广域网技术的蓬勃发展,促进了网络用户的剧增。网络已经成为人们生活中不可或缺的一部分,或者说网络已经是一个人们离不开的“虚拟”的社会。能否提供令人满意的网络服务质量,已经成为运营商在竞争中立于不败之地的关键所在。目前高速广泛连接的网络不仅给广大用户带来了方便,也为DDoS攻击和蠕虫的泛滥创造了极为有利的条件。在运营商骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G甚至更高的连接,这使得蠕虫泛滥及DDoS攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机以及蠕虫的扩散可以分布在更大的范围。这为防范DDoS攻击及蠕虫病毒带来了很大的困难。对于一个运营商来说,服务的质量直接影响到公司的形象和收入,保障互联网络的安全,防御DDoS及蠕虫攻击刻不容缓。
简单的增添防火墙等安全设备并不能彻底的防范DDoS攻击。只有通过整体的安全建设,才能根本有效为运营商提供高等级的安全保障,虚弱DDoS的攻击能力。那么如何才能建设这样一个高安全等级的防护体系哪?首先我们将从安全评估着手,安全评估是整体防护的关键步骤。通过安全评估,我们可以明晰当前信息系统中存在的风险;第二步就是根据安全评估的结果设计出一个合理有效的解决方案,这个解决方案是包括技术层面和管理层面上的全面的解决方案。第三步要协助运营商建起一个应急响应小组,应急处理网络中紧急发生的攻击事件,保障将攻击带来的损失降为最低,最大限度的保障网络的畅通。最后,还要对运营商的管理人员进行不同等级的安全培训,使运营商企业内部从上到下都能了解攻击带来的危害,并提高技术人员的防范能力。在本方案中,主要针对防范DDoS攻击和蠕虫病毒给出包括安全服务、技术、管理、培训、响应在内的整体解决方案。
安全服务能力
运营商可以根据需要,选择专业的网络安全公司提供的安全服务。专业化的网络安全服务,不仅给网络管理者提供其网络系统的安全状况的清晰图象,使企业了解其网络安全的状况并对存在的问题和漏洞及时排解和补救,提供专业的安全报告包括修改建议和专业知识库,支持用户建立适应性的安全策略、有效的安全模式和具有专业水准的网络安全防护体系,同时保持与网络安全技术的同步发展。这样,保证运营商在高安全品质的网络环境中更加专注于其核心业务的发展。
东软公司作为国内软件行业市场的先驱,早在1996年就开始进行网络安全领域的研究,是国内较早推出网络安全产品的公司,目前其防火墙产品在国内同类产品中占据着领先的地位。经过多年的研究和发展,东软公司在网络安全领域拥有了雄厚的技术实力,积累了丰富的经验,同时培养出了一批信息安全专家。东软拥有丰富的安全咨询、安全诊断和评估、安全体系构建、安全事故应急响应、安全培训等的知识和经验,可以为企业提供严谨、周到、强大的安全技术支持和服务。目前,东软公司提供的安全服务有:安全评估服务、安全加固服务、安全培训服务、安全顾问服务、应急响应服务等等。
网络安全评估
攻击的特点是它利用了TCP/IP协议的漏洞以及系统的漏洞,因此有人讲,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。但是我们现在能做到的是弥补系统的漏洞和管理上的一些疏漏,系统包括我们的主机、路由器、交换机、防火墙等等,管理包括机房管理制度以及流程等等,在至少保证不做傀儡机被人利用去害人的基础上,进一步保障不做受害者。
因此运营商要构建一套良好的信息安全系统,防止攻击事件,就需要对整个系统的安全风险有一个清晰的认知。只有清晰的了解了自身网络中存在的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有针对性的、合理有效的安全策略,而安全评估即是安全策略规划的第一步,同时也是实施其它安全策略的必要前提。通过专业的安全评估服务,使用一定的安全工具,自动或者手动检测网络和系统的实际安全状况,对运营商的网络安全情况进行综合评估。评估的范围很广,从系统的漏洞扫描到系统管理员的机房管理制度以及流程上的一些疏漏,这些疏漏都有可能成为导致DDOS攻击的一个风险所在。
