隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用，網(wǎng)絡(luò)安全已日漸成為人們關(guān)注的焦點問題之一。近幾年來，安全技術(shù)和安全產(chǎn)品已經(jīng)有了長足的進步，部分技術(shù)與產(chǎn)品已日趨成熟。但是，單個安全技術(shù)或者安全產(chǎn)品的功能和性能都有其局限性，只能滿足系統(tǒng)與網(wǎng)絡(luò)特定的安全需求。因此，如何有效利用現(xiàn)有的安全技術(shù)和安全產(chǎn)品來保障系統(tǒng)與網(wǎng)絡(luò)的安全已成為當前信息安全領(lǐng)域的研究熱點之一。

　　 首先，讓我們來看看現(xiàn)階段網(wǎng)絡(luò)上使用最多的安全設(shè)備防火墻和入侵檢測。為了確保網(wǎng)絡(luò)的安全使用，研究它們的局限性和脆弱性已經(jīng)十分必要。

　　一、防火墻的局限性和脆弱性

　　 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，但是它也存在局限性。

　　1、防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查，比如撥號上網(wǎng)。

　　2、防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。"外緊內(nèi)松"是一般局域網(wǎng)絡(luò)的特點，一道嚴密防守的防火墻其內(nèi)部的網(wǎng)絡(luò)也有可能是一片混亂。如通過社會工程學(xué)發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機器主動對攻擊者連接，將瞬間破壞象鐵壁一樣的防火墻。另外，防火墻內(nèi)部各主機間的攻擊行為，防火墻也只能如旁觀者一樣冷視而愛莫能助。

　　3、防火墻不能防止最新的未設(shè)置策略或錯誤配置引起的安全威脅。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進而設(shè)置的。如果世界上新發(fā)現(xiàn)某個主機漏洞的cracker把第一個攻擊對象選中了您的網(wǎng)絡(luò)，那么防火墻也沒有辦法幫到您。

　　4、防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個安全設(shè)備，但防火墻本身必須存在于一個安全的地方。

　　5、防火墻無法解決TCP/IP等協(xié)議的漏洞。防火墻本身就是基于TCP/IP等協(xié)議來實現(xiàn)的，就無法解決TCP/IP操作的漏洞。比如利用DOS或DDOS攻擊。

　　6、防火墻對服務(wù)器合法開放的端口的攻擊大多無法阻止。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權(quán)限、利用asp程序進行腳本攻擊等。由于其行為在防火墻一級看來是"合理"和"合法"的，因此就被簡單地放行了。

　　7、防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒軟件，也沒有一種軟件可以查殺所有的病毒。

　　8、防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。
　　9、防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻對此是無能為力的。

　　10、防火墻不能防止本身安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，因為目前還沒有廠商絕對保證防火墻不會存在安全漏洞。防火墻也是一個OS，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。

　　二、針對IDS的逃避技術(shù)

　　 防火墻有以上的諸多局限性，同時它又處于網(wǎng)關(guān)的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網(wǎng)絡(luò)性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測就是網(wǎng)絡(luò)中不間斷的攝像機，入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說入侵檢測是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。然而，由于NIDS本身的局限性，黑帽社團正不斷推出躲避或者越過網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network Intrusion Detection System,NIDS)的新技術(shù)，勝利的天平正在向黑帽子傾斜。

　　1、字符串匹配的弱點

　　通過把字符串處理技術(shù)和字符替換技術(shù)結(jié)合到一起，我們可以實現(xiàn)復(fù)雜點的字符串偽裝。對于WEB請求，我們不必使用命令解釋器， 在我們的請求中使用16進制的URL即可，以下的請求可以被目標WEB服務(wù)器解釋為/etc/passwd：
　　GET %65%74%63/%70%61%73%73%77%64
　　或者 GET %65%74%63/%70a%73%73%77d
　　為了捕獲這一個字符串的所有變體，IDS可能需要1000個以上的特征碼進行字符串匹配，這還沒有考慮UNICODE啊!

　　2、會話拼接(session splicing，叫會話分割更合適一些)

　　就是把會話數(shù)據(jù)放到多個數(shù)據(jù)包中發(fā)出：

　　+-------------------------+
　　| packet number | content |
　　|---------------+---------|
　　| 1 | G |
　　|---------------+---------|
　　| 2 | E |
　　|---------------+---------|
　　| 3 | T |
　　|---------------+---------|
　　| 4 | 20 |
　　|---------------+---------|
　　| 5 | / |
　　|---------------+---------|
　　| 6 | H |
　　+---------------+---------+

　　通過這種方式，每次只投遞幾個字節(jié)的數(shù)據(jù)，就可能避開字符串匹配入侵檢測系統(tǒng)的監(jiān)視。

　　3、碎片攻擊

　　所謂碎片覆蓋就是發(fā)送碎片覆蓋先前碎片中的數(shù)據(jù)。例如：
　　碎片1 GET x.idd
　　碎片2 a.?(緩沖區(qū)溢出數(shù)據(jù))
　　第二個碎片的第一個字符覆蓋第一個碎片最后一個字符，這兩個碎片被重組之后就變成了GET x.ida?(緩沖區(qū)溢出數(shù)據(jù))。

