| 出版日期:2003-05-12 总期号:1214 本年期号:33 |
|
 |
抓住10%背后的黑手
有关安全产品联动不足的思考 何军、张兴 “联动”是目前网络安全中的“热词”。 但是,目前来看,真正应用联动功能的却不到总量的10%。是什么制约了联动功能的应用? 现在,联动功能受到了厂商和用户的普遍关注,这是因为,目前,用户应用需要已经从独立、单一防护的安全产品,发展到立体、全面、动态的防护。因此,安全产品之间通过某些相关通用的标准进行接口互联就成为安全解决方案评估的重点。一方面,它突破了单个产品进行安全防护的局限性,另一方面,它为用户提供了更加灵活、方便的网络应用。从目前产品所提供的联动来看,其中包括防火墙系统、入侵检测系统、VPN、防病毒软件以及安全认证等。但是,从目前的网络应用来看,真正应用联动功能的却不到产品的10%。到底是什么原因制约了联动功能的应用? 防火墙联动缺乏标准 防火墙是网络边界的安全产品,是一个基础的网络安全设备,但防火墙在实际应用中又具有局限性,如静态防御、粗颗粒检查、不能够对内部网络进行防护等,所以防火墙厂商率先提出了协同互动的思想,并成为联动实现的主体。但是,从目前主流的防火墙产品来看,防火墙实现联动功能还存在着很大的不足: 一、联动缺乏统一标准的数据接口 防火墙协同互动主要是由防火墙厂商提供开放标准接口协议,其他厂商根据接口协议开发相应的通信模块,实现彼此间的协同互动。如天融信公司提出了TOPSEC BSA体系结构;Check Point提供Check Point SVN(Secure Virtual Network)的平台,供OPSEC合作开发商使用,通过公开的API、工业标准协议和高级编程语言,实现OPSEC 集成。另外,Check Point等国外防火墙可以与病毒防治软件进行联动,通过提供API定义异步接口,将数据包转发到装载了网关病毒防护软件的服务器上进行检查。此外,Check Point的防火墙还可以实现与日志处理之间的联动。但目前,总的来说,国内厂商做的或应用的还不够,各厂商独立开发的数据接口都是在自己的理解和应用环境中进行设计和开发的,有一定的局限性。因此,缺乏统一标准的数据接口成为防火墙与其他产品实现联动的障碍。 二、联动产品目前还缺乏实用性 通过对防火墙与其他产品联动的实际应用测试来看,大部分产品之间的联动都要通过较为复杂的配置来实现,而且联动响应的有效性不能很好地保证。如防火墙与入侵检测系统的联动,就要求IDS允许FTP中的put命令,通过执行get命令进行报警,与防火墙联动后发出阻断信号。但是,通过对几款产品的配置与测试情况来看,真正要达到阻断,都需要通过长时间的复杂配置,有的产品最终还不能达到这种效果。因此,即使是正确的报警,要实现真正的联动,还要通过厂商的不断努力来完成。 三、联动产品缺乏广泛的兼容性 对于一款防火墙产品,既要与自己同类的产品联动,还要与其他厂商的安全产品联动,这就要求防火墙应该能够通过一个公开的、标准的、可扩展的体系结构接口,与其他安全产品协同工作,这也正是联动技术需要进一步发展的重要内容。但结果却是,大部分的防火墙产品只能与本家的或其他为数不多的几款其他厂家的安全产品联动,若要实现通用、标准、广泛的联动功能,仍需大量技术人员通过不懈的努力来推广和实现。 入侵检测联动更要慎重 入侵检测系统的联动最主要是与防火墙联动,目前实现IDS与防火墙之间的互动有两种方式,一种是把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据不再来源于抓包,而是流经防火墙的数据流。所有通过的数据包不仅要接受防火墙规则的判断,还要检测是否具有攻击行为。第二种方式是通过开放接口来实现与防火墙的互动。 对于第一种方式,目前主要有两种实现形式:一是集成入侵检测模块,实现较为简单的入侵检测行为,无详细的入侵记录和解决方法,对于用户应用来说没有太大意义,而目前还没有产品对这种形式的IDS功能进行联动设置。