵，大約每兩個星期會釋出新版本的特徵資料庫，並發出電子郵件通知客戶。若是與Cisco簽訂維護合約，則可以依照所給的帳號和密碼上網更新，另一種方式則是透過Cisco代理商更新，企業在選購時最好問清楚是否需要額外收費。文⊙陳世煌