StoneGate IPS安全方案技术白皮书

永不间断,安全均衡StoneGateIPS技术白皮书(防火墙/VPN/负载均衡/IPS产品)一．管理者寄语网络安全事件的爆发越来越频繁，同时网络安全的成本也在不断提高，与之相对的商务现实却要求削减开销。各种各样的网络安全解决方案，如防火墙、网络入侵检测/保护系统以及防病毒软件等等，都在一定程度上增强了网络安全，他们基于网络安全架构的各种领域，实现了一定深度的防御。毫无疑问的是，没有一种单个的设备或者方法可以消除所有的网络安全。入侵检测在解决网络安全难题中起到了重要角色，它在公司网络安全领域中有“最后一道防线”之称。当有人设法绕过所有设定的安全措施并且进入禁区时，入侵系统会提供警告或者警报。尽管有这些承诺，但是总的说来，传统意义上的入侵检测系统在许多领域都没有达到预期的目标，比如：不准确，误报比很高；独自进行的过分被动的检测已经远远不够；无法实现现今网络访问的高吞吐量和高可靠性需求；对于分布式企业网络环境的管理非常困难并且价格昂贵；为了解决这些问题，本白皮书描述了我们的解决方案。本书介绍的StoneGate平台由StoneGateFirewall、StoneGateVPN以及StoneGateIPS（入侵检测、分析并实时反应）组成，该平台是一个通用且高度集中化的管理系统。另外，本书还介绍了StoneGateIPS是如何解决精度、实时反应、速度、可靠性和可用性等问题。Stonesoft经过广泛的研究，成功找出了解决精度问题（误动/拒动）的方法。我们研究结果表明，最好的解决方案就是对多种检测方法进行组合，系统配置的粒度要求细化和灵活相组合，以及事件的关联性组合。因此，这项研究的成果最终被Stonesoft的StoneGateIPS产品吸纳。自动反应机制被集成在StoneGateIPS中，虽然这些系统无法阻止所有的安全攻击，但是他们可以极大的缩减安全事件的数目，从而给客户节省了相当可观的费用。事件处理是一项费力的过程，需要时间以及独具的资源，所以相对于安全事件的完全处理过程而言，对该过程的避免总是非常划算的。StoneGateIPS传感器是针对千兆比特的环境设计的，他们已经满足了绝大多数网络的安全要求。嵌入式的集群以及高可用性设计进一步改进了系统性能和可靠性。StoneGate平台提供深度保护的同时，没有增加日常网络管理的复杂度。基于缩减的安装时间、缩减的数据和系统维护工作量、更低的培训费用，以及更加有效的日常操作，StoneGate管理中心(SMC)极大的降低了客户成本。我们的架构适用于分布式环境，在该环境下，遥控管理，遥控升级以及支持不同角色的多管理员是必须具备的需求。2.网络安全描述CERT®CoordinationCenter(CERT/CC)的统计表明，已经报告的安全事件正以每年50%-100%的速度增长。该数字表明，不仅仅被发现的安全弱点的数目在增长，而且很多使用方便的黑客工具也越来越容易进入安全系统。与此同时，黑客主义的真正的犯罪也在增长，而另外一些黑客纯粹是为了寻开心。当今环境下，为了确保商业可持续发展，网络安全已经成为必须品.在安全事件数目增长的同时，越来越需要削减网络事件发生的代价。图1就是所有不同的安全解决方案涉及的若干子模块，每个子模块都在网络安全模型中扮演着独特的角色。FIGURE1.安全模型处理安全事件最有效的方法就是阻止他们发生，毕竟，阻止事件的发生对于被保护者而言不会产生破坏。阻止功能包括的任何动作都涵盖在公司安全政策中，这些动作范围光发，从物理进入控制措施开始，再到图示的周期防火墙技术解决方案。阻止的另外一个目的就是增加攻击者渗透入系统的时间和成本，从而给防卫者更多的反应时间。尽管采取了很多措施，对于一些安全事件有时却无法阻止。所谓监测就是用最高的精度，尽快获知任何意料以外的，异常的，或者一些简单的攻击事件。最为关键的就是及时监测，这也是传统的入侵检测系统一直在炫耀但是最终却失败的地方。