网络与安全技术越来越密不可分。目前,许多机构都依赖计算机网络开展日常业务,有时候,网络甚至已经影响到企业能否生存。随着依赖程度的提高,数据被盗的成本逐渐升高,恶意代码和拒绝服务( DoS )攻击造成的危害也越来越大。事实上,计算机安全局( CSI )与圣弗朗西斯科联邦调查局( FBI )计算机入侵科所作的“ 2004 年计算机犯罪和安全调查”表明,美国大约每 20 秒种就发生一次计算机犯罪,去年给企业造成的损失高达 1.41 亿美元。
思科安全技术事业部 IOS 安全产品线经理 Charles Goldberg 说:“为抵御各种类型的攻击,并在网络遭到破坏之前就给予反击,必须将多种安全技术集成到网络中。”
计算机犯罪和数据被盗现象的快速增加是网络业转而使用分组加密,即高级加密标准( AES )的原因之一。例如, 2004 年 7 月,美国国家标准和技术局( NIST )认定,数据加密标准( DES ),也称为联邦信息处理标准( FIPS ) 46-3 已不足以保护政府信息。
IdleAire Technologies 公司的首席技术官和 Cisco 2800 系列路由器的客户 Jon Duren 。
NIST 已建议撤销 FIPS 46-3 ,只将其作为三重数据加密算法( TDEA )的组件。目前, NIST 建议采用更加有效的加密方法 AES ,也称为 FIPS-97 。 NIST 的影响遍及全球,其它国家通常引用 FIPS 标准。
与之相似,互联网工程任务组( IETF ) IP Security ( IPSec )工作组也正将标准 AES 作为默认的 IPSec 封装安全负载( ESP )密码。早期采用者,即政府和金融机构等对加密要求最高的机构已经开始转向AES。
思科最近推出的集成多业务路由器属于分支机构使用的接入设备,它将虚拟专用网( VPN )通道与内部 AES 、三重 DES 和 DES 加密加速处理(参见“安全、服务和速度 … 真棒!”一文)捆绑在一起,帮助各机构分段实施移植,并通过性能提高保证线速运行。这三种加密机制都可以与 IPSec VPN 一起使用。
这些分支和小型机构接入路由器将多种安全功能捆绑到了内部处理器和 Cisco IOS? Software 软件上,以便使集成网络安全不会降低网络性能。例如,除嵌入式加密外,还将另一种新的安全功能――内部入侵防护( IPS )集成到了思科接入路由器中,以便缩短恶意代码侵入网络造成的停机。
本文将详细分析新的加密方法和分层 IPS 对网络的防护作用。
加密技术的发展
目前,只有思科集成多业务路由器是通过硬件支持 AES 的。这些路由器包括 Cisco 1800 、 2800 和 3800 系列,均在主板上支持 AES 、三重 DES ( 3DES )和 DES 加密加速的任意组合。路由器在出厂时已预装加密方法和相应的 Cisco IOS Software 。
多模加密着眼于企业的未来,使企业能够以自己的步调(一年、五年甚至七年)移植到 AES ,从而有效保护了集成多业务路由器的投资。
思科端点设备,包括配有 VPN 加速模块( VAM )、 VPN 集中器和 PIX? 防火墙的 Cisco 7200 和 7300 系列路由器,均支持所有三种加密模式。思科路由器技术事业部安全产品线经理 Kevin Sullivan 说:“因此,企业可以先执行已经安装在分支机构内配备的集成多业务路由器中的算法,然后在适当的时候将远程站点升级为与 AES ‘对话'。”
从 Software 12.2 ( 13 ) T 开始,思科在 IOS Software 图像中提供 AES 。思科路由器同时支持 DES/3DES 和 AES 。
Sullivan 解释说:“例如,如果银行想从 DES 移植到 AES ,可以分多个阶段进行,例如在十月份将四个分行移植到 AES ,在十二月完成另外四家分行的移植。改造完成后,远程站点的硬件和软件将同时支持 AES 。另外,思科还修改了 IOS 的许可证发放方式,以便在同一个图像中免费提供 [DES/3DES 和 AES] ,简化移植过程。”
移植的方式和理由
AES 的加密功能更强,而且加密 / 解密的速度更快,尤其是对于较大的负载分组。与 DES 相似, AES 也属于块密码机制。块密码将数据(和加密密钥)分成多个块。如果想窃取数据,黑客必须对每个块执行多轮操作,破解出这些块的密钥,并将计算值链接到下一个块,重复执行前面的过程。 DES 支持 8 位块密码,加密密钥长度为 56 位。 AES 则支持 128 、 192 和 256 位块密码和加密密钥长度。
由于需要对每个块展开攻击,即需要发动多次攻击,因而增加了攻击的难度。三重 DES 对每个块执行三次 DES 。但是,基于 DES 的加密已经有 25 年的历史,人们已经对它有了足够的了解,很容易被黑客破解。事实上, 1998 年,有关单位还专门组织过密码破译大赛!(参见《纽约时报》上的相关文章: cisco.com/packet/164_6d1 。)
