1. 基于傳統VPN網絡的安全狀況
信息系統正在逐漸改變人們的生活。幾乎所有企業都開始重視網絡安全的問題,紛紛采購防火墻/VPN等設備希望堵住來自Internet的不安全因素。但是大多數企業網絡的核心內網還是非常脆弱的。雖然一些企業也對內部網絡實施了相應保護措施,如:安裝動輒數萬甚至數十萬的網絡防火墻、入侵檢測軟件等,并希望以此實現內網與Internet的安全隔離,然而情況并非如此!企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅。從某種意義來講,企業耗費巨資配備的防火墻已失去意義。這種外聯的接入方式的存在,極有可能使得黑客繞過防火墻而在企業毫不知情的情況下侵入內部網絡,從而造成敏感數據泄密、傳播病毒等嚴重后果。
另一方面,在當今這個多樣化的、動態的全球環境中,對于試圖接入企業網絡的可管理或不可管理的設備,網絡管理員根本無法在其接入網絡前知曉它們的來源。尤其是,移動VPN用戶的增多,使網絡上班族和頻繁出差族通過IPSec VPN 客戶端軟件接入內網帶來的安全隱患受到關注。如果用戶可以從一臺主機通過VPN 接入內網,但主機本身不安全,如已被病毒感染或另有不安全的網絡連接(split tunnel)等,將對內網帶來極大威脅。而且,攻擊者可以利用VPN的加密技術穿透防火墻,躲避防火墻對其行為的檢測和控制。
另外,絕大部分現有的內網安全或者是內網行為控制,僅僅考慮了內部局域網的行為安全,即對局域網內的主機訪問行為進行監視和控制,還沒涉及到大規模跨地域的企業全網的安全問題。
這一切都呼喚著可信專用網絡TPN(Trusted Private Network)的安全技術的出現,綜合網關安全和通信端點安全技術,以及全局的統一管理來部署全方位、多層次的安全。
2. TPN網絡
在TPN系統中,任何一個接入網絡的主機都必須通過用戶驗證和主機驗證的強制驗證機制。只有在某個主機歸類為受信任主機后才可以訪問相應的系統資源。基本上,受信任意味著主機的風險受到管理。這種受管狀態由負責配置主機的IT管理員和用戶負責。如果受信任主機管理不當,很可能成為整個解決方案的弱點。
當主機被視為受信任主機時,其他受信任主機應該可以合理地假定該主機不會發起惡意操作。例如,受信任主機應期望其他受信任主機不會執行攻擊它們的病毒,因為所有受信任主機都要求使用一些用來緩解病毒威脅的機制(如防病毒軟件)。
使主機達到受信任狀態需要下面的技術:
l 計算機或用戶的身份未被盜用。
l 所需的資源不論駐留在受管環境中的什么位置,都安全而且可用。其中,“安全”的資源是指不會被篡改、沒有病毒且不會受到未經授權的訪問的資源。“可用”的資源是指達到或超過承諾的正常運行水平并且沒有安全漏洞的資源。“受管”環境是指這些計算機經過適當地配置并安裝了補丁程序。
l 數據和通信是專用的,這意味著只能由期望的接收人閱讀和使用信息。
l 所有受信任主機都必須運行特定的網絡管理客戶端,以便對安全策略、配置和軟件進行集中式管理和控制。
l 設備所有者/操作員了解并將遵守策略,確保環境保持可信度。
另一方面,受信任狀態不是不變的,是一個過渡狀態,隨企業安全標準更改而更改,并且要符合那些標準。新的威脅和新的防御措施不斷出現。因此,組織的管理系統必須經常檢查受信任主機,以保持與標準相符。此外,在需要時,這些系統必須能夠發布更新或配置更改,以幫助維持受信任狀態。持續符合所有這些安全要求的主機可被視為受信任主機。
可信專用網TPN系統對經過強制驗證的主機和用戶,使用“用戶—角色—資源”的授權機制,實現“內網威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統一管理。
可信專用網TPN系統由“TPN安全網關”和“”(即:TPN客戶端)組成。下圖為可信專用網TPN系統的典型部署示意圖:
2.1接入威脅管理
在網絡接入控制架構中,執行網關只允許通過網絡控制服務器驗證的用戶或設備接入企業網絡,從而為企業網絡提供保護。
客戶端程序可預裝或下載到用戶設備上,通常使用 API 或插件來收集關于用戶設備安全狀態和安全產品狀態的信息,然后決定用戶設備是否感染了惡意軟件或其他惡意應用。
然后,管理程序將驗證用戶及設備,以決定是否允許它們接入企業網絡,從而確保網絡接入的安全性。通過驗證后,管理程序將把既定的網絡安全和接入策略與它收集到的關于用戶設備及其安全軟件的狀態信息進行比較。如果管理程序認為用戶設備滿足企業定義的安全策略或有關標準的要求,將允許用戶及其設備接入企業網絡。
用戶或設備驗證、設備安全狀態、設備安全軟件的狀態、設備對公司安全和網絡接入策略的遵從情況以及用戶或設備的授權,都將決定用戶和設備是否有權接入企業網絡,或者是否對用戶和設備實施拒絕接入以及隔離和修復等措施。
TPN 客戶端提供“完整性評估收集器”的功能,收集關于客戶設備以及設備上的安全性和其他軟件的安全狀態報告。
