《采用入侵防御系统增强网络安全建议.doc》由会员分享,可在线阅读,更多相关《采用入侵防御系统增强网络安全建议.doc(26页珍藏版)》请在三一办公上搜索。
1、采用入侵防御系统增强网络安全建议目 录1.需求分析41.1权威研究报告指出系统入侵/渗透是目前最大的安全威胁41.2现有的安全架构无法应对系统入侵的新威胁41.3安全缺口在扩大61.4系统和网络安全面临的实际问题72.问题解决之道 采用IPS增强网络安全83.IPS部署方案设计93.1设计原则93.2IPS部署设计103.2.1总体部署方案103.2.2IPS的工作模式113.2.3安全防护设计133.2.4网络架构防护163.3网管设计193.3.1可靠性设计223.4合理化建议(拓展IPS和SMS功能) 问题端点隔离技术25图例图 1 权威调查揭示2/3的受访者认为系统渗透/入侵是面临的最
2、大安全威胁3图 2 现有的FW无法识别拦截应用层面攻击3图 3 攻击历史回顾提醒我们蠕虫的快速传播曾造成巨大损失3图 4 安全缺口在不断扩大3图 5 IPS提供主动和自动化的安全防护3图 6 IPS部署总体设计3图 7 灵活部署- 从核心到边界3图 8 TippingPoint IPS三大应用场景3图 9 IPS 部署 应用防护3图 10 虚拟软件补丁3图 11 IPS部署 网络架构防护3图 12 IPS部署- 性能防护3图 13 IPS安全管理设计3图 14 安全管理系统3图 15 SMS仪表板3图 16 本地安全管理系统3图 17 掉电旁路保护设备 - ZPHA3图 18 DMZ区IPS高
3、可靠性设计3图 19 内置系统故障旁路3图 20 双机冗余设计3图 21 IPS和SMS功能扩展 问题端点隔离功能31. 需求分析1.1 权威研究报告指出系统入侵/渗透是目前最大的安全威胁VanDyke Software 组织的一次广泛而具有影响力的调查显示,66% 的公司认为系统渗透是政府、组织和企业所面临的最大威胁。 该项调查还显示,被调查企业所经历的最为严重的八种威胁分别是:病毒(占 78%)、系统渗透(占 50%)、DoS (占 40%)、内部人员错误操作(占 29%)、电子欺诈(占 28%)、数据或网络故障(占 20%)以及内部人员的非法访问(占 16%)。 图 1 权威调查揭示2/
4、3的受访者认为系统渗透/入侵是面临的最大安全威胁1.2 现有的安全架构无法应对系统入侵的新威胁虽然在被调查的企业中,有 86% 已经部署了防火墙(老实说,相对于时代的发展和今天的大环境,这个数字低得让人无法接受),但很明显,防火墙面对很多入侵行为仍然无计可施。普通的防火墙设计旨在拒绝那些明显可疑的网络流量(例如,企业的安全策略完全禁止 Telnet 访问,但仍有某些用户试图通过 Telnet 访问某个设备),但仍允许某些流量通过(例如,发送到内部 Web 服务器的 Web 流量)。 图 2 现有的FW无法识别拦截应用层面攻击问题在于,很多攻击都会尝试利用那些外围防火墙允许通过的协议的漏洞,而且
5、,一旦 Web 服务器遭到攻击,攻击者会以此为跳板继续对其它内部服务器发起攻击。一旦服务器上被安装了“rootkit”或“后门”,那么黑客们就能够在未来的任何时间里“大摇大摆”地访问这台机器。 一般来说,我们仅将防火墙部署在网络外围。但很多攻击,无论是全球性攻击还是其它类型的攻击,往往都是从组织内部发起的。虚拟专用网、便携式计算机以及无线网络都能够接入到内部网络,而且经常会越过防火墙。入侵检测系统在检测可疑活动时可能很有效,但却不能提供对攻击的防护。臭名昭著的蠕虫(例如 Slammer 和 Blaster)都具有惊人的传播速度,当系统发出警报时,蠕虫实际上已经导致了损失,而且正在飞速地向外扩散
6、。图 3 攻击历史回顾提醒我们蠕虫的快速传播曾造成巨大损失1.3 安全缺口在扩大随之网络和应用的不断发展,安全的需求也在不断增长,而我们现有的安全能力却没有提高,造成安全缺口不断在扩大,如下图所示:图 4 安全缺口在不断扩大1.4 系统和网络安全面临的实际问题依靠现有的FW、IDS等安全设备,我们已经不能及时掌握网络和系统的安全状况,也无法及时拦截攻击和进行补救。下面是一些亟待解决的问题:1. FW、IDS已经不能保护应用安全,攻击能够穿透防火墙,比如SQL注入攻击,而我们不可能将SQL使用的TCP端口在防火墙上关闭,因为这样会将正常的SQL操作也阻断。这说明FW不能对数据流作深度分析,不能检
