攻擊者惡意地利用蠕蟲和拒絕服務攻擊耗用主機和網絡資源。有時,錯誤配置的主機和服務器也會發送能夠占用網絡資源的數據通信。對網絡管理員和專業安全人員來說,擁有一些必要的工具和機制來確認和分類網絡安全威脅是至關重要的。
許多人將安全威脅分類為兩種:一是邏輯攻擊,二是資源攻擊。邏輯攻擊利用現有軟件中的缺陷和漏洞,導致系統崩潰,或嚴重降低其性能,或使得攻擊者獲取對一個系統的訪問權。這種攻擊的一個實例就是,攻擊者利用了Windows PnP服務中的堆棧溢出。另外一個例子是著名的ping of death(死亡之ping)攻擊,在這種攻擊中,攻擊者會向用戶的系統或服務器發送ICMP數據包,這些數據包會超過最大的邏輯長度。為防止這種攻擊,用戶可以升級有漏洞的軟件,或者過濾特定的數據包序列,從而防止大多數攻擊。
第二種攻擊為資源攻擊。這些類型攻擊的主要目的是是搞垮系統或網絡資源,如服務器CPU和內存等。在多數情況下,這是通過發送大量的IP數據包或偽造請求實現的。攻擊者借助于更加復雜有效方法,損害多個主機,并安裝小型的攻擊程序,可以構造更為強有力的攻擊。這就是許多人所稱的僵尸或僵尸網絡攻擊。由此造成的惡果是,攻擊者可以從成千上萬的計算機發動針對受害人的協同攻擊。這種攻擊程序典型情況下包含著可以利用多種攻擊的代碼,還有一些基本的通信結構,這些都準許遠程控制。僵尸攻擊如下圖1表示:
 |
| 圖1 |
在上圖中,攻擊者控制著兩個公司的計算機,攻擊遠在另外一處的Web服務器。
管理人員可以使用不同的機制和方法成功地確認這些威脅,并進行分類。換句話說,用戶可以使用特定的技術來確認并對威脅進行分類。下面是一些最常見的方法:
異常檢測工具的使用;
使用基于流量的分析,進行網絡探測;
使用入侵檢測和入侵防御系統;
分析網絡組件的日志(即不同網絡設備的系統日志、應用程序日志、簡單網絡管理協議(SNMP)等等)
完整的可見性是確認和分類安全威脅的關鍵要求。下面筆者將闡釋如何實現完整的網絡可見性,并討論實現這種可見性的技巧。
網絡可見性
在籌劃網絡和人員的過程中,為便于成功地確認安全威脅,首要的一步是獲取完整的網絡可見性。用戶不能保護無法查看或檢測的組件。用戶可以通過網絡設備上的現有特性獲取這種水平的網絡可見性。此外,用戶還應當創建策略性網絡圖表,用以清楚地列示數據的流量,并使安全機制可以確認、分類、減輕威脅。網絡安全威脅是一場持續的戰爭。在防御敵人時,用戶必須知道自己的地域,才能實施防御機制。下圖2形象地展示了某大型公司的機構設置:
 |
| 圖2 |
在上圖中,標識了以下的一些部分:
1、互聯網邊緣:企業的總公司通過冗余鏈接連接到了互聯網。在此配置了兩臺思科適應性安全產品(ASA),其目的是為了保護整個架構。
2、站到站的VPN:總公司通過IPsec站到站的VPN通道連接到兩個子公司。
3、終端用戶:總公司在不同的四層樓上有其銷售、財務、工程、市場部門。
4、呼叫中心:5層樓上有一個擁有100多個代理的呼叫中心
5、數據中心:數據中心包括電子商務、電子郵件、數據庫和其它的應用程序服務器
用戶可以創建這種類型的圖表,這不僅有助于理解組織的體系結構,而且還可以從策略上確認在架構內的什么地方可以實施探測系統(如NetFlow等),并可以確認瓶頸的位置。注意,在這里,訪問層、分發層和核心層都被清楚地定義了。
不妨注意下圖3中所示的例子。呼叫中心中的一臺工作站通常情況下,通過80號端口通信,到達數據中心中的一臺服務器。這種通信在訪問控制列表的范圍內是準許的,因為這是到達服務器的合法通信。但是,從這個特殊工作站發出的合法通信超出了正常情況的400%。如此一來,服務器上的性能就會被降低,而網絡內會充滿大量不必要的數據包。
 |
| 圖3 |
在這種情況下,NetFlow是在分發層交換機上配置,而且管理員能夠檢測到不正常的情況。然后,管理員會配置一臺主機的特定ACL,用以拒絕來自呼叫中心工作站的數據通信,如下圖4所示。在更加復雜的環境中,用戶甚至可以實施可遠程激發的“黑洞”,并轉發之,以減少這種事件。
 |
| 圖4 |
上圖展示的是呼叫中心工作站應用程序中的一個缺陷。管理員能夠執行詳細的分析,并為機器打補丁,同時又可以防止服務的中斷。
小技巧一則
要檢測不正常的及惡意的網絡活動,用戶首先必須建立一個正常網絡活動、數據通信模式及其它因素的概要視圖。NetFlow以及其它的一些機制可以在單位的架構內部成功地確認和分類威脅,還有其它的一些不正常活動。在實施一個異常檢測系統之前,用戶必須執行通信分析,其目的是為了了解大體的通信速率和模式。在異常檢測系統中,學習過程一般是通過有效時間實施的,這包括網絡活動的峰值和谷底。本文將在后面的內容中詳細討論異常的檢測問題。
用戶還可以制定一種不同的圖表來形象化地展示單位內部的經營風險。這些圖表以設備角色為基礎。如果用戶想保護哪些關鍵系統,就可為其制定這種圖表。例如,確認單位內部的一個關鍵系統,然后為其創建一個類似于下圖5的分層圖表。在下圖5中的例子中,一個稱為mydata的數據庫是本公司的至關重要的應用程序或數據庫資源。這個圖表在中心位置展示了mydata數據庫服務器:
 |
| 圖5 |
用戶可以用這種圖來審計設備角色和應當運行的服務類型。例如,用戶可以決定在什么設備中運行Cisco NetFlow之類的服務,或者在何處強化安全策略。此外,用戶還可以根據源和目標,看出架構內一個數據包的生命周期。下面展示一個例子:
 |
| 圖6 |
上圖顯示出,在銷售部門的某用戶訪問互聯網的站點時的數據包流動。用戶根據結構圖可以明確地知道,數據包要去的地方、安全、轉發策略等。這只是一個簡單的例子,不過,用戶可以用這種概念來形象化地顯示風險,并準備自己的隔離策略。
形象化地顯示組織的結構和網絡通信的情況有助于我們全面地分析網絡安全風險,制定出有效的防御策略和相應的防范風險的措施。在發生問題時,也才能順藤摸瓜,找到根源。
