隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用，網(wǎng)絡(luò)安全已日漸成為人們關(guān)注的焦點(diǎn)問題之一。近幾年來，安全技術(shù)和安全產(chǎn)品已經(jīng)有了長(zhǎng)足的進(jìn)步，部分技術(shù)與產(chǎn)品已日趨成熟。但是，單個(gè)安全技術(shù)或者安全產(chǎn)品的功能和性能都有其局限性，只能滿足系統(tǒng)與網(wǎng)絡(luò)特定的安全需求。因此，如何有效利用現(xiàn)有的安全技術(shù)和安全產(chǎn)品來保障系統(tǒng)與網(wǎng)絡(luò)的安全已成為當(dāng)前信息安全領(lǐng)域的研究熱點(diǎn)之一。

　　 首先，讓我們來看看現(xiàn)階段網(wǎng)絡(luò)上使用最多的安全設(shè)備防火墻和入侵檢測(cè)。為了確保網(wǎng)絡(luò)的安全使用，研究它們的局限性和脆弱性已經(jīng)十分必要。

　　一、防火墻的局限性和脆弱性

　　 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，但是它也存在局限性。

　　1、防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無(wú)法檢查，比如撥號(hào)上網(wǎng)。

　　2、防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。"外緊內(nèi)松"是一般局域網(wǎng)絡(luò)的特點(diǎn)，一道嚴(yán)密防守的防火墻其內(nèi)部的網(wǎng)絡(luò)也有可能是一片混亂。如通過社會(huì)工程學(xué)發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機(jī)器主動(dòng)對(duì)攻擊者連接，將瞬間破壞象鐵壁一樣的防火墻。另外，防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也只能如旁觀者一樣冷視而愛莫能助。

　　3、防火墻不能防止最新的未設(shè)置策略或錯(cuò)誤配置引起的安全威脅。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進(jìn)而設(shè)置的。如果世界上新發(fā)現(xiàn)某個(gè)主機(jī)漏洞的cracker把第一個(gè)攻擊對(duì)象選中了您的網(wǎng)絡(luò)，那么防火墻也沒有辦法幫到您。

　　4、防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個(gè)安全設(shè)備，但防火墻本身必須存在于一個(gè)安全的地方。

　　5、防火墻無(wú)法解決TCP/IP等協(xié)議的漏洞。防火墻本身就是基于TCP/IP等協(xié)議來實(shí)現(xiàn)的，就無(wú)法解決TCP/IP操作的漏洞。比如利用DOS或DDOS攻擊。

　　6、防火墻對(duì)服務(wù)器合法開放的端口的攻擊大多無(wú)法阻止。例如利用開放了3389端口取得沒打過sp補(bǔ)丁的win2k的超級(jí)權(quán)限、利用asp程序進(jìn)行腳本攻擊等。由于其行為在防火墻一級(jí)看來是"合理"和"合法"的，因此就被簡(jiǎn)單地放行了。

　　7、防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒軟件，也沒有一種軟件可以查殺所有的病毒。

　　8、防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來無(wú)害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。
　　9、防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻對(duì)此是無(wú)能為力的。

　　10、防火墻不能防止本身安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無(wú)法保護(hù)自己，因?yàn)槟壳斑€沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。防火墻也是一個(gè)OS，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。

　　二、針對(duì)IDS的逃避技術(shù)

　　 防火墻有以上的諸多局限性，同時(shí)它又處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測(cè)就是網(wǎng)絡(luò)中不間斷的攝像機(jī)，入侵檢測(cè)通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過各種手段向管理員報(bào)警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說入侵檢測(cè)是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。然而，由于NIDS本身的局限性，黑帽社團(tuán)正不斷推出躲避或者越過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Network Intrusion Detection System,NIDS)的新技術(shù)，勝利的天平正在向黑帽子傾斜。

　　1、字符串匹配的弱點(diǎn)

　　通過把字符串處理技術(shù)和字符替換技術(shù)結(jié)合到一起，我們可以實(shí)現(xiàn)復(fù)雜點(diǎn)的字符串偽裝。對(duì)于WEB請(qǐng)求，我們不必使用命令解釋器， 在我們的請(qǐng)求中使用16進(jìn)制的URL即可，以下的請(qǐng)求可以被目標(biāo)WEB服務(wù)器解釋為/etc/passwd：
　　GET %65%74%63/%70%61%73%73%77%64
　　或者 GET %65%74%63/%70a%73%73%77d
　　為了捕獲這一個(gè)字符串的所有變體，IDS可能需要1000個(gè)以上的特征碼進(jìn)行字符串匹配，這還沒有考慮UNICODE啊!

　　2、會(huì)話拼接(session splicing，叫會(huì)話分割更合適一些)

　　就是把會(huì)話數(shù)據(jù)放到多個(gè)數(shù)據(jù)包中發(fā)出：

　　+-------------------------+
　　| packet number | content |
　　|---------------+---------|
　　| 1 | G |
　　|---------------+---------|
　　| 2 | E |
　　|---------------+---------|
　　| 3 | T |
　　|---------------+---------|
　　| 4 | 20 |
　　|---------------+---------|
　　| 5 | / |
　　|---------------+---------|
　　| 6 | H |
　　+---------------+---------+

　　通過這種方式，每次只投遞幾個(gè)字節(jié)的數(shù)據(jù)，就可能避開字符串匹配入侵檢測(cè)系統(tǒng)的監(jiān)視。

　　3、碎片攻擊

　　所謂碎片覆蓋就是發(fā)送碎片覆蓋先前碎片中的數(shù)據(jù)。例如：
　　碎片1 GET x.idd
　　碎片2 a.?(緩沖區(qū)溢出數(shù)據(jù))
　　第二個(gè)碎片的第一個(gè)字符覆蓋第一個(gè)碎片最后一個(gè)字符，這兩個(gè)碎片被重組之后就變成了GET x.ida?(緩沖區(qū)溢出數(shù)據(jù))。