7、测到应用层面的攻击,仅起到访问控制的作用,而IDS虽然能够监测到攻击,但是却不能够及时自动的拦截攻击,需要大量的人工干预,效率较低。2. 网络中的设备和系统越来越多,同时,这些设备和系统使用的操作系统和应用软件存在的漏洞也不断被发现,应用层面的攻击正是利用了这些漏洞,比如,微软已经公布了很多Web 服务器软件 IIS和数据库软件 MS-SQL的系统漏洞,而这些系统被广泛采用,如何为这些设备和系统及时打补丁(修补漏洞)成为一件必须解决的问题。3. 来自于外部的攻击越来越多,而且发展成为零日攻击(Zero-day Attacks),加之黑客工具泛滥,如果存在漏洞的系统没有及时打补丁,则潜在被攻击的
8、可能性极大。4. P2P、IM、Game、流媒体等次要应用占用大量网络带宽而影响关键应用。5. 不清楚谁或者哪些设备在对我们的网站进行攻击。6. 针对上述威胁缺乏有效的、自动化的、高性能的解决方案,IT人员工作压力巨大。2. 问题解决之道 采用IPS增强网络安全FW不能检测应用层面的攻击,而IDS(入侵检测系统)虽能检测却不能及时、有效拦截攻击,所以我们需要一种既能够检测攻击,又能够拦截攻击的方案 入侵防御系统,部署在网络的关键位置。入侵防护系统完全是前瞻性的防御机制,它们的设计旨在对常规网络流量中的恶意数据包进行检测(这是目前的防火墙产品无法做到的)、阻止入侵活动、预先对攻击性的流量进行自动
9、拦截,使它们无法造成损失,而不是在传送恶意流量的同时或之后,简单地发出警报。图 5 IPS提供主动和自动化的安全防护网络使用者和管理员不再被下面这些麻烦所困扰:网络屡遭攻击后需要进行大量的清理工作但无法彻底清理干净而复发;需要在短时间内紧急为大量的服务器打补丁以避免危害面积扩大;泛滥的P2P、IM等“流氓”流量大量侵占了宝贵的带宽使得关键业务中断;DoS/DDoS攻击致使Internet通路堵塞并且导致关键服务器宕机。3. IPS部署方案设计3.1 设计原则设计遵循高安全性、高性能、高可靠性和易于管理兼顾的原则。在部署IPS时,需要考虑以下几点:1. 误报率和漏报率:这两个指标应该趋近于零,因
10、为误报较高必然影响正常业务,造成人为阻断,而漏报较高就会大大降低安全效能。一方面,根据目前系统的情况,作一些有针对性地模拟攻击测试来考察误报率和漏报率,另一方面,可以参考一些权威机构的评测报告,如NSS、ICSA。2. 攻击防护的广度:低误报率和漏报率保证了IPS的精度、但还必须能够防护可能多的攻击,根据CERT对今年的漏洞统计,一个好的IPS应该能够支持3000种上攻击,能够保护Windows、Unix/Linux等操作系统、Oracle、SQL等各种数据库、Web等应用软件漏洞。3. 性能考虑:由于IPS在线部署,我们还必须检验其吞吐能力和延时,而这里考察的条件是安全策略大部分都开启情况下
11、的应用层面的吞吐能力,而不仅仅是像测试路由器和交换机性能那样检查三层转发性能。部署在千兆链路上的IPS其7层处理能力不应该小于800Mbps(真实网络流量下),而处理延迟应该和千兆交换机相当,即150 200微妙之间。具体评测方法可以借助专业测试仪器并参考权威机构的评测方法和报告。4. 可靠性:虽然各厂商都声称自己的产品具有4个9甚至5个9的高可靠性,但是假定设备在某种情况下过载(CPU利用率超过90%、吞吐能力下降、处理延迟达到秒级),则设备本身需要具备某种自我检测机制,及时发现过载,超过某个阈值后自动将安全处理器短路,或者称为内置旁路功能。5. 安全研究能力和服务:上述考量关注产品的本身,
