StoneGateIPS售前安全方案.doc

永不间断,安全均衡StoneGate IPS技术白皮书(防火墙/VPN/负载均衡/IPS产品)一管理者寄语 网络安全事件的爆发越来越频繁，同时网络安全的成本也在不断提高，与之相对的商务现实却要求削减开销。各种各样的网络安全解决方案，如防火墙、网络入侵检测/保护系统以及防病毒软件等等，都在一定程度上增强了网络安全，他们基于网络安全架构的各种领域，实现了一定深度的防御。毫无疑问的是，没有一种单个的设备或者方法可以消除所有的网络安全。入侵检测在解决网络安全难题中起到了重要角色，它在公司网络安全领域中有“最后一道防线”之称。当有人设法绕过所有设定的安全措施并且进入禁区时，入侵系统会提供警告或者警报。尽管有这些承诺，但是总的说来，传统意义上的入侵检测系统在许多领域都没有达到预期的目标，比如： 不准确，误报比很高； 独自进行的过分被动的检测已经远远不够； 无法实现现今网络访问的高吞吐量和高可靠性需求； 对于分布式企业网络环境的管理非常困难并且价格昂贵；为了解决这些问题，本白皮书描述了我们的解决方案。本书介绍的StoneGate平台由StoneGate Firewall、StoneGate VPN以及StoneGate IPS（入侵检测、分析并实时反应）组成，该平台是一个通用且高度集中化的管理系统。另外，本书还介绍了StoneGate IPS是如何解决精度、实时反应、速度、可靠性和可用性等问题。Stonesoft经过广泛的研究，成功找出了解决精度问题（误动/拒动）的方法。我们研究结果表明，最好的解决方案就是对多种检测方法进行组合，系统配置的粒度要求细化和灵活相组合，以及事件的关联性组合。因此，这项研究的成果最终被Stonesoft的StoneGate IPS产品吸纳。自动反应机制被集成在StoneGate IPS中，虽然这些系统无法阻止所有的安全攻击，但是他们可以极大的缩减安全事件的数目，从而给客户节省了相当可观的费用。事件处理是一项费力的过程，需要时间以及独具的资源，所以相对于安全事件的完全处理过程而言，对该过程的避免总是非常划算的。StoneGate IPS传感器是针对千兆比特的环境设计的，他们已经满足了绝大多数网络的安全要求。嵌入式的集群以及高可用性设计进一步改进了系统性能和可靠性。 StoneGate 平台提供深度保护的同时，没有增加日常网络管理的复杂度。基于缩减的安装时间、缩减的数据和系统维护工作量、更低的培训费用，以及更加有效的日常操作，StoneGate 管理中心(SMC) 极大的降低了客户成本。我们的架构适用于分布式环境，在该环境下，遥控管理，遥控升级以及支持不同角色的多管理员是必须具备的需求。 2. 网络安全描述 CERT Coordination Center (CERT/CC) 的统计表明，已经报告的安全事件正以每年50% - 100%的速度增长。该数字表明，不仅仅被发现的安全弱点的数目在增长，而且很多使用方便的黑客工具也越来越容易进入安全系统。与此同时，黑客主义的真正的犯罪也在增长，而另外一些黑客纯粹是为了寻开心。当今环境下，为了确保商业可持续发展，网络安全已经成为必须品。在安全事件数目增长的同时，越来越需要削减网络事件发生的代价。图1就是所有不同的安全解决方案涉及的若干子模块，每个子模块都在网络安全模型中扮演着独特的角色。 FIGURE 1. 安全模型处理安全事件最有效的方法就是阻止他们发生，毕竟，阻止事件的发生对于被保护者而言不会产生破坏。阻止功能包括的任何动作都涵盖在公司安全政策中，这些动作范围广泛，从物理进入控制措施开始，再到图示的周期防火墙技术解决方案。 阻止的另外一个目的就是增加攻击者渗透入系统的时间和成本，从而给防卫者更多的反应时间。 尽管采取了很多措施，对于一些安全事件有时却无法阻止。所谓监测就是用最高的精度，尽快获知任何意料以外的，异常的，或者一些简单的攻击事件。最为关键的就是及时监测，这也是传统的入侵检测系统一直在炫耀但是最终却失败的地方。