TPN系統對于通過VPN接入的移動用戶和遠地局域網進行類似本地用戶一樣的訪問控制,如:當VPN用戶在和總部的TPN安全網關建立起加密隧道后,總部的TPN安全網關能夠對遠程接入的主機進行安全評估:如果發現主機上有威脅或不滿足接入總部的安全級別(如:沒有打補丁等),則不允許該主機接入到總部。這就是安達通倡導的“VPN準入控制”技術。通過該技術可以確保外網的威脅(如:木馬、病毒、攻擊等)不會通過VPN用戶帶進內網,避免了黑客進行“跳板”攻擊。并且網絡管理員能夠象管理本地局域網一樣,對整個VPN網絡進行統一的安全策略管理,實現面向全(VPN)網而不僅僅是本地局域網的全網行為管理。
2.2邊界威脅管理
在邊界安全方面,TPN系統繼承了傳統的安全功能:狀態檢測防火墻,VPN,網絡層入侵檢測,并可選配網絡防病毒系統,外掛第三方網絡內容審計系統。“邊界威脅”防護功能主要依靠系統中的TPN安全執行網關來實現, 而且TPN安全網關和主機威脅引擎相互聯動,構建主機和網關的互動防護體系。
在訪問控制方面,傳統的安全技術是以IP地址或者是主機特征為身份進行訪問控制。然后實際上需要控制的應該是“人和資源”的關系,即:讓合適的人以安全的方式獲取到他應該獲取的資源,訪問與其身份和角色不相匹配的資源都應當被禁止和封鎖。不論這個人使用哪個終端接入內網,只要該用戶身份被確認,他就應該具有管理員所賦予他的訪問權限。
TPN安全執行網關中完全采用“用戶——角色——資源”的訪問控制方法。角色是系統中用戶和服務之間溝通的樞紐,利用角色避免了用戶和服務之間的直接關聯關系,減少了配置任務量,并提高系統策略的可維護性。一個用戶可以分配給多個角色,每個角色包含多個用戶;針對每一個服務,可設定可以訪問該服務的各種角色。
當用戶接入TPN系統防護的網絡時,首先必須進行“強制身份認證”(可采用Web方式或客戶端方式登陸TPN系統進行身份認證),在身份認證通過后,TPN安全網關中根據該用戶的資源訪問權限和登陸認證時該用戶使用的PC機的特征(IP/端口),動態在TPN安全網關中形成“五元組+時間”的動態訪問控制策略。該動態訪問控制策略有短期時效性,當一段時間用戶沒有活動后,該策略即行失效,需要重新進行強制身份認證,再次在TPN安全網關中建立針對該用戶的動態訪問控制策略。
2.3內網威脅管理
針對內網威脅防護,主要是對用戶的網絡行為進行管理。TPN繼承了傳統的內網行為管理、網關防病毒、反垃圾郵件技術。同時,TPN將這些技術運用到整個企業網絡,而不是僅僅局限在局域網內。因此,不論是VPN接入用戶還是本地局域網的接入用戶,TPN系統都采用 “強制身份”認證機制,沒有通過認證的用戶無法訪問任何內/外網資源。
TPN系統采用非法外聯檢測和非法接入檢測技術,確保網絡內主機與外界通信的唯一出口只能是安全網關。為了防止網內病毒的爆發,TPN系統結合主機的客戶端軟件定位內網病毒爆發點,并實施內網威脅點(如:感染病毒/木馬的主機)自動隔離功能。
2.4主機威脅管理
TPN客戶端軟件主要監控3大類軟件運行:威脅軟件、禁用軟件、強制運行軟件。“威脅軟件”為對PC運行和局域網有安全威脅的軟件,如:木馬后門,間諜軟件,安全掃描,嗅探檢測,蠕蟲軟件;“禁用軟件”為用戶單位管理制度禁止運行的軟件,如:遠程管理(如:遠程桌面、PCanywhere等),P2P/下載(QQ,MSN,SKYPE,Emule,BT等),網絡聊天等;“強制運行軟件”是為了保證客戶端系統的安全,必須運行的軟件,如:防火墻、殺毒軟件等。另外,用戶還可以自定義需要監控的軟件。
TPN客戶端通過“完整性評估收集器”,對主機風險進行評估。在主機被病毒感染后,“完整性評估收集器”能夠自動感知,并主動阻斷自身的網絡訪問進行問題主機隔離,防止病毒或其他網絡威脅擴散。“完整性評估收集器”可檢測主機的補丁版本和安全軟件運行監控,根據用戶的角色對機器進行強制補丁更新。如:當用戶在一個安全級別不高的機器登錄后,TPN系統會強制要求該機器根據該用戶的角色進行補丁更新,然后才能允許用戶使用網絡資源。另外,還可以進行主機的外設控制(如:PC、硬盤、USB 口、軟盤、網口等的使用)。
TPN客戶端集成“防病毒組件”可以和TPN安全網關構建病毒的聯動防御體系,發現內網中的病毒爆發點。
TPN客戶端的“反垃圾郵件組件”采用業界最先進的反垃圾郵件技術,采用多種技術進行垃圾郵件分析,包括:黑白名單,垃圾郵件指紋識別,郵件行為分析,智能應答確認等多種手段,大大提高識別率和減少誤判率。
3. 小結
TPN的技術宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成的危害。借助TPN系統,客戶可以只允許合法的、值得信任的端點設備(例如PC、服務器、PDA)接入網絡,而不允許其他設備接入。
TPN系統中采用“TPN安全網關”和“TPN客戶端”形成聯動防御體系,避免了依靠單一網關防御體系(如:UTM網關)或單一客戶端防御體系(如:很多內網行為管理系統)形成的功能瓶頸,充分發揮出了網關和客戶端的各自優勢。