12、实际上还必须考察设备制造厂商的安全研究能力和服务水平,因为IPS最重要的是提供了一个专家系统并不断对攻击特征库进行更新。具有较强安全研究能力的厂商都拥有业界知名的专门的安全研究专家,建立一套完整的安全漏洞跟踪研究、攻击过滤器研发体系。除本公司的安全研究团队外,业界领先的厂商还创建了广泛招揽人才的公开安全研究组织。对产品的服务考察上,需要关注攻击特征库更新是否及时,是否能够防御零日攻击。特征的包的更新应自动完成,最好是利用内容发布网络(CDN)进行分发,并发送提醒邮件给安全管理人员,而更新的频率一周应至少一次。6. 易于管理:提供即插即用的配置功能,提供安全策略设置的缺省建议,即对数千个安全防护
13、规则按照安全风险级别给出设置建议。提供集中式网管,实现安全策略的集中定义和分发,支持安全规则的自动下载,更新和分发。支持丰富的日志、统计和报告功能。3.2 IPS部署设计3.2.1 总体部署方案如下图所示图 6 IPS部署总体设计3.2.2 IPS的工作模式TippingPoint IPS的设计遵循了一个很重要的原则:无缝部署。基于这个原则,无论对已经建成的网络,还是正在建设中的网络,都可以很容易地将TippingPoint IPS嵌入进任何部分,并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看,TippingPoint IPS就好像一根智能的线,这根智能的线却从根本上解决了困扰网络
14、的安全问题。图 7 灵活部署- 从核心到边界这样的无缝部署主要体现在以下方面:l 嵌入式部署(in-line)模型保证最简化的部署步骤,而不需要进行交换机镜像等复杂的配置,更不需要更改网络拓扑。l 检测接口不需要IP地址,也不需要MAC地址,一旦接入网络,立刻开始保护网络;同时保证自身对攻击源是隐身的,增强整网的安全性。l 高性能、低时延使得TippingPoint IPS无论被部署在网络核心还是边缘,都可以提供线速的精确检测和实时阻断能力,对网络业务的效率没有任何的损伤。同时,流量限制能力保证关键应用的优先级。l 提供攻击过滤器的推荐配置,实现了即插即用,经过精心分析、调试、验证的数字疫苗可
15、以在不经任何调整的情况下正常工作,无需任何调整即可抵御已知的网络威胁,堪称专家系统。3.2.3 安全防护设计得益于我们独到的和技术领先的硬件和过滤器家族,我们能够提供以下三个主要的安全防护: 应用防护 网络架构防护 性能防护图 8 TippingPoint IPS三大应用场景3.2.3.1 应用防护TippingPoint IPS的一大应用是部署在数据中心和DMZ前,一旦IPS在线工作,对关键业务和应用的安全防护将得到显著增强。图 9 IPS 部署 应用防护IPS最核心的功能就是保护各种应用系统,比如Web 服务、数据库、邮件系统、存储系统,以及Windows、Unix/Linux等各种操作系
16、统。由于各种系统存在弱点和漏洞,而攻击正是针对这些漏洞的探测和利用行为,IPS必须能够保护这些弱点/漏洞。TippingPoint的IPS提供虚拟软件补丁功能:IT部门承担着测试、部署补丁,防御零日攻击的重任,也承担了极大压力。TippingPoint的IPS虚拟软件补丁采用了漏洞防护过滤器技术,能够对数据流进行深度检测以发现攻击并具有极高的精准性,即使其保护的服务器没有打补丁也不会被攻击,同时保证调用存在漏洞进程的正常业务运行。目前的版本提供1200个漏洞过滤器,能够保护Windows、Unix/Linux等操作系统、Oracle、SQL等各种数据库、Web等应用软件漏洞。图 10 虚拟软件
17、补丁针对局机关政务公开网站、网上业务系统、邮件等各种Web和应用服务器较多的特点,我们还提供增强的SQL 注入攻击、PHP Include攻击和XSS跨站脚本攻击防御服务,防止主页被篡改,数据库数据被破坏。 SQL 注入 跨站脚本 PHP 文件包含.SQL 注入攻击防御:SQL注入是利用web站点的弱点来攻击后端数据库的攻击,所以我们会在安全策略执行点对HTTP请求中有关SQL语句的语法和参数进行检查,及时发现恶意的SQL请求,并在策略策略执行点立即将其拦截。目前可以提供100多种SQL注入拦截手段。PHP include 攻击防御:现在很多论坛和网站都使用PHP程序开发的,而由于PHP漏洞的
