ISP安全.docx
《ISP安全.docx》由会员分享,可在线阅读,更多相关《ISP安全.docx(16页珍藏版)》请在冰豆网上搜索。
ISP安全
ISP安全
计算机上任何活动的Internet连接都有可能让计算机成为恶意活动的攻击目标。
计算机病毒、蠕虫或间谍软件等恶意软件可以附在电子邮件中或从网站下载。
造成服务提供商网络大规模故障问题的起源往往来自ISP客户那边未加保护的台式系统。
如果ISP托管着Web或电子商务网站,可能会将含有财务数据或银行帐户信息的机密文件存储在其服务器上。
因此ISP必须以安全的方式维护客户数据。
在帮助保护使用其服务的家庭和企业用户方面,ISP扮演着重要的角色。
ISP的安全服务还保护着位于服务提供商所在地的服务器。
服务提供商经常需要帮助客户保护其本地网络和工作站,以降低安全风险。
在客户和ISP两端,都可以采取许多措施来保护操作系统和系统中存储的数据,以及计算机系统之间传输的数据。
如果ISP为客户提供Web托管或电子邮件服务,则必须保护信息免遭恶意攻击。
这是一项较为复杂的任务,因为ISP通常使用一台服务器或服务器群集来维护属于多个客户的数据。
为避免成为攻击的目标,许多ISP为客户提供管理型桌面安全服务。
现场支持技术人员的一项重要工作便是在客户端计算机上采取最佳安全做法。
ISP支持技术人员可以提供的部分安全服务包括:
帮助客户端设置安全的设备密码
通过补丁管理和软件升级保护应用程序
删除可能形成漏洞的多余应用程序和服务
确保应用程序和服务仅供必要的用户使用
配置桌面防火墙和病毒检查软件
对软件和服务执行安全扫描,确定技术人员必须保护的安全漏洞
最佳安全做法
如果ISP为客户提供Web托管或电子邮件服务,则必须保护信息免遭恶意攻击。
这是一项较为复杂的任务,因为ISP通常使用一台服务器或服务器群集来维护属于多个客户的数据。
常用的数据安全功能和规程包括:
加密服务器硬盘中存储的数据
设置权限,限制对文件和文件夹的访问
根据用户帐户或用户组成员资格允许或拒绝访问
如果允许访问,则根据用户帐户或用户组成员资格分配不同的权限级别
在分配访问文件和文件夹的权限时,最佳安全做法是遵循最小权限的原则。
也就是说,只允许用户访问工作所必需的一些资源,并为他们设定适当的权限级别(例如只读或写入),用户不需要的其它权限则不予分配。
身份认证、授权和记帐(AAA)是网络管理员为提高对攻击者入侵网络的防范能力而采取的三步式措施。
身份认证
要求用户提供用户名和密码以验明其身份。
身份认证数据库通常存储在RADIUS或TACACS服务器上。
授权
为用户分配使用特定资源和执行特定任务的权限。
记帐
记录使用的应用程序及其使用时间。
例如,身份认证确认名为student的用户可以登录。
授权服务指定用户student可以通过Telnet访问主机服务器XYZ。
记帐服务则会如下记录:
用户student在特定日期通过Telnet对主机serverXYZ执行了15分钟的访问。
AAA可用于不同类型的网络连接,它需要一个数据库来记录用户证书、权限和帐户统计数据。
本地身份认证是AAA最简单的形式,它在网关路由器上保留本地数据库。
如果某组织有大量用户要使用AAA进行身份认证,则必须在单独的服务器上保留一个数据库。
数据加密
ISP还必须注意保护其服务器发送和接收的数据。
默认情况下,通过网络发送的数据未经保护,是明文传输的。
非授权的个人可以在传输未经保护的数据时加以拦截,这样便可以避开为数据设置的所有文件系统安全措施。
对此安全问题,可以采取多种方法加以防范。
数字加密是对客户端与服务器之间所有传输的数据进行加密的一个过程。
许多数据传输协议都提供了使用数字加密的安全版本。
在两台计算机之间交换机密信息时,最佳做法是使用安全版本的协议。
例如:
如果用户必须提交用户名和密码才能登录电子商务网站,就需要使用安全协议。
这样可以保护用户名和密码信息不会被他人截取。
再如,在用户必须提交信用卡或银行帐户信息时,必须使用安全协议。
使用Internet和查看供人们公开访问的网站时,则不需要保护传输的数据。
在这种情况下,使用安全协议反而会延长响应时间,从而增加计算开销。
有许多网络协议可供应用程序使用。
有些协议具有安全版本,有些则没有。
Web服务器
Web服务器默认使用HTTP协议。
此协议并非安全协议。
切换到HTTPS即可安全地交换数据。
电子邮件服务器
电子邮件服务器使用多种不同的协议,包括SMTP、POP3、IMAP等。
当用户登录到电子邮件服务器时,POP3和IMAP要求提供用户名和密码进行身份认证。
默认情况下,提交的信息未加保护就发送,很容易被他人捕获。
POP3使用“安全套接字层”(SSL)来提供保护。
SMTP和IMAP可以使用SSL或TLS(传输层安全)作为安全协议。
Telnet服务器
通过telnet远程登录Cisco路由器或Cisco交换机时,将会建立不安全的连接。
Telnet通过网络以基本的明文形式发送身份认证信息和用户键入的命令。
可使用SSH验证身份并与路由器或交换机配合使用,以实现安全性。
FTP服务器
FTP协议也是一种不安全的协议。
登录FTP服务器时,身份认证信息以明文发送。
FTP可以使用SSL安全地交换身份认证信息和数据。
FTP的部分版本也可使用SSH。
文件服务器
文件服务器可以使用许多不同的协议来交换数据,具体取决于计算机的操作系统。
在大多数情况下,文件服务器协议都不提供安全版本。
还有一个叫做“IP安全”(IPSEC)的安全协议。
IPSEC是一种网络层安全协议,可用于保护通信所用的任何应用层协议,包括不提供任何安全协议版本的文件服务器协议。
访问列表和端口过滤
三种拒绝服务
DoS
DoS(标准的拒绝服务)攻击是指服务器或服务受到攻击而导致合法用户无法使用服务。
标准DoS攻击的部分示例包括SYN泛洪攻击、ping泛洪、LAND攻击、带宽消耗攻击和缓冲区溢出攻击。
DDoS
DDoS(分布式拒绝服务)攻击是指使用多台计算机攻击一个特定的目标。
在DDoS攻击中,攻击者对许多台受到入侵的计算机系统(通常是Internet上的计算机系统)拥有权限,从而可以远程发动攻击。
DDoS攻击的性质通常与标准DoS攻击的性质相同,但DDoS攻击是同时从多个计算机系统上发出的。
DRDoS
DRDoS(分布式反射拒绝服务)攻击是指攻击者发送欺骗性或虚假请求到Internet上的许多计算机系统,并将请求的源地址修改为目标计算机系统。
接收请求的计算机系统将会作出响应。
当计算机系统响应请求时,所有这些请求都会导向同一目标计算机系统。
攻击的反射特性使得攻击的来源非常难以确认。
ISP必须能够过滤可能损害ISP网络或服务器运营的网络流量,例如拒绝服务攻击。
为此,可以利用端口过滤和访问列表控制流向服务器和网络设备的流量。
端口过滤
端口过滤是根据特定的TCP或UDP端口控制通信流量。
许多服务器操作系统具有通过端口过滤限制访问的选项。
这样,服务器既可以提供所需服务,又可以受到保护。
网络路由器和交换机也可以利用端口过滤来控制通信流量和保护对设备的访问。
访问列表
访问列表用来根据源和(或)目的IP地址确定允许或拒绝通过网络的通信,也可以允许或拒绝所用协议的源和(或)目的端口上的通信。
管理员在网络设备(如路由器)上创建访问列表,以控制是转发通信还是作出拦截。
访问列表只是第一条防线,还不足以保护网络安全。
它只能禁止访问网络,而不能帮助网络防范各种类型的恶意攻击。
防火墙
防火墙是一种网络硬件或软件,用于定义可以进出网络特定区域的通信以及处理通信的方式。
访问列表是防火墙使用的工具之一。