这些IDS系统的主要问题就是他们已经产生了大量的告警，某个IDS用户曾经说过他们的系统每个月会产生180万个告警，而要处理这个巨量的告警本身就成为一个问题，更不必说真实的告警事件会被其淹没事实了。这个场景就叫做所谓的“信噪比”。反制过程指的是当获知安全攻击发生后采取的应对措施。及时反制的目的就是要将潜在的损害降低到最小程度。反制可以是来自IDS的自动反应，或者是系统管理员为了限制安全事件危险而采取的行动。恢复过程包括当安全事件发生后采取的各种措施。一旦安全冲突发生，最为重要的就是判断系统受损是否发生，以便及时将系统导回到正常状态，并采取措施以防遭受进一步攻击。 在该领域，网络安全解决方案需要通过精确定位谁在什么地方干了什么事情，以及也许最为困难的就是确定具体原因，这些精确定位有助于确定采取何种必要的措施。看来有一点已经非常清楚，那就是没有任何一种设备或者方法可以完全解决所有的网络安全问题。正确的解决方案就是进行深度防御，也就是通过增加保护层面，覆盖上文提及的安全模型的各个不同部分，以达到保护系统的目的。防火墙，网络入侵检测/保护系统，以及各种防病毒软件都会有助于增强网络安全。尽管有很多承诺，但是一个比较普遍的观点就是传统的入侵检测系统已经无法实现许多领域的预期的保护。传统的IDS系统具体有如下几点不如人意： 不准确，信噪比很高； 独自进行的过分被动的检测已经远远不够； 无法实现现今网络访问的高吞吐量和高可靠性需求； 对于分布式企业网络环境的管理非常困难并且价格昂贵；毫无疑问的是，入侵检测系统是网络安全领域的一个重要的组成部分，它给网络安全带来了很大的价值。但是，为了能够生存并加以发展，IDS系统需要解决上面提及的一些挑战，否则这项重要的技术将会因为使得企业得不偿失，而最终面临淘汰。 3. StoneGate 平台介绍StoneGate 平台设计的目的：满足现实商业安全要求，使商业得以可持续发展，以及给客户节省成本。 通过卓越的可管理性，可测量性，可用性，以及安全考量，我们已经完全实现了上述目标。StoneGate平台的重要组成部分就是StoneGate管理中心（SMC），它为StoneGate防火墙，StoneGate VPN，StoneGate IPS产品提供了统一的管理界面。围绕Stonesoft的蓝图，SMC被打造为一个集中的，可不断升级的管理系统，从而可以提供深度防卫。StoneGate的分布式安全架构允许在不同的网络安全环境中进行有效的部署，尽管传感器，分析器，FW/VPN引擎，以及管理系统的数目和地点各异，StoneGate系统通过单独的用户界面，能够轻松的加以综合管理。 StoneGate分层设计架构在第9页的图2中加以阐述，客户端图形化界面通过通信和StoneGate管理中心联系，StoneGate再将信息传递给传感器，分析器，以及FW/VPN引擎。FIGURE 2. StoneGate Security Solution StoneGate 平台包括以下几个主要的组件： IPS 传感器节点 捕捉网络数据流以及初始分析。IPS 分析器 关联分析，并处理来自传感器、分析器以及其它接口兼容设备上报的事件信息。防火墙/VPN引擎 实现访问控制，多层次检视，NAT，VPN，鉴别，监控以及日志功能。VPN引擎 实现VPN，鉴别，监控以及日志功能；StoneGate管理中心，包括：管理服务器 控制整个StoneGate系统告警/ 日志服务器 存储来自分析器的事件信息，当严重事件发生时给管理员告警。 一个或者多个图形化管理终端管理和监控整个StoneGate系统。4. 现代IPS 满足不同的需求 精度需求误动次数和拒动次数和实际的攻击相比，也就是所谓的信噪比，其值应该非常低。误动就是错误的告警，即没有任何攻击的情况下产生的告警，如果误动的数目很大，由此而产生的信息就会变得不可靠，真实的安全事件也有可能因此无法被检测到。典型的误动就是因心过分倚赖于单一的检测方法导致，依靠这些方法，无法配置为不同的级别，以适应实际操作的环境。