作者:蔡旻甫 由于网络型病毒的泛滥及网络攻击型态的改变,传统的防火墙己无法有效的防护,主要的原因有以下2个问题点: 防护能力的限制:防火墙大部分的防护机制都是基于网络3-4层的网络数据流的Policy控制, 这使隐藏在符合 Policy 的数据流中网络型病毒或问题数据流难以控管。举例来说, 如先前发生的 MSN病毒, 由于 MSN Messenger 等等的个人讯息程序在运作时会有自动寻找目前可用网络型态的特性, 即使是防火墙限定了仅允许 Port 80 (HTTP, Web 必用的 Port, 锁了网页就上不了), 依然能连通, 有的 MIS 人员会设定防火墙阻挡某些特定的 MSN 服务器。但事实上, 使用者依然能以设定 Proxy (代理服务器) 的方式简单的通过, 市场上比较热门的的个人讯息程序除了 MSN Messenger外, Yahoo Messenger, Skype, QQ 等等, 在运作时都有相同的特性, 这使得传统防火墙在安全防护的上更显无力。 架构上的限制:防火墙在网络架构上有一个先天的限制,必需架在LAN(局域网络) 与 WAN (广域网络) 的中间, 更简单的说, 就是必需建置在网络出 Internet 的端口上。以<图一>来看 <图一> 这是一个标准的网络架构,防火墙会建置在右上角WAN端的位置,在传统的网络安全建罝的观念上,这是 90% 的防火墙的建置点, 但以最近造成重大损害的 Worms (蠕虫) 病毒为例,损害的发生会如<图二> <图二> 有问题的数据流会如同蓝色线路的路径扩散,完全不会由既有的安全防护机制,这种新型的病毒与入侵的模式,使传统的安全架构备受考验 旧有IDS(入侵侦测系统)的挑战 为了解决防火墙所不足的安全问题,IDS在2004前后成了最热门的安全设备,由于能够有效的侦测出 L4以上乃至于L7的网络问题, 且能做到部分的防堵的作用, 但又因为这样的防护机制需要大量的运算能力, 使得效能上有诸多的限制, 因此标准的 IDP 建置会如<图三>的方式, 也是建置在LAN (局域网络) 与 WAN (广域网络) 的中间或防火墙内, 理论上能由防火墙过滤掉 L4 以下的问题数据流, 至 L7 的数据流侦测由 IDS 接手侦测, 架构会如<图三>的方式 <图三> 不过, 这也仅能解决文章先前所提的问题点1 (防护能力的限制) 的问题。理论上, 如果把侦测点放在 Core Switch (核心交换器) 或 Core Switch 及 Edge Switch(边际交换器) 的中间应能解决先前所提的问题点2(架构上的限制) 用以侦测 LAN 端的数据流。但在实际上, 由于传统的IDS与小型的IPS数据流的处理的效能约在数十Mbps至200Mbps以下, 所以受限于IDS本身的运算能力不足的限制,无法实时的分析处理大量数据流, 而WAN出口端因为流量先天受限于对外频?(以大部分的企业来说, 对外联机应都在10Mbps以下), 所以传统的 IDS还能应付其中的数据流量, 但 LAN 端的资料流动辄数百Mbps至 1000Mbps上下, 所以传统的 IDS在<图三> WAN的建置可行性大于在LAN端的建置, 而使用“TAP”用意在防止因为IDS运作效能问题影响网络运作。 加上TAP是单方向的, 所以也能有效降低架构上可能造成的影响, 但由于传统的 IDS 架构着重在侧面的监控, 防堵的机制也多仅以 TCP Reset 方式来运作, 这样的机制除了缺乏防护的实时性, 而且在许多情况下, 也无法阻挡部份如无特定或隐藏来源及目标的攻击方式。 传统IDS己死吗? 事实上并不尽然,如同硬件式防火墙至今仍无法完全取代软件式防火墙一样,效能永远与功能成反比。任何的网络安全设备在追求高处理效能时,势必得牺牲部分的功能, 又在追求功能时, 又得牺牲部分的效能。这也是目前市场上虽己有许多号称 All-In-One 的安全设备, 但仍无法以单一的设备达到全面的防护目的, 传统的 IDS 虽无法在效能与防护性上取胜, 但非实时性反而能让 IDS 全面的分析所有可能的问题, 在网络安全中稽核一环仍有不可取代的地位 新一代的入侵防护机制建置方式 为了解决当今的网络入侵与问题,新一代的防护机主要分为以下几种建置方式 1.In-Line的WAN 端出口 2.In-Line的LAN 端防护 3.