| 出版日期:2003-04-21 总期号:1208 本年期号:27 |
|
 |
GAP也可以防Slammer
天行网安安全隔离网闸用“白名单”封堵蠕虫 山枫 SQL Slammer 虽然攻势凌厉,但并非没有遇“克星”。 事实上,除了一般的方法——通过防病毒、IDS产品可以防范SQL Slammer外, 基于GAP的安全隔离网闸技术也可以通过“白名单”防范这种蠕虫。 SQL Slammer蠕虫代码非常精巧,只有376个字节。它的发作原理是,首先感染网络中某一台安装了微软SQL Server 2000的服务器和MSDE 2000的客户端,然后利用未打SP3补丁的微软SQL Server 2000的缓冲区溢出漏洞,成功后以随机IP地址通过UDP/1434端口对外大量送发数据包,占用大量系统资源和网络带宽,形成UDP Flood。感染了该蠕虫的网络性能会极度下降,一个百兆网络内只要有一两台机器感染该蠕虫,就会导致整个网络访问阻塞。 入侵检测、防火墙不善于防Slammer 入侵检测可以通过攻击特征规则库比对来辨识攻击行为,即基于“黑名单”的检测机制。由于SQL Slammer是初次亮相(即未知的病毒),规则库中通常没有此类攻击特征的资料,所以很难侦测出该病毒。通常,部署入侵检测产品的用户可以通过从厂商获得的升级包进行安装,通过更新规则库来抵御SQL Slammer攻击。 
SQL SIammer蠕虫无法穿越Topwalk-GAP内外网通过P&P数据传输机制实现安全交换 美国一家商业周刊曾对防火墙客户进行了一次投票调查,结果显示,用户最关心的前三位特性分别是:透明特性、性能和方便性,而不是安全性。通常情况下,防火墙是不对UPD/1434端口堵塞的,对SQL Slammer的突然攻击形同透明。当用户的局域网大量感染蠕虫,在防火墙上设置阻塞UDP/1434端口的规则后,会导致网络设备CPU资源占用剧增的现象。在这种情况下,通常可以先拔掉被感染机器的网线,再设定网络设备的过滤规则,待内部所有系统都重新启动并安装补丁之后再插上网线。 GAP防御用白名单技术 GAP产品(隔离网闸)与防火墙在解决思路上有所不同:防火墙是在保障互联互通的前提下,尽可能地做到安全;而GAP产品是在确保安全的前提下,实现互联互通。因为用户的需求是,首先确保我的网络安全,同时保证正常的对外通信和业务应用。以国内GAP的代表产品“天行安全隔离网闸(Topwalk-GAP)”为例,该产品是通过内/外部处理单元、专用隔离硬件来实现内外之间物理链路层的断开,同时专用隔离硬件完成基于“切换”机制的数据传输功能。即必须在确保内部安全的前提下支持内外数据库之间的数据同步、邮件和文件交换等,满足了用户内外信息互通需求。 假设外网感染SQL蠕虫病毒,并试图穿过网闸进入内网。首先是隔离网闸断开了内外网间TCP/IP协议通话,当病毒感染外部数据库客户端或服务器时,就会对网络大量发送数据包,造成外网性能下降。由于它利用的是UDP/1434端口传播,本身基于TCP/IP协议,这种请求无法跨过网闸进入内网SQL Server 服务器和客户端,这样,内外网之间不存在TCP/IP协议会话,内网服务器就不会被感染。 其次,该产品在体系结构的设计上,采用“白名单”访问控制策略。隔离网闸需要传送的数据都是由内网合法用户发出请求来定义,这是一种严格的安全策略。网闸内部处理单元采用了访问控制、身份验证、数字证书等机制确保内部用户请求的真实性和合法性,这样就有效抵御了SQL Slammer蠕虫的未知攻击。 另外,它采用了严格的数据P&P(Pull and Push)传输技术。外部处理单元对外部不提供任何服务,不接受外来任何请求,网闸根据内网用户的请求从外部数据库Pull(抽取)数据,然后通过协议转化、加密技术等将数据存在隔离硬件进行扫描,最终将安全数据Push 到内网数据库服务器。这种机制可以避免来自SQL Slammer蠕虫的主动数据传播方式。 其实,安全隔离网闸是防火墙、IDS等安全产品的合理补充,当然,它在确保安全的同时,会不可避免地带来互通性和开放性的损失。从国内外GAP技术应用来看,目前,其用户主要集中在网络安全被提到首要地位的行业或领域,例如政府、金融证券、军队等。天行网安特别向这些用户提出建议:只有正确、全面评估网络的安全需求与风险,寻求安全与方便杠杆的平衡点,才能最终选择适当的安全策略和防护措施。 |
||||||||||||||||||||||||||||
