一個有效的安全解決方案,必須考慮當前在應用和安全上的挑戰。這些挑戰包括︰
1. 對分佈式應用程式的倚賴性不斷增強:各個機構日益倚賴基於Web的應用程式和業務級的分佈式應用來開展業務。分支機構和生產部門也會透過WAN從遠端連結CRM和ERP等關鍵應用程式。
2. 網路化應用程式容易受到攻擊:由於80、139等Port通常是打開的,因此如果不對經由這些Port穿越防火牆進入網路的流量進行檢測,網路化應用將非常容易遭到病毒、入侵、蠕蟲和DoS等形式的攻擊。為保護網路化應用的安全,需要對所有流量進行深入的封包檢測,以即時的攔截攻擊,並且防止安全性侵害進入網路並威脅各個應用程式。
3. 呈爆炸性增長的攻擊:應用程式攻擊的數量和嚴重性都在急速地增長,僅2003年就出現了4200多種攻擊形式,而且每年都會成倍數增加。相對地,這些攻擊所造成的損失也呈直線上升趨勢。據報導,2003年8月成為IT歷史上最糟的一個月。在該月,僅Sobig病毒就在全球造成了297億美元的經濟損失。
4. 當前的安全工具無法攔截這些攻擊:在應用層的攻擊面前,防火牆、IDS 以及防病毒閘道器等現有的安全工具缺乏相對應的處理能力、性能和應用安全能力,各個機構的安全問題暴露無遺。
技術現況
2000年前,交換器的能力都局限在資料連接層(L2)─網路層(L3)間。2000年後,因應市場的需求,交換器的能力已能處理部分傳輸層(L4)的功能,但並不完整。然而前面所提及的諸多存在於網路層(L3) ─傳輸層(L4)間的安全性問題,多會由防火牆來做防堵的工作。因此,在過往的數年間,我們能看到諸多防火牆廠商與產品在市場上呈現熱絡的成長。
市場上的防火牆以下兩大類型存在︰
1. 軟體式防火牆:這種類型的防火牆功能強大且應用上較具彈性,市場上最具代表性的產品有 CheckPoint及PIX等等,唯軟體式的架構必須安裝在其他獨立伺服器上,安裝及維護上有相當的門檻,效能也隨伺服器等級不同而有所不同,除了本身軟體防火牆的功能及效能間的差異,其中伺服器的效能也佔防火牆效能的重要因素。目前廠商為了解決伺服器的問題,推出了優化硬體架構及OS的設備,用來搭配軟體式防火牆來達到最高及最穩定的效能,如Nokia及Nortel等公司都有相關產品。
2. 硬體式防火牆:這種類型的防火牆功能基於特有的ASIC晶片設計,在效能及價格上都有亮眼的表現,如Netscreen、Fortinet、Sonicwall等公司的產品,但功能及應用彈性通常較不如軟體式的防火牆。 基本上,以上兩種類型的防火牆各有其優缺點,並無絕對的好或不好,但總跳脫不出「功能越多,處理複雜,效能越低;功能越少,處理單純,效能越好」的常態。
2001年前後,防火牆成了網路安全的代名詞,幾乎所有的機構在想到網路安全的第一件事,就是建置防火牆。然而,隨著防火牆的日漸普遍,駭客的攻擊手法不再單由網路層(L3)─傳輸層(L4)間做攻擊與入侵,而是往防火牆無法控管的應用層(L7)發展。
因此,入侵偵測系統(IDS,Intrusion Detection System)開始受到重視,以期在網路的控管上有更佳的防範與防堵功能。但仍會回到前述的老問題─「功能越多,處理複雜,效能越低;功能越少,處理單純,效能越好」。IDS要處理大量的資料,分析、整理及比對的工作,而且面對發展快速的網路技術,IDS必需在架構上留有彈性,因而當時市場上所見的IDS系統大多是軟體架構;又因為效能的問題,僅能記錄攻擊與入侵發生時間供追查。對於網路管理人員來說,IDS的記錄與追蹤的功能並不能滿足需求,一個真正有效的安全機制,應是在攻擊與入侵發生同時,除了能快速地記錄下來,更要有效阻斷攻擊與入侵的行為。因而產生了對入侵防衛系統Intrusion Prevention System (IPS)的需求。
IPS功能需求與做法
一個有效用的 IPS 必需具備以下六大功能︰
1. 攻擊監測和隔離 網路管理人員在防堵傳輸層(L4)以上的入侵與功擊行為時面臨的主要難題之一,就是他們無法掃描和檢查應用層(L7)的流量。網路管理人員必須借助IPS對網路流量的全面監視能力,使得他們可以即時識別蠕蟲、病毒和異常的流量模式,從而實現對所有活動威脅的完全監視。一旦檢測到攻擊,IPS就會實施積極的攻擊隔離措施。它會通過流量管理對所有受影響的應用程式、用戶或網段進行動態的帶寬分配限制,從而即時地控制攻擊的影響和危害。通過控制DoS攻擊所可能佔用的最大頻寬並且限制該攻擊的影響,可以確保其他的關鍵業務應用不會受到影響,並且可以繼續獲得為保證業務的平穩運行所需的頻寬和服務水平。
2. 入侵防範─應用層 (L7) 的保護 對網路化應用的依賴性不斷增強也使得公司網路要面臨病毒、入侵、特洛伊木馬和其它攻擊的威脅。這些攻擊會使用80 Port和其他打開的應用Port(如139、445等)穿越防火牆而進入公司網路中。據2003年8月號的Network World報導,77%的應用層攻擊都是通過80埠啟動的。 當檢測到惡意活動時,IPS可能以任何組合形式立即執行以下的動作:丟棄資料包、重置連接以及向管理位置發送報告。這樣就為該設備之後的應用、作業系統、網路設備和其他網路資源提供了全面保護,以免它們遭到蠕蟲、病毒和其他形式的攻擊。