这些IDS系统的主要问题就是他们已经产生了大量的告警，某个IDS用户曾经说过他们的系统每个月会产生180万个告警，而要处理这个巨量的告警本身就成为一个问题，更不必说真实的告警事件会被其淹没事实了。这个场景就叫做所谓的“信噪比＂。反制过程指的是当获知安全攻击发生后采取的应对措施。及时反制的目的就是要将潜在的损害降低到最小程度。反制可以是来自IDS的自动反应，或者是系统管理员为了限制安全事件危险而采取的行动。恢复过程包括当安全事件发生后采取的各种措施。一旦安全冲突发生，最为重要的就是判断系统受损是否发生，以便及时将系统导回到正常状态，并采取措施以防遭受进一步攻击。在该领域，网络安全解决方案需要通过精确定位谁在什么地方干了什么事情，以及也许最为困难的就是确定具体原因，这些精确定位有助于确定采取何种必要的措施。看来有一点已经非常清楚，那就是没有任何一种设备或者方法可以完全解决所有的网络安全问题。正确的解决方案就是进行深度防御，也就是通过增加保护层面，覆盖上文提及的安全模型的各个不同部分，以达到保护系统的目的。防火墙，网络入侵检测/保护系统，以及各种防病毒软件都会有助于增强网络安全。尽管有很多承诺，但是一个比较普遍的观点就是传统的入侵检测系统已经无法实现许多领域的预期的保护。传统的IDS系统具体有如下几点不如人意不准确，信噪比很高；独自进行的过分被动的检测已经远远不够；无法实现现今网络访问的高吞吐量和高可靠性需求；对于分布式企业网络环境的管理非常困难并且价格昂贵；毫无疑问的是，入侵检测系统是网络安全领域的一个重要的组成部分，它给网络安全带来了很大的价值。但是，为了能够生存并加以发展，IDS系统需要解决上面提及的一些挑战，否则这项重要的技术将会因为使得企业得不偿失，而最终面临淘汰。3.StoneGate平台介绍StoneGate平台设计的目的：满足现实商业安全要求，使商业得以可持续发展，以及给客户节省成本。通过卓越的可管理性，可测量性，可用性，以及安全考量，我们已经完全实现了上述目标。StoneGate平台的重要组成部分就是StoneGate管理中心（SMC），它为StoneGate防火墙，StoneGateVPN，StoneGateIPS产品提供了统一的管理界面。围绕Stonesoft的蓝图，SMC被打造为一个集中的，可不断升级的管理系统，从而可以提供深度防卫。StoneGate的分布式安全架构允许在不同的网络安全环境中进行有效的部署，尽管传感器，分析器，FW/VPN引擎，以及管理系统的数目和地点各异，StoneGate系统通过单独的用户界面，能够轻松的加以综合管理。StoneGate分层设计架构在第9页的图2中加以阐述，客户端图形化界面通过通信和StoneGate管理中心联系，StoneGate再将信息传递给传感器，分析器，以及FW/VPN引擎。FIGURE2.StoneGateSecuritySolutionStoneGate平台包括以下几个主要的组件：IPS传感器节点—捕捉网络数据流以及初始分析.IPS分析器—关联分析，并处理来自传感器、分析器以及其它接口兼容设备上报的事件信息.防火墙/VPN引擎—实现访问控制，多层次检视，NAT,VPN,鉴别，监控以及日志功能.VPN引擎－实现VPN，鉴别，监控以及日志功能；StoneGate管理中心，包括:管理服务器—控制整个StoneGate系统告警/日志服务器—存储来自分析器的事件信息，当严重事件发生时给管理员告警。一个或者多个图形化管理终端—管理和监控整个StoneGate系统.4.现代IPS满足不同的需求精度需求误动次数和拒动次数和实际的攻击相比，也就是所谓的信噪比，其值应该非常低。误动就是错误的告警，即没有任何攻击的情况下产生的告警，如果误动的数目很大，由此而产生的信息就会变得不可靠，真实的安全事件也有可能因此无法被检测到。典型的误动就是因心过分倚赖于单一的检测方法导致，依靠这些方法，无法配置为不同的级别，以适应实际操作的环境。误动产生的另外一个原因就是第一代入侵检测产品无法提供任何方式的事件关联。