自我防禦

曾經看過Cisco Systems的電視廣告嗎?有一位小女孩敲打她父親的辦公室電腦，她下載著一個電動遊戲，突然一個對話視窗跳出來︰“警告!偵測到病毒”。她嚇了一大跳，滿臉佈滿慌張的神情。

然而，在這場景的背後，網路裝置活動了起來。AV掃描器與中央管控伺服器聯繫，自動的發送指令給防火牆將通訊埠關閉，路由器將病毒導入另一安全地點，而漏洞修補管理伺服器也迅速將漏洞修復起來。 一會兒後，小女孩鬆了一口氣看著另一個對話視窗：“病毒消滅完成﹗”。當然，我們必須吊著不確定的心情，並假設這個早熟的小孩知道病毒是什麼，以及產生的原因。並且，我們必須相信像這種“自我防禦”網路在現今是可用的。

Cisco正與AV的生產商合作，使他們的網路存取控制策略更加完美，最終將安全智慧嵌入每一個Cisco的網路裝置。微軟也正在Windows作業系統研發相似的功能。Enterasys也重新推動提供點對點橫跨異質網路的自發性安全產品。而IBM與HP針對自我修復，自我保護的基礎建設與科技進行研發。

概念其實非常簡單：只要從網路安全中取出細小的部分，讓每一個裝置具有安全察覺功能，並且能夠自動回應與預防網路威脅事件。就像人體的自動免疫系統能形成抗體，不需大腦思考即可自動防衛身體。

這是一個非常遠大的願景，要出現在真實生活中仍需一段時間。而自我防衛網路，以及所需的科技技術仍在初始階段，有許多困難需克服。有人說需花數十年，我們的網路才有足夠的跨平台以及人工智慧能力，才能符合自我防衛願景的最基本條件，但是，現今許多重要區塊其實已經存在—高階協定例如：802.1X、主機式IDS/IPS、個人防火牆、異常偵測以及高階的防毒機制。如何使這些科技與尚未實現的未來科技自動地並行將是一大挑戰。

在這篇文章中，我們將看到自我防衛網路的概念，看看它們如何運作、現今的可用程度以及它們可達成與無法做到的程度。
熟悉的概念
自我防禦系統是建構在部分協同性或深度防禦性安全上。支援不同層級的科技裝置的網路策略考量，是建構一個厚實的安全防護。最重要的關鍵是自動化；每一個裝置都能在預設的規則上共享智慧與協同回應。生產商對自我防衛性網路的願景有各種不同形式，但每一個都為了要達到最基本的目標與功能。
自我防衛性網路的特徵如下：
＊終端節點安全：
主機式代理人持續追蹤工作站是否符合組織的安全政策、保證工作站擁有最新的AV簽章、順利執行防火牆、適切的OS安全設定以及最新的更新檔。有些網路使用無代理人的的節點性安全，或是下載applets來查核未經驗證機器的政策符合性，例如：家庭電腦以及網路提款機。基於各個不同符合性，使用者被設定擁有完整、限制或無法存取的使用權限。如Sygate、InfoExpress、StillSecure與Endforce等生產商提供不同的終端節點安全產品可整合核心網路基礎架構中。

AAA：

即使是有完善的設定，你仍然會想要確保只有那些合法、經授權的使用者獲得權限可以使用網路。傳統的AAA(存取控制、身份認證與會計將與網路以及單點式安全解決方案搭配來保障未授權的入侵事件。

＊入侵偵測與防護：
點式陣列科技（目前業界已推出完整的產品線），從狀態檢測式防火牆、特徵值比對式的防毒裝置、網路式IDS偵測器與異常網路流量監控器，可一起協同檢測不同網路端點的有害活動。有嫌疑性的流量可被防火牆阻擋下來或重導到安全區域甚至到乙太網路上。在Cisco的規範下，路由器與交換器扮演依據MAC位址操控ARP表格的或過濾的關鍵性角色。現存Check Point Technologies、McAfee、Trend Micro、TippingPoint與Mirage Networks等廠商所提供許多各種不同的方案。

＊政策檢驗與執行：
這是運作的核心。一台中央的政策伺服器將負責從區域網路連結的PC到VLAN交換器以及核心路由器等其他安全產品，蒐集與更新安全相關資料。彙總控制端將比較粹煉後的資訊與預設的政策(例如：在會計的子網路中禁止FTP通訊)，以及發佈指令到最適當的設備來停止未經授權的活動(例如：命令防火牆切斷FTP連結)。這神奇的魔法就是自動化：網路將會自動執行而不需管理者的介入。

＊維護及修護：
復原並修復意外事件與病毒的損害，以及維持網路安全的完整性是終端節點安全、更新檔管理、弱點評鑑掃描以及自我稽核工具的重點工作。如果終端節點代理器回報說有一台主機需要最新的Windows更新檔以及Symantec的病毒碼更新，位於免疫區的維護伺服器將會送入最合適修正的檔案。同樣地，修復伺服器會幫忙清理受感染的檔案、修復損害，並做好更新以及更改設定來預防再度感染。

『這些產品要發揮自我防禦的功能，必須透過共通的通訊與管理協定，一旦與Cisco之外的異質產品整合，還有待努力』要讓所有這些產品能並行合作，需要Cisco環境外的異質通訊及管理的協定，目前仍非常的缺乏。管理協定像是SNMP與syslog，可以便利異質裝置間的高階通訊，但不提供自我防衛機制的需求。

