新网ISP系统安全建设方案doc.docx
《新网ISP系统安全建设方案doc.docx》由会员分享,可在线阅读,更多相关《新网ISP系统安全建设方案doc.docx(21页珍藏版)》请在冰点文库上搜索。
新网ISP系统安全建设方案doc
新网ISP系统安全建设方案
新网ISP系统安全建设方案摘要本方案针对ISP、ASP系统的特点及其整体网络结构,提供网络安全问题的整体解决方案。
方案共分三章,第一章分析了新网ISP系统的网络安全需求,并提出了针对该网络安全体系模型;第二章分析了目前实现安全体系的成熟技术;第三章分析了目前市场上的主要产品及如何使用以上产品建设新网ISP系统的安全体系。
第一章平台安全体系概述WebServer是企业对外宣传、开展业务的重要基地。
由于其重要性,成为Hacker攻击的首选目标之一。
WebServer经常成为Internet用户访问公司内部资源的通道之一,如Webserver通过中间件访问主机系统,通过数据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。
但Web服务器越来越复杂,其被发现的安全漏洞越来越多。
为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心通过以下的分析,我们提供的解决方案力图从网络安全的威胁及管理入手,在网络的各个层次上提供全面的解决方案。
1.1安全威胁自信息发布系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。
根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。
信息发布系统WEB站点可能存在的安全威胁来自以下方面1操作系统的安全性。
目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
2防火墙的安全性。
防火墙产品自身是否安全,是否设置错误,需要经过检验。
3来自内部网用户的安全威胁。
4缺乏有效的手段监视、评估网络系统的安全性。
5采用的TCP/IP协议族软件,本身缺乏安全性。
6未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。
7应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
1.2平台安全的需求对于各科各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。
ISP、ASP系统网络基本安全要求1网络正常运行。
在受到攻击的情况下,能够保证网络系统继续运行。
2网络管理/网络部署的资料不被窃取。
3具备先进的入侵检测及跟踪体系。
4提供灵活而高效的内外通讯服务。
1.3平台安全的体系结构网络的安全涉及到平台的各个方面。
按照网络OSI的7层模型,网络安全贯穿于整个7层模型。
针对网络实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。
平台安全的层次模型下图表示了对应网络的安全体系层次模型会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全图1-1安全体系层次模型物理层的安全物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)链路层的安全链路层的网络安全需要保证通过网络链路传送的数据不被窃听。
主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。
网络层的安全网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
操作系统的安全操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
应用平台的安全应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。
由于应用平台的系统非常复杂,通常采用多种技术(如SSL等来增强应用平台的安全性。
应用系统的安全应用系统完成网络系统的最终目的--为用户服务。
应用系统的安全与系统设计和实现关系密切。
应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。
1.4全方位的安全体系与其它安全体系(如保安系统)类似,信息发布系统WEB站点的安全休系应包含1访问控制。
通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
2检查安全漏洞。
通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
3攻击监控。
通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
4认证。
良好的认证体系可防止攻击者假冒合法用户。
5备份和恢复。
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
7隐藏内部信息,使攻击者不能了解系统内的基本情况。
8设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。
1.5平台安全的管理因素平台安全可以采用多种技术来增强和执行。
但是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。
安全威胁主要利用以下途径1系统实现存在的漏洞。
2系统安全体系的缺陷。
3使用人员的安全意识薄弱。
4管理制度的薄弱。
良好的平台管理有助于增强系统的安全性1及时发现系统安全的漏洞。
2审查系统安全体系。
3加强对使用人员的安全知识教育。
4建立完善的系统管理制度。
第二章安全及监控体系的实现技术基于以上的分析,信息发布系统WEB站点涉及到各方面的网络安全及管理问题,我们认为整个信息发布系统WEB站点的运行体系必须集成多种安全技术及管理实现。
如防火墙技术,入侵监控技术、安全漏洞扫描技术、故障性能管理技术、专家分析系统技术等。
2.1防火墙枝术防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
2.1.1使用Firewall的益处l保护脆弱的服务通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
l控制对系统的访问Firewall可以提供对系统的访问控制。
l集中的安全管理l增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
l记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
l策略执行Firewall提供了制定和执行网络安全策略的手段。
2.1.2设置Firewall的要素l网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