东软采用公认的ISO 17799、ISO 13335、SSE-CMM安全标准进行风险评估的工作,针对资产重要程度分别提供不同频率和方式的安全评估,帮助运营商了解客观真实的自身网络系统安全现状,规划适合自己网络系统环境的安全策略,并根据科学合理的安全策略来实施后续的安全服务,选型与部署安全产品以及建立有效的安全管理规章制度,从而全面完整的解决可能存在的各种风险隐患。
从基本的加固工作做起
我们知道,发动DDOS最难的地方在于发现足够多的傀儡主机,而发现足够多的傀儡主机一般还是要利用系统上的各种安全漏洞,如果我们能够前期找出和修复这些安全漏洞的话,那么DDOS攻击者所能控制的傀儡主机数量也就急剧下降,攻击力度也将明显减弱,甚至无法进行。
因此东软认为,和其他攻击事件一样,DDOS攻击事件的防御,同样离不开基本的加固工作。运营商更应该重视最基本的加固工作,技术人员平时至少要做好以下工作:
1. 操作系统安全修补、加固和优化
以Windows 2000/Windwos XP/Unix/Linux为主
2. 应用服务安全修补、加固和优化
以Web、FTP、DNS、Mail服务器为主
3. 网络设备安全修补、加固和优化
以路由器和交换机为主
4. 病毒防范
以主机为主
设法保障客户的安全防护
运营商网络的特点是不仅为公司内部服务,更多的是为广大用户提供网络服务。这一特点导致了攻击事件的来源往往有别于其他行业,即来自于运营商的客户。而“客户就是上帝”的理念使得运营商对于客户的安全问题一直“难以启齿”。建议运营商不妨转变观念,不要把对客户安全问题的建议当成是对客户的要求,而要把它当成进而转变成一种服务。具体有以下几点建议
安全普及教育服务
先来调查一下身边的人,谁没有打过电话?谁没有发过短信?谁没有上过网?这三件事统统没有做过的人估计会寥寥无几吧?这说明电信运营商的业务和网络已经与全民的生活息息相关了。利用运营商庞大的客户群和网络平台的便利性,可以设置有奖问答栏目,其中设置安全专栏(当然可以设置很多有趣的栏目),用户以短信、电话、上网、视频等方式进行信息交流,这样既有利于增加新的业务收入,又实现了交互式全民安全普及教育。
为客户提供安全加固服务
针对零散用户和集团大用户我们有以下不同的建议。运营商可以成立自己的安全加固小组,负责对零散用户的加固;请第三方安全厂商协助负责对集团大用户的加固服务,先期可以作为业务合作的优惠条件,发展壮大以后也可以作为一种标准服务进行收费。
借助安全信息通告服务
每天世界上都有非常之多的安全信息产生,从主机系统或网络设备的漏洞,新的病毒的产生,或者某种新的安全产品的出现,都是作为系统维护和使用人员应该关心的事情。但是对于普通用户来说,无论从安全意识和技术角度来说,这都是一件相当困难的事情。而运营商拥有优秀的技术人才,众多的安全厂商合作伙伴,庞大的网络资源,要做好有用信息的收集和通告就显得更加容易和专业了。仍然是本着为客户服务的原则,运营商可以为客户量身定制所需要的安全信息,在获得安全信息之后,按照客户需求以及实际系统情况,及时通知并提供给客户相应的解决方案。
高度重视IDC托管主机的安全
运营商为很多中小型企业提供了各种规模的主机托管业务,所以在防DDoS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。首先,客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最喜欢的"肉鸡",因为不管这台机器黑客怎么用都不会有被发现的危险,它的安全管理太差了;其次,托管的主机都是高性能、高带宽的-简直就是为DDoS定制的;第三,托管的主机离运营商的骨干网最近,更加危险。而做为运营商的管理员,对托管主机是没有直接管理的权力的,只能通知让客户来处理。因此需要运营商保持良好的客户关系,只有在运营商和客户方充分配合的情况下,运营商的主机和网络才能变得更安全一些。
采用智能化的隔离设备
根据网络所处的地位、性质和作用的不同,运营商网络可以划分为不同的安全区域。在不同的安全区域之间需要采用安全技术来防范来自不同网络的DDoS攻击。
