网络入侵检测解决方案.docx
《网络入侵检测解决方案.docx》由会员分享,可在线阅读,更多相关《网络入侵检测解决方案.docx(22页珍藏版)》请在冰豆网上搜索。
网络入侵检测解决方案
XXXX
入侵检测系统解决方案
北京中科网威信息技术有限公司
200X年X月
一.前言
此文档就XXXX调通中心网络安全方面做全面的规划和设计,从而确定软件、硬件体系的组成及各部分的作用,和应用程序的连接等,从而对整个网络的安全部分规划、采购起指导性作用。
此文档将从物理层、网络层、应用层、管理层等几个方面就XXXX调通中心网络安全进行具体描述。
一.1.设计目标
最大可能的保护其所辖的网络和系统可以得到充分的信任,可以获得良好的管理。
总体目标是在不影响中心网络正常工作的前提下,实现对中心网络的全面安全及加固。
根据XXXX调通中心网的要求及国家涉密计算机系统安全要求,提供包括整体安全策略、评估、规划、设计、部署、管理、紧急响应以及配套服务组成的网络安全整体解决方案。
一.2.安全宗旨
建设和服务应遵循如下原则:
◆设计中将以国家涉密计算机系统安全要求为根本
◆采用国内最先进,符合涉密系统安全要求的安全设备和产品
◆严格遵守中华人民共和国保密局、公安部相关法律和法规
◆严格遵守国家涉密计算机系统安全保密规范
◆我国各级安全主管部门还颁布了一系列条例和规定。
本项目遵守国内的这些安全条例和规定。
一.3.项目集成原则
策略性
建立中心的安全体系,需要先制定完整的、一致性的信息安全策略体系,并将且将安全策略体系和其他企业策略相协调。
综合性和整体性
从系统综合的整体角度充分考虑此次中心网络安全招标项目,制定有效、可行的安全措施,建立完整的安全防范体系。
尽量降低对原有网络、系统性能的影响
由于安全设置的增加,必将影响网络和系统的性能,包括对网络传输速率的影响,对系统本身资源的消耗等。
因此需要平衡双方的利弊,提出最为适当的安全解决建议。
避免复杂性
安全解决方案不会使原网络结构的复杂程度增加,并使操作与维护简单化。
安全体系的建立也不会对中心的结构做出根本性的修改。
扩展性、适应性
安全解决方案能够随着中心网络性能及安全需求的变化而变化,要容易适应、容易修改。
兼容性
安全管理工具应能够和其它系统管理工具有效兼容。
保障安全系统自身的安全
安全产品和系统都有能力在合理范围内保障系统自身的安全。
稳定性
总体设计方案需保证运行过程中的稳定、顺畅,不对应用系统造成危害。
二.网络安全性分析
当前,全球性的信息化、网络化进程正在飞速发展,网络技术正逐步改变着各行各业传统的生产和管理方式,网络应用日新月异。
网络在提高生产和管理效率的同时,也给各类涉密信息网络的安全保密系统建设、应用和管理提出了新的要求。
作为XXXX调通中心安全系统的网上形象和网上办公系统,保证网上信息的安全性、可靠性,保证网络的正常运行,不被不法分子破坏、窜改是整个纪检监察计算机网络系统中非常重要的一个组成部分。
XXXX调通中心安全系统常涉及的,无论是门户系统,数据流、数据中心和公共服务,这些都需要网络安全的支持,从用户的登陆认证,非法行为的监控,门户网站的抗攻击性,数据中心的操作安全性等多个方面都离不开网络安全系统的支持。
网络安全整体建设中的某个被忽略的部位弱势,势必影响系统整体的安全水平,为了对抗各种攻击破坏,避免因为安全隐患而引发的安全事故,通过深入分析全国XXXX调通中心安全系统的安全需求,建议目前的网络安全系统管理应从下列方面入手着重解决。
◆提供针对网络安全问题的保障,着重对于目前网络上流行的攻击形式,攻击手段进行防护,同时考虑系统冗余。
◆对XXXX调通中心可能出现的攻击行为进行监控、取证,适当情况下可以根据监控的内容对攻击者进行跟踪,必要时可根据此结果进行法律起诉。
◆对内部可信任网段内主机进行严格限制,及时发现并阻断非法外联行为。
◆对于网络安全设备的统一管理问题。
