随着科技的发展,人与人之间的沟通变得更加便利,从古时候的老百姓托熟人捎信、官员驿使送信,短则数个时辰,多则数十天,到如今使用打电话、Email等方式数秒就可以完成信息交互。由于互联网的发展使得信息交互越来越便利,如今的企业都会注重于如何去融入互联网。互联网的发展、电子商务的出现,使得企业网的规模越来越大,企业网内业务流种类越来越多。为此企业网的安全变得越来越重要。
如今由于利益的驱使,很多个人或者团队利用技术手段去攻击企业的网络,通过盗取企业的敏感资料、中断企业的对外服务获利。这使企业蒙受巨大的损失。为此如何建立一个安全、可靠的企业网是现今所有的企业所面临、思考、解决的问题。
1
企业网面临的安全问题
随着企业的发展,企业网中跑的业务流越来越多,为此所对应的安全压力越来越大,如果网络出现安全问题,发生了安全事件,那随之带来的可能就是企业资产流失、机密文件被盗、企业内部网络瘫痪、对外服务异常等一系列严重后果。企业网潜在的安全问题,主要有以下几个类型:
1、物理安全
1)公司办公地点入口、机房入口没有安排专人职守、鉴别和记录进入人员。
公司员工随意带进带出私人的移动接入存储设备,如U盘、硬盘,为此有病毒感染、敏感性信息泄漏的隐患。
2)网络设备并没有考虑设备物理冗余,如核心、出口防火墙等都是单节点设备,如果单台设备故障,则会因为单点故障而导致整个网络的瘫痪。
2、管理安全
1)网络设备准入不规范、登录帐号单一、没有对操作过程进行审计。
2)网络设备异常信息传输困难,管理员不能快速的了解网络中异常的行为。
3、系统、应用安全
企业网潜在系统、应用安全问题,主要有以下几个类:
1)木马
木马(Trojan)也称之为木马病毒,是指通过特定的程序来控制另一台计算机,它的主要目的是控制住发起对被控制住的控制,窃取被攻击者的文件,以及通过控制被攻击者的电脑对其他目标发起网络攻击。它通常不会像病毒那样肆意的主动传播,一般伪装成据有吸引力的执行文件,诱导用户去执行,用户从而成为被控制者。木马通常有2个可执行程序:一个是控制端,另一个是被控制端。他通常会打开某些端口,向特定的服务器发送用户的敏感信息,或者从网上下载一些特定的后面程序,控制你的桌面、摄像头等。
2)蠕虫
蠕虫病毒(Worm)是一种常见的计算机病毒,这个名词的由来是在1982年Shock和Hupp 根据The Shockwave Rider一书中的一种概念提出了一种“蠕虫”程序的思想,它是利用网络进行复制和传播,通常是利用漏洞进行自动有效的传播感染,它与普通的病毒最大的差别在于它的传播是主动的,而普通的病毒是需要人工干预。
根据蠕虫利用的漏洞不同可以细分为:
邮件蠕虫
利用 MIME (Multipurpose Internet Mail Extension Protocol)漏洞
网页蠕虫 主要利用IFrame 漏洞 和 MIME 漏洞
网页蠕虫可以分为两种:
用一个IFrame 插入一个Mail 框架,利用MIME漏洞执行蠕虫程序,这是直接沿用邮件蠕虫的传播感染方法。
用IFrame漏洞和浏览器下载文件的漏洞来运作,及从一个代码页面去另一个网站下载病毒文件然后运行它完成蠕虫的传播感染。
系统漏洞蠕虫
系统漏洞蠕虫一般自己具备一个小型的溢出系统,它随机产生IP并尝试溢出,然后将自身复制过去,他往往会造成感染的系统性能迅速降低,甚至系统崩溃、设备宕机。
在企业网中,任何一台终端的安全状态都将直接影响到整个网络的安全,不符合企业安全的终端很容易收到攻击、感染蠕虫病毒,如果一台设备感染了蠕虫病毒那么它将自动去寻找网络中下一个目标,在一个没有安全防护的网络中,任何一台的感染都可以造成全网主机的感染,并使全网瘫痪,所有终端都无法正常工作。
3)分布式拒绝服务
分布式拒绝服务(DDOS Distributed Denial of Service),地域分散的僵尸肉鸡对目标发起恶意的连接,消耗目标的资源,使其停止提供正常的服务。幕后黑手往往深藏在肉鸡之后,为此在DDOS安全事件发生后很难找到真正的幕后黑手。
DDOS的变现形式主要有两种:
一种是流量型攻击 主要是发送流量,是目标的出口带宽被占满,形成链路阻塞,从而使合法的数据包无法到达主机。例如NTP放大攻击,可以快速的形成网络拥塞。
