思科安全入侵检测与响应解决方案Word下载.doc

1、此次调查是在信息产业部互联网应急处理协调办公室的指导下，针对全国16个城市2800多个企业的网络安全状况进行的。 调查显示，在各类网络安全技术使用中，防火墙的使用率最高，占77.8%；其次为反病毒软件的应用，占到73.4%；访问控制（25.6%）、加密文件系统（20.1%）和入侵检测系统（15.8%）也是通常使用的网络安全技术。生物识别技术、虚拟专用网络、数字签名和证书使用率较低，其中被访者中有很多人不清楚这些技术，还需要一段时间才能得到市场的认可。 在金融、制造、电信、财税、政府、教育、交通、其他类8个行业中，各行业被调查单位对防火墙与反病毒软件的使用率最高，其中财税、政府、教育行业以反病毒

2、软件最普遍，其他行业都对防火墙使用最为普遍。 被访单位在2004年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木马攻击，占75.3%。被调查对象认为，引发网络安全事件的原因中最主要的是“利用未打补丁或未受保护的软件漏洞”，占50.3%；对员工不充分的安全操作和流程的培训及教育占36.3%；紧随其后的是缺乏全面的网络安全意识教育，占28.7%。 调查数据显示，2004年面临的网络安全威胁最高的是使用自动化网络攻击工具，例如蠕虫或自动传播恶意代码，占67.3%；其次是有熟练攻击经验的攻击者成功绕过网络安全防护措施，占15.4%；大量或非常密集网络攻击尝试，占13.8%。 此次调查是一次比较全

3、面、客观、公正的社会调查，调查结果反映了我国当前网络安全的实际情况。总体而言，我国网络安全管理水平和技术水平较高，网络安全技术和产品，如防火墙、反病毒产品的普及率达到较高水平；企业对保证信息安全的基础性工作的重视程度比较高；近70%的被调查单位有专门的组织或机构负责内部的网络与信息安全，显示出各单位将网络与信息安全作为自身安全的组成部分的认识有所提高，也反映了近年来国家层面对网络与信息安全提出的要求已逐步得到贯彻执行。 但是，通过调查也反映出我国企业网络安全方面存在的一些问题，比较突出地反映在网络安全产品使用比较单一，入侵检测系统、身份认证技术、加密技术等普及程度较低，被调查单位内部安全规章不

4、够完善和全面，企业采用网络安全相关标准作为指导的还不多，企业内部网络安全管理人员培训和认证工作仍有待加强等方面。通过这次调查，反映出蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务攻击是我国面临的最重要的网络安全威胁。而加强配置管理、及时获得计算机漏洞信息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是最需要的。建立网络安全法律法规、建立网络安全技术监测平台、提高公众网络安全意识被认为是提高网络安全整体水平的最重要的宏观措施。 如何应对现在新的网络安全环境呢？如何在我们的网络上确保安全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。现在尽管采用了防火墙、虚拟专

5、用网（VPN）、身份验证机制、入侵检测系统（IDS）和其他技术来保障网络安全，但是网络攻击的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机，就可以在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们也可能会产生大量的网络流量，严重影响企业开展业务的能力，从而导致网络中断和收入损失。 因此，企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发现可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。这使得企业的安全管理人员很难确定为了购买

6、更多的安全技术而增加预算的必要性。有很多相关的因素共同导致了这种僵局，例如： 用于保护和监控网络的各种安全设备防火墙、IDS、VPN、身份验证设备等具有不同的、不一致的报告机制。 各个安全设备没有足够的网络拓扑信息，因而无法及时地提供关于网络攻击的信息。 一个典型企业中的各种安全设备可能会产生大量关于网络中流经的数据的信息，以至于操作人员无法有效地处理这些信息。综合起来看，我们企业遇到的安全问题主要归结为一下五个方面： 对实时安全信息不了解，无法及时发出预警信息 安全设备的管理往往是孤立的安全设备，缺乏整个“网络”的意识 事件发生后，无法确诊网络故障的原因或感染源/攻击源，网络业务恢复时间长

