“御敌千里之外”的安全构想

“御敌千里之外”的安全构想 “御敌千里之外”的安全构想 '' 新视点.新安全.NEW SECURITY 御敌千里之外"的安全构想 世上没有绝对的信息安全,因为总是先有"魔"后有"道".安全其实是一 个"适度"的概念,广大"资深"入侵者正在研究并利用入侵检测的缺点,对 网络进行新的一轮又一轮的攻击. 网络化时代的迅猛发展,大大带动了 Intranet,Extranet,Intemet"三网合一" 的推广与应用,从最初的只有四台主机的 RPANET,到今Ft的全球性的网络集合, 网络的应用范围由最早的军事,国防,融 入人类的生活,并迅速覆盖了全球的各个 领域,运营性质也由科研,教育为主逐渐 转向商业化.网络已成为政治,经济,文 化,军事等各个领域不可缺少的基础建设 项目,它穿越了信息产业,对全球的政治, 经济和文化产生深远的影响. 足不出户购物,万水千山聊天,随时 随地工作„一这种改变人类生存模式的巨 大冲击波,也让每一个身处信息社会的人 们体会到了信息社会的便捷. 旧安全陷入两难 矛盾存在于一切事物的发展过程中, 每一事物的发展过程中存在着自始至终的 矛盾运动. 网络在给我门带来巨大益处的同时, 由出于好奇,名利,商业盗窃等引起的网 络入侵彼笔比比皆是,从70年代的菲裔黑 客事件到近期美国黑客攻击政府网站的系 列行为.从今年广州电子政务网络5月至 7月接连发生的黑客入侵,到神秘黑客3次 侵入施瓦辛格电脑下载数字文件,世界上 平均每几十秒就有一起黑客入侵事件发 生,无论是政府机构,还是各大银行,大 公司,只要与互联网接轨,就难逃黑客的 入侵. 随着入侵事件的日益猖獗,企业安全 意识的逐步提高,目前相当一部分企业, 尤其是大中型企业,已经设置了防火墙, 并且制定了企业自己的安全策略或者安全 .然而这些认为设置了防火墙,其企 业就是安全的,这种思想是错误的. 信息安全的前沿阵地 正因如此,在网络世界里,人们开始 了对入侵检测技术(IDS)的研究及开发. 入侵检测技术驻扎在企业的网络门户,为 企业网络提供实时的监控,并且在发现入 侵的初期采取相应的防护手段.入侵监测 系统处于防火墙之后是对入侵行为的检 spcs有限公司IT审计部部长刘德舜 测.入侵检测被认为是防火墙之后的第二 道安全闸门. 入侵检测通过对行为,安全日志或审 计数据或其它网络上可以获得的信息进行 操作,检测到对系统的闯入或闯入的企 图.换言之,入侵检测技术是为保证计算 机系统的安全而与配置的一种能够及 时发现并系统中未授权或异常现象的 技术,是一种用于检测计算机网络中违反 安全策略行为的技术. 传统的入侵检测过程分为三部 分:信息收集,信息分析和结果处理. ? 信息收集:入侵检测的第一步是信 息收集,收集内容包括系统,网络,数据 及用户活动的状态和行为.由放置在不同 网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件,网络流量, 非正常的目录和文件改变,非正常的程序 执行. ? 信息分析:收集到的有关系统,网 络,数据及用户活动的状态和行为等信 息,被送到检测引擎,检测引擎驻留在传 感器中,一般通过三种技术手段进行分 柝模式匹配,统计分析和完整性分析.当 检测到某种误用模式时,产生一个告警并 发送给控制台. ? 结果处理:控制台按照告警产生预 先定义的响应采取相应措施,出现的 情况可以是重新配置路由器或防火墙,终 止进程,切断连接,改变文件属性,也可 以只是简单的告警. 入侵检测能在入侵攻击对系统发生危 软件世界2006.10.5I59 一EW.