包括统一管理、配置,收集不同系统上的日志资料,进行时间分析。
◆对于整个XXXX调通中心安全系统的接入问题进行管理,确保涉密网络与非涉密网络的物理隔离问题。
◆定制全网统一的病病毒策略,实现全网范围内的病毒防御。
◆基于数字证书的服务。
包括证书的统一管理,可信服务,用户分级,与应用系统无间结合等多个方面。
◆对于网络安全事件的紧急响应,包括7×24小时的紧急响应。
◆提供对于网络正常运行的安全服务、培训、安全管理规定等。
建立一个安全网络需要从软件、硬件,产品、服务等多个方面协同协作,搭建起一个完整的安全保障系统。
从用户登陆系统的开始就做到身份认证、行为监控、日志记录等工作;对边界网络实行严格的访问控制策略;在敏感信息节点对数据的监听、分析,对违反安全策略的行为进行响应;并定期主动对系统网络中服务器进行安全评估,消除安全隐患,防范于未然,为上层的门户系统、网上政务系统的正常运行提供彻底的保护,对于可能给系统造成损害的每一个地方做全满考虑,为XXXX调通中心安全系统的正常运行保驾护航。
三.物理层安全体系
这里说的物理层指的是物理连接方面的安全,尤其指的是不同密级之间网络的连接规范,保证从物理结构上的安全。
分支内容主要包含以下几个方面:
◆电磁泄漏
◆恶意的物理破坏
◆电力中断
◆安全拓扑结构
◆安全旁路问题
三.1.电磁泄露
电磁泄漏主要发生在由双绞线连接的物理设备之间,由于双绞线传输数据时周围产生的磁场可被还原,故如果出现刻意的针对电磁泄漏而进行的监听行为,则可能防不胜防。
由于此种入侵的方式非常隐蔽,可以不用进入办公区域、不用进行数据传输、不用发生人员方面的接触而获取数据的特点,所以是国家保密局等安全部分非常重视的一种基本防护。
对于这种攻击的防护手段已经非常成熟,分别对应不同的实际环境予以选择:
现状
解决方法
没有屏蔽室
建立屏蔽室
光纤网络(条件所限无法建立屏蔽室)
不用做电磁防护措施
Utp双绞线网络(条件所限无法建立屏蔽室)
需要针对线路做加密,保密局有相关产品
表格1安全环境选择表
上面提到的问题还只是电磁泄漏防护的一种解决方案,由于XXXX调通中心网络是涉密网,不需要面向广大市民服务,所以对于电磁防护的问题还需针对现状进行分析,原则是对于重要的、涉密的设备进行防护。
三.2.恶意的物理破坏
所有交换机设备均封闭在单独的房间内,这些房间主要由网络技术部系统管理人员负责维护管理,在物理上实现了安全保护。
中心局域网主要的5类双绞线都布设在地下封闭的金属槽或天花板上封闭的PVC槽内,遭人为破坏的可能性较小。
对于网络线路,主要通过专用测试仪和网络管理软件如Ciscoworks2000等来进行监测,管理人员能够及时发现线路阻断等异常故障。
三.3.电力终端
网络中心应重点考虑电力中断的问题,由于数据中心存放了非常多的设备,包括小型机、网络设备、PC服务器等,所以电力问题要非常重视,最好能准备两路不同源的电路,因为重要的服务器等设备均有双电源冗余的设计,双电源是网络正常运行的有力保障。
重要设备应具有在线式UPS,控制了全部重要计算机系统的电源管理;并且安装了针对UNIX和WinNT服务器的自动关机程序,一旦断电时间接近UPS所能承受的延时服务时间的70%,则发出指令自动关闭主要的服务器。
三.4.安全拓扑结构
安全拓扑结果应该说是安全体系的一个很重要的组成部分。
针对XXXX调通中心网络的环境分析:
由于此系统涉及涉密网络与非涉密网络之间的连接,也有外网与非涉密网的连接,故拓扑结果非常复杂,需要集成商方面针对不同的接入形式做具体分析,并将接入方式去分为物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同形式,原则上所有内部单位与数据中心的连接均应用防火墙进行逻辑隔离,保证可信的数据传输及对非法访问的拒绝。
◆物理隔离:
完全网络上的隔离,对于涉密网与非涉密网之间的连接,无设备