7、缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本比较高 对某些特定安全事件没有适合的方法，如DDoS攻击，蠕虫病毒等2 企业网络安全技术的现状分析2.1 网络安全出现了哪些的问题？ 如今，随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，企业越来越依赖信息和网络技术来支持他们在全球市场中的 迅速成长和扩大。但随之而来的威胁也越来越多黑客攻击、恶意代码、蠕虫病毒可以说，网络从没有象今天这样脆弱不堪、危机四伏，不知道什么时候灾难 就会降临。在黑客技术发展层面，以及越来越频繁爆发的网络危机来看，黑客们已熟悉了防火墙、IDS等安全部件执行的传统访问控制策略。他们的攻击方

8、式己不只是针对防火墙等产品的开放端口进行扫描，而是直指应用程序层面，寻找一切可以利用的漏洞。攻击手段越发复杂隐蔽和立体，如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性，对网络安全提出了新的挑战。从另一个角度来看，企业在网络建设初期网络安全并没有很好地规划。随着网络建设的深入，安全产品不断增加，整体缺乏统一管理，相互间没有沟通交互，信息无法有效整合，是一些信息安全的孤岛。就象现在人们在关注和谈论的IT孤岛问题一样，各个应用系统之间缺乏有效联系，信息得不到整合，发挥不出其应有的价值。同样的问题放在网络安全上，这一效应就有可能放大成为风险，给企业IT系统的持续运转埋下隐患。现在的防病毒软件有自己的

9、管理系统，防火墙有自身管理系统，不同的系统有不同的网络管理软件，所以网络管理人员要保持对不同产品管理系统信息的检查。其实这些来自不同安全产品的信息之间存在很大的相关性，如果分开独立地看待这些来自单一设备的信息，很有可能会忽略到一些重要的细节或关键因素，致使网络遭受重大打击。设想，当一个攻击发生时，防病毒、防火墙、IDS产品都发出了自身的报警信息，由于缺乏事件的关联性，一个事件会引起多个或大量的安全信息。这使网络管理人员无法进行及时处理，往往顾此失彼，手足无措，无法针对事件做出及时响应，迅速地给出一个良好、有效的解决办法。不同安全产品的管理人员处理问题往往只针对自己产品本身，而没有统一调整整个网

10、络的防御策略，这样往往会错过处理的最佳时机，而无法使企业网络在遭受病毒或攻击的时候，最大限度地减少所遭受的损失。如果这种状况持续下去，网络安全管理员所看到的永远只是一个相对独立的安全信息，就像是那个盲人摸象的故事。看问题只是看到了一个角，而没有看到问题的全部，那些细节和隐藏在外表下的真相可能恰恰被忽略，而它们往往是问题的关键所在。像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众 多的大型企业，这种问题尤为突出。我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器上，作安全的事后审计。一个大型的网络，包含若干的网络产品，这些网络设备随时随地都在发送SysLog信息，每天产生

11、的Log信息达到数万之多，任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障；即使有丰富知识的网络管理员，能通过Syslog分析得到有用的网络信息，但是速度也是很慢的。不断叠加的网络设备，成几何级增长的数据，往往降低了企业对事故的响应速度。如果再加上一些莫名其妙的虚假警报，公司的网络运维人员数量将急剧增长，但这依然无法保证网络的安全，有的时候企业不得不因为某一两个人的一个微小错误或疏忽而付出高昂的代价。这就是为什么企业在部署了众多安全设备后，依然无法有效地进行安全防范的原因。IT管理者们更希望在问题发生的时候，得到一个综合全面的安全报 告，以了解企业网络到底处于什么样的状态，遭

12、受过什么样的攻击，正面临着什么样的危险？而不是每一个产品信息的简单罗列，企业需要一个能集中管理所有产品 信息、智能化的安全管理中心。“安全是三分技术，七分管理。”已为大家所广泛熟知，但是怎么管理、怎么进行有效地利用，却始终困绕着众多CIO。诚然，一个良好的安全机制和策 略能给企业提供一定的安全保障，但面对网络中数目日益庞大的不同品牌和功能的安全产品，网络管理人员愈发捉襟见肘，单纯依靠人力的管理和维护不但效率低下，而且还面临很多不确定的因素和风险。综上所述，不难看出，近年来，安全管理中心、集中安全管理平台的理念和整体解决方案越来越得到用户认可的一个深层次原因。无论是网络安全的产业界，还是行业和企

