江苏电信IP网自1996年5月份正式对社会开放以来,用户发展迅速,截至2001年11月底,接入用户数达到了323万。为了满足用户持续快速发展的需要,我们的网络经历了大大小小数次扩容,规模不断扩大,目前省内骨干网总带宽达90G,出省带宽10G。
随着网络的发展,我们面临的网络滥用和攻击等安全事件越来越多,并且攻击者采用的手段也越来越复杂多样。在江苏电信IP网发展的初期,我们主要是通过加固主机系统来提高安全性,当然仅靠技术人员手工检查、分析、跟踪是远远不够的。1999年二期扩容工程中,增加了防火墙、一次性口令认证系统、安全扫描器等。但是总的来说,采用的技术手段及部署范围仍比较有限。2001年,江苏电信IP网组织实施了三期扩容,并把网络安全作为重要部分独立实施。
电信IP网面临的主要安全问题
目前,我们还没有手段可以较全面地收集和统计IP网上形形色色的网络滥用和攻击。从我们日常碰到和处理的问题来看,主要有几个方面:
网上存在大量的端口扫描试探、发送垃圾邮件等网络滥用行为;
发现部分主机由于未及时安装补丁程序或设置不当或口令强度不够等原因而被黑客入侵,并被安装后门程序;
拒绝服务攻击发生频率不高,但一般影响较大;
蠕虫病毒传播和泛滥,如红色代码、尼姆达等,危害不可小视。
安全防范的范围和原则
作为网络运营商,由于用户众多,我们的主要精力还是考虑如何尽可能地保护由江苏电信负责维护管理、对外提供服务的网络设备和主机系统,同时对一些重要的网络安全问题,我们也尽力通知用户,并帮助解决。
在解决安全问题时,我们注意遵循安全、效率及易用性兼顾的原则。安全的目标是为了保证业务的连续性,保证数据的完整性、保密性和可用性。但是安全、效率及易用性常常是矛盾的,实施过于复杂的安全措施一方面会造成效率的下降,另一方面对人员素质的要求也会增加,而人员的培训和成长需要过程,因此需要均衡,使得既能达到安全目标的最低要求,又能不对效率产生显著影响,操作使用上不过于繁琐。
同时,我们还本着节约的原则。加强安全必然带来成本的增加,这既包括产品的采购、升级、服务费用,也包括管理成本。我们在资金和人力上的投入应该和被保护的资产价值相适应,在考虑采取什么样的措施保护哪些对象的时候,我们主要考虑被保护对象的重要性、威胁发生的可能性及可能产生的后果,然后选用适当的技术措施以达到可以接受的安全等级。
主要技术措施
目前,江苏电信IP网已初步建立了一套网络安全技术防御体系,从保护对象上看,重点是针对认证计费系统、网管系统、集中邮件系统,同时还包括DNS服务器和WWW服务器,对于接入服务器、路由器、交换机等,则主要通过合理设置来提高安全性;从功能上看,主要包括六个系统:一次性口令认证系统,防火墙系统,主机访问控制系统,安全扫描系统,集中日志管理系统,入侵检测系统等。
一次性口令认证系统
好的口令是网络安全中最简单和最重要的部分,据CERT估计,约80%的网络安全问题是由于不良的口令所造成的。而我们的管理员管理着众多的网络设备和主机系统,在日常工作中需要经常登录进行维护,即使管理员的口令设置符合安全性的原则,但是仍存在口令在一个更改周期内反复使用的问题,而在telnet过程中,用户名、口令以明文方式在网上传送,因而时刻面临着被窃听的威胁。为此,我们选用了ACE Server及SecurID构筑一次性口令认证系统,它提供了一种较为强壮的集中式、双要素的认证方案。也就是说,用户在登录时,不仅要知道PIN码,还要有口令牌。口令牌上的口令每分钟改变一次,这样有效地减少了口令丢失、泄露所带来的危害。
一次性口令认证系统的实现方案如下:
1、ACE Server配备实施异地备份,一主一备,防止单点故障。
2、使用范围包括路由器、核心局域网交换机及集中邮件系统、认证计费系统、WWW服务器、DNS服务器。其中路由器、交换机采用Radius认证方式,与ACE Server配合实现一次性口令认证。
防火墙
防火墙是安全系统的重要组成部分。我们在省中心部署了CheckPoint Firewall-1和NetScreen-1000硬件防火墙,禁止普通用户从Internet访问我们的网管网,但网管网可通过防火墙访问Internet以进行软件升级等操作;同时对进出邮件系统的数据流量进行检查、过滤,保证邮件系统的安全性。
主机访问控制系统
在一个基本的UNIX和Windows NT系统中,超级用户具有对系统无限大的访问权限,可全面访问应用软件、数据和审计记录。这样可能会造成:
1、一旦超级用户权限被网络攻击者取得,系统可被完全控制,并且可以轻松地掩盖痕迹。