◆逻辑隔离:
使用防火墙进行数据交换方面的审查,通行可信数据,拒绝非法请求。
针对XXXX调通中心外网与内网之间的连接。
◆给予物理隔离的数据交换:
使用基于物理隔离的数据交换进行数据交换方面的审查,通行可信数据,拒绝非法请求。
此项方式是防火墙模式的进一步提高,此处对涉密外网有比较高的要求时选用的设备,但是由于原理限制,大大降低网络速度。
三.5.安全旁路问题
安全旁路问题是涉密网建设的非常重要的组成部分,针对不同的单位有相应的解决手段。
在政府等办公部门主要针对的是物理隔离的内部网络的员工拨号行为,针对研究所等机构主要是软盘,USB设备对于数据的Copy问题,由于目前XXXX调通中心网络是公众外网,所以对此部分只是做简单提及,解决方式为内部解决。
对于上述内容的管理除了技术上的投入以外还需要进行专门的管理制度上的制定,具体细则请参见管理制度篇。
三.6.解决措施
物理层安全应面临的风险主要是环境安全和设备、设施安全问题。
为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施。
在环境安全上,主要考虑受灾防护和机房区域安全。
为此在中心机房内,要施行严格的保安制度,配备好安防和消防等设备。
(1)环境安全保密解决措施:
◆在安置服务器的机房出入口设立门禁系统,分配权限和密码,仅持有权限和密码的人才可以进入机房;管理上要求能够进出机房的人员政治和技术可靠。
◆配备防火器材,合理的布置在机房的四周,做到防范于未然,一旦出现明火现象,可在机房内将其扑灭。
◆在机房内设立摄像监控系统,24小时监控录像机房内的人员行为,记录影像并标记时间,为可能存在的人为破坏提供比对的证据。
◆重要服务器机房内应充分利用现有的工业空调系统,将机房内温度保持在服务器硬件的平均工作温度下。
◆所有通信线路应尽量安置在防火的PVC槽内,安置在天花板等人不能直接接触的地方。
(2)设备安全保密解决措施:
◆建议中心在机房内安置电磁干扰发射仪。
◆中心骨干网络为千兆,骨干为光纤结构,不存在电磁泄漏的问题。
◆中心的桌面应用目前仍是百兆,使用UTP连接,存在线路泄漏问题。
为此,使用UTP线路电磁泄漏干扰仪连接在线路的两端进行电磁发射干扰。
(3)介质安全保密解决措施:
◆介质安全主要体现在存储介质上面如磁带机、光盘和硬盘存储器,机密成果数据的存储介质需要异地保存;
◆在中心设立专门的介质存放室(至少与机房不在一个房间内或一个楼层),介质存放室也应做好门禁系统,配备防火器材和空调恒温系统;介质存放室的进出人员应接受严格登记和审核,并在管理上要求政治和技术可靠;
◆对存放在纸上的重要机密信息应严格保存,可以和介质一起放在介质室内,对作废的文件应使用碎纸机或送往纸浆厂监控处理。
四.网络层安全体系
这里说的网络层指的是网络设备上的安全,以及专门执行网络安全功能的相应设备,尤其指的是数据传输时的安全问题。
物理层网络安全体系是现代网络安全体系种非常重要的组成部分,可以说是网络安全的核心,众多的黑客攻击的手段和方法都是针对网络层而开展的,因此网络层安全体系的建设是网络安全建设的重要组成部分。
目前的网络安全体系不仅仅是一种安全设备,一种安全手段就可以实现的,随着黑客技术的不断成熟安全体系已经发展成为了多产品,多手段相结合的方式,也只有多重手段的综合运用才能从整体上实现安全的防护,在安全领域是适用木桶原则的,如果有哪个领域是我们没有考虑到的,则那个部分则最有可能成为被入侵的环节。
鉴于目前网络安全技术在国内已经十分成熟,技术上不存在壁垒,故推荐使用国内的安全产品,以防止政府部门由于使用国外产品导致的敏感时期安全设备可能被国外黑客利用,造成不必要的损失情况出现。
由于网络层安全体系涉及的内容非常丰富,本章将针对下面列表中的内容做逐一的分析,并给出解决措施。
◆外网攻击
◆内网攻击
◆加密传输
◆安全旁路问题
四.1.外网攻击