利用访问列表可以控制允许通过防火墙的通信类型,以及控制流量传输的方向。
对于一个中型网络,需要控制的流量和网络协议非常大,因此防火墙的访问列表可能非常复杂。
防火墙使用访问列表来控制允许通过或需要拦截的流量,并随着新功能的开发和新威胁的涌现而不断演变。
不同的防火墙具有不同的功能。
例如,动态数据包过滤防火墙或状态防火墙将跟踪源设备与目的设备之间的通信过程。
它利用状态表进行跟踪。
当通信流获得认可后,只有属于该通信流的流量才允许通过防火墙。
CiscoIOSFirewall软件内嵌于CiscoIOS软件中,允许用户将路由器转变成具有动态或状态检测功能的网络层防火墙。
防火墙的功能越多,处理数据包所需的时间就越长。
防火墙可以为整个网络以及内部本地网段(如服务器群)提供边界安全。
在ISP网络或中型企业内,通常在多个层实施防火墙。
来自不受信任网络的流量首先会在边界路由器上遭遇数据包过滤。
允许的流量将通过边界路由器到达内部防火墙,并被路由到非军事区(DMZ)。
DMZ用于存储Internet用户可以访问的服务器。
只有可以访问这些服务器的通信才允许进入DMZ。
防火墙还控制着可以进入受保护的本地网络的通信类型。
可以进入内部网络的通信通常是应内部设备特定请求而发送的通信。
例如,如果内部设备向外部服务器请求某网页,防火墙就允许该网页进入内部网络。
某些组织可以选择实施内部防火墙来保护敏感区域。
内部防火墙用于限制对需要额外保护的网络区域的访问。
它保护服务器上的企业资源,并将这些资源与组织内部的用户隔离。
它还可以防范外部和内部黑客、内部无意攻击以及恶意软件。
IDS和IPS
ISP还要负责尽量防范攻击者侵入其网络以及购买了代维服务的客户网络。
ISP通常利用两款工具来实现这一目的。
IDS(入侵检测系统)是一种基于软件或硬件的解决方案,它被动地监听网络通信。
网络通信并非直接流过IDS设备,IDS通过网络接口监控通信。
当它检测到恶意通信时,就会发送警报到预配置的管理站。
IPS(入侵防御系统)则是一种主动式物理设备或软件功能。
通信从IPS的一个接口进入,从另外一个接口送出。
IPS可检测网络通信中的实际数据包,并实时允许或拒绝想进入网络的数据包。
IDS和IPS技术都部署为传感器。
IDS或IPS传感器可以是:
使用IPS版本CiscoIOS配置的路由器
专门设计为提供专用IDS或IPS服务的设备(硬件)
安装在自适应安全设备(ASA)、交换机或路由器中的网络模块
IDS传感器和IPS传感器对网络中检测到的事件会作出不同的响应,但两者都在网络中扮演重要的角色。
IDS
IDS解决方案在检测入侵时作被动反应。
它们根据网络通信或计算机活动的特征码检测入侵。
它不会阻止初始通信到达目的地,而是对检测到的活动作出响应。
在正常配置下,IDS在检测到恶意通信时,可以主动重新配置网络设备(例如安全设备或路由器)来拦截其它的恶意通信。
请注意,最初的恶意流量已经通过网络到达预定目的地,而无法拦截。
只有后续的流量才会受到拦截。
因此,IDS设备无法阻止某些入侵。
IDS解决方案经常用在不受信任的网络边界,并处于防火墙之外。
在这里,IDS可以分析到达防火墙的流量类型,确定攻击是如何发生的。
防火墙可用于拦截大多数的恶意流量。
IDS也可以部署在防火墙内部来检测防火墙的不当配置。
若将IDS传感器部署于此处,当防火墙允许恶意流量通过时,就会发出警报,这说明防火墙未配置正确。
IPS
与被动式的IDS解决方案不同,IPS解决方案可主动作出反应,它们可以实时拦截所有可疑的活动。
IPS几乎可以检查OSI模型中第2层到第7层的整个数据包。
当IPS检测到恶意流量时,可以立即予以拦截。
然后,IPS会依照配置发送警报,将入侵的相关信息通知管理站。
由于IPS可以主动防范攻击,最初及后续的恶意流量都会遭到拦截。