13、业用户，都越来越重视这一新兴的市场。很多厂商都从不同的层面，提出了各自的集中安全管理解决方案和思想。2.2 需要统一安全管理的发展历程统一的安全中心的发展由最开始的基于每一台安全设备的管理，到每一类安全设备（FW/IDS/VPN）的网元级的管理，因为单独的安全设备不能解决安全的网络问题，独立的基于网元的管理更不能解决日益复杂的安全的问题，必须寻求新的方法。随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等安全威胁，建设安全的网络是业界目前所追求的理想目标。那么什么是安全的网络？安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理，具有自我防御能力的网络系

14、统。单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上，根据对安全的期望值和目标，制定相应的解决方案。入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析，来发现网络中的入侵行为或异常行为，及时提醒管理员采取响应动作阻止入侵行为的继续。事件响应是当发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不同，事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后，尽快恢复损失前的状态。除此之外，风险评估、安全策略和管理规定等

15、，经常也被作为安全保障的重要部分。但是不论有多少环节，要想实现安全的网络，风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作，有了这些准备工作，事件响应才可以及时得到各种必要的审计数据，进行准确的分析，采取措施降低损失或者追踪入侵者的来源等。因此，应急响应实际上将各个环节贯穿起来，使得不同的环节互相配合，共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地阻止攻击和快速响应，不但取决于安全产品本身采取了什么技术，更取决于使用和管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具，可以让安全管理人员对网络的安全状态了如指掌，快速行动，真正实现安全网络。下图

16、为安全网络系统模型，可见安全信息管理具有非常重要的作用。安全信息管理平台涵盖的范围非常广泛，包括风险管理，策略中心，配置管理，事件管理，响应管理、控制系统，知识和情报中心，专家系统等，每个部分都需要严密的设计，相互协作，真正实现一个高效率的，实用的，完整的安全信息集中管理平台。安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安全网络的关键，如下图所示 在安全集中信息管理平台中，我们目前所面临的最大挑战之一是，帮助我们做出正确判断的依据被不断增加的、多个厂商的安全设备和多个系统所产生的大量安全信息所淹没。比如一次简单的Smurf攻击，网络入侵监测系统会报警，防火墙会报警，遭受攻击的

17、主机会报警，相关的路由器甚至交换机都会报警，汇聚到安全管理平台就是多次报警，而其实攻击就只有一次。只有能够提供有效管理、隔离和优先处理代表着实际安全威胁的消息自动化处理系统，才可以保证安全响应的时实性，从而才可以在重大的安全灾难来临之前有准确的的应急响应措施。目前的安全集中管理关键技术之一是一种称为安全信息管理（SIM）的软件技术，此技术可以搜集和分析网络所面临的各种安全事件数据，提供强大的智能分析和处理能力。2.3 SIM安全信息管理的产生SIM系统可以从多个设备接收日志数据，存储和管理所创建的大量文件，以及实现至少部分的数据证据分析。但是，SIM仍然不能解决最其中关键的几个问题：1、需要大

18、量训练有素的安全分析人员解读数据和报告。2、现有的分析深度不够，不足以及时地阻止正在进行的网络攻击。SIM技术提供的工具可以判断网络是否遭受了攻击，某些网络组件是否受到了威胁，甚至某些网络组件是否参与了攻击，SIM并没有显示网络攻击的完整路径所需要的网络感知能力，因而无法在攻击发生时能快速制止攻击。3、SIM并不能提高其他安全设备的投资回报。为弥补SIM的不足，需要提高网络感知能力和加快分析速度，以发现实际的网络攻击并近乎实时地制止这些攻击。这种被称为安全威胁管理（STM）的能力必须能够自动执行大部分目前由安全分析人员完成的工作，降低对于训练有素的分析人员的需求，让安全人员可以集中精力处理实际