块密码不同于流密码算法(例如 RC4 )。流密码产生与数据流长度相同的密钥流,因此, 200 字节的数据将产生 200 字节的密钥流,由于数学操作相对简单,黑客可以比较容易地使用蛮力攻击和破解流密码。
除用户数据外,利用思科路由器,企业还可以用 3DES 和 DES ( AES 支持不久也将出台)对简单网络管理协议版本 3 ( SNMPv3 )消息进行加密。
SNMP 已列入 SANS 学院发布的“ 20 个最突出的互联网安全易损点”名单。 SANS 学院已经从事了 15 年的协作研究和教育,总部设在马里兰的百塞达,主要从事信息安全培训和认证。
SNMP 管理协议通常用于远程监控和配置 TCP/IP 设备,例如打印机、路由器、交换机以及无线接入点和桥接器。它包含 SNMP 管理站与网络设备软件代理之间的多种消息。这些交换活动有很多可被利用的易损点,尤其是 SNMPv1 和 SNMPv2 ,它们不对消息加密,并将默认的公共“社区字串”作为唯一的认证机制。在实际使用中,许多用户甚至因怕麻烦而不予以修改。的教导主任 Joshua Wright 说:“只要读 / 写 SNMP MIB ,就有可能使系统遭到破坏。只要有人接入,黑客就可以修改配置文件,并为所欲为。思科 Web 站点上就有相关的指导。”
学院建议使用 SNMPv3 ,即通过 SNMP 消息加密以及认证和授权降低这些风险。 NIST 认为, DES 已不足以提供有效的保护,因此, IETF 正在为 SNMPv3 标准编写 AES ,以加强保护。
Wright 说:“ AES 总体上好于 DES ,更易于保持路由器的稳定性。另外,它还有助于在性能问题更加突出的地方提高 SNMP 的吞吐量。”
Wright 指出,一段时间内, 3DES 仍然可以满足许多企业的安全要求,因此,企业大可不必受 NIST 决策的影响,在短期内纷纷转向 AES 。
Wright 继续说:“在路由器上执行 AES 能够建立未来保证。一旦 3DES 无法继续使用,企业将能够立即部署 AES 。”
电话保护
AES 还能保护思科新型集成多业务路由器中的 IP 电话。一级防御是为话音域提供访问控制。二级防御是在新型路由器的数字话音处理器和 Cisco IOS Software 12.3 ( 10 ) T 上提供保护,充分利用最初由思科开发,通过 AES 对话音会话加密的 IETF 标准安全实时传输协议( SRTP )。
Sullivan 解释说“利用这种方式, Cisco 2800 和 3800 系列路由器能够支持并保护 Cisco CallManager Express IP PBX 特性。”
SRTP 只对话音分组负载进行加密,而不添加加密标头。因此,加密过的话音分组几乎与 RTP 话音分组没有差别,不需要额外的分组操作就能支持服务质量( QoS )特性和压缩 RTP 。话音加密密钥针对每路通话产生,从而提高了安全保护水平。另外, SRTP 还能核实对电话加密的网关或 IP 电话的身份。
抵御恶意代码
捆绑到思科集成安全路由器系列后,将能够实时动态加载和支持思科 IDS 传感器支持的部分或所有 740 个签名。利用 Cisco IOS 动态入侵防御系统( IPS ),用户能够修改现有签名,创建新签名,有效消除新发现的威胁。
由于 Cisco IOS IPS 在内部操作,因此,每个签名都可以发送警报、丢弃分组或重设链接,使路由器能够立即对安全威胁作出反应。
利用其它功能,希望增强入侵防护能力的网络管理员还可以选择包含“最可能出现的”蠕虫和攻击签名的易于使用的签名文件。如果思科路由器认为这些“极有可能出现”的蠕虫和攻击签名与实际流量匹配,则自动丢弃这些流量。
思科路由器以及出厂时已加载到每台集成多业务路由器闪存中的 Security Device Manager ( SDM )提供了直观的用户界面,供用户执行签名操作。 SDM 不需要修改软件镜像就能动态上载 Cisco.com Web 站点中的新签名,并相应地针对这些签名完成路由器的配置。
思科产品和技术营销部安全营销经理 Bruce Johnson 说:“网络管理员不需要再重新加载整个 IOS 软件就能获得新签名。现在,他们可以动态加载和重加载。”
与路由器集成在一起的其它安全特性
?状态化防火墙?
路由器可以对每个应用实施过滤,使吞吐量性能符合 Cisco PIX? 防火墙的要求。通过配置,网络管理员还可以只允许合法流量在会话正在进行时进入 LAN 。另外, Cisco IOS Firewall 还支持 Cisco IOS Software 12.3 ( 7 ) T 及以上版本提供的透明防火墙,即无需对网络重新编号就能插入新防火墙。
?思科网络准入控制( NAC )
NAC 型思科路由器能自动检测试图接入内部网的客户机设备上是否安装了防病毒软件。如果发现客户机设备上未安装相应的软件, NAC 将根据企业的策略采取相应的行动。
?动态多点 VPN ( DMVPN )
DMVPN 利用零接触供应实现全方位安全连接。通过创建按需站点到站点 IPSec 通道, DMVPN 能够减少跳数和加密 / 加密数,从而减少带宽消耗,提高性能。
?话音、视频 VP
?N ( V 3