IPS是一种入侵检测设备,而非软件。
它通常部署在防火墙内部。
这是因为IPS可以检查整个数据包,因此可用于保护服务器应用程序。
防火墙一般不检查整个数据包,而IPS则不同。
防火墙会丢掉大多数不允许的数据包,但仍可能会让一些恶意数据包通过。
IPS检查的数据包数量较少,但会检查整个数据包。
因此,对于防火墙无法拦截或无法配置为拦截的新攻击,IPS都可以立即加以拦截。
无线安全
在ISP提供的服务当中,有时候会包括为客户创建可登录到无线局域网(WLAN)的无线热点。
无线网络易于实施,但如果配置不正确,便很容易受到攻击。
无线信号可以穿透墙壁,因此在企业建筑物之外也可以访问。
可以采用以下方法保护无线网络:
MAC地址过滤
MAC地址过滤:
通过限制MAC地址来禁止不必要的计算机连接到网络。
但攻击者可能会克隆MAC地址。
因此,在实施MAC地址过滤的同时,还应采取其它安全措施。
WEP
WEP(有线等效保密):
通过加密无线节点之间发送的数据来提供数据安全。
WEP使用64、128或256位预共享十六进制密钥加密数据。
但Internet上有许多WEP破解工具。
WEP应只用于不支持新版无线安全协议的旧设备。
WPA
WPA(Wifi保护访问):
是一个较新的无线加密协议,它使用增强的加密算法,称为临时密钥完整协议(TKIP)。
TKIP为每个客户端生成一个唯一的密钥,并且以配置的时间间隔轮换安全密钥。
WPA提供相互身份认证的机制,因为客户端和接入点都有密钥,所以永远不会传送密钥。
WPA2
WPA2(Wifi保护访问2):
是WPA新的改进版本。
WPA2使用更安全的“高级加密标准”(AES)加密技术。
主机安全
无论网络中是否存在防护层,服务器若未得到正确的保护,都容易遭受攻击。
ISP服务器尤其脆弱,因为它们一般可以透过Internet访问。
人们每天都会发现服务器存在新的漏洞,所以对于ISP来说,关键是尽可能保护其服务器,使之不存在已知和未知的漏洞。
方法之一是使用基于主机的防火墙。
基于主机的防火墙是在主机操作系统上直接运行的软件。
它帮助主机防范可能穿透所有其它防护层的恶意攻击。
基于主机的防火墙控制入站和出站网络流量。
它支持基于计算机IP地址和端口的过滤,从而在常规端口过滤的基础上提供额外的保护。
基于主机的防火墙出厂时通常附带有预定义的规则,会拦截所有传入的网络流量。
用户可以添加例外条款到防火墙规则集中,以允许正确的入站和出站网络流量。
启用基于主机的防火墙时,既要允许访问完成工作任务所需的网络资源,又要防止应用程序给恶意攻击留下漏洞,所以,取得两者之间的平衡非常重要。
许多服务器操作系统都预配置了带有有限选项的基于主机式简单防火墙,也可以购买更高级的第三方软件包。
ISP使用基于主机的防火墙来限制对服务器上特定服务的访问。
使用基于主机的防火墙时,ISP通过封锁对无关端口的访问来保护服务器及客户的数据。
ISP服务器利用基于主机的防火墙来防范各种不同类型的攻击和漏洞。
已知的攻击
基于主机的防火墙根据可以更新的病毒特征码或样式识别恶意活动。
可以检测已知的攻击,并拦截被攻击利用的端口上的流量。
可被利用的服务
基于主机的防火墙通过禁止对服务所使用端口的访问,保护服务器上运行的可被利用的服务。
有些基于主机的防火墙还可以检测数据包的内容,检查其中是否包含恶意代码。
Web服务器和电子邮件服务器是利用服务攻击的常见目标,但如果主机式防火墙能够执行数据包检测,便可为它们提供保护。
这种检测将确认数据包是否包含恶意代码。
蠕虫和病毒
蠕虫利用服务中的漏洞以及操作系统中的其它弱点进行传播。
基于主机的防火墙可以阻止蠕虫访问服务器,还可以控制服务器生成的出站流量来防止蠕虫和病毒的传播。
后门和特洛伊木马
后门或特洛伊木马允许黑客远程访问网络上的服务器。