3. DoS Shield─徹底防範阻斷服務攻擊 在過去的12個月中,拒絕服務攻擊所導致的損失有顯著的上升趨勢。最近的調查統計,阻斷服務攻擊(DoS)在2003年導致每個機構平均損失了1,427,028美元,這個數字比2002年高了5倍。IPS借助高級的取樣機制和基準流量行為監測來識別異常流量,提供了即時的DoS防範。該機制會對照IPS攻擊資料庫中的DoS攻擊特徵列表(潛在攻擊)來比較流量樣本。一旦達到了某個潛在攻擊的啟動值,該潛在攻擊的狀態就會變為Currently Active(當前活動),這樣就會使用該潛在攻擊的特徵文件來比較各個封包。如果發現匹配的特徵,相應的資料包就會被丟棄。如果沒有匹配的特徵,則會將資料包轉發給網路。借助高級的取樣機制檢測DoS攻擊,不僅可實現完全的DoS和分散式阻斷服務DDoS防範能力,而且還保持了大型網路的高吞吐量。
4. 流量控制 借助 IPS 的頻寬管理功能,可以動態性地對流量進行控制,以保證所有關鍵任務應用的持續運行和性能(即使在攻擊之下)。通過控制資源和區分流量的重要程度,IPS 流量控制功能可以限制處於攻擊之下的各個應用程式所佔用的頻寬,同時保證所有安全流量能獲得充足的資源。對企業而言,這樣確保了ERP和CRM 等關鍵任務應用的性能和不間斷運行。
5. 安全更新服務 IPS安全更新服務提供了即時的和經常性的安全篩檢程式更新,這為防範包括病毒、蠕蟲和惡意攻擊特徵在內的最新應用安全危害提供了可能,從而可實現對應用、網路和用戶的完全保護。
該安全更新服務包括以下的主要服務要素:
安全運行中心 (SOC) 24/7地檢視:不間斷地監測、檢測威脅,對威脅進行風險評估以及創建篩檢程式來抑制威脅
每周更新:按計劃對特徵文件進行定期更新
緊急篩檢程式:通過緊急篩檢程式,可針對高危險的安全性事件作出快速反應
定制篩檢程式:針對特定環境下的威脅以及新出現的攻擊報告給SOC的攻擊定制篩檢程式
IPS 的硬體架構及新趨勢
再回到我們的老問題─「效能」上。綜合以上IPS的功能需求,勢必需要大量的處理能力的高效能硬體才能支援。然而局限在伺服器效能先天上的限制,並無法滿足IPS的所有功能運算,傳統ASIC架構的設備研發時間長,功能會有所限制,又無法滿足現時IPS所需的功能與彈性,於是應用交換器(Application Switch)隨之誕生,應用交換器(Application Switch)保有交換器高效能的ASIC架構運算能力,同時又具備伺服器的應用彈性,應用交換器(Application Switch)特有的架構,目前多應用在傳輸層(L4)以上的運算上,其中最具代表性的廠商就是Radware及F5。
我們以Radware的DefensePro產品架構為例,硬體平臺分為四個主要元件,它們分別是:
交換結構和交換ASIC
網路處理器
StringMatch Engine
高效的Power PC RISC 處理器
交換結構和交換ASIC
以 DefensePro無阻塞的44 GB交換架構,支援1個10GbE的Port、7個1GbE的Port以及16個高速乙太網Port,一台設備就可以執行對多個網路段的雙向掃描。
網路處理器
兩個網路處理器將並行工作,它們可以用Gigabit的速度同時處理多個資料封包(實現了更快的第4至第7層安全交換速度),並執行所有與資料包處理有關的任務,包括流量轉發和攔截、流量控制以及延遲綁定(以防範SYN flood攻擊)。尤其是,它們可以用每秒100萬個SYN請求的速率來防範拒絕服務攻擊和任何已知或未知的SYN flood攻擊。
對第4層攻擊的檢測和防範是由網路處理器完成的,這有助於提升防範這些攻擊類型時的性能。
如果需要執行更深入的資料包檢查(第7層掃描),則會將資料包轉發給StringMatch Engine。除了清除所有可疑流量外,網路處理器還支援端到端的流量控制和帶寬分配管理,以確保所有安全流量有穩定的服務水平,並且保證關鍵任務應用的連續性和服務質量(即使在受到攻擊的情況下)。
除了特徵比對外,高效能的IPS還可以做更多,高效能的運算使IPS的防護除了上述基於攻擊特徵的防範方法外,還能提供更進一步有效率的防護方式。以DefensePro為例,它可針對各種類型的SYN flood 攻擊防範機制,以特有的SYN Cookie防範機制可執行延遲鎖定(終止TCP會話),並且在TCP 確認資料包中插入一個ID號來鑒別SYN請求。
完成這三項程序後,DefensePro僅處理含有在此之前插入的ID號的請求。這種機制可以保證只有合法的請求才發送到伺服器,而任何SYN flood 攻擊都將在DefensePro 處被終止,因而不會蔓延到伺服器以及DefensePro本身。DefensePro的架構允許它處理大規模的SYN flood攻擊。在消費者實驗室中執行的測試表明,DefensePro每秒最多可攔截100萬個SYN請求(相當於500Mbps的速度),同時可保持合法流量的轉發。
在現今廣泛網路應用的環境下,無論是企業或是各個機構都應以謹慎的態度面對可能的問題與挑戰,並做好準備,以防任何惡意的網路攻擊與入侵。如何選擇一個高效能的IPS來確保企業及各個機關單位的網路應用及資產投資會是一個十分重要的課題。
本文作者為騰蒙科技專案技術部經理