通常我们建议将防火墙甚至物理隔离设备设置在运营商网络的汇聚层,这样即有效的隔离了不同接入层之间的DDoS或者蠕虫攻击,更大大削弱了攻击强度,保障核心层的带宽资源的利用率。
由于运营商的核心网或者城域网之间,都是以G为单位,有些城域网直接达到了2.5G的带宽,在这样的情况下,当防火墙部署在运营商核心网中,肯定会导致核心网络整体性能下降,失去了作为核心网络的意义。东软认为,防范DDoS攻击,在于接入层防范,将核心网络周边接入点处部署性能优异的智能防火墙防火墙的部署能够大大削弱并限制DDoS及蠕虫病毒的威力和扩散的范围。(智能防火墙就是能够自动识别流行的DDoS攻击,并具备对新出现的广泛的DDoS攻击,能够通过添加具有针对性的防范模块智能防御)。通过边界智能防火墙的部署,可以大大削弱DDoS的攻击能力。
DDoS攻击特点是:DDoS攻击日益严重,追查困难;影响大,范围广;攻击方法多;蠕虫病毒的扩散也具有DDoS攻击特征
目前东软的NetEye防火墙,以其流过滤体系平台,实现了这种智能防范的功能。东软防火墙能够针对syn cookie、特征识别、randomdrop等多种算法进行防护,能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DDoS攻击进行防护;同时,东软防火墙支持应用层检测与保护插件,可以针对大规模爆发的蠕虫等威胁提供自动防御。
对于运营级网络来说,防范DDoS攻击是重要的,但是保障网络性能也是同等重要的,在网络中增加防火墙是否会给运营级的网络带来性能上的影响哪?回答是肯定的,在网络上串加任何设备都势必会给网络性能带来影响。那么,是否还有必要在网络中增加防火墙设备哪?东软公司认为,在网络中串加防火墙是必须的,原因如下:
首先,随着防火墙技术的发展,防火墙在性能上得到了很大的提升,部分防火墙的吞吐量已经达到线速,并且数据包的延时也降至几十微秒内,对网络性能的影响微乎其微。
其次,我们说宝马和奔驰之所以是大家都向往的名车,在于他们有着极佳的口碑,而良好的口碑源于优秀的品质。同样一个良好的企业形象会给企业带来更好的效益,如果运营商网络抗DDoS攻击的能力大大提供了,那么运营商能够长期稳定的为广大网络用户提供高质量的网络服务。相信这样的服务肯定会赢得广大网络用户的满意,无形中提高了企业的知名度,增强企业在电信市场的竞争力。
增强网络流量监控机制
DDOS攻击从开始准备到发动攻击是一个复杂的过程,一般来说,它有一定的预兆。而整个网络的流量及协议统计数据对分析这种预兆会有很大的帮助。
针对大部分DDoS攻击都会出现流量变化的征兆,建议运营商必须首先采用先进的流量监控产品,通过对网络流量的侦听,发现网络问题,优化网络投资,改善响应时间,增强网络管理员的工作能力,从而最快地发现网络系统的意外行为,采用应对措施。一个好的流量检测分析工具可以建设全网统一的强审计系统,帮助网络安全管理员更好的查找和定位DDoS攻击的来源,极大地简化发现和解决网络问题的过程。
增强对新出现攻击的检测和追踪能力
预警,对于防范DDoS攻击和蠕虫病毒的扩散尤为重要,尽早发现攻击,才会迅速采取措施,有效阻止攻击。
网络入侵检测系统是针对网络DDoS攻击及蠕虫病毒泛滥、内部人员对网络的违规使用、网络的长期健康运行无法有效保障等情况而开发的系统。利用独创的数据包截取技术对网络进行不间断的监控,扩大网络防御的纵深,采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警,响应和防范。是防火墙之后的第二道安全闸门。同时具备强大的网络信息审计功能,可对网络的运行,使用情况进行全面的监控,记录,审计和重放。使用户对网络的运行状况一目了然。并且提供网络嗅探器和扫描器用于分析网络的问题,定位网络的故障。不但保障网络的安全,同时保障网络的健康运行。
入侵检测系统,对保障网络健康具有重大的意义。东软,依靠强大技术实力,本着全面高效,可靠易用的网络综合健康管理平台的设计理念,采用独特技术自主研发了入侵检测产品,已经在市场上获得了优异的成绩。
入侵检测系统同样应该部署在网络的接入层,这样可以很好的与防火墙协作,及时发现网络中的DoS或DDoS的攻击行为,并报警。