18、问题,面临PHP include各种攻击的威胁。如果漏洞被利用,攻击者能够讲恶意的PHP 。代码强行插入到被攻击的PHP应用里。我们能够提供防护各种针对php软件(如,phpBB、PHPNuke,MyPHP、Claroline、Cacti PHP)的PHP include 攻击。跨站脚本攻击防御:Web服务安全另一大威胁是跨站脚本攻击 XSS/CSS (Cross Site Script) attack。它利用网页及cookies漏洞,攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。比如通过跨站构造一个表单,表
19、单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。开放Web软件安全计划(Open Web Application Security Project,OWASP)甚至将其列为2007年Web安全威胁之首。XSS攻击的一个典型案例是PDF阅读器Adobe Acrobat Reader上的跨站脚本攻击。我们目前提供防御30多种XSS攻击的服务。3.2.4 网络架构防护一方面,构成网络基础的路由器、交换机、防火墙等设备本身的操作系统也被发现存在弱点/漏洞,所以IPS必须能够识别和拦截这些针对网络设备本身漏洞的攻击。另一方面,DDoS攻击会产生大量和正常应用一样的攻击流量,这可能导致路由
20、器、交换机、防火墙因过载而瘫痪,进而造成网络阻断,网上应用也随即中断,所以IPS应该具有一定的DDoS防护功能。图 11 IPS部署 网络架构防护当需要对网络架构进行防护时,IPS可以部署在网络边界、核心、主要网段,以及远程分支/办公室的关键网络上,如上图所示。3.2.4.1 性能防护网络上有各种应用,这其中也包括是用次要的,或者业务管理策略不允许的应用,如点对点文档共享 (P2P)应用或即使消息软件 (IM)。IPS的性能保护功能就是保护网络带宽及主机性能,阻断或者限制应用程序占用网络或者系统资源,防止网络链路拥塞导致关键应用程序数据将无法在网络上传输。P2P就是允许大量用户之间直接互连进行
21、信息共享,而不是像过去那样都必须连接到服务器去进行信息交换和共享,所以P2P重要特点是改变互联网现在的以大网站为中心的状态、采用分布式的架构进行信息发布、共享和存储。P2P应用给网络带来的问题主要有两个,第一,P2P应用实现大量用户的文件共享,用户越多建立的连接就越多,而且每个人既是客户端又是服务器,即同时进行下载和上传,所以对网络带宽占用很大,必然影响到邮件、在线交易,网络视频等关键应用;第二,P2P采用UDP端点交换信息、传送数据,而且采用了NAT穿透技术,所以用FW很难控制P2P应用,而这可能成为机密信息泄漏的便捷通道。图 12 IPS部署- 性能防护作性能防护时,IPS一般部署在网络边
22、界、主要网段和远程办公室的关键路径上。3.3 网管设计图 13 IPS安全管理设计如上图所示,在数据中心部署一台TippingPoint 安全管理系统(SMS)管理全部35台IPS,一台SMS能够管理100台以上设备,缺省配置管理25台设备的license,本次需要增加管理10台设备的额外license。SMS管理IPS采用带外管理方式,即通过IPS专用的管理口(以太网),如上图中虚线所示,因为IPS的业务端口是透明的,没有任何IP地址。本次需要为SMS和这些IPS分配专用的管理IP地址,而且在路由上要保证SMS到各IPS可达,并且在相关FW和路由器上放开SMS和IPS通信使用的IP和TCP/
23、UDP端口,具体配置请参照SMS和IPS用户手册。TippingPoint IPS解决方案提供三种管理方式:l SMS Security Management System,面向规模部署的综合管理中心l LSM Local Security Manager,面向独立部署的嵌入式管理软件l CLI Command Line Interface,面向专业用户的命令行管理工具图 14 安全管理系统TippingPoint SMS是为管理IPS集群而专门开发的管理系统软件,它预装在1U的高性能服务器中交付用户使用。一台SMS能够管理很多台IPS,其主要任务是发现、监控、配置和诊断在网络中部署的IPS设