19、的威胁和制定未来的策略及战略。2.4 从安全信息管理SIM发展到安全威胁管理STMSTM技术监控网络中的各种安全和网络产品产生的日志和报告流量，采用多种创新技术以精简庞杂的网络事件信息，为网络操作人员提供监控和阻止网络攻击所必需的信息：1、端到端的网络拓扑感知能力和攻击发现能力2、高效能进程化和基于进程的主动关联3、集成化的动态主机脆弱性分析和精确跟踪STM技术从全面感知网络拓扑开始，知道哪些协议在哪里创建了网络地址，以便当某个攻击的源和目地地址发生变化时继续加以跟踪。简单网络管理协议（SNMP）的使用在设备的IP地址和它的固定硬件MAC地址之间提供了映射，让用户可以准确地识别网络路径上的某个

20、设备。STM技术可以使用来自于路由器、交换机和其他计算机的完整配置信息，以及来自于安全设备的信息建立网络的完整视图。STM技术首先从安全设备和网络组件接收网络事件，将事件信息与它的网络感知能力结合到一起，发现网络攻击活动集中的“热点”，并且显示攻击终端之间的网络路径。随后指出操作人员可以制止攻击的网络或者安全设备，为阻止危险流量提供准确的设备位置和适当的设备配置信息。 图1（从上往下读图）显示了STM技术用于减少原始网络事件数据量和制止网络攻击的创新流程：网络上的多个设备包括安全设备（防火墙和IDS）、网络设备（路由器和交换机）和终端系统（服务器）发送日志和网络信息，从路由器和交换机采集Cis

21、co IOS NetFlow数据，获得用于集成事件数据的网络性能和记账数据，识别异常网络流量和突变。进程化可以利用网络拓扑感知功能将多个事件汇总成端到端的进程。图2显示了一个典型的进程。网络地址在攻击路径中发生了变化，而NAT感知功能对于关联不同的事件具有重要的意义。图1 从网络事件到攻击制止基于进程的主动关联可以利用内置的和用户定义的规则，将关于多个进程的信息与NetFlow数据关联到一起，以发现可能的完整网络攻击（简称攻击）。对于每个可能的攻击，进行自动的脆弱性扫描。这包括检查攻击是否成功到达目标（它可能会被某个防火墙或者服务器中的主机IDS阻截），以及目标是否的确可能遭受攻击（它的操作系

22、统可能不会遭受这种攻击的影响）。自动脆弱性扫描会使用关于终端系统的信息发现误报，制定规则以减少将来对可能攻击的分析和处理。将实际的攻击通知操作人员，并告知制止方法。精确跟踪可以自动搜集主机信息，获得关于实际事件的完整信息。每天数百万个事件可能会精简到数十个攻击一个操作人员就足以对这些事件进行解读和处理。为分析人员提供一定数量（可设置）的事件，由其确定它们是真正的攻击还是误报。只需做出一个决定，就可以识别误报，迅速减少获得的事件数量。作为上述流程的一个典型例子，请参考图2中的箭头所显示的攻击路径。STM技术可以接收这些事件，并利用它在不同节点的网络拓扑和NAT感知能力将这些事件汇总为单个进程。在

23、图2中，（注意攻击的目的地地址被防火墙的NAT更改）STM技术可以将防火墙两侧的事件识别为同一个进程的不同部分尽管存在不同的地址。图2 进程化TMSTM技术可以根据内部规则比较进程的细节（进程内部关联）和其他进程的细节（进程间关联），以发现某个潜在的攻击。如果存在潜在的攻击，会根据对攻击目标的实际扫描，进行脆弱性分析，确定潜在攻击是一个需要报告和制止的攻击，还是一个可以忽略的误报。在最低层次上，STM技术可以被看做一个有效的、高性能的SIM。在较高层次上，它可以用于分析以前采集的数据，以识别网络流量模式和对网络攻击进行证据分析，为安全威胁管理树立很多新的标准和方法，提高安全威胁的响应速度，从而