新安全.新视点 SECURITY 随着中国计算机网络环境的日益复杂.病毒,黑客,垃圾邮件等频繁的信息攻击正 迫使安全从业者寻找新的防护之策 害前,检测到入侵攻击,并利用报警与防 护系统驱逐入侵攻击,以便能减少入侵攻 击所造成的损失;在被入侵攻击后,检测 人员收集入侵攻击的相关信息,作为防范 系统的知识,添加入知识库内,以增强系 统的防范能力,甚至作为安全审计数据和 法庭证据. 面临挑战的防御工程 入侵检测在一定时间内,一定程度上 保护了网络安全,但随着入侵技术的不断 增强,入侵检测正面临着巨大的挑战. 看看现在流行的网络安全技术的来 源,也许让人们更加了然:对进出企业网 的数据,人员进行规则限定派生出一个巨 大的安全分支——防火墙;网络病毒的泛 滥衍生出茁壮的反病毒产业;而黑客破解 密码的轻易性,也迅速派生出一个增长迅 速的领域——虚拟专网(VPN). 60I软件世界2006.10.5 同样的道理,黑客入侵的频繁让网络 侦探一入侵检测系统(IDS)有了迅速的增 长空间;黑客经常利用各种系统软件和应 用软件存在的漏洞进行攻击,这让Scanner (一种漏洞扫描软件)的价值凸显. 入侵检测由于其技术本身造成的明显 的缺陷,已为广大入侵者熟悉: ? 被动防御的监听方式限制阻断.目 前IDS只能靠发阻断数据包来阻断建立在 TCP基础上的攻击,对于建立在UDP基 础之上的入侵则无能为力; ? 基于特征的入侵检测技术落伍.由 于缺少信息管理,难于抵挡Canvas和 MetaSploit等欺骗工具的攻击和渗透,采 用不恰当的自动反应所造成的风险. ? 入侵检测系统虽然可以很容易的与 防火墙相结合,当发现有攻击行为时,过 滤掉所有来自攻击者的lP的数据.但是,不 恰当的反应很容易带来新的问题.一个典 型的例子便是:攻击者假冒大量不同的IP 进行模拟攻击,而IDS系统自动配置防火 墙将这些实际上并没有进行任何攻击的地 址都过滤掉,于是便形成了新的拒绝访问 攻击. ? 误报与漏报率高于客户预期.有些 IDS产品每天会产生大量的异常报告,其 中绝大多数属于非攻击行为,需要具有相 当专业水准的网络安全管理员进行甄别, 有时甚至会给客户造成难于忍受的负挹 ? 对于检测主机形成依赖性.由于 HIDS(基于主机的IDS)安装于检测主机之 上,不仅消耗检测对象的部分资源,影响 到被检测主机的效率,而且还必须针对不 同的主机及其系统环境设计和安装各自的 HIDS. ? 对IDs自身的攻击.和其他系统一 样,IDS本身也往往存在安全漏洞.如果 查询Bugtraq的邮件列表,诸如Axent NetProwler,NFR,ISSRealsecure等知名 产品都有漏洞被发觉出来.若对IDS攻击 成功,则直接导致其报警失灵,入侵者在 其后所作的行为将无法被记录. 新安全构想 世上没有绝对的网络安全,因为总是 先有"魔"后有"道",安全是"适度的", 广大"资深"入侵者正在研究并利用入侵 检测的缺点,对网络进行一轮又一轮的入 侵.值得庆幸的是:世上万物终究是"魔高 一 尺,道高一丈",一种新的由入侵检测技 术演化而来的监视网络状况,并主动对入 侵行为进行响应的技术——入侵防御技术 (IPS)产生了. IPS不仅仅是IDS的演化,它具备一定 程度的智能处理功能,能实时阻截攻击. 传统的IDS只能被动监视通信,这是通过 跟踪交换机端口的信息包来实现的;而 IPS则能实现在线监控,主动阻截和转发 信息包.