小機械在哪兒？
有許多自我防衛的網路元件，不代表我們可以使其並行的非常協調，減少自動化程度而達到幾乎沒缺陷的優質效能。

當涉及到安全時，企業通常分別選用各領域最強的工具，以至於網路中散佈各種異質的單點式解決方案『單一方案』。他們與其他方案間運作的並不是非常順暢。

看看SIM生產商目前所面臨的挑戰，將相關的引擎中每一個獨特、私有的安全裝置粹取資訊。McAfee對其ePolicy Orchestrator有一個絕佳的主意，一個可以管理其本身以及其競爭者的AV產品，但是到目前為止EPO只支援Symantec 以及Trend Micro。 Check Point’s OPSEC 聯盟的成員可以容易與FireWall-1整合，但其他廠商仍難以運作。

同樣的問題存在自我防衛網路中，但是情況更嚴重。政策與管理伺服器必須從每個網路裝置與應用程式—路由器、交換器、IDSes、VPN連接器、主機AV掃描器、防火牆、負載平衡器、存取控制等。必須將資料正規化，分析其威脅與攻擊，並發佈回應指令來—切斷連線、重導流量、攔截存取、發佈更新—給多個裝置。而且必須在所有的流量負載中同時進行。只取出系統日誌作為修正及分析是不夠的。 跨平台的挑戰是Cisco為何為其產品與整合性的第三方單點式方案，建構自動化管理工具的原因。

在去年春天發佈的Cisco自我防禦機制首部曲，只針對Microsoft /NT/2000/XP的用戶端及 Cisco路由器。政策伺服器可以發佈ACL的變更來重導未經核准。政策伺服器會將阻擋與防禦的命令，導向到中繼伺服器，讓其下的設備更新規則與組態。而Cisco目前也能夠與McAfee、Symantec、Trend Micro 等防毒軟體相互整合。

在下一階段，也就是將來的2005年，Cisco將會加入交換功能至防禦機制下，使其有能力可以隔離未經核可的系統到有修復伺服器的VLAN區中。未來也將實現的是，支援各種不同作業系統以及實做IPSec VPN的能力。

在未來，Cisco將會逐漸引入更多裝置至其安全保障範圍下，包含防火牆、無線網路存取點以及平衡負載裝置。

即使在其廣泛的產品部署與協定專有權的分數（與其特有的通訊協定上具有領先的地位）上取得平衡，Cisco仍然距離全功能性的自我防衛性網路，有好一大段路要走。他們也需處理其基礎建設中的缺口，這就是為什麼他們需要與夥伴合作互補性科技。

另一個可選擇的方法是在資料層上攔截與操控封包與流量，這是目前Enterasys所採用的方法。Enterasys改變封包標頭與協定來驅散異質環境中的威脅，而不是依賴線上裝置來變更。

標準制訂單位可能會試著編定統一的架構，來讓異質自我防衛性網路可以運作，但是會花上許多年來推動，甚至更長的時間才能達到廣泛性的採用。然而，我們或許已有了不錯的基礎。SSH、SNMP、syslog以及Application Vulnerability Description Language可以操控裝置與軟體設定的功能，是自我防衛基礎架構所需，都可以作為新協定與標準的基礎。

難以達成的可靠度
即使每一個裝置可以互通，仍然需面臨很大的可靠度與精確性挑戰。

許多安全的解決方案，特別是IPSes與應用代理防火牆，可以自動地阻絕可疑的流量，但是很少企業使用這種功能，因為系統仍不夠可靠。錯誤的安全回應可能引發導致關鍵任務服務被關閉或者鎖定合法的流量。

自我防禦網路所依賴的人造規則也可能是他們最弱的地方。政策伺服器扮演非常重要的角色，但最最關鍵的其實是政策本身。

再往上層看，自我防衛網路能夠將政策的儲存、管理與執行集中管理。替代需維護各台異質環境的政策伺服器，安全管理經理只需維護單一的企業防禦政策，而不需要維護在異質環境下的各種政策伺服器和政策的資料室。所有的執行活動都會依循著這台伺服器來執行。

不幸地，眾多企業總是在政策的設計及維護上非常粗糙。差勁的安全政策可能大大地限制了自我防衛網路的效能，發佈不適當或不必要的指令可能導致連線中斷或切斷應用程式的執行。

除此之外，自我防衛網路只能回應那些安全管理經理有在程式內定好規則的情況。以概念來說，他們對攻擊行為能做到滴水不漏的防護，但前提需要有那些已預期的攻擊方式以及對應的回應處理策略。雖然有預設的回應措施，例如“當情況不明時，切斷連結”，但這也可能導致自我拒絕服務的情形。

簡單的說，自我防衛網路的防衛程度就看人員如何設置及維護。

大願景
將所有的安全智慧功能鞏固成一個中央管控與執行的中心，將會讓安全經理好像擁有一個彙總性儀表版可以提供一個全面、無所不包的企業安全狀態監控。

安全經理已被要求充當一個「 電腦監控大師」有好一陣子了：一個面版會顯示所有網路間的關鍵狀態，可作為立即確認、隔離與矯正。在平常一般的使用時，儀表版會提供有價值的智慧資訊，作為高風險系統的測試以及調校策略來引導自我防衛網路的正常運行。

然而，現今市場並沒有完美的安全科技，多少都缺乏完善的整合性以及跨平台的自我防衛網路。或許更多鬼靈精的想法以及麥迪遜大道的強烈行銷魔力，會使得這樣的概念不久後便出現在我們實際生活中。對生產商來說，解決整合性以及跨平台的問題仍須花數年的時間，同時也需增進端點裝置之可靠度及精確性。

本文作者ERIC COLE, CISSP, GIAC (eric@securityhaven.com)是Sytex Group的首席科學家。他是Hackers Beware的作者，SANS Institute的講師，也是New York Institute of Technology and Georgetown University的教授。他也是The Honeynet Project的成員。