　　4、拒絕服務(wù)

　　還有一種比較野蠻的方法就是拒絕服務(wù)，消耗檢測設(shè)備的處理能力，使真正的攻擊逃過檢測。塞滿硬盤空間，使檢測設(shè)備無法記錄日志。使檢測設(shè)備產(chǎn)生超出其處理能力的報警。使系統(tǒng)管理人員無法研究所有的報警。掛掉檢測設(shè)備。對IDS來說，這類IDS無跡可尋，因此非常難以對付。

　　三、網(wǎng)絡(luò)隱患掃描系統(tǒng)浮出水面

　　 對付破壞系統(tǒng)企圖的理想方法當然是建立一個完全安全的沒有漏洞的系統(tǒng)，但從實際而言，這根本不可能。美國威斯康星大學(xué)的Miller給出一份有關(guān)現(xiàn)今流行操作系統(tǒng)和應(yīng)用程序的研究報告，指出軟件中不可能沒有漏洞和缺陷。

　　 因此，一個實用的方法是，建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)，漏洞掃描器就是這樣一類系統(tǒng)。就目前系統(tǒng)的安全狀況而言，系統(tǒng)中存在著一定的漏洞，因此也就存在著潛在的安全威脅，但是，如果我們能夠根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過網(wǎng)絡(luò)掃描來發(fā)現(xiàn)這些漏洞，并及時采取適當?shù)奶幚泶胧┻M行修補，就可以有效地阻止入侵事件的發(fā)生。雖然亡羊補牢十分可貴，但是對于"不怕一萬，只怕萬一"的關(guān)鍵業(yè)務(wù)來說，未雨綢繆才是理想境界。

　　 那我們?nèi)绾芜x購專業(yè)的網(wǎng)絡(luò)隱患掃描系統(tǒng)呢？一般來講它必須具備以下幾個標準：

　　1、是否通過國家的各種認證

　　目前國家對安全產(chǎn)品進行認證工作的權(quán)威部門包括公安部信息安全產(chǎn)品測評中心、國家信息安全產(chǎn)品測評中心、解放軍安全產(chǎn)品測評中心、國家保密局測評認證中心。

　　2、漏洞數(shù)量和升級速度

　　漏洞數(shù)量是考查漏洞掃描器的重要指標，最新漏洞的數(shù)量、漏洞更新和升級的方法以及升級方法是否能夠被非專業(yè)人員掌握，使得漏洞庫升級的頻率顯得更為重要。比如RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達1502之多（截止到2004年7月9日）。

　　3、產(chǎn)品本身的安全性

　　掃描產(chǎn)品運行的操作系統(tǒng)平臺是否安全以及產(chǎn)品本身的抗攻擊性能如何都是用戶應(yīng)該需要考慮的因素。比如RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)采用軟硬結(jié)合、專門優(yōu)化的linux系統(tǒng)，關(guān)閉了不必要的端口和服務(wù)，并且傳輸?shù)臄?shù)據(jù)加密。

　　4、是否支持CVE國際標準

　　其目的是給所有已知的漏洞和安全泄露提供一個標準化的命名。給企業(yè)提供更好的覆蓋、更容易的協(xié)同和加強的安全。

　　5、是否支持分布式掃描

　　產(chǎn)品具有靈活、攜帶方便、穿透防火墻的特性。因為現(xiàn)在不再有沒有劃分VLAN的單一 網(wǎng)絡(luò)存在；掃描器發(fā)出的數(shù)據(jù)包有些會被路由器、防火墻過濾，降低掃描的準確性。

　　 在網(wǎng)絡(luò)內(nèi)進行防火墻與IDS的設(shè)置，并不意味著我們的網(wǎng)絡(luò)就絕對安全，但是設(shè)置得當?shù)姆阑饓虸DS，至少會使我們的網(wǎng)絡(luò)更為堅固一些，并且能提供更多的攻擊信息供我們分析。防火墻、防病毒、入侵檢測、漏洞掃描分別屬于PDR和P2DR模型中的防護和檢測環(huán)節(jié)。這幾種安全技術(shù)圍繞安全策略有序地組織在一起，相互協(xié)同，相互作用，構(gòu)成一個動態(tài)自適應(yīng)的防范體系。

　　 最后，要說的依然是那句"世界上沒有一種技術(shù)能真正保證絕對的安全。

　　 因為安全問題，是從設(shè)備到人、從服務(wù)器上的每個服務(wù)程序到防火墻、IDS等安全產(chǎn)品的綜合問題。任何一個環(huán)節(jié)的工作，都只是邁向安全的步驟之一。

最新評論