一种是资源耗尽型攻击 大量的肉鸡向同一个服务器发起请求利用TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到使目标设备无法处理正常访问请求的目的。从而使服务器丧失了对外服务能力。
4)端口扫面
一般端口扫面都是为了进行某种攻击而准备的,虽然对于目标而言暂时不会造成损害,但当扫除端口号后就会进行下一步的攻击动作,为此这种探测应当被发现和阻止。这里处处都与企业的安全管理有关,如果没有一个高效和统一的安全管理系统对网络进行安全管理,就很难让网络管理员对企业内部网络的安全状态进行评估,因此找到一种使网络管理更安全、简单的解决方案已成为每一个企业的迫切需求。
企业网的安全问题可分为物理安全问题、管理安全问题、系统及应用安全问题。系统及应用安全是最难防范和处理的。为此我们需要网络可视化,我们可以通过网络可视化了解网络自身的安全状况,如:哪些主机有哪些漏洞、接入用户在使用哪些软件、网络中有哪些异常数据流。并结合对所有流量的监控、分析,来发现威胁、预防威胁。从而减少安全事件的发生。
2
网络可视化的作用
网络可视化是一种重要的可视化技术,充分利用人类视觉感知系统将网络数据以图形话的形式展示出来,从而帮助用户认识网络的内部结构。对应安全问题而言,我们也需要可视化,即识别威胁,只有识别的威胁我们才能做到去处理它,从而解决安全问题。面对威胁,我们是应该基于特征还是行为。
企业网面对的威胁可分为来自外部的威胁和来自内部的威胁。往往人们更注重来自企业外网的威胁,然而很大一部分的威胁来自自己企业网的内部。对于外部威胁我们通常使用基于特征的方法去处理威胁。部署防火墙、IPS通过设备的特征库匹配处理,随着特征库的增加防护的范围也变大。为此只有有效识别威胁才可以进行威胁的缓解与解除。对于网络内部威胁,我们需要通过行为以望闻问切的方式去发现威胁。
1、拉长战线
现在的企业网内部都有准入设备,对接入用户进行身份验证、准入控制。当用户身份验证通过了就认为他是可信的、安全的,然而准入进来的用户在准入后到底在做什么,做了哪些操作是常常被忽略的,而这些却是我们应该重点关注的。企业内网的木马、病毒往往是由那些被准入的用户通过私人的存储介质感染的。为此我们需要网络可视化,分析用户的行为来发现威胁,拉长整个安全事件的战线。从而给了我们更多的时间去抵御威胁,增强了我们网络的安全性。
2、威胁可视化
通常的安全事件其实是关联性的事件,往往由多个事件共同组成。当面对安全事件时,怎样做上下文关联?怎样搜集数据?往往由于企业内设备繁多而无从入手,为此我们需要网络可视化。网络可视化可以让你更清楚你的网络上到底跑了些哪些流量,哪些流量是异常,网路中有哪些设备的系统有漏洞,他可以智能的学习某些数据的行为,从而做出预防性的告警。从而做到威胁的可视化,对于异常的行为做出预防性的告警,让网络管理员看到威胁。
例如,有一名文职人员,他的电脑中了木马,他平时不会访问软件部门的数据库。但某天他的电脑通过端口嗅探,试图访问软件部门的数据库,或许访问是不成功的,此时并未对企业的资产造成任何损害。因此网络管理员很难发现这个问题,但是网络的安全隐患依然存在。这时网络的可视化就发挥了作用,由于用户的异常行为而触发了对可视化管理器对网络管理员发出告警信息的动作。从而网络管理员可以尽早的去识别威胁、处理威胁。对于很多人而言Ping 是一种最普通用来测试网络可达性的手段,然而现在很多盗取信息的手段就是通过更改Ping包的Payload,使Payload 存储目标信息,并进行长Ping 来达到盗取信息的目的。因此我们需要了解数据包的内容,从而判断数据包是否合法、网络是否有威胁。
3、安全事件可溯源
网络不是百分之百安全的,很多时候,我们的网络遭遇攻击时,可能数秒或者数分钟内就被攻破,但是真正发现问题的时候可能是数日、数周、’或者数月后。当威胁解决后、最大的问题是安全事件的溯源。许多时候当要对安全事件进行溯源时,网络管理人员就会束手无策、无从查证。然而网络可视化可以解决这个问题,它能记录攻击路径,从而起到很好的溯源效果。
