“御敌千里之外”的安全构想
开篇:润墨网以专业的文秘视角,为您筛选了一篇“御敌千里之外”的安全构想范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
刘德舜
spcs有限公司IT技术服务部部长、资深安全顾问,曾任LogTel(美国)项目经理
世上没有绝对的信息安全,因为总是先有“魔”后有“道”。安全其实是一个“适度”的概念,广大“资深”入侵者正在研究并利用入侵检测的缺点,对网络进行新的一轮又一轮的攻击。
网络化时代的迅猛发展,大大带动了Intranet、Extranet、Internet“三网合一”的推广与应用,从最初的只有四台主机的RPANET,到今日的全球性的网络集合,网络的应用范围由最早的军事、国防,融入人类的生活,并迅速覆盖了全球的各个领域,运营性质也由科研、教育为主逐渐转向商业化。网络已成为政治、经济、文化、军事等各个领域不可缺少的基础建设项目,它穿越了信息产业,对全球的政治、经济和文化产生深远的影响。
足不出户购物、万水千山聊天、随时随地工作……这种改变人类生存模式的巨大冲击波,也让每一个身处信息社会的人们体会到了信息社会的便捷。
旧安全陷入两难
矛盾存在于一切事物的发展过程中,每一事物的发展过程中存在著自始至终的矛盾运动。
网络在给我门带来巨大益处的同时,由出于好奇、名利、商业盗窃等引起的网络入侵彼笔比比皆是,从70年代的菲裔黑客事件到近期美国黑客攻击政府网站的系列行为。从今年广州电子政务网络5月至7月接连发生的黑客入侵,到神秘黑客3次侵入施瓦辛格电脑下载数字文件,世界上平均每几十秒就有一起黑客入侵事件发生,无论是政府机构,还是各大银行、大公司,只要与互联网接轨,就难逃黑客的入侵。
随着入侵事件的日益猖獗,企业安全意识的逐步提高,目前相当一部分企业,尤其是大中型企业,已经设置了防火墙,并且制定了企业自己的安全策略或者安全制度。然而这些认为设置了防火墙,其企业就是安全的,这种思想是错误的。
信息安全的前沿阵地
正因如此,在网络世界里,人们开始了对入侵检测技术(IDS)的研究及开发。入侵检测技术驻扎在企业的网络门户,为企业网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。 入侵监测系统处于防火墙之后是对入侵行为的检测。入侵检测被认为是防火墙之后的第二道安全闸门。
入侵检测通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。换言之,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
传统的入侵检测过程分析分为三部分:信息收集、信息分析和结果处理。
・信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
・信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
・结果处理:控制台按照告警产生预先定义的响应采取相应措施,出现的 情况可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
入侵检测能在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击,以便能减少入侵攻击所造成的损失;在被入侵攻击后,检测人员收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力,甚至作为安全审计数据和法庭证据。
面临挑战的防御工程
入侵检测在一定时间内、一定程度上保护了网络安全,但随着入侵技术的不断增强,入侵检测正面临着巨大的挑战。
看看现在流行的网络安全技术的来源,也许让人们更加了然:对进出企业网的数据、人员进行规则限定派生出一个巨大的安全分支――防火墙;网络病毒的泛滥衍生出茁壮的反病毒产业;而黑客破解密码的轻易性,也迅速派生出一个增长迅速的领域――虚拟专网(VPN)。
同样的道理,黑客入侵的频繁让网络侦探――入侵检测系统(IDS)有了迅速的增长空间;黑客经常利用各种系统软件和应用软件存在的漏洞进行攻击,这让Scanner(一种漏洞扫描软件)的价值凸显。
入侵检测由于其技术本身造成的明显的缺陷,已为广大入侵者熟悉:
・被动防御的监听方式限制阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击,对于建立在UDP基础之上的入侵则无能为力;
・基于特征的入侵检测技术落伍。由于缺少信息管理,难于抵挡Canvas和MetaSploit等欺骗工具的攻击和渗透,采用不恰当的自动反应所造成的风险。
