安全分析:浅谈内网网络的安全问题与对策

摘要

本文简要分析了企业内部网络所面临的主要分析,阐述了安全管理人员针对不同威胁的主要技术应对措施。进一步介绍了业界各种技术措施的现状,并提出了未来可能的发展趋势。

内网网络安全问题的提出

网络安全对于绝大多数人而言指的都是互联网安全(Internet Security),但是对于组织的安全主管而言却不尽然。他们的使命是负责保护企业的数字资产—信息和基础架构,对于这些保护对象而言,其外部都可能是风险源,而这里的外部风险源则既有可能是互联网Internet,也有可能是内部网络Intranet。内部网络并不等于可信网络。对于组织而言,来自内部的威胁有可能远大于外部的威胁。这使得有必要对于内网的网络安全进行针对性的分析,并找出解决之道。

内网网络安全风险分析

分析的视角

网络安全是一个非常复杂而庞大的研究对象,不同的研究视角可能会“看到”不一样的安全风险。例如针对单个数字资产,最常见的视角是关注其完整性、机密性和可用性。对于组织的安全架构,可以从物理层、网络层、数据层、用户层这样的视角进行分析。本文出于简化的目的,将内部网络的安全按其参与者进行分析,包括网络、通信方和信息。本文分析的模型是位于不同网络的通信方,在其信息交换的过程中所面临的安全风险。

安全风险

按照这一模型,需要关注的风险主要有:

网络

假设组织对于其内部网络进行了良好的规划和管理,则来自不同的网络意味着处于不同的内部部门和/或不同的安全等级。这里主要的风险有:不同的部门可能不应跨网络访问资源;不同安全等级网络[1]的通信可能包含潜在的攻击。

通信方

在参与通信的双方中,需要保护的是服务器一方的安全。由于服务器往往采取了必要的安全保障措施,客户端那一方的安全性则成为木桶理论中可能的短板。

信息交换

通信的目的是交换信息,对于通信方之外的安全管理员而言,主要关注交换的内容和通信的方式中可能存在的安全风险。主要的风险有:不符合企业安全策略的通信内容(主要指文件);不符合企业安全策略的通信方式(不应通信或带宽挤占)。

其他的风险

当然,真实世界远比理论复杂。本文的视角选取并不能覆盖组织中内部网络的所有风险。其他可能存在的风险有:

机密性

对于某些组织而言,在内部网络中仍然要保证高度的机密性要求。这可能意味着对于数据的整个生命周期过程中,都需要考虑各阶段安全风险和防护手段。这部分内容一般不列入网络安全的范畴,本文并未展开讨论。

完整性

对于组织的某些特定信息资产,保障其完整性至关重要。对于该信息资产的存储、修改都需要考虑可能的安全风险,并通过技术手段进行保障。这部分内容往往通过安全设计和数据备份实现,不是传统的网络安全范畴。本文并未展开讨论。

可用性

网络安全主要考虑的是带宽挤占带来的可用性风险,本文并未对信息资产的可用性进行全面讨论。

风险的定义

各组织对于风险的接受程度并不相同,这也导致了本文讨论的风险可能对于部分组织并不完整。

内网网络安全的解决之道

按照前文的分析结果,内网网络的安全主要关注的对象应该是网络、通信方和信息交换相关的安全风险。对于这三个对象,安全管理员可以采取相应的技术缓解风险。

网络

合理划分网络

对于组织而言,传统的网络划分往往是由网络管理部进行的。组织的安全管理员需要网络划分进行审阅。网络划分的依据除了根据地理位置、部门之外,也应考虑其包含信息资产安全等级,安全管理员关注网络划分的目的在于更容易实现按安全等级进行保护。应尽可能避免安全等级相差较大的信息资产划分在同一网络中。

设置边界检查点

对于来自不同的网络的通信应在其边界处设置检查点,过滤其中可能的安全威胁,包括未授权的网络访问和潜在的攻击。

技术实现

防火墙(Firewall)

防火墙是最早出现的网络安全技术,也是相对简单的一种。防火墙作为网络边界检查点的主要作用是实现访问控制。

防火墙作为一种安全技术,主要优势包括:

性能:目前的防火墙已经有100G的产品。

工作在网络层:可实现网络地址翻译甚至路由等功能。

配置容易:防火墙配置较为容易。

但是在实践中,防火墙并非是内网边界检查点最常用的设备,这主要是因为以下原因:

内网往往并没有极高的网络吞吐量性能要求

防火墙对于通过ACL规则之后的数据包检查并不擅长,对于复杂的攻击无法防御

添加工作在网络层的防火墙需要更改内部网络拓扑

防火墙没有失效打开(Fail Open)功能。设备失效会影响网络可用性。

当然,近年来防火墙技术也在发展。最主要的方向是解决其对于数据包的检查功能,使防火墙能够理解应用层的通信,成为基于应用的防火墙(Application Firewall),国际上主要的应用防火墙厂商包括McAfee公司(收购Secure Computing获得技术)和PAN,还有一些专注于Web应用的公司,如Imperva和国内的绿盟等。这些应用防火墙很大程度上改善了应用层防护能力,设置通过协议代理技术做到了非常精细的颗粒度,当然也存在着配置复杂,对管理员要求高,性能较低等需要进一步克服的技术障碍。

入侵防护系统(Intrusion Prevention System)

入侵防护系统[2]作为入侵检测系统的升级技术,在近年广泛用于组织内部网络的边界防护。主要技术优势包括:

强大的数据包深入检查(Deep Packet Inspection)功能,可以检测各种应用层协议中夹带的攻击(不局限于Web等)

配置容易,用户可基于默认的策略进行设置。自动阻断攻击。

透明接入网络,无需更改网络拓扑

带有失效打开功能。如果设备失效会自动旁路,不致影响网络的可用性

入侵防护系统也存在一些局限,主要包括:

全面部署成本较高。一般而言,同样吞吐性能的防火墙和入侵防护系统相比,后者购置成本远高于前者。

对入侵防护系统的评价较为复杂,对于普通用户难以评估不同入侵防护系统的防护能力。

这些局限导致了目前入侵防护系统作为最被安全技术趋势研究机构看好的内网网络安全产品,并未得到与其名声相匹配的普及程度。

通信方

即便是来自可信网络,如果参与通信的一方自身的系统安全无法保障,也将会影响对端的安全。因此应对于通信方的安全状况需进行必要的检查,使其满足组织预定义的安全基准,才许可其参与通信。

技术实现

网络准入控制(Network Access Control)

网络准入控制技术可以实现确保接入网络的客户端安全状况符合要求。通过在桌面机上安装客户端软件,组织可以避免未达安全要求的客户端接入内部网络,造成潜在的安全风险。这一技术的主要优点包括:

可基于客户端的身份控制准入

可基于客户端的安全状况控制准入

方便实现公司的安全策略。

网络准入控制技术也存在一些实现的难点,主要包括:

对于网络环境复杂的组织,技术方案设计较难

客户端软件会一定程度上影响客户端性能

对于规模较大的组织,部署工作是一个挑战

虽然网络准入控制技术有着这些实现困难,但是目前还没有其他更好的技术实现对于客户端的安全控制。尤其是对于大规模的组织而言,通过网络准入控制技术来保障网络安全,仍是一种极为常见的选择[3]。

信息的流动

组织的网络安全管理人员需要关注通信方之间的信息流动。包括应用层的相关信息(哪些文件,哪些协议)和网络层的相关信息(流量模型,异常流量),并根据这些信息结合组织的安全策略,判断网络中信息流动的正常与否。

信息

网络安全管理人员可能关注的信息包括:

当前传输次数最多的文件

当前主要访问的URL地址

最忙碌的服务器

各种协议所占网络通信的百分比

异常流量信息

拒绝服务攻击信息

蠕虫爆发信息

技术实现

网络行为分析(Network Behavior Analysis)

网络行为分析是一种基于“流(flow)”的分析技术,通过对于Net flow[4]信息的采集,可以呈现出组织网络中的各种流量信息。网络行为分析技术的主要优点有:

通过对流信息的理解和整理,可以显示网络的流量异常

通过建立网络访问模型,可以显示网络滥用

显示网络协议百分比等信息,帮助分析网络带宽使用情况

可显示文件、URL等应用层信息[5]

离线部署

网络行为分析技术多用于规模较大的组织,它可为网络管理员和安全管理员提供有积极价值的流量信息。它的主要限制在于需要网络设备(路由器和交换机等)支持流信息的导出,并非所有的网络设备都支持这一功能。