成功感染目标后,此类软件通常会发送消息通知黑客,然后提供可让黑客访问系统的服务。
基于主机的防火墙通过限制出站网络访问来阻止特洛伊木马发送消息,还可以阻止攻击者连接任何服务。
除了基于主机的防火墙之外,还可以在主机上安装Anti-X软件。
Anti-X软件可以帮助计算机系统防范病毒、蠕虫、间谍软件、恶意软件、网络钓鱼甚至垃圾邮件。
许多ISP为客户提供的综合安全服务中都包含Anti-X软件。
但并非所有Anti-X软件都防范同样的威胁。
ISP应经常检查Anti-X软件实际上可以防范的威胁,并根据公司的威胁分析提出建议。
许多Anti-X软件包都支持远程管理,其中包括通过电子邮件或寻呼机向管理员或支持技术人员发出病毒感染警报的通知系统。
及时通知相关人员可以大为减小病毒感染的影响。
使用Anti-x软件不能减少网络威胁的数量,但可以降低病毒感染的风险。
有时,病毒感染和攻击仍会发生,甚至有很强的破坏力。
因此,必须使用事件管理程序来跟踪所有事件和相应的解决方案,以防病毒感染再次发生。
事件管理是ISP管理和维护客户数据所必需的程序,因为ISP需要保护为客户托管数据的安全性和完整性。
例如,如果ISP网络成为黑客的目标,在ISP管理的数据库中,有数千张存储的信用卡号码被盗,则必须通知客户,以便他们通知信用卡持有人。
服务等级协议
ISP和用户通常签订有称为服务等级协议(SLA)的合同。
该合同上清楚地列明了双方的期望和义务。
典型的SLA包括以下几部分:
服务说明
费用
跟踪和报告
问题管理
安全
协议的终止
服务中断时的赔偿
可用性、性能和可靠性
SLA是一个重要的文档,其中清楚地列明了网络的管理、监控和维护等相关条款。
监控网络链路性能
ISP负责监控和检查设备的连通性,包括属于ISP的任务设备,以及位于客户所在地但ISP在SLA中已经表示同意监控的设备。
监控和配置可以通过直接的控制台连接在带外执行,也可以使用网络连接在带内执行。
初始配置时如果设备无法通过网络访问,或者必须对设备进行目视检查,则适合采用带外管理。
大多数ISP无法目视检查或实际接触所有设备。
带内管理工具可以方便管理,因为技术人员不需要物理连接。
因此,在管理可以通过网络访问的服务器时,带内管理比带外管理更适合。
此外,带内管理工具一般比带外管理工具提供更丰富的功能,例如全面检查网络的设计等。
传统的带内管理协议包括Telnet、SSH、HTTP和SNMP(简单网络管理协议)。
许多嵌入式工具、商业工具和共享软件工具便利用这些管理协议。
例如,HTTP访问通过Web浏览器实现,有些应用程序(如CiscoSDM)就利用了这种访问进行带内管理。
选择带内和带外工具
SNMP是一种网络管理协议,可让网络管理员收集有关网络及相应设备的数据。
CiscoWorks等工具中包含SNMP管理系统软件。
Internet上有可供下载的CiscoWorks免费版本。
SNMP管理代理软件通常内嵌于服务器、路由器和交换机的操作系统中。
SNMP主要包括四部分:
管理站——装有SNMP管理应用程序的计算机,供管理员监控和配置网络。
管理代理——SNMP管理的设备上安装的软件
管理信息库(MIB)——设备所保留的其自身与网络性能参数相关的数据库。
网络管理协议——管理站与管理代理之间使用的通信协议。
管理站包含供管理员配置网络设备的SNMP管理应用程序,还存储着这些设备的有关数据。
管理站通过轮询设备来收集信息。
轮询是指管理站向代理请求特定信息。
代理的任务是响应轮询,向管理站报告信息。
当管理站轮询代理时,代理将调用MIB中存储的统计信息。
代理还可以使用陷阱配置。
陷阱是代理中触发警报的事件。
代理的特定区域配置了必须保持的阈值或上限,例如可以访问特定端口的流量。
如果超过了阈值,代理就会发送警报消息到管理站。
这样可以避免管理站不断轮询网络设备。