2、掌握超级用户权限的用户可能由于误操作等原因破坏操作系统和应用软件的一些关键配置和属性。
基于此,我们在全省认证计费系统、集中电子邮件服务系统和省中心DNS服务器上部署了CA公司的eTrust Access Control。eTrust Access Control是一种主机安全保护软件,eTrust Access Control在加强对用户口令及违反安全策略的管理、细化对文件的访问控制的同时,能限制超级用户的权限,保护主机资源的安全。
安全扫描系统
对于一个大型网络来说,由于涉及网络设备和主机系统众多,并且经常需要调整修改配置,必须具备一种方便、快捷的手段帮助安全员全面地、动态地进行弱点评估,掌握网络系统存在哪些安全漏洞,以进行修补,提高自身免疫力。而安全扫描软件无疑是一个较好的工具,它不仅可以弥补安全员在安全知识和经验上的不足,还可以有效缩短漏洞发现时间,减少攻击成功的可能性。我们选用了Internet Scanner,它通过对网络安全弱点的检测与分析,发现存在的安全漏洞,做出安全评估,并能提出相应的改进建议。网络扫描器可将风险分为高、中、低三个等级,并且根据不同的需要生成报表,从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
集中日志管理系统
网络设备和主机系统的日志可以帮助管理员监控和分析合法用户的越权行为和可疑行为以及非法用户的访问尝试等行为。然而,这些日志一般分散存放在各个设备上,采用覆盖方式存储,不便于管理员检查审计,也不便于保存归档,同时,还容易被入侵者在攻击时篡改。现状常常是系统虽然启用了日志功能却形同虚设,管理员基本无暇顾及数量众多的网络设备和主机系统日志,安全得不到保证。
为了解决这些问题,我们建立了一套集中日志管理系统,根据日志的来源,对重要网络设备和主机系统的日志进行分类,集中地收集、存储、备份,然后再进行分析、查询。这样,一方面大大提高了工作效率,有利于及时发现问题,另一方面,日志的异地存放使得攻击者更加难以掩盖痕迹,有利于管理员事后分析追踪。
入侵检测系统
在考虑网络安全问题的对策时,我们不仅要考虑如何保护我们的网络,还要考虑如何实时检测网络上的威胁,并及时地作出响应。为此,我们选用了RealSecure System Agent和Network Engine。其中,实时系统代理 (RealSecure System Agent)是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。实时系统代理 (RealSecure System Agent)还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。实时网络传感器 (RealSecure Network Engine) 是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecure Network Engine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
1、在省网管中心和计费中心采用基于网络的入侵检测系统,对网络攻击进行在线实时监控、告警并能自动阻断部分攻击。
2、在全省集中电子邮件系统、DNS、WWW服务器上采用了基于主机的入侵检测系统。
3、对于全省WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
4、入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
同时在各地市节点使用sniffer软件作为系统安全监控的补充手段。
网络安全方面采取的主要管理措施
应该说,网络安全不仅仅是一个技术问题,实际上,从我们运行维护的经验来看,主要还是“人”的问题,因为最终是人在执行网络安全方面的各项规定和操作,这需要从管理、培训上循序渐进地做大量工作。这里,我们简单介绍一下江苏电信IP网在网络安全方面所采取的部分管理措施。
(一)及时对最新发现的重要安全漏洞和病毒发布通告,制定应对措施。我们通过订阅有关安全问题的邮件列表来及时了解安全方面的动态,一旦发现与江苏电信IP网运行系统有关的重大安全问题,就立即着手研究制定解决方案和步骤,并通知相关单位、部门以及用户。
(二)定期对网络进行安全扫描,动态掌握安全现状,发现漏洞及时修补。注意对扫描结果进行统计分析,据此发现网上存在的主要问题,并通过考核的方式督促相关单位尽快解决。
(三)注意对用户的安全宣传、教育,并签订安全协议,明确责任