混合式架构 1.In-Line的WAN 端出口 由于新一代的入侵防护系统在效能上有相当的进步,己经能达到1000Mbps以上的效能, 加上 In-Line 的建置方式更能实时有效的防堵各种有问题的网络数据流, In-Line 方式能在发现问题的数据流时, 设定直接丢弃部分或全部的封包, 如<图四> <图四> 支持这种架构的又有以下3种主流的设备 a.支持In-Line模式的 IDS (入侵侦测系统) b.IPS(入侵防御系统):事实上, 目前 IDS 与 IPS 的分界己经越来越不明显了, 简单来说, 具备实时的防护能力的 IDS 或 IPS 都可归在同类, 如 Juniper Netscreen IDP, Radware DefensePro, Mcfee, TippingPoint 等等设备, 这类的设备都强调高效能实时的防护机制, 本文后面会提及的 LAN 端防护机制也会使用此类的设备 c.SG(SecurityGateway 安全匣道器) : SG 的运作原理上略不同于 IPS, 会把数据流暂存后再行检查比对, 原理上来说, 时效性会略差 IPS 一点, 但功能上却又能更进一步的防护档案型病毒或Anti-SPAM (防堵垃圾邮件) , 为了补足效能上的不足, 通常会加强 Cache (快取) 或藉由特殊的机制来补强, 如 BlueCoat (原名 CacheFlow) 的产品就属这一类的 2.In-Line的LAN 端防护 不少人应会发现,上述的架构仍会面临本文中最早提及的问题如<图二>的问题数据流并无法受到管控,2004年后, 1000Mbps以上处理效能的 IPS 陆陆续续的出现在市场上, 这使原本不可能建置在 LAN 端的入侵防护机制得以实现, 会如<图五>的建置架构 <图五> 这种建置架构能有效的防止网络型病毒(如Worms)的漫延,及阻挡大部分在LAN端可能产生的异常网络数据流。 但缺点是, 对一个有大量 Edge Switch 的网络架构来说, 建置的成本会相当高, 所以也有一种与 Core Switch 功能整合的变化型架构, 如<图六> <图六> <图七> <图六>方式结合CoreSwitch的好处是, 只需经由设备 Core Switch 对 IPS 端 VLAN 的配置, 就能将数据流导向 IPS 做检测, 但需注意并不是市面上所有的 Core Switch 都支持此架构, 支持的 Core Switch 必需符合以下条件 1.必需能设定关闭模块往背板的数据流 2.各模块能独立配置成L2或 L3 目前己知Enterasys,3Com,Extreme等品牌部分的Core Switch 能以此方式配置, 而Cisco 大部分的Core Switch 如 65xx 及 76xx 等等, 因为先天架构上并无法如此设定, 且应用此架构时, 使用者的网络架构及设定会有相当程度的变动, 在规划上必需特别注意。 <图七>利用 Core Switch 的 Mirror Port 或 SPAN Port 将数据流导向 IPS , 原理上很近似<图三>的方式。简单来说, 就是利用Core Switch 的 Mirror Port 或 SPAN Port 取代 TAP, 优点是配置简单, 缺点是, 在安全性上仍有和<图三>架构一样的问题, 而且部分的 Switch 在开启Mirror Port 或 SPAN Port 的功能时, 可能造成Switch的负载过大或数据复制不确实而影响网络的效能或安全性的漏洞。 3.混合式架构 为了有效的防护LAN端及WAN端的安全性问题,能以多个IPS 设备整合以上<图四>至<图七>的架构来达到安全防护的目的, 或利用新一代 IPS 的 Muti-Segments (多重网段) 的功能达到<图八>的方式 <图八> 来达到同时间控管LAN端及WAN 端最佳的安全防护目的, 这样的防护架构, 渐渐的成为安全防护机制的主流。或着, 在预算许可的情况下, 可多建置一台 IDS 来达到完整的防护与安全稽核的功能。 总结 最后,我们以一个总表方便大家了解各种入侵防护机制建置的差异性
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073