l服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。
可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。
典型的服务访问策略是允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
lFirewall设计策略Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。
通常有两种基本的设计策略1允许任何服务除非被明确禁止;2禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
l增强的认证许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。
多年来,用户被告知使用难于猜测和破译的口令,虽然如此,攻击者仍然在Internet监视伟输的口令明文,使传统的口令机制形同虚设。
增强的认证机制包含智能卡,认证令牌,生理特征指纹以及基于软件RSA等技术,来克服传统口令的弱点。
虽然存在多种认证技术,它们均使用增强的认证机制产生难于被攻击者重用的口令和密钥。
目前许多流行的增强认证机制使用一次有效的口令和密钥如SmartCard和认证令牌。
2.1.3Firewall的基本分类l包过滤IP包过滤√源IP地址;√目的IP地址;√TCP/UDP源端口;√TCP/UDP目的端口。
包过滤路由器存在许多弱点√包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性手工测试除外。
一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来。
√实际运行中,经常会发生规则例外,即要求允许通常情况下禁止的访问通过。
但是,规则例外使包过滤规则过于复杂而难以管理。
例如,定义规则-禁止所有到达Inbound的端口23连接telnet,如果某些系统需要直接Telnet连接,此时必须为内部网的每个系统分别定义一条规则。
√某些包过滤路由器不支持TCP/UDP源端口过滤,可能使过滤规则集更加复杂,并在过滤模式中打开了安全漏洞。
如SMTP连接源端口是随机产生的1023,此时如果允许双向的SMTP连接,在不支持源端口过滤的路由器上必须定义一条规则允许所有1023端口的双向连接。
此时用户通过重新映射端口,可以绕过过滤路由器。
√对许多RPCRemouteProcedureCall服务进行包过滤非常困难。
由于RPC的Listen口是在主机启动后随机地分配的,要禁止RPC服务,通常需要禁止所有的UDP绝大多数RPC使用UDP,如此可能需要允许的DNS连接就会被禁止。
l应用网关为了解决包过滤路由器的弱点,Firewall要求使用软件应用来过滤和传送服务连接(如Telnet和Ftp。
这样的应用称为代理服务,运行代理服务的主机被称为应用网关。
应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性。
应用网关的优点是√比包过滤路由器更高的安全件。
√提供对协议的过滤,如可以禁止FTP连接的Put命令。
√信息隐藏,应用网关为外部连接提供代理。
√健壮的认证和日志。
√节省费用,第三方的认证设备软件或硬件只需安装在应用网关上。
√简化和灵活的过滤规则,路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。
应用网关的缺点在于√新的服务需要安装新的代理服务器。
√有时需要对客户软件进行修改。
√可能会降低网络性能。
√应用网关可能被攻击。
l线路级网关线路级网关提供内部网和外部网连接的中继,但不提供额外的处理和过滤能力。
lStateful防火墙该类防火墙综合了包过滤防火墙及应用网关的特性。
能够提供比应用网关更多的连接特性,但是安全性比较应用网关差。
2.1.4建设Firewall的原则分析安全和服务需求以下问题有助于分析安全和服务需求√计划使用哪些Internet服务如http,ftp,gopher,从何处使用Internet服务本地网,拨号,远程办公室。
√增加的需要,如加密或拔号接入支持。
√提供以上服务和访问的风险。
√提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因√Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。
新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略√远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√PPP/SLIP连接必须通过Firewall认证。
√对远程用户进行认证方法培训。
拨入/拨出策略√拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√外部拨入用户必须通过Firewall的认证。
InformationServer策略√公共信息服务器的安全必须集成到Firewall中。
√必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√为Informationserver定义折中的安全策略允许提供公共服务。
√对公共信息服务和商业信息如email讲行安全策略区分。
Firewall系统的基本特征√Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√Firewall必须支持增强的认证机制。
√Firewall应该使用过滤技术以允许或柜绝对特定主机的访问。
√IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。
如果提供其它的服务如NNTP,http等也必须通过代理服务器。
√Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√Firewall应该支持对公共Informationserver的访问,支持对公共Informationserver的保护,并且将Informationserver同内部网隔离。
√Firewall可支持对拨号接入的集中管理和过滤。
√Firewall应支持对交通、可疑活动的日志记录。
√如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√Firewall的设计应该是可理解和管理的。
√Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
2.1.5选择防火墙的要点1安全性即是否通过了严格的入侵测试。
2抗攻击能力对典型攻击的防御能力3性能是否能够提供足够的网络吞吐能力4自我完备能力自身的安全性,Fail-close5可管理能力是否支持SNMP网管6VPN支持7认证和加密特性8服务的类型和原理9网络地址转换能力2.2入侵检测技术利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。
