7月初,思科亮出了进军中国信息安全市场的SAFE战略。它的主要目标是为对其感兴趣的企业网用户提供有关设计和实施安全网络的最优策略。SAFE可作为正考虑其网络安全性要求的网络设计人员的指南。SAFE在网络安全设计方面采用了深入防御的方式,这类设计的重点在于预测出威胁及减轻威胁的方法,而不是简单地讨论某个环节的安全策略。从本期开始,本报将以连载的形式向读者介绍Cisco SAFE的主要思想。
一、体系结构概述
1. 设计原则
SAFE最大限度地模拟了当今企业网络的功能需求。实施决策取决于所需的网络功能,而以下按重要顺序列出的设计目标则是决策制订过程的指导准则。
● 安全性和基于政策的攻击缓解;
● 整个基础设施的安全实施(而非仅为具体安全设备);
● 安全性管理和报告;
● 对关键网络资源的用户和管理员验证与授权;
● 针对关键资源和子网的入侵检测;
● 对新兴联网应用的支持。
最重要的是,SAFE是一个安全体系结构,它必须防止大多数攻击,使其无法成功地影响重要网络资源。成功通过第一道防线或是来自于网络内部的攻击必须能得以准确发现并快速地将其对网络其余部分的影响减至最小。此外,在安全的同时,网络还必须能持续提供用户所期望的关键服务。适当的网络安全性和出色的网络功能可同时实现。SAFE并非一种设计网络的创新方式,而是使网络安全的一个发展蓝图。
2. 模块概念
尽管大多数企业网络随企业不断提高的IT要求而发展,SAFE体系结构使用了环保型的模块化方式。模块化方式有两种主要优势: 首先,它允许体系结构实现网络各功能块间的安全关系,其次,它让设计者可逐个模块地评估和实施安全性,而非试图在一个阶段就完成整个体系结构。
图1为SAEF的第一层模块。每块代表一个功能区域。互联网接入服务供应商(ISP)模块不由企业实施,而是用于提供ISP为缓解某些攻击而可能需要的特定安全功能。
第二层模块如图2所示,对每个功能区中的模块进行了展示,这些模块在网络中扮演特定角色,有特定的安全需求,但图中模块规模并不代表其在实际网络中的大小。
实际上大多数已有企业网络都不能轻而易举地划分为明确的模块,此方式仅是提供在网络中实施不同安全功能的指导。作者无意认为网络工程师会设计与SAFE完全一致的网络,而是认为网络工程师应综合使用所介绍的模块并将它们集成入已有网络。
3.SAFE准则
路由器目标
路由器的安全性是安全部署中的关键元素。路由器的职能就是提供接入,因此应保护它们,降低它们被直接破坏的可能性。用户可参考有关路由器安全性的文件,这些文件提供了有关下列方面的更多细节:
● 远程通信网到路由器的接入;
● 简单网络管理协议(SNMP)到路由器的接入;
● 通过使用终端接入控制器接入控制系统+(TACACS+)来控制到路由器的接入;
● 关闭不需要的服务;
● 以适当级别登录;
● 路由更新的验证。
交换机目标
和路由器一样,交换机(第二层和第三层)有自己的一套安全考虑。而与路由器不同的是,有关交换机安全风险及为减轻这些风险而应采取的措施的公开信息并不十分丰富。上一部分“路由器目标”中描述的大多数安全技术均适用于交换机。此外,用户还应采取以下预防措施:
● 无需中继的端口应将中继设置置于“关闭”而非“自动”。这可以防止主机成为中继端口而接收所有通常驻留于中继端口的信息流。
● 确保中继端口使用的虚拟LAN(VLAN)号不会在交换机中的其他地方使用。这可防止标记着与中继端口相同VLAN的分组无需穿过第三层设备就到达另一VLAN。
● 将交换机上所有未用端口设置为第三层连接的VLAN。最好禁用不需要的端口。这可以防止黑客插入未使用的端口而与网络其余部分通信。
● 避免将VLAN用作保护两个子网间接入的惟一方式。
主机目标
主机在攻击中最有可能成为目标,从安全角度来讲,也是最难保护的。众多的硬件平台、操作系统和应用均在不同的时间段有升级、补丁和修复。主机向提出请求的其他主机提供应用服务,它们在网络中是高度可视的。
出于上述安全问题等原因,主机也是可被最成功破坏的设备。为保护主机,就必须密切注意系统中的每个组件,使系统保持与最新补丁、修复等的同步。此外,要注意这些补丁对其他系统组件的运行有所影响,在对生产环境实施升级前,在测试系统上对其进行评估。如不这样做,补丁本身就可能导致拒绝服务(DoS)。
网络目标
最糟的攻击是无法中止的攻击。分布式拒绝服务(DDoS)正是这样一种攻击。
DDoS攻击的常见形式为ICMP信息流溢出、TCP SYN信息流溢出或UDP信息流溢出。在电子商务环境中,这类信息流易于分类。只有当在端口80(HTTP)上限制TCP SYN攻击时,管理员才会面临在攻击时排斥合法用户的风险。即使在那时,也最好暂时排除新合法用户,保留路由和管理连接,这也要优于让路由器过度运行而损失所有连接。
