攻擊者惡意地利用蠕蟲和拒絕服務(wù)攻擊耗用主機(jī)和網(wǎng)絡(luò)資源。有時(shí),錯(cuò)誤配置的主機(jī)和服務(wù)器也會(huì)發(fā)送能夠占用網(wǎng)絡(luò)資源的數(shù)據(jù)通信。對(duì)網(wǎng)絡(luò)管理員和專業(yè)安全人員來說,擁有一些必要的工具和機(jī)制來確認(rèn)和分類網(wǎng)絡(luò)安全威脅是至關(guān)重要的。
許多人將安全威脅分類為兩種:一是邏輯攻擊,二是資源攻擊。邏輯攻擊利用現(xiàn)有軟件中的缺陷和漏洞,導(dǎo)致系統(tǒng)崩潰,或嚴(yán)重降低其性能,或使得攻擊者獲取對(duì)一個(gè)系統(tǒng)的訪問權(quán)。這種攻擊的一個(gè)實(shí)例就是,攻擊者利用了Windows PnP服務(wù)中的堆棧溢出。另外一個(gè)例子是著名的ping of death(死亡之ping)攻擊,在這種攻擊中,攻擊者會(huì)向用戶的系統(tǒng)或服務(wù)器發(fā)送ICMP數(shù)據(jù)包,這些數(shù)據(jù)包會(huì)超過最大的邏輯長(zhǎng)度。為防止這種攻擊,用戶可以升級(jí)有漏洞的軟件,或者過濾特定的數(shù)據(jù)包序列,從而防止大多數(shù)攻擊。
第二種攻擊為資源攻擊。這些類型攻擊的主要目的是是搞垮系統(tǒng)或網(wǎng)絡(luò)資源,如服務(wù)器CPU和內(nèi)存等。在多數(shù)情況下,這是通過發(fā)送大量的IP數(shù)據(jù)包或偽造請(qǐng)求實(shí)現(xiàn)的。攻擊者借助于更加復(fù)雜有效方法,損害多個(gè)主機(jī),并安裝小型的攻擊程序,可以構(gòu)造更為強(qiáng)有力的攻擊。這就是許多人所稱的僵尸或僵尸網(wǎng)絡(luò)攻擊。由此造成的惡果是,攻擊者可以從成千上萬的計(jì)算機(jī)發(fā)動(dòng)針對(duì)受害人的協(xié)同攻擊。這種攻擊程序典型情況下包含著可以利用多種攻擊的代碼,還有一些基本的通信結(jié)構(gòu),這些都準(zhǔn)許遠(yuǎn)程控制。僵尸攻擊如下圖1表示:
 |
| 圖1 |
在上圖中,攻擊者控制著兩個(gè)公司的計(jì)算機(jī),攻擊遠(yuǎn)在另外一處的Web服務(wù)器。
管理人員可以使用不同的機(jī)制和方法成功地確認(rèn)這些威脅,并進(jìn)行分類。換句話說,用戶可以使用特定的技術(shù)來確認(rèn)并對(duì)威脅進(jìn)行分類。下面是一些最常見的方法:
異常檢測(cè)工具的使用;
使用基于流量的分析,進(jìn)行網(wǎng)絡(luò)探測(cè);
使用入侵檢測(cè)和入侵防御系統(tǒng);
分析網(wǎng)絡(luò)組件的日志(即不同網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志、應(yīng)用程序日志、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)等等)
完整的可見性是確認(rèn)和分類安全威脅的關(guān)鍵要求。下面筆者將闡釋如何實(shí)現(xiàn)完整的網(wǎng)絡(luò)可見性,并討論實(shí)現(xiàn)這種可見性的技巧。
網(wǎng)絡(luò)可見性
在籌劃網(wǎng)絡(luò)和人員的過程中,為便于成功地確認(rèn)安全威脅,首要的一步是獲取完整的網(wǎng)絡(luò)可見性。用戶不能保護(hù)無法查看或檢測(cè)的組件。用戶可以通過網(wǎng)絡(luò)設(shè)備上的現(xiàn)有特性獲取這種水平的網(wǎng)絡(luò)可見性。此外,用戶還應(yīng)當(dāng)創(chuàng)建策略性網(wǎng)絡(luò)圖表,用以清楚地列示數(shù)據(jù)的流量,并使安全機(jī)制可以確認(rèn)、分類、減輕威脅。網(wǎng)絡(luò)安全威脅是一場(chǎng)持續(xù)的戰(zhàn)爭(zhēng)。在防御敵人時(shí),用戶必須知道自己的地域,才能實(shí)施防御機(jī)制。下圖2形象地展示了某大型公司的機(jī)構(gòu)設(shè)置:
 |
| 圖2 |
在上圖中,標(biāo)識(shí)了以下的一些部分:
1、互聯(lián)網(wǎng)邊緣:企業(yè)的總公司通過冗余鏈接連接到了互聯(lián)網(wǎng)。在此配置了兩臺(tái)思科適應(yīng)性安全產(chǎn)品(ASA),其目的是為了保護(hù)整個(gè)架構(gòu)。
2、站到站的VPN:總公司通過IPsec站到站的VPN通道連接到兩個(gè)子公司。
3、終端用戶:總公司在不同的四層樓上有其銷售、財(cái)務(wù)、工程、市場(chǎng)部門。
