当前,最让网络用户头痛的问题就是蠕虫。与其他病毒相比,
蠕虫往往对网络具有更大的破坏性。在整个防治蠕虫的过程中,有哪些网络设备层的方案?具体怎样部署?
当蠕虫病毒来临,通常的表现形式是,由于蠕虫发送了大量的数据包,造成网络拥塞,影响网络通信速度。一个蠕虫病毒通常由三个部分组成:传播模块、隐藏模块以及目的功能模块。其中,传播模块主要负责蠕虫的传播;隐藏模块的功能是当蠕虫侵入主机后,隐藏相关程序,防止被用户发现;而目的功能模块是为了实现对计算机的控制、监视或破坏等功能。
蠕虫的入侵过程一般分为以下几个方面:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点;针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限;利用获得的权限在主机上安装后门、跳板、控制端、监视器甚至清除日志。
接入控制是核心
思科高新技术事业部高级安全顾问喻超认为,针对蠕虫病毒的特点,要达到从根本防治的效果,必须实现网络设备和安全系统的联动。 具体来讲,思科NAC(Network Admission Control,准入控制系统)将主机的安全与网络基础合二为一,提供了一个网络允许接入的设施。例如,企业可以通过思科的网络体系——路由器、交换机、无线和安全装备,来加强他们的防病毒软件的使用。使用NAC,系统可以为诸如PC、 PDA等终端设备提供网络接口, 同时使服务器完全按照已经确立的政策执行。 思科NAC可以使不符合要求的设备拒绝进入,放置于一个隔离的区域内,或者限制该终端进入一些计算机资源。
锐捷网络安全产品经理杨红飞认为,网络厂商防治蠕虫病毒的关键就是接入控制,从接入这个层面来看,至少应该有三个作用:用户身份识别、常规安全的自动防护以及联动。因此,网络接入控制层方案一般都是由客户端安全部署、网络设备认证和隔离措施三个部分组成。
安全策略是关键
喻超说,在网络设备防治蠕虫的过程中,安全策略至关重要。用户也可以通过考察为网络厂商提供安全策略的安全厂商的实力,粗略评价整个网络系统防治蠕虫的能力。通常,安全策略被安装在安全策略服务器当中。但是,要完成安全策略和网络设备的通信,就必须依赖网络厂商和安全厂商的合作。在这个方面,思科NAC采取了开放合作的态度。在NAC当中,无论是PC、移动终端还是PDA,只要进入网络都要先做检查,其中包括该机器是否采取了安全措施,有没有感染病毒等项目,之后就要依据安全策略对欲进入网络的设备进行裁决。
安全策略服务器可以评估防毒墙网络版客户机上防毒组件的状态。通过安全策略服务器配置选项可以配置设置,在风险客户机上执行操作,从而使之符合预先设定的防毒策略。这些操作包括指引客户机更新其防毒墙网络版客户机组件、启用实时扫描,以及执行“立即扫描”和“立即清除”。其中还包括在客户机上显示通知消息以通知用户防毒策略违规的功能。为了帮助分析防病毒策略的性能,用户还可以选择选项以查看策略服务器日志,日志中记录有诸如策略服务器评估客户机的时间以及评估结果之类的信息。
安全策略服务器会定期轮询防毒墙网络版服务器,以请求病毒码文件和扫描引擎信息使其数据保持最新。随后它使用用户所配置的策略,将这些信息与客户机安全状态数据进行比较。在此之后,策略服务器会创建状态令牌,并将其传递回防毒墙网络版客户机。最后,客户机执行状态令牌中配置的操作。
杨红飞说,锐捷网络GSN能自动进行安全策略的学习,当有一个安全策略被执行以后,在后续的安全事件中,GSN将自动针对同类的安全事件自动进行安全策略的匹配执行。当然,在大量客户机同时试图访问网络时,用户可以通过在网络上安装其他安全策略服务器从而提高性能,如果一个安全策略服务器不能承担负荷时可以用作备份。如果网络上装有多个防毒墙网络版服务器,安全策略服务器将处理注册到其上的所有防毒墙网络版服务器的请求。