管理站和受管理的设备通过可以访问设备的社区ID(称为社区字符串)加以标识。
维护设备日志并定期核查是网络监控的重要部分。
Syslog是日志系统事件的一项标准。
像SNMP一样,Syslog也是一种应用层协议,可让设备发送信息到管理站上安装和运行的Syslog守护进程。
Syslog系统由Syslog服务器和Syslog客户端组成。
Syslog服务器接受和处理来自Syslog客户端的日志消息。
客户端是受到监控的设备。
Syslog客户端生成日志消息并将其发送到Syslog服务器。
日志消息通常包含日志消息ID、消息类型、设备发送消息的时间戳(日期、时间)以及消息文本。
根据发送Syslog消息的网络设备,Syslog消息可能还会包含其它项目。
备份介质
网络管理和监控可以帮助ISP和企业查找和解决网络问题。
此类软件还可以帮助排查网络故障的起源,包括恶意软件和恶意活动、网络功能以及其它问题(如设备故障)。
无论故障的原因为何,为客户托管网站或电子邮件的ISP都必须保护Web和电子邮件内容并防止其丢失。
如果丢失网站中存储的内容,将可能需要数百甚至数千工时来恢复这些数据。
在内容恢复期间如果发生停机事故,则造成的业务损失更是无法估量。
如果ISP丢失电子邮件服务器中存储的电子邮件,则可能会对那些依赖电子邮件中的数据的企业造成严重影响。
有些企业按照法律要求必需维护所有电子邮件通信的记录,因此不允许丢失电子邮件数据。
数据备份非常重要。
IT专业人员的工作是尽力降低丢失数据的风险,同时为丢失的任何数据提供快速恢复的服务。
当ISP需要备份其数据时,必须权衡备份解决方案的成本与效率。
备份介质的选择可能是一个复杂的过程,因为影响选择的因素有很多。
其中的部分因素包括:
数据量
介质的价格
介质的性能
介质的可靠性
离站存储的便利性
当今市面上有许多类型的备份介质,包括磁带介质、光存储介质、硬盘介质和固态介质等。
磁带介质
磁带仍然是最常见的备份介质类型之一。
磁带容量大,是市场上最具成本效益的介质。
如果数据量超过了一盘磁带的容量,可以使用磁带自动加载器和磁带库在备份过程中替换磁带,使数据根据需要存储在多盘磁带上。
这些设备比较昂贵,在中小型企业中不常用。
不过,如果需要存储的数据量很大,则自动加载器或磁带库将是必需的设备。
磁带介质容易发生故障,所以磁带驱动器需要定期清洁以保持功能。
磁带也会因使用磨损而故障率较高。
因此,磁带应在使用一段时间后更换。
磁带有以下几种类型:
数字数据存储(DDS)
数字音频磁带(DAT)
数字线性磁带(DLT)
线性开放磁带(LTO)
这些磁带具有不同的容量和性能。
硬盘介质
基于硬盘的备份系统因其驱动器成本低、容量高而越来越受欢迎。
但基于硬盘的备份系统难以实现离站存储。
大型磁盘阵列,如直接连接存储(DAS)、网络连接存储(NAS)和存储区域网络(SAN)等,都无法移动。
基于硬盘的备份系统通常与磁带备份系统结合使用,以利于离站存储。
在分级备份解决方案中同时使用硬盘和磁带,既可以在恢复时快速从本地硬盘获取数据,又可拥有长期存档的解决方案。
固态介质
固态存储是指没有任何活动部件的非易失性存储介质。
固态介质形式多样,既有邮票大小、只能存储1GB数据的小型驱动器,也有路由器大小、可以存储器1000GB(1TB)数据的封装。
固态存储适合于需要快速存储和检索数据的场合。
固态数据存储系统的应用包括数据库加速、高清晰视频访问、数据检索和SANS。
高容量固态存储设备的成本很高,但随着技术的不断成熟,价格会越来越低。
光存储介质
光存储介质是少量数据的常见选择。
一张CD的存储容量为700MB,DVD的单面双层光盘最多可以支持8.5GB,而每张HD-DVD和蓝光盘片的容量超过25GB。
ISP可以使用光存储介质将Web内容数据递交