| 出版日期:2003-09-15 总期号:1250 本年期号:69 |
|
 |
冲击波过后的反思
东软资深网络安全咨询顾问 梁迎利 网络安全的概念可以说已经深入人心了,但是最近的蠕虫大恐慌向我们证实了一点,众多的安全产品只是给我们构架了一个虚幻的堡垒,所谓的安全预警和防范机制在我们这个虚拟的世界里,还不如现实世界里来得有效。 冲击波(Blaster)蠕虫的爆发向所有的网络安全从业人员提出了一个严厉的命题,尽管他们谁也不愿意承认,但冷冰冰的事实告诉我们,所有现有的安全机制和安全产品都在某种程度上存在着管理上的漏洞或理论上的缺陷。 RPC Dcom漏洞在年初就已经被发现了,微软7月16日在其安全论坛发布了公告,并且连篇累牍地警告用户打最新的补丁,但是非常遗憾,没有人真正关注这一切,除了那些跃跃欲试的hackers和crackers。直到8月中旬的Blaster蠕虫大爆发,人们才意识到问题的严重性。然而还没有等用户和安全响应人员做好反应,1周后welchia蠕虫,blaster的变种也出现了。TCP和ICMP的洪水肆虐,造成众多的网络瘫痪。所有这一切来得如此之快,以至大部分遭受攻击的用户都无所适从。 现在虽然事件已经基本平息,但是也到了我们所有安全从业人员该静下来好好反思一下的时候了,我们应该反思我们的security alert是否能真正起到作用,反思我们的众多安全产品是否能真正应对意外的攻击! 现有的安全警告机制已经非常完善了,完善到甚至连一些欺骗信息也大肆宣扬的地步。这是一个非常荒诞的现象,大部分用户对于真正的警告可能置若罔闻,但是对于类似“JDBGMGR”这种恶作剧病毒却反应热烈,结果因为一个根本不存在的病毒,许多用户删除了自己的系统文件。 安全警告作为一种有偿或者无偿的服务,显然没有考虑到用户的行为方式,没有分析用户的心理。大部分的用户都不愿意频繁地去给自己的系统手工升级,各种hotfix对他们来说,可能更愿意看成垃圾文件。当然,所有这一切也可以通过加强管理来实现,不过,网络安全的管理不是那么简单的。尽管大家都在强调动态的、平衡的安全机制,但是在安全的三要素C.I.A.(Confidentiality, Integrity, Availability)当中,天平的杠杆总是倾向可用性一边。因此,一种强制的系统自动升级机制,或许才是最终的解决办法。 现在也该评估一下网络安全产品在这些事件中扮演的角色了。虽然谈论病毒相关问题,但是对于杀毒软件我并不想在此进行太多的评论,不为别的,只因为本文讨论的是来自外部的攻击,那些攻击的发起端一般都不在网关级防病毒软件的势力范围以内,而且它们永远摆脱不了自身被动落后的局面。 IDS在侦测攻击上具有明显的优势,不过对于不支持和防火墙联动的产品来说,它所能发挥的作用也很有限。IDS的特长就是补充防火墙不能识别的来自应用层协议的攻击,基于速度和有效性上的考虑,只有把这些信息反馈给防火墙,让防火墙根据动态规则去阻断。当然,IDS未来的发展趋势是自身更多地参与入侵阻断,但在目前的形式下,双方只有通过互补才能从整个OSI体系上保证网络的安全运行。 剩下来的,就只能看防火墙的了。的确,在第一时间内,防火墙能够起到关键的作用,尽管任何防火墙都无法阻挡DoS攻击,但是它能最大限度的减少攻击流量,起码在一定程度上保证了网络可用。然而从我们接受的反馈来看,很多安装了防火墙的网络一样瘫痪了。为什么会有如此多的网络把由外到内的TCP 135和ICMP打开呢?而事实上用户无须提供这些服务甚至根本就可以完全屏蔽,但是用户的规则偏偏没有那么设定。这是一个值得深思的问题,用户显然过于迷信防火墙,却没有管理和思考整体的安全策略。对于网络安全产品的依赖,给了他们一种心理上的慰藉,却没有真正去发挥产品的功能。没有管理上的安全和策略上的严谨,防火墙的功能就不能最大限度发挥! 另一方面,防火墙在对抗DDoS攻击的能力上还有很大的空间有待挖掘。以Blaster蠕虫为例,该蠕虫会以两种不同的方式来选取受害者的 IP 。它会从受感染机器的IP ,比如192.168.1.1 中使用 192.168.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在C 类网络的地址范围内往上累加,直到192.168.255.255。虽然对于随机选取的IP,防火墙很难做判断。但是基于Dip、Dport、Sip、Sport的四元组,状态检测防火墙能够很容易判断那些地址累加的数据包,因此也就有能力对这种类型的DDoS进行阻断! 一定程度上,我们要感谢冲击波蠕虫,除了它带给了我们这么多的启示,还有一点那就是或许出于蠕虫编写者的“仁慈”之心,或许限于自身的编程能力,Blaster和变种Welchia蠕虫都没有加入恶意的有效负载,虽然Dcom漏洞允许攻击者执行任意代码,但是这两种蠕虫都没有对感染主机系统的文件和其他资源进行破坏。否则的话,我们将面临一场类似大屠杀的灾难。 冲击波蠕虫也有光明的一面,通过这次事故,那些从来没有访问过微软升级网站的人,也许不得不去求助windows update了,顺便patch一些他们从来不乐意更新的东西。就像网络生态系统中的森林大火,即使没有Blaster,类似的灾难终究会发生。而每一次大火,都有助于改变人们陈腐的观念。 如今,Blaster的冲击已经快平息了,一些蠕虫的生命周期也将终结,可是事情并没有就这样结束。作为专业的网络安全产品提供商,我们也认识到自身对于紧急安全事件的应急响应速度,还有待提高。 这里我想针对最近我们处理的case提供一些或许有用的信息。 最近国内最严重的安全事故主要是由下面三种蠕虫引起的:W32.Blaster.Worm、W32.Welchia.Worm、W32.Sobig.F@mm。最后一种是群发邮件蠕虫,它们最终结果都是产生DoS攻击。 对于那些没有防火墙的网络来说,网管人员可以通过配置路由器来减弱攻击流量。请配置路由器的Ingress和Egress的access-list吧,把TCP的135,UDP的69端口deny掉,把所有的ICMP deny掉。另外请配置ip verify unicast reverse-path,这样可以防止IP-spoofing,对于防止smurf攻击也挺有用。以上在路由器上的配置在一定程度上能减弱Blaster和Welchia蠕虫对于网络的攻击,但是对于Sobig就无能为力了,我们说过它是群发邮件蠕虫,除非你把Tcp 110和25也给deny掉。 已经使用了防火墙的网络建议对包过滤的规则进行如下设定:拒绝所有ICMP流量的进出,同时选择合适的方向禁止TCP 135端口,UDP 59端口,以及TCP/UDP 4444端口和内到外的UDP 8898端口。如果防火墙具有应用层检测功能,那么请启用smtp过滤:设置防邮件炸弹攻击,设置主题、正文或附件过滤,这样都有助于阻断Sobig蠕虫发送的垃圾邮件。如果防火墙还具有内置的抗DoS模块那么就更好了,请把防ICMP flooding和防syn flooding功能打开。 
东软在历次安全事件中的表现 |
||||||||||||||||||||||||||||