从外网进行的攻击行为可以说是不胜枚举,近年来国内外出现的大量的网络安全事件(经媒体报道过的)可以说应用了目前所有的攻击形式,有各种形式的Flood攻击,Pingofdeath、Synflood、DOS、DDOS等,此类攻击尤其针对网站,破坏性是不容置疑的,发生在2001年的五一中美黑客大战就是运用上面攻击形式的结果,致使美国白宫网站不能访问达4小时之久。
除此之外还有数不清的木马攻击,操作系统漏洞,对于应用服务的授权的和未授权的访问等,所有这些问题如果用头疼医头、脚疼医脚的方式就会变得捉襟见肘,最好的解决方案是在内网和外网的交汇处设置防火墙,保证内网、外网的之间访问的安全性及抵抗攻击。
下面用一个简单图示来描绘防火墙的应用
图表1防火墙的应用简图
上图中的DMZ区我们可以假想为门户网站的防治区域,而内网则放置我们的数据库服务器等更加重要的服务器,同时与其它局、委、办的连接也在内网进行,同时我们还应对防火墙的访问策略做简单配置:
外网→DMZ区
DMZ区→内网
内网→DMZ区
DMZ区→外网一些
其它各个部分之间的访问完全禁止
这样数据的传输达成了一个安全通道,即数据访问时:
外网→DMZ→内网;回应数据时:
内网→DMZ→外网,内外网之间完全禁止访问,这样即使出现什么安全问题也不会直接将内网中的数据泄漏给外网。
下面给出就XXXX调通中心网络建设中防火墙部分应具有的相关功能:
◆支持百兆网络
◆可以实现双机备份
◆双电源冗余
◆至少500,000的并发连接数
◆支持广泛协议,能够满足视频会议的需求
◆支持单级、多级,统一、分散的管理方式
◆灵活的定义访问策略
◆支持路由、透明、混合模式的应用
◆对DOS、DDOS、Pingofdeath、Synflood、land等攻击的专门防护
◆能够实现在线升级
◆用户分级管理
◆数据包内容过滤
◆详细的日志
由于目前对于防火墙设备的采购和网络拓扑还不清楚,故目前只提供一些技术参数,仅供参考。
四.2.内网攻击与监控
数据中心涉密网络内部应用系统平台多且复杂,从技术和管理角度分析,安全隐患也是存在的。
内部网络的监管需要技术和管理上并进才可保证安全。
来自系统内部人员的攻击是很难防范的,内部工作人员本身在重要应用系统上都有一定的使用权限,并且对系统应用非常清楚,一次试探性的攻击演练都可能会对应用造成系统瘫痪的影响,这种行为单单依靠工具的检测是很难彻底避免的,主要依靠建立完善的管理制度和处罚措施来解决。
在中心的内部局域网内,可能存在的攻击者可以将自己的ip地址改为他人的地址发起攻击,这种做法往往会让管理人员转移调查目标,难以发现真正发起攻击的人。
攻击者也可将自己的网卡换掉,修改mac地址和ip地址向服务器发起攻击,攻击完后再回到以前的设置,这些问题是目前XXXX调通中心的安全手段所解决不了的。
在局域网上,用户安全意识不强,口令设置缺乏科学性,易猜测,且更换频率低,个别人甚至半年以上才更换一次。
这为非法用户盗取数据库资源提供了可能。
部分UNIX或WindowsNT/2000的命令可以实时检测网络数据包的传输情况,对于telnet,rlogin这些不加密的网络应用,用户登录口令很容易被发现和窃取。
主机操作系统漏洞和错误的系统设置也能导致非法访问的出现。
入侵检测是对入侵行为的监测和控制,它通过监视计算机网络或系统的运行,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出警报并采取相应的措施,如阻断,跟踪等。
同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。
此外,网络入侵检测产品不能完全满足要求,一些发生在服务器或入侵行为和异常现象也会带来不可估量的损失,我们同样建议在服务器Linux上安装能够监测系统资源(文件,内存)和入侵行为的主机入侵检测系统。
(1)网络入侵检测系统安全解决措施:
◆在骨干交换机上设置一个监听端口span,在交换机上指定该span端口可以监听服务器所在的端口号或vlan,然后将网络入侵检测的引擎探头(硬件引擎)分别接在两个span端口上。
◆将引擎的管理端安装在网管工作站上,并将引擎的管理端口接在交换机上即可。
(2)对入侵检测系统的技术需求比较简单,简述如下:
◆无IP侦测引擎
◆支持百兆环境
◆多样的接入方式
◆多样的相应方式,邮件、声音、互动等
◆和防火墙实现联动,能处理复杂问题
◆支持单级、多级的系统管理
◆提供对大型数据库的支持
◆策略库支持在线升级
◆支持IP碎片重组数大于50,000
◆支持TCP流还原连接数大于800,000
◆有效工作的流量范围大于70M
四.3.网络设备的安全
中心的网络结构中采用了大量的交换机,作为骨干交换设备的交换机往往也是攻击者发起攻击的对象,一旦交换机被攻击(dos),整个网络可能存在瘫痪的严重后果。
交换机内依赖的是固有的网络操作系统ios(网络设备操作系统),解决交换机的安全性问题也应依靠口令和自身漏洞修补等多方面来考虑。
中心互连设备中使用了大量的路由、交换设备。
他们都支持SNMP简单网管协议,并且目前我们的监控体系是符合SNMP协议来实现监控功能的,这些设备都维护着一个含有设备运行状态、接口信息等资料的MIBS库,运行着SNMP的主机或设备可以称为SNMPAGENT。
SNMP管理端和代理端的通信验证问题仅仅取决于两个Community值,一个是ReadOnly(RO)值,另一个是Read/Write(RW)值,拥有RO值的管理端可以查看设备的一些信息包括名称、接口、ip地址等;拥有RW值的管理端则可以完全管理该设备。
令人担忧的是,大多支持snmp的互连设备都是处于运行模式,至少有一个RO的默认值为PUBLIC,这样会泄漏很多重要信息。
另外,拥有RW默认值的设备在互联网上也是很多。
加之SNMPV2版本本身的安全验证能力很低,所以极易收到攻击,从而导致互连设备的瘫痪和流量不正常,如果没有冗余设备,那样整个内部网络就会瘫痪。
互连设备的弱管理口令,IOS版本太低也会使交换设备受到入侵和拒绝服务攻击,导致不能正常工作。
网络设备的安全性主要从管理终端口令、IOS系统漏洞和SNMP的COMMUNITY值问题入手。
(1)内网网络设备安全保密解决措施:
◆从官方站点下载交换机的最新ios版本,要做到及时升级;
◆加强vty和console的管理口令强度,并且口令要求使用md5加密存储;
◆加强enable和secret密码的强度,要求超过8个字符(字母和数字)的长度,并且和一般的vty和console口令不能相同;
◆加强snmp网管的private和public的community值的强度;
◆对vty终端和snmp的连接进行安全访问控制,制定访问控制列表,仅允许网管主机的连接访问。
四.4.VLAN安全保密
在中心内网的骨干三层交换机上进行VLAN划分,配置三层路由,并配置路由访问控制(AccessList)列表,这样做的优点有:
◆广播流量限制:
允许三层路由的单VLAN中的通信广播(寻址)不会散布到其他VLAN中,极大的提高了网络带宽的利用率和工作效率;
◆初级访问控制:
划分VLAN的网络中,如果没有三层路由访问控制的许可,将不能访问其他VLAN中的系统。
(1)内网安全VLAN划分解决措施:
◆在中心骨干交换机上按不同应用划分VLAN,并配置三层路由,按照应用和职责配置访问控制列表access-list,重点保护内网中重要的部门vlan,在其它交换机上配置trunkon,使其识别骨干交换机的vlan划分和安全策略配置;
◆将网络设备的管理IP设置在受保护的Vlan中,并修改ACL使得其它网段的主机无法远程登陆到交换机系统;
◆登陆交换机后对链路实施加密传输,保证信息不被窃取
四.5.入侵取证问题