・入侵检测系统虽然可以很容易的与防火墙相结合,当发现有攻击行为时,过滤掉所有来自攻击者的IP的数据。但是,不恰当的反应很容易带来新的问题。一个典型的例子便是:攻击者假冒大量不同的IP进行模拟攻击,而IDS系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是便形成了新的拒绝访问攻击。
・误报与漏报率高于客户预期。有些IDS产品每天会产生大量的异常报告,其中绝大多数属于非攻击行为,需要具有相当专业水准的网络安全管理员进行甄别,有时甚至会给客户造成难于忍受的负担;
・对于检测主机形成依赖性。由于HIDS(基于主机的IDS)安装于检测主机之上,不仅消耗检测对象的部分资源,影响到被检测主机的效率,而且还必对不同的主机及其系统环境设计和安装各自的HIDS。
・对IDS自身的攻击。和其他系统一样,IDS本身也往往存在安全漏洞。如果查询Bugtraq的邮件列表,诸如Axent NetProwler,NFR,ISS Realsecure等知名产品都有漏洞被发觉出来。若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。
新安全构想
世上没有绝对的网络安全,因为总是先有“魔”后有“道”,安全是“适度的”,广大“资深”入侵者正在研究并利用入侵检测的缺点,对网络进行一轮又一轮的入侵。值得庆幸的是:世上万物终究是“魔高一尺、道高一丈”,一种新的由入侵检测技术演化而来的监视网络状况,并主动对入侵行为进行响应的技术――入侵防御技术(IPS)产生了。
IPS不仅仅是IDS的演化,它具备一定程度的智能处理功能,能实时阻截攻击。传统的IDS只能被动监视通信,这是通过跟踪交换机端口的信息包来实现的;而IPS则能实现在线监控,主动阻截和转发信息包。通过在线配置,IPS能基于策略设置舍弃信息包或中止连接;传统的IDS响应机制有限,如重设TCP连接或请求变更防火墙规则都存在诸多不足。
IPS倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除。
当前,成熟的入侵防御系统应该从以下几个部署:
一.实时的防御策略
为了保证高级别的安全性并减少攻击绕过主机安全策略的可能性,入侵防御系统的应用程序应该能中断核心态程序的执行。那种替换共享库或分析系统审核日志的解决方案能够很轻易地被攻击行为绕过(典型的例子是Windows 2000 Server的Unicode漏洞)。一个有效的入侵防御系统应该包含实时阻止暴力入侵机制,而不是在已经发生了入侵或系统破坏之后才被注意到。
二.全面的防御――在各个阶段防御攻击
为了加强公司的安全策略,入侵防御必须能够中断所有的应用程序和下层系统之间所有主要的通讯点。
三.企业级和级之间实时的相互协作
相互作用对于一个入侵防御技术来说是至关重要的。对于特征值不能匹配的攻击,之间的相互协作提高了防御的准确性。包含在应用程序行为的上下文中一系列事件之间的协作能够减少误报。
企业级的相互协作可以使用户灵活地调整安全策略的级别。通过分布式各事件之间的协作,入侵防御策略可能动态地备份恶意代码以阻止它的行为发生,这样可以防止向其他资源的扩散。
四.行为方法
入侵防御系统应该主动加强系统和应用程序的安全性,也就是说它的安全措施应该是积极主动的,而不是被动和交互式的。靠特征符号匹配的防御方式只能够检测出大部分已经发现的攻击模式,而那些没有被公布的漏洞,仍然有可能轻易地被黑客所利用。
五.集中的事件管理机制(集中管理)
为了能预报警和生成报告信息,通过产生的所有事件必须集中起来。设计时应考虑到系统能支持标准的警告界面。例如,SNMP、报告页面、E-mail、文件等。以便用户非常方便地通过系统界面操作整个系统。
六.具有灵活性,以满足不同客户的需求
不同的公司在配置和管理公司的系统和应用程序时是不一样的。应该考虑到入侵防御解决方案的灵活性,满足各种用户的需求,让用户能够修改和添加策略。入侵防御系统应该能自动产生策略以减轻手工配置策略的麻烦。
七.可管理性
为了能方便管理各种策略,在一个配置周期中所有的策略应该集中定义并自动地分配到各个中去。策略也应该能够输出以便重用或输出文档。
实践证明,单一功能的产品已不能满足客户的需求,安全产品的融合、协同、集中管理是网络安全重要的发展方向。一个“安全”的网络应该由入侵防御系统、防火墙、防病毒软件等共同来完成,在这一方面而言,入侵检测系统是整体安全技术的一个重要组成部分。
目前的入侵防御系统尚存在一些不足,但这并不会成为阻止人们使用IPS的理由,因为安全功能的融合是大势所趋,入侵防护顺应了这一潮流。作为信息安全工作者,应对各种安全产品,特别是战斗在前线的入侵防御产品进行更加完善的规划和部署,使入侵检测和防火墙等安全产品一样在网络信息安全体系中可以大显身手、相辅相成,惟有如此,才能使我们的 网络更加“相对安全”。