宽带接入服务器(BRAS)位于骨干网的边缘层,可以以多种方式完成用户带宽的IP/ATM网的数据接入。对于宽带接入的用户,要利用BRAS现有的认证功能、用户管理功能、流量管理功能进行严格监控,包括宽带用户的IP地址或用户的帐户等等,而且要将用户身份和他的流量建立起一个关联,能够统计每个用户的流量及行为,区分出不同的安全等级用户。这样可以及时发现DDoS攻击并定位攻击源,便于网络管理员迅速发现并阻断攻击源。可喜的是,BRAS的发展趋势是将不再仅仅用来进行宽带的汇聚和基本的用户管理,同样要做动态的安全防护和智能的带宽控制。比如对于冲击波等对网络进行DOS攻击的病毒,要求驻守在IP网络边缘的BRAS能够提供预防。另外,思科近期发布的BRAS中支持内容过滤(CBAC)和基于网络的应用识别(NBAR),这对运营商网络安全建设来说无疑是一个喜讯。
建立网络安全联盟
建立广泛的互联网安全联盟,使不同的运营商之间,运营商与安全服务提供商之间能够相互配合,互相之间建设起一套预警系统,彼此通报新出现的攻击特征及防范方法。当有攻击事件发生时,可以迅速响应采取共同安全措施,共同保障运营商网络的畅通与安全。
员工整体素质的提高
不断提高员工的整体素质,进行持续性的安全培训。只有深刻了解网络攻击的原理,才能够对新出现的攻击迅速采取防范措施。具体内容参见“第六章安全培训”。
建立应急响应机制
通过与安全公司合作,建立运营商内部的应急响应机制,对突发事件有严格的响应流程,具体的应急响应内容参见“第五章应急相应机制”。
加强安全管理制度的建设
我们说过,完善的DDoS攻击防御措施需要来自多方面的相互协作与配合,才能真正从源头阻止攻击行为的进行。因此除了技术上的措施以外,加强安全管理制度的建设也同样重要。具体内容参见“第四章安全管理”。
管理安全
我们建议运营商建立网络安全维护职责体系,实行网络安全集中领导和分级负责相结合的管理制度。公司领导对全网网络安全管理维护有指导和督促职责,同时设置网络安全管理工程师和网管运行维护工程师,明确规定其岗位职责,并且通过特定的工作流程、电子邮件和内部网络安全论坛等方式,各级领导、网络安全管理工程师、网络维护工程师之间保持及时有效的交流沟通,三方紧密配合才能做好网络安全维护管理工作。
应急响应机制
应急响应机制是为防范DDoS攻击所必须要具有的。东软计算机安全事件应急小组NCSIRT(NeuSoft Computer SecurITy Incident Response Team)成立于2000年1月,目前已成功做过多次应急响应服务,具有丰富的实施经验。NCSIRT通过应急响应服务,可以帮助运营商建立起自己的应急响应队伍,并且,在安全事件爆发的时候会协助此应急队伍分析、排查、处理问题。我们还特别为量身定制了一套应急响应流程,我们首先为运营商如何保证应急响应的实施资源提出建议,包括人力、设备、技术、财务等方面,然后对运营商应急响应方案的制定、测试和维护提出解决方案,最后以系统入侵事件的应急响应为例给出具体应急处理流程。其内容包括预先准备与计划、检测与分析事件、信息取证与追查、通告发生的事件、修复与加固受损系统、监控与审查系统运行状态、总结报告与更新安全策略、应急响应演练等。
系统安全其实就是系统管理员和黑客头脑及计算机知识的战斗。人员的安全观念直接影响到整个系统安全方案的实施。而一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。
因此,为了使运营商企业中从领导到技术人员不同层次的人都能够对网络安全有不同程度的了解,东软提供了多级网络安全培训内容,他们分别包括:高层培训(网络安全重要性、迫切性和安全前沿知识,先进安全管理手段及安全思想)、中层培训(网络安全知识,侧重针对实际情况的网络安全综合解决方案)和基层培训(全面的网络安全培训,使技术人员熟悉网络安全理论,并进一步掌握防火墙的技术原理、安装配置调试技能,独立胜任产品的日常操作维护,以便保障安全系统的良好运行)。培训内容包括安全标准体系、管理体系、安全策略和管理、操作系统安全教程、网络安全基础知识、安全审计攻击和威胁分析教程、产品培训等,培训套餐可以根据用户具体需求情况进行灵活配置。