安全这个概念永远没有绝对,攻击和防范是一个有先后次序的概念,总是先有新发现的攻击手法,然后才会有针对该技术的防范,入侵检测就是这个原理,总是定义已有的攻击特征进行攻击判断,IDS的学习功能也都是针对现有攻击的变种手法进行学习和发现。
人们很难保证现有的安全措施能够应付新的攻击,信息安全和现实世界的安全都是如此。
攻击取证就显得尤为重要,在可能出现的攻击事件发生后,找出攻击者的身份及其攻击所采用的手段是非常重要的事,其一可以帮助找出系统和现行的安全体制中的弱点,其二是找出攻击者后追究责任。
(1)攻击取证解决措施:
◆在重要服务其所在交换机上同样设立一个span端口,监听整个交换机的数据流量(和nids的实施一样),将攻击取证系统(黑匣子)接在span端口上,将管理控制端装在网管机器上就可;
◆一旦新的攻击发生,系统遭到入侵,管理员可以通过管理端察看取证系统地分析结果,最终判断攻击步骤,手法和攻击者的地址。
(2)取证系统的是网络入侵检测、系统日志和相关软件联合作用的结果。
五.应用层安全体系
本措施是为了保证信息的保密性、完整性、可控性、可用性和抗抵赖性,涉密系统需要采用多种安全保密技术,如身份鉴别、信息加密、信息完整性校验、抗抵赖、安全审计、入侵监控、数据库安全、网络防病毒等。
五.1.操作系统安全
中心服务器操作系统中以Linux和windows2000AdvancedServer为主,故系统的安全主要以此两种操作系统的加固为主。
◆Windows9x系统仅具有D1级的安全性,文件一旦在局域网上共享,根据系统管理员日常考察,普通用户设置访问口令的情形不多,并常常是面向所有用户共享。
尽管中心设置了VLAN,但对于水平稍高的内部黑客,还是难以防护。
目前已经不再使用Windows9X系统。
◆Windows2000系统和Linux系统。
由于广泛的应用,发现的安全性问题比较多,几乎每隔一段时间就有关于windows2000和Linux的漏洞信息发布在互联网上。
在系统用户安全上面,可以考虑使用系统平台自身的安全特性,如限制超级用户的数目、增强密码强度、定期察看LOG日志文件、对登录情况进行审计的手段可以做到。
我们也将根据经验,针对一些常见的漏洞和错误配置对服务器平台进行安全加固,这些主要是通过打补丁、健壮配置和使用第三方安全监控工具来实现。
五.1.1.服务器系统安全解决措施(主要针对Linux)
◆针对Linux系统,先打上官方提供的所有补丁包;
◆调整TCP/IP的内核参数,提高系统抗攻击性;
◆使用漏洞扫描和评估系统扫描这些Linux系统,对出现的不安全配置进行纠正,对发现存在安全漏洞的系统服务应及时进行升级;
◆加强Linux系统的安全配置问题基本上可从以下几个方面考虑,其一是考虑本地eeprom的安全,将eeprom的安全级别至少提升至command级别,这样在服务器的启动阶段可以阻止匿名进入光盘启动单用户模式,做法可以通过在console下键入eepromsecurity-mode=command来实现;其二是在CDE环境下使用Admintool或修改/etc/inetd.conf或修改/etc/rc*.d下的服务启动文件来关闭一些与应用无关的服务;其三是使用/usr/sbin/ndd–set来改变一些tcp的内核运行参数,可以在不启动系统的情况下更改内核的安全配置;
◆在Linux上使用tripwire对系统的主要配置程序文件如login等进行保护,我们使用tripwire默认的保护文件列表,制定相应的保护策略,对系统进行保护;
◆利用中心现有的备份设备对Linux系统进行定期完全或增量备份,这样做的好处是可以在万一被破坏后能进行完全恢复;
◆激活尝试登陆失败记录有效;
◆审查root属主的setgid和setuid程序;
◆调整TCP/IP的序列号产生法;
◆禁止ROOT用户远程登陆;
◆必要时采用主机入侵检测系统。
五.1.2.服务器系统安全解决措施(主要针对Windows)
升级会员 