24、备,同时为管理员生成详细的报表,以支撑网络安全状况的评估和诊断。SMS管理系统基于安全Java技术开发,整个SMS管理体系由以下三部分构成:l 安全的Java的客户端l SMS服务器l 被管理的IPS集群SMS管理体系可以提供:l IPS设备清单和运行状况报表l 数字疫苗自动下载和分发l 攻击拦截统计l 安全趋势报表l 实时流量分析与图形报表l 网络主机与服务统计报表SMS中的一个非常有用的部件是仪表板,如下图所示:网络架构管理性能管理应用管理图 15 SMS仪表板借助以上这些全景式的分析功能,网络的安全状况管理不再是令管理员头痛的问题:在全景式分析报表中,管理员可以轻松的看到所有IPS当前的
25、性能状况报包括告警事件更新和需要关注的潜在问题。TippingPoint 随机提供本地安全管理器(LSM)和命令行接口(CLI)。在基于Web的安全而易用的管理介面上,用户能够完成各项管理、配置、监控和基本报表任务。图 16 本地安全管理系统3.3.1 可靠性设计TippingPoint IPS 具有极高的可靠性,其被设计成在网络出错、设备自身故障、甚至完全掉电的情况下,仍然能够保证流量以线速通过的高可靠设备。l 物理级保护和掉电事故保护按照电信级标准设计的TippingPoint IPS采用冗余电源供电,并且支持在线更换。图 17 掉电旁路保护设备 - ZPHA掉电保护设备ZPHA(Zero
26、 Power High Availability)是TippingPoint IPS的辅助设备。该设备可以在IPS电源全部实效的情况下,自动旁路IPS,直接转发流量;当SMS监测到IPS掉电并发出告警、管理员恢复电源供给后,ZPHA又会自动禁止旁路功能令流量将再度流经IPS接受检测。冗余电源和ZPHA可以保证被IPS保护的网络不会因为引入IPS而出现物理级的单点故障。按照本次招标的要求,我们为DMZ区的IPS(A01-01)配备了ZPHA,如下图所示:图 18 DMZ区IPS高可靠性设计l 系统软件故障保护图 19 内置系统故障旁路内置的监测模块持续地监测IPS的安全和管理引擎,一旦探测到系统
27、故障,IPS能自动地,或者由管理员干预,回退成一个简单的二层交换设备,网络流量将在两个接口之间直接被转发。回退能够按IPS的物理网段设定,即出现问题的网段回退,其他网段继续工作。l 状态同步的网络冗余图 20 双机冗余设计TippingPoint IPS设备支持冗余部署。互为备份的一对IPS即可以工作在主备(Active/Passive)模式,也可以工作在负载分单(Active/Active)模式。由于TippingPoint IPS相当于网络中一条透明的安全连接,其没有IP地址,也不参与任何路由协议,所以不影响冗余协议如VRRP、OSPF、HSRP等,也不需要改变现有的网络冗余设计。冗余部署
28、的IPS之间采用专用的加密协议同步攻击拦截数据,当网络切换时仍然能够维持攻击防御。3.4 合理化建议(拓展IPS和SMS功能) 问题端点隔离技术无需不增加软件和硬件配置,以及额外的lisence,利用TippingPoint的IPS和SMS可以提供问题端点定位和隔离功能,如下图所示:图 21 IPS和SMS功能扩展 问题端点隔离功能通常IPS只拦截恶意的数据流(根据IP、协议和TCP/UDP端口),无法定为攻击源,比如,蠕虫传播的问题端点在局域网中的位置,为了解决这一问题,TippingPoint拓展了IPS和SMS的功能,通过和局域网交换机的互动,实现对问题端点的定位。隔离保护为局域网安全提供了一套全新的解决方案。通过将IPS的保护能力拓展到每个端点,TippingPoint隔离方案防御来自内网的威胁和阻断步入蠕虫传播,然后和交换机进行互动将发起攻击的端点隔离到补救VLAN以防止网络传播。不像繁琐的基于端点的解决方案仅在Windows主机上检查端点配置,TippingPoint隔离保护技术提供了一个无客户端的解决方案,其能够持续地监视所有端点的行为,立刻自动消除局域网上的安全威胁。建议您对该增值功能进行评估。