另一方面，拒动就是当攻击产生时没有相应的告警。为了解决这个问题，StoneGateIPS组合了许多强大的检测方法，这些方法可以是系统管理员定义的规则，StoneGate还引入了事件智能关联分析。此外，StoneGate还改进了一些检测方法，譬如上下文敏感，基于指纹的正则表达，以及可配置的协议检视模块。这样，对于真实的攻击威胁可以很容易的采取相关动作，几乎没有任何手工劳动会浪费在分析那些错误告警上。FIGURE3.StoneGateIPS中的事件处理StoneGateIPS传感器策略一般而言，会有各种不同的网络数据流。服务器可能会使用不同的操作系统，在安全区（DMZ）使用的FTP服务器应用可能会和企业内部网使用的FTP服务器应用不同，放于DMZ合作伙伴的SSH服务器也可能使用非标准的端口，等等。成功的入侵检测的配置粒度和灵活度都会依据检视的数据流类型以及检测方法而定.StoneGateIPS传感器策略是依据传感器规则基础而定义的，规则基础定义了单个检视代理的数据流检视顺序。传感器所有的检视都由检视代理完成。检视代理是一种定制协议的方法，这些协议往往为了处理某个特殊的应用，需要改变参数设置.除了定制参数，检视代理还包括了它一套上下文敏感的指纹集合，主要用于检测特殊应用的攻击。这将进一步缩减误动的数目。例如，第一代的IDS用同样的方法来评估所有的网络数据流，在协议之间没有任何区分.一个更为先进的IDS应该基于协议的不同去评估每个网络的数据流。在StoneGateIPS传感器策略指引下,检视代理对协议栈的各层作进一步的检查，从而基于目的，源，业务等对数据流进行不同的处理.80端口的网络数据流检视，可以基于目的地址以及目的地址有什么（譬如一个使用IIS或者Apache的服务器）而有所不同。具体的反应可以视每个检视代理进行定义，这使得我们可以给各种不同的服务器，应用，甚至基于攻击来源地址定义不同的反应.一个来自外部网络的Nimda攻击，不应该产生任何动作，但是来自内部网络的相同攻击应该产生告警。传感器模块StoneGateIPS传感器有两种检视模块：特殊协议检视模块，譬如HTTP模块，以及一般检视模块，譬如TCP指纹模块。具有相应配置的检视模块就被称为检视代理。特殊协议模块可以对协议进行解码，并且验证该协议的使用方法是否和说明书中宣称的一致。协议的定义应该是非常完善的，这使得任何偏离于协议标准用法的情况可以非常准确的被检测出来。但是协议的实际执行和使用，在现实中会有较大的不同,StoneGateIPS给系统管理员提供了许多方法，这些方法可以根据他们管理的网络，具体定义被认为是违反协议的情形。通过使用不同的检视代理，每个代理都有不同的参数设置，可以有效识别现实生活中的各种协议，消除误动。有时恶意攻击并没有违反协议，它通过提供应用设计者预期以外的数据使得执行该项协议的应用被中止服务。StoneGateIPS通过配置一个定制的检视代理就可以检测到这些异常的数据所有的指纹识别都可以通过检视代理完成。特殊协议检视代理通过正确的上下文评估指纹，从而有效的减小了误动的数目。另外因为让不同的检视代理使用不同的指纹是可行的，譬如将针对IIS的特殊指纹应用于IIS检视代理，而交给Apache检视代理，这样又进一步减少了误动的数目。对于某个协议，如果没有特殊协议检视代理，也可以使用普通检视代理进行指纹识别。在普通检视代理中，会根据数据流的方向来评估指纹.因为将某个特殊协议相关的所有指纹集中起来分给一个新的检视代理是可行的，这也增加了一个机会可以在规则基础上使用这些指纹，从而进一步减少了误动的数目。StoneGateIPS包含了一整套特殊协议检视模块.为了使系统能够更好的适应各种不同的环境，Stonesoft提供了一些最典型的应用提供了相应的检视代理，譬如用于IIS或者Apache的HTTP特殊系统检视代.此外，当协议发身了变化，或者有新的协议成为标准时，Stonesoft会提供更新的检视模块。指纹