误动产生的另外一个原因就是第一代入侵检测产品无法提供任何方式的事件关联。另一方面，拒动就是当攻击产生时没有相应的告警。为了解决这个问题，StoneGate IPS 组合了许多强大的检测方法， 这些方法可以是系统管理员定义的规则，StoneGate还引入了事件智能关联分析。此外，StoneGate还改进了一些检测方法，譬如上下文敏感，基于指纹的正则表达，以及可配置的协议检视模块。这样，对于真实的攻击威胁可以很容易的采取相关动作，几乎没有任何手工劳动会浪费在分析那些错误告警上。FIGURE 3. StoneGate IPS 中的事件处理StoneGate IPS 传感器策略 一般而言，会有各种不同的网络数据流。服务器可能会使用不同的操作系统，在安全区（DMZ）使用的FTP服务器应用可能会和企业内部网使用的FTP服务器应用不同，放于DMZ合作伙伴的SSH服务器也可能使用非标准的端口，等等。成功的入侵检测的配置粒度和灵活度都会依据检视的数据流类型以及检测方法而定。StoneGate IPS 传感器策略是依据传感器规则基础而定义的，规则基础定义了单个检视代理的数据流检视顺序。传感器所有的检视都由检视代理完成。 检视代理是一种定制协议的方法，这些协议往往为了处理某个特殊的应用，需要改变参数设置。除了定制参数，检视代理还包括了它一套上下文敏感的指纹集合，主要用于检测特殊应用的攻击。这将进一步缩减误动的数目。 例如，第一代的IDS用同样的方法来评估所有的网络数据流，在协议之间没有任何区分。一个更为先进的IDS应该基于协议的不同去评估每个网络的数据流。在StoneGate IPS传感器策略指引下，检视代理对协议栈的各层作进一步的检查，从而基于目的，源，业务等对数据流进行不同的处理。80端口的网络数据流检视，可以基于目的地址以及目的地址有什么（譬如一个使用IIS或者Apache的服务器）而有所不同。具体的反应可以视每个检视代理进行定义，这使得我们可以给各种不同的服务器，应用，甚至基于攻击来源地址定义不同的反应。一个来自外部网络的Nimda攻击，不应该产生任何动作，但是来自内部网络的相同攻击应该产生告警。传感器模块 StoneGate IPS 传感器有两种检视模块：特殊协议检视模块，譬如HTTP模块，以及一般检视模块，譬如TCP指纹模块。具有相应配置的检视模块就被称为检视代理。特殊协议模块可以对协议进行解码，并且验证该协议的使用方法是否和说明书中宣称的一致。协议的定义应该是非常完善的，这使得任何偏离于协议标准用法的情况可以非常准确的被检测出来。但是协议的实际执行和使用，在现实中会有较大的不同，StoneGate IPS 给系统管理员提供了许多方法，这些方法可以根据他们管理的网络，具体定义被认为是违反协议的情形。通过使用不同的检视代理，每个代理都有不同的参数设置，可以有效识别现实生活中的各种协议，消除误动。 有时恶意攻击并没有违反协议，它通过提供应用设计者预期以外的数据使得执行该项协议的应用被中止服务。StoneGate IPS通过配置一个定制的检视代理就可以检测到这些异常的数据。所有的指纹识别都可以通过检视代理完成。特殊协议检视代理通过正确的上下文评估指纹，从而有效的减小了误动的数目。另外因为让不同的检视代理使用不同的指纹是可行的，譬如将针对IIS的特殊指纹应用于IIS检视代理，而交给Apache检视代理，这样又进一步减少了误动的数目。对于某个协议，如果没有特殊协议检视代理，也可以使用普通检视代理进行指纹识别。在普通检视代理中，会根据数据流的方向来评估指纹。因为将某个特殊协议相关的所有指纹集中起来分给一个新的检视代理是可行的，这也增加了一个机会可以在规则基础上使用这些指纹，从而进一步减少了误动的数目。 StoneGate IPS 包含了一整套特殊协议检视模块。为了使系统能够更好的适应各种不同的环境，Stonesoft 提供了一些最典型的应用提供了相应的检视代理，譬如用于IIS或者Apache的HTTP特殊系统检视代理。