虽然防火墙能有效地防止公司的网络遭受来自外部的侵害, 但是绝大多数 防火墙都不能防止内部雇员对网络潜在的滥用, 例如刺探私人帐户、在上班时 间阅读Web页面上的体育新闻,甚至发送下流的电子邮件、下载黄色图像等。
AbirNet公司的SessionWall-3能够通过检测用户滥用、向管理员发出警报 和停止该活动等方法, 有效地阻止此类妨碍工作的(在某种意义上说也是非法的) 事情发生。但在将SessionWall-3加入安全工具库之前, 管理员们可能还需要等 待一些增强功能, 预计这些功能将包含在今年夏天的改进版中。
作为一个行进的监视会话流量的分析工具, SessionWall-3检查所有进入、 发出和在网络内部传输的TCP/IP数据包。它可以被用来分析网络使用状况, 甚 至可以用来分析来自网络外部站点的威胁, 但SessionWall-3并不能替代防火墙。 与其它一些安全工具不同的是, 该产品的第一个牌本对检测最复杂的Internet 攻击无能为力。SessionWall-3的内容浏览器也需要改进, 目前它缺少实时更新 能力和有效的报警系统。
尽管Internet Security Systems (ISS)公司的RealSecure与SessionWall-3 的功能比较接近, 但在SessionWall-3的领域还没有能够与之匹敌的竞争产品。 RealSecure 提供了SessionWall-3所具有的一些会话监视和断线功能, 但它主要 是针对服务攻击, 而不是网络流量情况。RealSecure基于Unix系统,而 SessionWall-3在Windows95或WindowsNt平台上运行。ZD实验室认为RealSecure 在防止外部入侵方面做得更好一些, 而SessionWall-3在控制内部用户的活动方 面更为出色。
为进行测试, ZD实验室分别在两台机器上安装了SessionWall-3, 一台是运 行WindowsNT4.0 Server的HPVectra VL45/166, 另一台是运行Windows95的Micron 公司90MHz的奔腾机。在规模较小的局域网上, Windows95是比较适合该产品的 平台, 它使用户可以在笔记本电脑上装入SessionWall-3,以作为便携局域网 分析工具。对于规模较大的网络, WindowsNT的多任务功能可以使监视更好地进 行。
管理员既可以把SessionWall-3安装在防火墙里面, 也可以安装在防火墙外 面, 这要取决于管理员相监视防火墙内部还是外部的流量。与防火墙不同, SessionWall-3不是在两个网络间对数据包进行存储转发, 而只是新闻记者所有 的包。
如果一个雇员想与一个被禁止的主机或Web站点建立会话, SessionWall-3 立即向双方的计算机发送断线请求。这样在会话终止之前, 只有初始数据包能 够到达目的地。但是这种阻塞方式并不能防止下流电子邮件和很简短的会话活 动。因为在这些活动中, 只要有第一个数据包就可能引起损害。
SessionWall-3被预先配置成在所有的节点上监视常用的TCP/IP会话。ZD实 验室通过在两台计算机之间初始化一个FTP会话开始测试。记录了此次传输、统 计了传输的总字节数并记录了参与者。对于电子邮件传输、Web存取、远程登录 会话和网络新闻也是如此。
虽然报警设置不太清晰, 但ZD实验室认AbirNet公司在组织SessionWall-3 的事件配置过程上很出色。基于受影响的客户端或服务器, 测试工程师创建了 特殊的事件来观察通信种类、活动或报警以及时间。
该产品可以记录80个标准端口和任何用户自定义端口的通信, 包括远程登 录失败、连接到特定的Web站点、特别长或短的会话、包含特定雇主的电子邮件 或新闻组项, 或者任何从某个雇员的机器上发出的所有传输。通过观察统计资 料, 管理员可以看到哪个用户正在建立首次FTP会话或正在下载大量数据。
ZD实验室也发现了一些SessionWall-3不能检测的威胁, 如大量的ping、电 子邮件攻击和其它复杂的攻击。SessionWall-3毕竟只是一个会话分析工具, 而 不是一个攻击检测程序。如果用户需要攻击检测程序的保护, ZD实验室推荐ISS 公司的RealSecure。
在定义合法网络使用和潜在问题情况下产生异常报告时, SessionWall-3统 计特性的优势就显露了出来。除基本的输出功能外, 测试工程师还特别喜爱它 的查询和打印功能。SessionWall-3把ZD实验室被监视会话的密码显示成文本— 这是个很棘手的问题,为了防止系统管理员从其他管理人员那里得到好处或滥 用职权, AbirNet计划在以后的牌本中提供禁止密码新闻记者的方式。为了防止 网络管理员新闻记者CEO收发的电子邮件或过早地得知公司计划, 这个标准还 很不够,这也是所有数据包分析工具软件的通病。
采用普通加密方法是SessionWall-3内容浏览器的大敌。测试中SessionWall-3 允许工程师自由新闻记者任何基于文本的传输内容, 而加密会使得它们变得不 可读。但如果使用了加密, 滥用的可能性就会更小。加密传输需要在会话两端 有特殊的软件支持。
与此类似, 内容浏览器能够显示附加文件的文本信息, 但不能显示附加文 件本身。如果一个管理员浏览了会话内容, 发现它有悖于公司政策,他就可以很 容易地立即断掉本次会话。内容浏览器在解决会话连接问题时也很有用处。ZD 实验室对内容浏览器不太满意的地方是它虽然很有用, 但并不能实时更新。例如, 为了看一个当前的FTP会话, 用户必须一直点击刷新按钮, 并卷到文本底部 看最后一条命令。
SessionWall-3的报警仅局限于消息记录、事件记录更新、传真和电子邮件, 它没有内置的录呼支持。测试中该产品居然未能更新ZD实验室WindowsNT服务器 上的事件记录。SessionWall-3可以根据报警状况执行用户指定的任何程序, 可 以是录呼、断掉服务或其它动作。
在ZD实验室的测试中, SessionWall-3的阻塞功能在防止诸如远程登录到某 个特定主机时很有效。在SessionWall-3的数据库中饮食了一个可以自动阻塞的Web 站点示例, 但用户真正需要的是这种站点的数据库。AbirNet计划在今年的晚些 时候集成这样的数据库。在此之前, 管理员必须手工往数据库中加入需要禁止 的站点。SessionWall-3还需要通过识别URL项来阻塞远程站点, 而不仅仅是IP 或媒体存取控制层地址。这虽然可以允许用户访问合法的联机服务, 但也可能 阻塞到禁止站点的用户服务。 返回 [版权声明] 有何问题或建议,请与infsec@mx.cei.go.cn联系
转载地址:http://www.netsp.com.cn/Article/netsafe/FW/200506/20050602132501.html