二是集防火墙与入侵检测产品于一体,每一种功能都很完善和强大,关闭任何一种产品模块,就是一款独立的产品。这种联动机制应该说属于无缝连接,是实现联动的最好模式,但是,这又存在着矛盾,由于防火墙和IDS本身是一个庞大的系统,所以,无论从实施难度还是对产品性能的影响方面,都存在很大的问题。解决好这个矛盾还有大量工作要做。 对于第二种方式,由于技术上仍有许多难点没有突破,因此,与实际应用仍有一定的距离。这些技术问题主要包括:一、系统中不同入侵检测部件间的协作,尤其是主机型和网络型入侵检测部件间的协作,及异构平台部件的协作问题;二、相同安全工具间的协作问题;三、不同厂家安全产品间的协作问题;四、不同组织预警能力和信息的协作问题。 
各种安全产品间联动示意图 如果这些问题不能得到很好的解决,要想很好地实现联动应用实属不易。同时,入侵检测与其他产品联动所带来的其他问题甚至更让人担忧。因为,IDS采用失效开放的机制,一旦系统停止工作,整个网络或主机就会变成开放的,这与防火墙的失效关闭机制正好相反:防火墙一旦失效,整个网络便不可访问。因此,当IDS遭受拒绝服务攻击时,这种失效开放的特性使得攻击可以顺利实施而不被发现,这将给入侵检测的联动机制带来致命的伤害。 在入侵检测系统与其他安全产品联动方面,错误的报警或不完善的检测机制往往成为制约入侵检测系统实现联动的障碍。因此,对于入侵检测系统有一点是很重要的,即对有效连接进行检测,以加强检测的有效性,对有效连接和只有非法数据包在网络中出现进行严格区分,一方面提高识别率增强自身安全性,保证网络中出现的非有害数据不会造成IDS检测的负担;另一方面,能够降低误报,使联动功能能够较好地实现。 所以,入侵检测系统要真正实现联动,比防火墙产品困难更多,任务更重。 其他产品联动难度更大 其他产品之间的联动,如防病毒联动、认证处理联动、VPN联动等等,虽然现在还不像防火墙与入侵检测这么直接和见效,但已经有厂商开始研发和应用,例如南大苏富特百兆防火墙上就集成了这些联动功能和机制。但是据介绍,这种联动仍然存在着很大局限性。就像以杀毒产品为主的网络安全厂商,本身非常希望与其他厂商产品间能够很好地协调,但目前也往往只能做到在自己的品牌范围内达到联动,因为它不可能对每一类防火墙都进行关于协同工作的分析研究。据统计,目前使用了三种以上安全产品的客户达总数的 70%以上。因此,其他产品间的联动难度应该更大。 多系统联动问题更多 不过,多个系统的配合可能形成新的安全风险。例如,攻击者故意诱发入侵检测系统产生一些攻击报警,或利用公开的接口编写程序实现和防火墙的联动,造成防火墙阻断正常网络,这实际上是给用户的应用带来了不便。 现在,厂商为了强调自己产品的功能强,在防火墙中加进了各种IDS模块、防病毒模块、VPN模块,将防火墙的功能扩展到其他的安全领域,有的产品甚至整合进了防火墙、IDS、内容过滤、防病毒和VPN等5种安全技术,希望在联动上能够有很好的表现。然而,多种安全产品联动反而增加了系统的安全漏洞。IDS技术由于自身的局限,容易造成漏报和误报。而事实上,已经有很多黑客开发了大量的工具来专门对付此类联动。 联动提高抗攻击主动性 联动功能目前还有很多不足和问题,还需要进一步来研究和改进。联动功能主要是用于加强安全纵深防御的实时有效,而不是被动的事后处理。这里需要提醒的是,不要过分盲目地追求联动,而应该根据自己实际需要,及时下载、安装各种补丁程序来保证PC和服务器的安全,选择适当的安全产品,建立有效的安全管理措施和步骤来保证网络的安全。 如果使用联动功能,用户可以通过升高报警联动的级别,设置防火墙针对联动规则设置阻断时延长联动时间间隔,为由于产生的误报所引发的不良反应赢得解决的时间。 |
||||||||||||||||||||||