4、呼叫中心:5層樓上有一個(gè)擁有100多個(gè)代理的呼叫中心
5、數(shù)據(jù)中心:數(shù)據(jù)中心包括電子商務(wù)、電子郵件、數(shù)據(jù)庫(kù)和其它的應(yīng)用程序服務(wù)器
用戶可以創(chuàng)建這種類型的圖表,這不僅有助于理解組織的體系結(jié)構(gòu),而且還可以從策略上確認(rèn)在架構(gòu)內(nèi)的什么地方可以實(shí)施探測(cè)系統(tǒng)(如NetFlow等),并可以確認(rèn)瓶頸的位置。注意,在這里,訪問層、分發(fā)層和核心層都被清楚地定義了。
不妨注意下圖3中所示的例子。呼叫中心中的一臺(tái)工作站通常情況下,通過80號(hào)端口通信,到達(dá)數(shù)據(jù)中心中的一臺(tái)服務(wù)器。這種通信在訪問控制列表的范圍內(nèi)是準(zhǔn)許的,因?yàn)檫@是到達(dá)服務(wù)器的合法通信。但是,從這個(gè)特殊工作站發(fā)出的合法通信超出了正常情況的400%。如此一來,服務(wù)器上的性能就會(huì)被降低,而網(wǎng)絡(luò)內(nèi)會(huì)充滿大量不必要的數(shù)據(jù)包。
 |
| 圖3 |
在這種情況下,NetFlow是在分發(fā)層交換機(jī)上配置,而且管理員能夠檢測(cè)到不正常的情況。然后,管理員會(huì)配置一臺(tái)主機(jī)的特定ACL,用以拒絕來自呼叫中心工作站的數(shù)據(jù)通信,如下圖4所示。在更加復(fù)雜的環(huán)境中,用戶甚至可以實(shí)施可遠(yuǎn)程激發(fā)的“黑洞”,并轉(zhuǎn)發(fā)之,以減少這種事件。
 |
| 圖4 |
上圖展示的是呼叫中心工作站應(yīng)用程序中的一個(gè)缺陷。管理員能夠執(zhí)行詳細(xì)的分析,并為機(jī)器打補(bǔ)丁,同時(shí)又可以防止服務(wù)的中斷。
小技巧一則
要檢測(cè)不正常的及惡意的網(wǎng)絡(luò)活動(dòng),用戶首先必須建立一個(gè)正常網(wǎng)絡(luò)活動(dòng)、數(shù)據(jù)通信模式及其它因素的概要視圖。NetFlow以及其它的一些機(jī)制可以在單位的架構(gòu)內(nèi)部成功地確認(rèn)和分類威脅,還有其它的一些不正常活動(dòng)。在實(shí)施一個(gè)異常檢測(cè)系統(tǒng)之前,用戶必須執(zhí)行通信分析,其目的是為了了解大體的通信速率和模式。在異常檢測(cè)系統(tǒng)中,學(xué)習(xí)過程一般是通過有效時(shí)間實(shí)施的,這包括網(wǎng)絡(luò)活動(dòng)的峰值和谷底。本文將在后面的內(nèi)容中詳細(xì)討論異常的檢測(cè)問題。
用戶還可以制定一種不同的圖表來形象化地展示單位內(nèi)部的經(jīng)營(yíng)風(fēng)險(xiǎn)。這些圖表以設(shè)備角色為基礎(chǔ)。如果用戶想保護(hù)哪些關(guān)鍵系統(tǒng),就可為其制定這種圖表。例如,確認(rèn)單位內(nèi)部的一個(gè)關(guān)鍵系統(tǒng),然后為其創(chuàng)建一個(gè)類似于下圖5的分層圖表。在下圖5中的例子中,一個(gè)稱為mydata的數(shù)據(jù)庫(kù)是本公司的至關(guān)重要的應(yīng)用程序或數(shù)據(jù)庫(kù)資源。這個(gè)圖表在中心位置展示了mydata數(shù)據(jù)庫(kù)服務(wù)器:
 |
| 圖5 |
用戶可以用這種圖來審計(jì)設(shè)備角色和應(yīng)當(dāng)運(yùn)行的服務(wù)類型。例如,用戶可以決定在什么設(shè)備中運(yùn)行Cisco NetFlow之類的服務(wù),或者在何處強(qiáng)化安全策略。此外,用戶還可以根據(jù)源和目標(biāo),看出架構(gòu)內(nèi)一個(gè)數(shù)據(jù)包的生命周期。下面展示一個(gè)例子:
 |
| 圖6 |
上圖顯示出,在銷售部門的某用戶訪問互聯(lián)網(wǎng)的站點(diǎn)時(shí)的數(shù)據(jù)包流動(dòng)。用戶根據(jù)結(jié)構(gòu)圖可以明確地知道,數(shù)據(jù)包要去的地方、安全、轉(zhuǎn)發(fā)策略等。這只是一個(gè)簡(jiǎn)單的例子,不過,用戶可以用這種概念來形象化地顯示風(fēng)險(xiǎn),并準(zhǔn)備自己的隔離策略。
形象化地顯示組織的結(jié)構(gòu)和網(wǎng)絡(luò)通信的情況有助于我們?nèi)娴胤治鼍W(wǎng)絡(luò)安全風(fēng)險(xiǎn),制定出有效的防御策略和相應(yīng)的防范風(fēng)險(xiǎn)的措施。在發(fā)生問題時(shí),也才能順藤摸瓜,找到根源。