此外，当协议发身了变化，或者有新的协议成为标准时，Stonesoft 会提供更新的检视模块。 指纹上下文敏感指纹在StoneGate IPS中使用正则表达式的方式进行定义，正则表达式使得指纹定义所必须具有的灵活性特点具有了可行性。因为采用了指纹模式识别技术，检视代理中的上下文敏感指纹进一步减小了误动的数目。 对于一些已知的攻击，StoneGate IPS已经包含了足够的系统指纹。用户可以对它们进行任意组合，以找到和某种数据流相匹配的组合。所有的系统指纹都是开放的，所以对他们进行彻底的评估并用于定制的指纹模板。可以使用StoneGate IPS 指纹编辑器建立一个定制的指纹。Stonesoft定期提供指纹更新，以确保系统的指纹库是最新的。事件关联（分析器） StoneGate IPS 分析器将检测提高到了一个全新的水平。经过传感器分析后的绝大多数的数据流不会和公司安全政策（即合法商业数据流）相违背，据此只会产生一些统计信息。另一方面，有一些数据流被立刻认定是恶意的，并产生一个相应的事件。但是总的说来，只有一组事件是非常令人感兴趣的，或者甚至说是被认定是可疑的。传统的IDS产品会将所有信息都呈现给管理员，作手工分析。StoneGate IPS 分析器自动通过关联分析并对那些来自不同源头的事件作出处理。事情一般都是来自传感器，但是也可能来自其他的一些分析器，此外，分析器也能够处理来自一些兼容设备的事件。分析器会对那些可疑事件作深度检查，通过关联事情分析，以检测其趋势以及决定其重要性，同时丢弃不相关的事件。所有这些都改进了事件信息的质量，缩减了耗时的手工分析。伴随着StoneGate IPS的是一个预先定义好的分析器系统策略。如果有需要，分析器策略可以通过使用一个图形用户接口进行配置。配置模块通过过滤器将输入的事件连接到一套分析模块，并最终到达响应模块。分析模块的设置也是可配置的。 统计StoneGate IPS 基于将数据流统计信息和预先定义好的规则进行品配，检测出异常的数据流。这些数据是通过传感器收集并由分析器分析。统计模块提供的信息用于一些事件的检测，诸如一些未知攻击，缓慢浏扫描，不正常的连接数目，等等。StoneGate IPS 能够分析这些统计数据: 连接统计使用一个计数器检测某种类型数据流连接的数目。当计数器到达用户预先定义的门限时，会触发某个特定的响应或者告警。 时隙统计 收集一个制定时间窗口的连接数据。如果在这个滑动窗口内的所有数据流都超过了用户预先定义的门限值，会触发某个特定的响应或者告警。 例如，连接统计可以用于检测模块，譬如来自服务器的一些异常的数据流，他们应该不会对任何外部连接作初始化。如果发现了这种数据流，就会被标志为特洛意木马或者是一种成功的入侵。时隙统计，在另一方面可以被用于端口扫描。 主动响应一次成功的攻击会导致一些麻烦且耗时的处理过程。修补产生的损坏，调查事件的原因，阻止进一步的损坏等等，会占据许多重要的资源，急剧花费成本。理想的方法就是在攻击产生损坏以前阻止一切的发生。当检测并识别到攻击时，StoneGate IPS 应该通过使用预先定义的自动反应去阻止攻击。自动反应的有效性主要倚赖于检测精度。如果发现了攻击且确实不是误判，应该使用主动响应机制，以自动抵御攻击。另一方面，如果检测达不到100的准确率，我们更建议采取保守的方法。 尽管传感器做了所有的努力以紧缺识别攻击，还是有一些事件依然处于可疑状态，这些事件需要作进一步的分析以及通过分析器作关联分析。分析器通过它自己的一系列自动化反应，会阻止来自同一个源头的攻击，或者收集证据以作法律分析。被动响应是入侵处理成功的基础。如果没有和事故相关的各种事件上报，推断攻击事故原因以及攻击事故的征兆会需要更长的时间以及占用更多的资源.防卫能力的增强，攻击事故原因的消除，都会受限于决定到底发生了什么，以及为什么发生。 自动告警处理，扩大，以及确认等等都在StoneGate管理中心包含的告警中心中加以定义。 