一、問題的提出:
入侵者想要繞過網路的邊界措施,直接入侵到網路內部,途徑一般有兩個:一是內部的主機「主動」建立新通道,連線到外邊的網路上,入侵者順著這個不受控「通道」進入網路;二是外部入侵者能夠找到繞過邊界安全措施的新途徑(如管理漏洞等),進入到網路內部。
這兩種入侵攻擊方式在學術上有個響亮的名字---「隱秘通道」。
第一種「內部主動」的隱秘通道產生的原因有很多,如被感染木馬或蠕蟲的終端,廠家後門,被收買的「內鬼」,對方派來的間諜……防護的思路多數是從對內部終端主機的控制角度考慮,在終端上安裝監控軟體,關閉外聯通道,不安裝的就不允許接入網路。
第二種「外部主動」的隱秘通道,多源於網路管理的漏洞,所以必須從監管上下功夫。我們先看一下問題出在**:
1、 外部主機的接入方式:
有線接入:外部主機直接接入網路的交換機介面上(交換機介面可用);
無線接入:
入侵者破譯合法ap的密碼,通過無線接入網路;
內部主機終端上開啟無線**建立「非法ap」,被外部主機接入,再通過內部主機**接入網路;
利用交換機管理的漏洞,入侵者自己的建立「非法ap」,形成不可控的無線接入點;
2、 防護難點:
外部主機不安裝我們的主機安全措施,不會主動上報它的資訊,發現是難點;
在mac、ip位址都可以修改的情況下,網路層面常常無法確認接入的主機是否是冒充的;
二、外部主機非法接入的安全防護思路設計
外部主機能夠非法接入,一般是利用網路管理環節上的漏洞,獲得了「合法的」接入點。管理涉及多個方面,防護上也必須多方面相互結合:
控:終端接入網路控制
查:非法終端監控
無線空間監控
導:第三方運維接入管理---堡壘機
對所有的終端接入網路要控制,保證非授權者不能隨意進入網路,這就是「控」,控是前提,是管理的基礎;針對不按要求接入的,要有能發現的能力,這就是「查」,查是防止管理缺陷的手段,這包括對有線網路接入非法終端的發現,也包括對無線空間接入非法終端的發現;最後,好管理要疏導,不能單單是堵截。對於業務需要接入網路的外部終端,建立特定的區域,在規定的環境內使用,這就是「導」。
1、「控」的方法
網路接入一定是有網路接入點的,對於有線網路來說,就是有可以接入的交換機介面。要實現沒有授權的終端接入時,交換機拒絕為其工作,也就實現控制其非法接入的目的。主要的控制技術有幾種:
埠繫結mac:禁止交換機埠的mac位址學習功能,人工把mac位址寫入交換機,這樣就只允許該mac終端可以接入該埠;
適用於終端少的網路,簡單易行;
運維管理成本高,並且無法限制入侵者修改自己網絡卡的mac位址為合法的,也無法阻止入侵者先設法修改交換機的配置,讓自己的終端合法進入;
開啟802.1x協議:交換機的埠開始只允許認證包通過,當使用者通過身份認證後,才允許**資料報,這樣就遮蔽了網路層的隨意接入;
管理方便,適合較大規模的網路。同時在身份認證時,採用ip、mac、身份id繫結,進一步增加對終端的控制,解決入侵者修改mac、ip冒充身份的問題;
這個方式可以應用到無線網路上,如wifi,在無線接入ap上開通802.1x,或連線到ac上,入侵者只有在身份認證後才能進入內部網路;
需要所有的邊緣接入交換機都採用可網管型的,需要建立全網統一的身份認證管理系統;
若部分邊緣接入交換機安全不可控,或很容易被修改配置時,一般採用匯聚交換機上開通802.1x,可以保證上層網路接入的可控,但下層網路仍處於危險中,入侵者可以先感染合法終端,再作為跳板入侵上層網路。
終端接入網路控制方案中,通過確認接入裝置或使用者的身份,限制外來者的入侵。但網路比較大,多部門管理時,邊緣交換機的配置管理往往不到位,無線接入點的私搭亂建,都為入侵者提供了可用的接入點。因此,能夠及時發現外來的登入終端是必須的安全措施。
2、「查」的方法:有線網路
當入侵者的終端接入到網路上時,能發現它的蹤跡,主要的特徵是它的mac位址(入侵者一般會配置為內部合法的ip位址)。但mac位址只在同網段內出現,無法在核心網路中監控(三層),處理的思路有兩種:
在身份認證過程中加入mac資訊。即在使用者身份認證時,將終端mac位址作為裝置的標識,與使用者身份一起送到身份認證伺服器,並在認證後繫結在一起。這種方式在上節的終端准入網路控制方案中,交換機開啟802.1x協議,一起實現終端mac位址的控制;
建立mac資源庫,監控非法mac位址的出現。發現mac位址可以有兩種方法:
利用網路管理方式讀取邊緣交換機的fdb表,發現最新的mac位址。方法簡單易行,但網路較大時,接入交換機較多,需要設計成區域查詢,再彙總資訊上報監控中心;
在每個網段的內設乙個監聽埠,映象閘道器方向的鏈路流量,分析網段內所有流量資料報,發現新的mac位址;
由於入侵者一般盜取合法使用者的ip,並進一步入侵網內的各種應用,因此除了監控非法mac之外,還需要對終端的行為進行異常分析,發現冒充者。
綜上分析,非法終端監控的方案可以分為兩個部分:
非法終端掃瞄系統:通過定期查詢接入交換機,發現新入網的終端,並與資產資料庫查詢是否為非法接入終端;
終端異常行為分析系統:是乙個大資料分析系統,通過非法終端監控來的終端位置資訊,以及身份認證系統獲取的終端與使用者身份資訊,建立使用者的行為基線,發現其異常行為資訊。如登入地點、登入時間、終端與使用者是否統一等,從而發現入侵者冒用合法使用者資訊登入的行為。
3、「查」的方法:無線網路
網路中的「非法ap」常常是入侵進入網路的跳板。由於「非法ap」的建立者,多是使用者為了自己工作的方便,如手機上網,移動裝置上網等,通過自己的合法接入點,建立**伺服器,讓自己的多個裝置可以同時工作。網路管理者往往只能看到合法終端的接入,無法直接通過網路發現其他非法接入裝置。「非法ap」安全配置簡單,很容易被破譯,進而成為入侵者的入侵跳板。
無線空間監控方案是在網路區域內,部署無線ids,探測網路空間內的各種無線訊號,並區別是合法內部ap,還是非法ap。一旦發現非法ap,可以通過無線干擾訊號,阻止該非法ap正常工作,讓接入該ap的終端無法正常通訊,從而阻斷非法終端通過非法ap接入網路。
由於無線訊號容易受距離限制,或容易被阻擋隔離,因此在考慮部署無線ids的時候,要注意無線訊號的覆蓋區域,原則上是覆蓋網路所有的接入節點。
4、「導」的方法:第三方運維區
資訊化發展迅速,技術更新較快,無論是系統、網路,甚至是安全,都常常要依託第三方的運維人員,故障處理、配置更改、日常維護…因此,不可能不讓第三方運維人員接入網路,而且常常是用他們自己的終端,運維需要很多測試軟體與工具裝置,都需要接入網路並執行。
既然是必須有外來終端要接入網路,又不可能要求第三方人員的終端按自己的安全管理規定安裝各種安全軟體,就需要給他們開闢乙個特定的運維管理區域,讓他們在特定的空間內,既能完成運維工作,又能不影響網路的安全管理。
堡壘機,是運維管理**系統的俗稱。其原理很簡單:第三方運維人員在指定的運維區域內,接入自己的終端裝置,必須先登入堡壘機,再訪問要運維的裝置或系統。堡壘機不僅管理裝置的登入口令,而且審計記錄了第三方運維人員的所有操作,包括命令列、圖形介面、專用cs客戶端等。
由於有堡壘機的隔離,網路可以不用掃瞄第三方人員終端的mac位址,他們只要知道要維護的裝置或系統的ip位址、登入口令就是可以自由工作了。
小結阻止外部非法終端接入到網路上,不僅可以阻止外部入侵者的直接入侵,而且可以降低入侵者的破壞能力,也解決了目前大多數使用者安全管理落實只靠管人,沒有技術支撐的難題。
防護外部主機非法接入從四個方面,部署的安全措施:
1、 外部終端接入網路的准入控制,讓入侵者進不來;
2、 非法終端的監控,讓進來的入侵者無法存活;
3、 無線空間監控,讓入侵者從我們的網際空間內消失;
4、 運維堡壘機,給外來接入者乙個合法的工作空間。
《曾國藩》三部曲的感慨
利用乙個半月的閒暇時間,將 曾國藩 三部曲看完。合上書本的一剎那,想哭。這本書,從曾國藩建湘勇述起,講述了曾國藩的官場生涯。剛開始讀時,並不覺得愛不釋手,只是喜歡這歷史,於是倒也樂讀。漸漸的,對於曾國藩了解的越來越多,竟也想一究其一生之所做為,愛不釋手。太平天國亂於天下,曾國藩因此在湖北招募兵勇,以...
朱蘭的質量三部曲 《可以量化的管
內容提要 約瑟夫 m 朱蘭 joseph m.juran 博士是舉世公認的現代質量管理的領軍人物。他的 質量計畫 質量控制和質量改進 被稱為 朱蘭三部曲 朱蘭的 質量策劃 planning for quality 一書中可能是對他的思想和整個公司質量策劃的構成方法明確的嚮導。朱蘭的質量策劃是公司內部...
認識網路營銷的三部曲
認識網路營銷的三部曲 一 網路營銷是不是傳銷 在問答 中,我們可以看到許多人在提問,網路營銷是不是傳銷 網路營銷不是傳銷。他們將網路營銷和傳銷混為一談,傳銷的網路營銷是指的人際網路營銷,是利用人際關係進行的產品銷售。而網路營銷是指網際網路的營銷。據 禁止傳銷條例 的定義,傳銷是指組織者或者經營者發展...