按照安全事件的生命周期 我们可以把安全事件分为:攻击前、攻击中、攻击后三部分。
攻击前 我们可以通过网络可视化挖掘自身的弱点(如系统漏洞、应用的漏洞),进行安全事件的预警防护。
攻击中 我们可以通过网络可视化识别威胁并对它进行阻挡和防御。
攻击后 我们可以通过网络可视化进行安全事件的溯源。
网络可视化可以使我们清晰的了解我们的内部网络,帮助我们去识别威胁,提供安全事件溯源的条件。下面我们来进一步探讨如何在企业网中如何应用网络可视化解决方案。
3
网络可视化的部署
1、全民皆兵
在企业网中,我们有许许多多的网络设备,大部分设备被网络管理员归类为“非安全类设备”,如交换机、路由器,通常只是配置一些准入许可、包过滤,仅此而已。然而在网络可视化的方案中,这些普通的“非安全类”设备都可以以网络安全探针的形式,成为安全解决方案中的一员,并让它们为整个网络的安全做出巨大的贡献。网络设备在网络可视化的方案中有以下几个作用:
第一点 我们可以借助这些设备进行更全面的流量分析,流经接入设备的流量有个2:8的原则,大约20%的流量为本地转发的。所以不对接入设备进行流量分析,那20%的流量就会流出我们的视野(因为这些流量无法到达可视化的流量分析设备)。
第二点 每个接入设备都是个良好的隔离点,起到颗粒度细化的作用,如果接入设备能起到威胁发现、安全隔离的作用,那么它就能最大的缓解威胁、拉长安全事件的战线,给我们争取了更多的时间去处理威胁。
第三点 快速的找到传播路径,流量的每个出入点我们都可以记录它,因此我们可以快速的进行溯源。
2、简单易行
在企业网中,最令网络管理员头疼的就是更改网络拓扑或者更改大量的网络配置,一来实施量大,二来更改配置会有影响现网业务正常运行的风险。而可视化网络的部署,无需改变现网的主干结构,只需所有的网络设备开启Netflow,NetStrem ,SFlow、Jflow 等其它标准的Flow 协议,对于不支持Flow的设备,则可以通过SPAN 进行端口镜像,把流量导进FC即可。基本所有的企业网网络设备都支持这些功能。对于网络可视化的组建FC(Flow Collector) 和 FMC (Flow Management Console) 只要为其配置可用的IP即可。
FC是一个Flow收集器,收集所有网络设备的发出来的Flow表。它有以下优点:可以进行实时的流量分析、Flow 流量监控、端到端的可见性、时间报告。
FMC 是对FC 发来的流表进行智能流量分析。它可以进行数据图形化输出、网络分组、快速的进行网络安全评估、实时的输出关系流图。
典型的组网如图1:
3、部署灵活
网络可视化支持集中部署和分布式部署两种方式:
集中部署:当企业有多个分支机构时,所有分支机构的网络设备只要开启NetFlow 或者 类似的 Flow 功能即可,然后指向总部的FC即可。只有企业总部有网络可视化设备FC 和 FMC 。对于FC 和 FMC 只要配置可用的IP即可。如图2:
分布式部署:当企业有许多分支机构时,可选用分布式的部署方式。每个分支机构都有自己的FC总部在有FC的情况下,增加FMC所有的分支FC 都指向FMC 。这样整个跨地区的大型企业网可视化平台就建好了。FMC 会以图形化的界面展示整个企业的网络安全状态。如图3:
网络可视化的部署有全民皆兵、简单易行、部署灵活的特点,能灵活的利用现网的网络设备实现内部网络的可视化。
全民皆兵:可以使几乎全网所有网络设备都能参与到整个网络的安全防护中来,网络设备都扮演着网络探针的角色。
简单易行:部署简单,无需更改网络的主干拓扑和执行大量的网络配置。
部署灵活:有集中式和分布式两种部署方式,满足不同企业的需求。
4
总结
现在的企业网都面临着来自企业网络外部和内部的双重威胁,对于外部网络可以使用防火墙、IPS等进行特征防护。对于内部网络我们使用网络可视化的方案进行内部防护。在网络可视化的方案部署中,大部分的网络设备都可以以网络探针的身份来参与网络安全防护,且能起到网络颗粒度细化的效果。如果配合网络现有的准入设备(若支持配置下发),可以实现威胁实时的隔离。这样进一步加强了网络的安全性。
(注:如需转载本文,请联系“移安全”)
——END——
共有条评论 网友评论