这使得存在另外一种方法，可以对各种事件进行自动响应。TABLE 1. 告警中心消息日志 X X连接记录 XIP 黑名单 X XTCP 连接终止 X包 & 连接丢弃 Version 2告警 X XE-mail XSMS XPager XSNMP 陷阱 X控制台信息 X不同的响应机制消息日志 消息日志将基础的事件信息存储在日志服务器上。这些信息对于攻击分析是很有价值的，因为它对发生了什么给出一个总的看法。连接记录StoneGate IPS 传感器能够记录所有的信息包数据，包括和连接相关的包头数据以及相关数据体。记录是以私有格式完成的，我们提供了一个转换工具，以将数据变换为tcp格式。记录的信息包数据可以用于重构该攻击，这样可以获得详细的分析以获得各种附加信息。 IP黑名单StoneGate IPS 和 StoneGate Firewall的集成，可以记录IP地址黑名单，这样可以通过将防火墙策略动态改变为一个预先定义的时间周期，以便将检测到的异常数据源阻断在防火墙以外。在StoneGate 防火墙记录的IP白名单同时保护了预先存在的合法连接，防止那些欺骗的假连接可能针对重要连接产生的DOS攻击。IP黑名单可以有效的针对获得合法IP地址的攻击进行阻断，但是对于这种方法的使用应该要非常小心，因为IP地址欺骗也可能会同时存在。 TCP 连接中断 TCP 连接中断就是通过给连接的两端发送TCP Reset报文断开连接，这是一种非常简单的停止TCP攻击的方法。对于传感器发送该报文而言，该响应需要提供一种接口，且并非是用于监听的接口。TCP连接中断的主要限制就是它只能用于TCP协议，对于那些如UDP或者ICMP之类的无连接的报文并不适用。此外，TCP Reset 报文也同时将IPS暴露给了攻击者。 包以及连接丢弃 StoneGate IPS version 2 会介绍一种另外的安装模式：直进模式。 在该模式下，IPS就处于数据流的路径上，所有的报文都会经过IPS系统。这种直进模式允许执行一种另外的反应机制：丢包以及连接丢失。该反应表明IPS传感器直接将恶意报文（或者和恶意连接相关的所有报文）丢弃，从而阻止恶意报文到达目的地并产生危害。该方法要求我们能够在基于单个的包或者连接信息，具有100的判断攻击准确率。告警 基于告警规则和告警链的配置，告警服务器处理相关信息并给出告警提示。告警中心的提示方法有e-mail, SMS, 传呼, SNMP 陷阱, 以及控制台信息。速度和可靠性要求入侵检测系统必须要紧跟不断增长的带宽。尽管企业网的Internet连接还远远低于千兆级别，内部网的数据流容量也还是很高的。在某个典型的地点，譬如某个Switch的端口聚集的数据流可能就会到达千兆，那些无法处理这种数据流容量的系统就会开始丢包，从而导致产生拒动；换句话说，一些攻击可能就没有被检测出来，因为IPS无法处理所有的数据流。另外，系统也可能产生过度的误动，因为错误的发现了很多协议冲突。 StoneGate IPS 传感器拥有一个集成的操作系统，其内部架构具有很高的性能和健壮性。并行采用的指纹评估以及上下文敏感仅仅是传感器性能优化的例证之一。StoneGate IPS 采用了嵌入式的传感器集群以及负载均衡技术，在绝大多数苛刻环境下，该方法改进了系统吞吐量以及高可靠性。通过将传感器节点形成集群，一个单一的传感器不必处理所有的数据流，因为数据流是分布在集群的所有的节点上的。可用性要求随着越来越多的网络安全设备被加入到网络中，集中化管理的优点愈加清晰。在一个单个的管理系统中完成对防火墙，IPS，VPN的集中管理可以显著的节省运行、维护以及培训的成本。这也消除了潜在的各种不同系统之间的兼容性问题。妨碍很多IPS部署的一个问题就是缺少可用性。在一个复杂的环境下运行系统是非常困难的，系统设计的目的不是为了存储大量的信息，并且他们在当今分布式企业的现实复杂度面前，支持程度并不够好。 日常管理在许多环境下，譬如可能是跨国企业，系统的可管理性就变得至关重要。使用Stone