内网网络安全的管理挑战

对于组织而言,确定安全风险和部署安全产品之后,最艰巨的挑战来自如何管理这些安全产品。攻击或违反策略的行为往往会被多个不同的安全产品监测到,这就需要安全产品之间的整合;同样的,出于管理的需要,安全产品也应与组织的IT基础架构和流程融合。

整合

内网网络安全产品

本文介绍的用于内网网络安全的产品之间都将需要协同工作。

防火墙和网络入侵防护系统这两种产品都承担着网间检查点的重任,未来的趋势必然是整合为单一的产品。最重要的功能将是检测和阻断攻击,以及应用层协议的细颗粒控制。

网络行为分析和网络入侵防护两者相似而并不相同,前者看到的是Net flow,后者检查的是数据包[6]。前者用于宏观分析,后者用于微观分析。前者为离线设备,后者为在线设备。前者目的在于分析,后者的作用是防护。但是两者却又相得益彰,互为补充。以迈克菲为代表的厂商已经着手整合这两种产品,通过网络入侵防护系统提供Net flow v9信息给网络行为分析。使得两者之间可以共享网络安全信息。

网络准入控制和网络入侵防护系统的整合也非常必要。某种意义上,前者保障的是安全的系统准入,后者保障的是安全的数据包准入,二者的结合方可保证在系统层面和网络层面的安全。对于较小规模的组织,可以选择二合一的产品[7]。对于较大规模的组织,选择单独的产品,最好可通过统一管理平台查看相关信息。

融合

和管理软件协作

网络安全产品作为一种网络设备,需要与网管软件协同工作。向网管软件报告自身的重要系统事件,如系统错误、资源耗尽告警等等。两者的协作多通过标准的SNMP协议实现,网络安全产品应设计为提供必要的系统状态信息用于通知网管软件其状态。

有的组织也需要网络安全产品和流程软件协同工作,在安全产品的管理平台上可定义工单和对象,并可配置事件触发工单指派给某一对象,实现工单管理的全过程。

信息融合

对于组织而言,各种安全产品会产生大量的安全日志,组织的真实安全状况就存在这些日志中。目前常见的方式是通过安全事件管理系统集中各不同安全产品的日志,采用数据挖掘技术分析这些事件的相关性,从中找出应关心的安全事件。日志集中相对而言容易实现,而日志的相关性分析仍没有突破性的技术[8]。

近年来,很多安全厂商在产品中集成了更为强大的分析系统,通过已建立的遍布全球的各式各样的传感器和多年的信息安全知识积累。可为用户提供更为准确更具参考意义的安全事件信息。防毒软件的云安全技术是这种趋势的成功示例,迈克菲公司更进一步在其网络安全产品中集成了全球智能威胁感知系统,可反映攻击源的地理位置,安全声誉信息等,使得安全管理员能够更容易判定和处理安全事件。

总结

内网网络安全需要管理者对其网络进行全面准确的风险评估,并根据评估结果选择合适的安全产品以降低风险。在选择产品时,除主要功能外,也需要注意该产品与其它产品的整合能力以及信息融合能力。

[1] 如果是来自同一网络,则防护点应位于主机内部。一般的技术实现为主机防火墙加主机入侵检测技术。

[2] 本文所指的入侵防护系统为网络入侵防护系统,与之对应也有保护单一主机安全的主机入侵防护系统。

[3] 实际上并非网络准入控制客户端,而是防病毒客户端和补丁管理客户端在保证客户端安全性。网络准入控制技术只是提供了一种机制来结合系统安全和网络接入。未实施网络准入控制技术的组织爆发网络安全事故的可能性更高,对于内部IT支持的挑战也更大。

[4] Flow的格式有很多种。Net flow是其中最常见的,除此之外还有S-Flow, C Flow等等,不同的网络厂商采用的Flow格式略有差别。

[5] 需Net Flow V9版本

[6] 网络入侵防护系统分析会话内关联的一组数据包,从中查找可能的攻击。

[7] 业界已有网络入侵防护系统与网络准入控制集成的产品。

[8] 日志的分析依赖于很多前提,如时钟同步,安全产品的准确,日志格式的统一,不同产品的告警是否可以映射等等。