通过在线配置,IPS~,基于策略设 置舍弃信息包或中止连接;传统的IDS响 砬机制有限,如重设TCP连接或请求变更 防火墙规则都存在诸多不足. IPS倾向于提供主动防护,其设计宗 旨是预先对入侵活动和攻击性网络流量进 行拦截,避免其造成损失,而不是简单地 在恶意流量传送时或传送后才发出警报. IPS是通过直接嵌入到网络流量中实现这 一 功能的,即通过一个网络端口接收来自 外部系统的流量,经过检查确认其中不包 含异常活动或可疑内容后,再通过另外一 个端口将它传送到内部系统中.这样一 来,有问题的数据包,以及所有来自同一 数据流的后续数据包,都能在IPS设备 中被清除. 当前,成熟的入侵防御系统应该从以 下几个部署: 一 . 实时的防御策略 为了保证高级别的安全性并减少攻击 绕过主机安全策略的可能性,入侵防御系 统的应用程序应该能中断核心态程序的执 行.那种替换共享库或分析系统审核日志 的解决能够很轻易地被攻击行为绕过 (典型的例子是Windows2000Server的 Unicode漏洞).一个有效的入侵防御系统 应该包含实时阻止暴力入侵机制,而不是 在已经发生了入侵或系统破坏之后才被注 意到. 二.全面的防御——在各个阶段防御 攻击 为了加强公司的安全策略,入侵防御 必须能够中断所有的应用程序和下层系统 之间所有主要的通讯点. 三.企业级和代理级之间实时的相互 协作 相互作用对于一个入侵防御技术来说 是至关重要的.对于特征值不能匹配的攻 击,代理之间的相互协作提高了防御的准 确性.包含在应用程序行为的上下文中一 系列事件之间的协作能够减少误报. 企业级的相互协作可以使用户灵活地 调整安全策略的级别.通过分布式代理各 事件之间的协作,入侵防御策略可能动态 地备份恶意代码以阻止它的行为发生,这 样可以防止向其他资源的扩散. 四.行为方法 入侵防御系统应该主动加强系统和应 用程序的安全性,也就是说它的安全措施 应该是积极主动的,而不是被动和交互式 的.靠特征符号匹配的防御方式只能够检 测出大部分已经发现的攻击模式,而那些 没有被公布的漏洞,仍然有可能轻易地被 黑客所利用. 五.集中的事件管理机制(集中管理) 为了能预报警和生成报告信息,通过 代理产生的所有事件必须集中起来.设计 时应考虑到系统能支持标准的警告界面. 例如,SNMP,报告页面,E-mail,文件 等.以便用户非常方便地通过系统界面操 作整个系统. 六.具有灵活性,以满足不同客户的 需求 不同的公司在配置和管理公司的系统 和应用程序时是不一样的.应该考虑到入 侵防御解决方案的灵活性,满足各种用户 新视点.新安全.NEW SECURITY 的需求,让用户能够修改和添加策略.入 侵防御系统应该能自动产生策略以减轻手 工配置策略的麻烦. 七.可管理性 为了能方便管理各种策略,在一个配 置周期中所有的策略应该集中定义并自动 地分配到各个代理中去.策略也应该能够 输出以便重用或输出文档. 实践证明,单一功能的产品已不能满 足客户的需求,安全产品的融合,协同,集 中管理是网络安全重要的发展方向.一个 "安全"的网络应该由入侵防御系统,防火 墙,防病毒软件等共同来完成,在这一方 面而言,入侵检测系统是整体安全技术的 一 个重要组成部分. 目前的入侵防御系统尚存在一些不 足,但这并不会成为阻止人们使用IPS的 理由,因为安全功能的融合是大势所趋, 入侵防护顺应了这一潮流.作为信息安全 工作者,应对各种安全产品,特别是战斗 在前线的入侵防御产品进行更加完善的规 划和部署,使入侵检测和防火墙等安全产 品一样在网络信息安全体系中可以大显身 手,相辅相成,惟有如此,才能使我们的 网络更加"相对安全".霸 软件世界2006.10.5l61