　　4、拒絕服務(wù)

　　還有一種比較野蠻的方法就是拒絕服務(wù)，消耗檢測(cè)設(shè)備的處理能力，使真正的攻擊逃過檢測(cè)。塞滿硬盤空間，使檢測(cè)設(shè)備無(wú)法記錄日志。使檢測(cè)設(shè)備產(chǎn)生超出其處理能力的報(bào)警。使系統(tǒng)管理人員無(wú)法研究所有的報(bào)警。掛掉檢測(cè)設(shè)備。對(duì)IDS來說，這類IDS無(wú)跡可尋，因此非常難以對(duì)付。

　　三、網(wǎng)絡(luò)隱患掃描系統(tǒng)浮出水面

　　 對(duì)付破壞系統(tǒng)企圖的理想方法當(dāng)然是建立一個(gè)完全安全的沒有漏洞的系統(tǒng)，但從實(shí)際而言，這根本不可能。美國(guó)威斯康星大學(xué)的Miller給出一份有關(guān)現(xiàn)今流行操作系統(tǒng)和應(yīng)用程序的研究報(bào)告，指出軟件中不可能沒有漏洞和缺陷。

　　 因此，一個(gè)實(shí)用的方法是，建立比較容易實(shí)現(xiàn)的安全系統(tǒng)，同時(shí)按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)，漏洞掃描器就是這樣一類系統(tǒng)。就目前系統(tǒng)的安全狀況而言，系統(tǒng)中存在著一定的漏洞，因此也就存在著潛在的安全威脅，但是，如果我們能夠根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過網(wǎng)絡(luò)掃描來發(fā)現(xiàn)這些漏洞，并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，就可以有效地阻止入侵事件的發(fā)生。雖然亡羊補(bǔ)牢十分可貴，但是對(duì)于"不怕一萬(wàn)，只怕萬(wàn)一"的關(guān)鍵業(yè)務(wù)來說，未雨綢繆才是理想境界。

　　 那我們?nèi)绾芜x購(gòu)專業(yè)的網(wǎng)絡(luò)隱患掃描系統(tǒng)呢？一般來講它必須具備以下幾個(gè)標(biāo)準(zhǔn)：

　　1、是否通過國(guó)家的各種認(rèn)證

　　目前國(guó)家對(duì)安全產(chǎn)品進(jìn)行認(rèn)證工作的權(quán)威部門包括公安部信息安全產(chǎn)品測(cè)評(píng)中心、國(guó)家信息安全產(chǎn)品測(cè)評(píng)中心、解放軍安全產(chǎn)品測(cè)評(píng)中心、國(guó)家保密局測(cè)評(píng)認(rèn)證中心。

　　2、漏洞數(shù)量和升級(jí)速度

　　漏洞數(shù)量是考查漏洞掃描器的重要指標(biāo)，最新漏洞的數(shù)量、漏洞更新和升級(jí)的方法以及升級(jí)方法是否能夠被非專業(yè)人員掌握，使得漏洞庫(kù)升級(jí)的頻率顯得更為重要。比如RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達(dá)1502之多（截止到2004年7月9日）。

　　3、產(chǎn)品本身的安全性

　　掃描產(chǎn)品運(yùn)行的操作系統(tǒng)平臺(tái)是否安全以及產(chǎn)品本身的抗攻擊性能如何都是用戶應(yīng)該需要考慮的因素。比如RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)采用軟硬結(jié)合、專門優(yōu)化的linux系統(tǒng)，關(guān)閉了不必要的端口和服務(wù)，并且傳輸?shù)臄?shù)據(jù)加密。

　　4、是否支持CVE國(guó)際標(biāo)準(zhǔn)

　　其目的是給所有已知的漏洞和安全泄露提供一個(gè)標(biāo)準(zhǔn)化的命名。給企業(yè)提供更好的覆蓋、更容易的協(xié)同和加強(qiáng)的安全。

　　5、是否支持分布式掃描

　　產(chǎn)品具有靈活、攜帶方便、穿透防火墻的特性。因?yàn)楝F(xiàn)在不再有沒有劃分VLAN的單一 網(wǎng)絡(luò)存在；掃描器發(fā)出的數(shù)據(jù)包有些會(huì)被路由器、防火墻過濾，降低掃描的準(zhǔn)確性。

　　 在網(wǎng)絡(luò)內(nèi)進(jìn)行防火墻與IDS的設(shè)置，并不意味著我們的網(wǎng)絡(luò)就絕對(duì)安全，但是設(shè)置得當(dāng)?shù)姆阑饓虸DS，至少會(huì)使我們的網(wǎng)絡(luò)更為堅(jiān)固一些，并且能提供更多的攻擊信息供我們分析。防火墻、防病毒、入侵檢測(cè)、漏洞掃描分別屬于PDR和P2DR模型中的防護(hù)和檢測(cè)環(huán)節(jié)。這幾種安全技術(shù)圍繞安全策略有序地組織在一起，相互協(xié)同，相互作用，構(gòu)成一個(gè)動(dòng)態(tài)自適應(yīng)的防范體系。

　　 最后，要說的依然是那句"世界上沒有一種技術(shù)能真正保證絕對(duì)的安全。

　　 因?yàn)榘踩珕栴}，是從設(shè)備到人、從服務(wù)器上的每個(gè)服務(wù)程序到防火墻、IDS等安全產(chǎn)品的綜合問題。任何一個(gè)環(huán)節(jié)的工作，都只是邁向安全的步驟之一。

最新評(píng)論