24、真正实现综合统一的安全技术体系，使安全系统具有快速响应威胁的能力，利于自防御安全网络的建设。3 思科安全监控和快速响应解决方案3.1 思科安全监控的手段网络的安全监控的前提必须实时了解网络运行的状况，包括网络的实时流量，网络整体的拓扑，网络安全设备部署的全景，网络安全策略的部署，网络设备的级别配置，等等。所以，网络安全的快速响应必须基于整个网络的安全监控分析。思科提供有多种安全监控分析的手段。思科所有的路由器和大部分中高端交换机都具备的Netflow功能就是最常用的一种流量统计观察的常用手段；思科IDS、网络分析模块、CSA等也是网络安全监控的重要手段。3.1.1 NetFlow实时监控网络流

25、量 最近调查显示，NetFlow的采用率正在不断上升。很象基于RMON的探针的NetFlow能够为用户提供有关特定应用在哪里被使用、为什么被使用、被如何使用以及被谁使用，以及这种使用有可能如何影响网络的信息。NetFlow是Cisco公司的IOS软件的一部分，而其当前的版本9目前正在IETF以IPFIX的名称进行标准化。当然，这使得NetFlow/IPFIX作为有关异构环境里的网络上的应用流程的信息的一致来源更具吸引力了。NetFlow提供IP源地址、IP目的地址 、源端口、目的端口、三层协议类型和服务级别信息。几年来，服务提供商一直使用NetFlow。它们一直被NetFlow的如下特点所吸引

26、：它在大型WAN环境里所具有的伸缩能力；它能够帮助支持对等点上的最佳传输流；它可用来进行建立在单项服务基础之上的基础设施最优化评估；它在解决服务和安全问题方面所表现出来的价值；它能够为服务计费提供基础。然而，NetFlow却远非万能。它无法提供应用反应时间，而且，考虑到不断增长的动态端口分配趋势，它在根据端口特征识别应用方面的能力还远远不够。此外，过去，NetFlow很难实现，而且在性能方面表现也不好。因此，它实际上是无法在大多数IT部门实现的最佳实践。如今情况发生了很大的变化。调查发现路由器性能影响降低到了最低的大约2%至3%，而且，NetFlow部署只需要一个星期的时间。采用它的另一个原因

27、是：可以报告和分析NetFlow的软件如出自Crannog、Micromuse、NetScout和NetQoS公司的管理软件包得到了很大的改进。NetQoS公司的产品可以根据入站传输流对出站传输流进行评估以简化部署。NetFlow同样对于服务建模以及计费应用很有价值，而且，对于诸如Q1Labs公司和Arbor公司的Peakflow之类的安全厂商很有用，在这方面，NetFlow所具备的捕获异常通信流量的能力对于蠕虫、拒绝服务攻击以及其他与安全相关的问题的报警很有价值。此外，第三方产品也通过诸如应用服务器映射和旨在根据广泛的WAN部署进行调整的包分析技术之类的方法，提高了NetFlow识别独特应用

28、数据流的能力。必须指出的是，NetFlow/IPFIX只是捕获和分析应用传输流的众多技术中的一项。NetFlow/IPFIX所具备的与众不同的特点就是它的内在优势：能够利用当前基础设施捕获大型的且通常是分布式网络上的普遍存在的连接特定的通信行为。我们以2003蠕虫王 （Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm） 爆发的例子来说明Netflow在防范网络异常流量攻击的好处。 Netflow记录的信息： 61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1

29、 61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1 61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1 NetFlow流数据典型特征：目的端口1434，协议类型UDP，字节数404 从以上案例可以看出，蠕虫爆发时，应用Neflow分析方法，可以根据病毒流量的NetFlow特征快速定位感染病毒的IP地址，并参考NetFlow数据流的其它特征在网络设备上采取相应的限制、过滤措施，从而达到抑制病毒流量传播的目的。3.1.1.1 在思科路由器上采集分析NetFlow数据 判断异常流量的流向后，就可以选择合适的网络设备端口，实施Neflow配置，采集该端口入流量的NetFlow数据。 以下是在Cisco GSR路由器GigabitEthernet10/0端口上打开NetFlow的配置实例： ip flow-export source Loopback0 ip flow-export destination *.*.*.61 9995 ip flow-sampling-mode packet-interval 100 interface GigabitEthernet10/0 ip route-cache flow sampled 通过该配置把流入到Gigab