大多数成熟的攻击使用带ACK位集的端口80信息流,这样信息流看来像是合法Web事务处理。管理员不可能对这类攻击正确的分类,这是因为所认可的TCP通信正是允许进入网络的类型。
限制这类攻击的方法之一是遵循RFC 1918和RFC 2827中列出的指导。RFC 1918定义了保留专用且永远不应在公共互联网上看到的网络。对于与互联网相连的路由器上的输入信息流,可采用RFC 1918和2827过滤来防止未授权信息流进入公司网络。在ISP实施后,该过滤能防止DDoS 攻击使用这些地址作为流经WAN链路的源地址的信息包,从而在攻击期间潜在地节约了带宽。总之,如果全球的ISP均采取了RFC 2827中的指导措施,源地址电子欺骗就会大大减少。此策略并未直接防止DDoS攻击,而是防止这类攻击破坏其源地址,这就会使跟踪所攻击网络更方便。
应用目标
应用大多是由人编写的,因此易于发生众多错误。这些错误可能是轻微的――例如导致文件打印的一个错误,也可能是恶意的――例如使您信用卡号码经由异步FTP在数据库服务器上公布。入侵检测系统(IDS)旨在发现恶意问题,以及其他更常见的安全漏洞。入侵检测类似于现实世界中的报警系统。当IDS发现它认为是攻击的事物时,它可以自己采取校正行动,也可以通知管理系统,由管理员采取行动。部分系统或多或少地配置为可以响应并防止此类攻击。基于主机的入侵检测可通过截取单台主机上的OS和应用会话来工作。它也可通过本地记录文件事后分析来运行。前一种方式可更好地防止攻击,而后一种则起到较为被动的攻击响应作用。因为其作用特点不同,基于主机的IDS(HIDS)系统在防止特定攻击方面要好于网络IDS(NIDS),后者通常仅在发现攻击后发出一个报警。思科建议将这两种系统组合起来―关键主机上设置HIDS,整个网络采用NIDS来实现全面的入侵检测系统。
一旦部署,用户必须调整其IDS以提高效率、去除“伪报警”。“伪报警”是指由合法流量或行为引起的报警。“未报警”是IDS系统无法看到的攻击。调整IDS后就可更具体地针对其威胁减缓作用实行配置。如上所述,用户应配置HIDS来中止大多数主机级的有效威胁,因为它能很快地判断某些事件是否确实构成威胁。
安全管理和报告
从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。从其名称上就可看出,带外(ODB)是指无生产信息流驻留的网络。设备应尽可能地与这样一个网络建立直接本地连接,在无法实现的情况下,设备应经由生产网络上的一条专用加密隧道与其连接。这样的隧道应预先配置,仅在管理和报告所需的特定端口上通信。这一隧道也应锁定,以便适当的主机能启动和终止隧道。确保带外网络自身不会带来安全问题。
在实施完一个ODB管理网络后,记录和报告的处理变得更直接了。大多数联网设备可以发送系统日志数据,这些数据在对网络问题或安全威胁进行纠错时极为重要。将此数据发送到管理网络上的一台或多台系统日志分析主机。根据所涉及的设备的不同,用户可选择各种记录级别,以确保将正确数量的数据发送到记录设备中。用户也需要在分析软件中标记设备并记录数据以实现具体浏览和报告。IDS等专用应用通常使用自己的记录协议来传输报警信息。各不同来源的报警数据综合起来后,即可提供有关网络整体状态的信息。为确保记录信息彼此在时间上同步,主机和网络上的时间必须同步。对于支持网络时间协议(NTP)的设备来说,这种协议提供了一种确保所有设备上的时间均准确无误的方式。处理攻击时,误差不能为秒,这是因为确定特定攻击发生的顺序十分关键。
管理还指除记录和报告外,管理员对某一设备所执行的功能,这样就产生了其他问题和解决方案。在记录和报告方面,ODB网络允许信息传输保持在不易被干扰的受控环境中进行。此外,在可进行安全配置,如使用安全插接层(SSL)或安全壳程序(SSH)的情况下,最好使用安全配置。鉴于底层协议有自身的安全漏洞,应最为小心地处理SNMP。考虑经SNMP向设备提供只读接入,对SNMP公共串应给予与对待关键Unix主机上根口令一样的仔细注意程度。
配置变更管理是另一个与安全管理相关的问题。当一个网络处于攻击下,重要的是了解主要网络设备的状态以及所知道的最后一次修改发生的时间。为变更管理建立一个计划应是全面安全政策的一部分,至少要采用设备上的验证系统记录变更,并通过FTP或TFTP对配置归档。
二、企业模块
企业由两个功能区域组成: 园区网和边缘,这两个区域可进一步划分成模块,这些模块具体定义了每个区域的各种功能。
从威胁的角度来看,企业网络与大多数和互联网相连的网络一样,内部用户需要流出,外部用户需要接入。有几种常见威胁会引发黑客通过再次探索进一步