应用与部署
据喻超介绍,思科NAC可以操作所有的网络接入主机方式,包括校园交换、无线和有线的路由、WAN和LAN的连接、IPSec连接、远程连接和拨号接入等。例如在分支部门的应用:思科系统NAC可以帮助确定,试图接入中心计算机数据的远程或者家居办公室的连接是否符合安全主机的要求。这可通过思科系统分支或者主要办公室的路由器强迫性检查来完成。远程接入安全,NAC在允许远程接入公司资源之前,帮助确信那些远程接入和移动设备是否具有最新的防病毒升级和操作系统补丁的升级。
杨红飞说,到目前为止,锐捷网络GSN已经可以从接入层开始部署,同时,对于原来的网络用户,也可以通过软件升级的办法实施。平滑动态的防范围堵政策,从而降低病毒、蠕虫的威胁。
思科NAC由下列部分组成:
思科可信代理(Cisco Trust Agent,CTA)软件,它存在于终端系统中,负责收集不同客户的安全软件的安全状态信息。在这部分中,整合了防病毒软件产品。CTA被整合在思科系统安全代理中,使用它可以评估操作系统的版本、补丁程度和Hot Fix 信息,并且把这些信息传递到CTA。届时,没有进行适当升级的主机将被限制或者拒绝接入整个网络。
网络访问设备,它可以强迫性地控制那些请求接入的设备执行安全性的措施,包括路由器、交换机、无线接入终端和安全性设备。这些接入装置需要主机安全要求的“Credentials”,并且根据这些信息制定具体的服务器接入政策。
策略服务器,用来评估来自终端的安全性执行信息,以便决定对于来自他们那里的接入请求采取适当的措施。具体产品就是思科系统安全接入控制服务器(ACS)。它是一种鉴定、授权和记录的RADIUS服务器,组成了政策服务器系统。
管理系统,具体产品即思科系统VPN/安全管理解决方案。同时,思科系统工作安全信息管理解决方案可提供显示和报告工具。NAC同时为终端安全软件提供协同管理解决方案。
专业安全合作厂商:国际包括IBM、CA、趋势科技、McAfee、赛门铁克等在内的15家安全领域的主要厂商,国内包括瑞星、金山。
支持NAC的网络设备:目前只是思科网络NAC的网络设备,还仅局限于网络汇聚层,具体包括接入路由器和中档路由器。预计到2005第三季度,支持NAC的网络设备将扩展到包括交换机(catalyst 29系列、35系列、37系列、45系列)、无线接入设备和安全设备。
锐捷的GSN能有效防止用户对网络的扫描,通过网络设备本身的嵌入式安全控制机制中的防扫描功能。当蠕虫病毒对网络进行扫描的时候,扫描行为将被GSN发现并阻止,同时针对网络的扫描源将被发到GSN的安全管理平台。安全管理平台将针对扫描源用户进行安全策略的检查,并下发新的安全策略控制,同时提醒管理员发生的安全事件。
蠕虫病毒的攻击大都是针对于系统的漏洞进行攻击,在这个过程中,能否及时有效地发现漏洞并打上补丁成为能否有效防范蠕虫攻击的一个重要环节。在锐捷的GSN中,通过锐捷安全客户端,能有效检测用户系统的安全程度,是否有效安装了相应系统的补丁程度,是否有一些易受攻击的端口打开。同时通过锐捷安全客户端和安全管理平台的配合,能针对用户没有及时修正的系统补丁和危险端口进行自动关闭,从而避免用户系统遭受蠕虫的攻击。
蠕虫病毒针对网络的访问一般都是采用特定的应用程序对网络进行访问。在锐捷GSN中,安全管理平台能有效控制用户程序对网络的访问。当用户系统中有一个新的应用程序需要对网络进行访问时,该网络访问行为将被自动通知安全管理平台,通过安全管理平台的策略控制,来判断用户的该网络访问行为是否有效,从而能有效控制蠕虫病毒在网络初期的传播。
目前支持GSN的网络设备:包括锐捷网络S21系列接入交换机在内的接入层以及汇聚层网络设备。