但是,仅仅使用防火墙、网络安全还远远不够1入侵者可寻找防火墙背后可能敞开的后门。
2入侵者可能就在防火墙内。
3由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类√基于主机√基于网络基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如下图示Etherneti.e.,storecontentsofconnectiondiski.e.,closeconnectionCountermeasureCBoxi.e.,detectionof“phf”stringinsessionPattern-MatchingSignatureAnalysisStorageDBoxi.e,TCPStreamreconstructionPassiveProtocolAnalysis图2-1入侵检测系统的基本模型上述模型由四个部分组成1PassiveprotocolAnalyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
2Pattern-MatchingSignatureAnalysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
3countermeasure执行规定的动作。
4Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点1精确,可以精确地判断入侵事件。
2高级,可以判断应用层的入侵事件。
3对入侵时间立即进行反应。
4针对不同操作系统特点。
5占用主机宝贵资源。
基于网络的安全监控系统具备如下特点1能够监视经过本网段的任何活动。
2实时网络监视。
3监视粒度更细致。
4精确度较差。
5防入侵欺骗的能力较差。
6交换网络环境难于配置。
选择入侵监视系统的要点是1协议分析及检测能力。
2解码效率速度。
3自身安全的完备性。
4精确度及完整度,防欺骗能力。
5模式更新速度。
2.3安全扫描技术网络安全技术中,另一类重要技术为安全扫描技术。
安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。
商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。
通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
通常该类扫描器限制使用范围IP地址或路由器跳数。
网络安全扫描的主要性能应该考虑以下方面1速度。
在网络内进行安全扫描非常耗时。
2网络拓扑。
通过GUI的图形界面,可迭择一步或某些区域的设备。
3能够发现的漏洞数量。
4是否支持可定制的攻杰方法。
通常提供强大的工具构造特定的攻击方法。
因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
5报告,扫描器应该能够给出清楚的安全漏洞报告。
6更新周期。
提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
2.4病毒防护病毒历来是信息系统安全的主要问题之一。
由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为1通过ftp,电子邮件传播。
2通过软盘、光盘、磁带传播。
3通过Web游览传播,主要是恶意的Java控件网站。
4通过群件系统传播。
病毒防护的主要技术如下1阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。
在桌面PC安装病毒监控软件。
2检查和清除病毒。
使用防病毒软件检查和清除病毒。
3病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
4在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
第三章安全及管理产品的解决方案安全技术和产品近几年在市场上大量涌现,并开始成熟起来。
本章给出了采用的主要产品的特征,并分析了安全体系与网络系统及应用系统的集成。
3.1安全体系采用的产品分析3.1.1防火墙产品GauntletNetworkAssociates公司的网络安全产品涉及到网络安全的各个方面,从防火墙、防病毒、网络安全扫描到网络安全监测等各个方面提供了网络安全的全线产品。
NetworkAssociates公司的Gauntlet是使用另一种技术原理的防火墙产品。
Gauntlet使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力70Mbps,很好的解决了安全、性能及灵活性的协调。
由于完全使用应用层的代理服务,Gauntlet提供了该领域最安全的解决方案,从而对访问的控制更加细致。
Gauntlet通过对IPSEC/ISAKMP/Oakly的支持,使用DES及TripleDES提供了强大的VPN支持。
特别是X.509V3支持,使大型VPN的管理和认证易于实现。
Gauntlet的VPN加密模块支持56bitDES及168bitTripleDES。
如果选择RecoveryKey,美国以外的用户也可购买168bitTripleDES模块。
GauntletGlobalVirtualPrivateNetwork4.1内置了基于PKI的证书管理服务器。
3.1.2安全监控产品CyberCopMonitorCyberCopMonitor为美国网络联盟公司最新推出的新一代的基于主机host-based的侵入检测系统,它可对关键服务器提供了实时的保护。
通过监视来自网络的攻击、非法的闯入、异常进程,CyberCopMonitor能够实时地检测出攻击,并作出切断服务/重启服务器进程/发出警报/记录入侵过程等动作。
对于安装在WebServer上的CyberCopMonitor,它还可以当WEB主页的内容被非法修改时,自动将原始WEB主页的内容恢复,同时,它还具有先进的Fail-Close功能。
CyberCopMonitor也可配置为分布式方式,由安装在每台服务器上的agent进行攻击识别及动作执行,Server则完成管理和记录工作。
目前,CyberCopMonitor可安装在NT4.0、Solaris2.6以上操作系统。
3.1.3安全扫描器CyberCopScannerBallista2.4是一套用于网络安全扫描的软件工具,由富有实际经验的安全专家开发和维护。
该产品卓越的性能获得了Infoworld的高度评价。
具体的测试结论请参见附页。
CyberCopScanner具备以下突出的特征1强有力的内置Unix/NT口令Crack。
2功能强大的攻击测试手段。
CyberCopScanner提供了其它对手没有的定制攻击描述语言CASL及CustomerAuditPacketEngineCAPE。
因此用户可方便地定制自身的攻击方法来测试系统的安全性。
3提供了强大的对SNMP设备及NT操作系统的薄弱点扫描。
4使用隐含端口扫描方式,大大提高扫描速度。