面向企业网络的安全蓝图

来源：ccw 作者： 出处：Vlan9.com 2007-12-15 进入论坛

• 关 键 词：
• cisco ios
• telnet
• ipsec
• smtp
• pop3

　　7月初，思科亮出了进军中国信息安全市场的SAFE战略。它的主要目标是为对其感兴趣的企业网用户提供有关设计和实施安全网络的最优策略。SAFE可作为正考虑其网络安全性要求的网络设计人员的指南。SAFE在网络安全设计方面采用了深入防御的方式，这类设计的重点在于预测出威胁及减轻威胁的方法，而不是简单地讨论某个环节的安全策略。从本期开始，本报将以连载的形式向读者介绍Cisco SAFE的主要思想。
　　一、体系结构概述
　　1. 设计原则
　　SAFE最大限度地模拟了当今企业网络的功能需求。实施决策取决于所需的网络功能，而以下按重要顺序列出的设计目标则是决策制订过程的指导准则。
　　● 安全性和基于政策的攻击缓解;
　　● 整个基础设施的安全实施（而非仅为具体安全设备）;
　　● 安全性管理和报告;
　　● 对关键网络资源的用户和管理员验证与授权;
　　● 针对关键资源和子网的入侵检测;
　　● 对新兴联网应用的支持。
　　最重要的是，SAFE是一个安全体系结构，它必须防止大多数攻击，使其无法成功地影响重要网络资源。成功通过第一道防线或是来自于网络内部的攻击必须能得以准确发现并快速地将其对网络其余部分的影响减至最小。此外，在安全的同时，网络还必须能持续提供用户所期望的关键服务。适当的网络安全性和出色的网络功能可同时实现。SAFE并非一种设计网络的创新方式，而是使网络安全的一个发展蓝图。
　　2. 模块概念
　　尽管大多数企业网络随企业不断提高的IT要求而发展，SAFE体系结构使用了环保型的模块化方式。模块化方式有两种主要优势: 首先，它允许体系结构实现网络各功能块间的安全关系，其次，它让设计者可逐个模块地评估和实施安全性，而非试图在一个阶段就完成整个体系结构。
　　　
　　图1为SAEF的第一层模块。每块代表一个功能区域。互联网接入服务供应商（ISP）模块不由企业实施，而是用于提供ISP为缓解某些攻击而可能需要的特定安全功能。
　　第二层模块如图2所示，对每个功能区中的模块进行了展示，这些模块在网络中扮演特定角色，有特定的安全需求，但图中模块规模并不代表其在实际网络中的大小。
　　实际上大多数已有企业网络都不能轻而易举地划分为明确的模块，此方式仅是提供在网络中实施不同安全功能的指导。作者无意认为网络工程师会设计与SAFE完全一致的网络，而是认为网络工程师应综合使用所介绍的模块并将它们集成入已有网络。
　　3．SAFE准则
　　路由器目标
　　路由器的安全性是安全部署中的关键元素。路由器的职能就是提供接入，因此应保护它们，降低它们被直接破坏的可能性。用户可参考有关路由器安全性的文件，这些文件提供了有关下列方面的更多细节：
　　● 远程通信网到路由器的接入;
　　● 简单网络管理协议（SNMP）到路由器的接入;
　　● 通过使用终端接入控制器接入控制系统＋（TACACS＋）来控制到路由器的接入;
　　● 关闭不需要的服务;
　　● 以适当级别登录;
　　● 路由更新的验证。
　　交换机目标
　　和路由器一样，交换机（第二层和第三层）有自己的一套安全考虑。而与路由器不同的是，有关交换机安全风险及为减轻这些风险而应采取的措施的公开信息并不十分丰富。上一部分“路由器目标”中描述的大多数安全技术均适用于交换机。此外，用户还应采取以下预防措施：
　　● 无需中继的端口应将中继设置置于“关闭”而非“自动”。这可以防止主机成为中继端口而接收所有通常驻留于中继端口的信息流。
　　● 确保中继端口使用的虚拟LAN（VLAN）号不会在交换机中的其他地方使用。这可防止标记着与中继端口相同VLAN的分组无需穿过第三层设备就到达另一VLAN。
　　● 将交换机上所有未用端口设置为第三层连接的VLAN。最好禁用不需要的端口。这可以防止黑客插入未使用的端口而与网络其余部分通信。
　　● 避免将VLAN用作保护两个子网间接入的惟一方式。
　　主机目标
　　主机在攻击中最有可能成为目标，从安全角度来讲，也是最难保护的。众多的硬件平台、操作系统和应用均在不同的时间段有升级、补丁和修复。主机向提出请求的其他主机提供应用服务，它们在网络中是高度可视的。
　　出于上述安全问题等原因，主机也是可被最成功破坏的设备。为保护主机，就必须密切注意系统中的每个组件，使系统保持与最新补丁、修复等的同步。此外，要注意这些补丁对其他系统组件的运行有所影响，在对生产环境实施升级前，在测试系统上对其进行评估。如不这样做，补丁本身就可能导致拒绝服务(DoS）。
　　网络目标
　　最糟的攻击是无法中止的攻击。分布式拒绝服务（DDoS）正是这样一种攻击。
　　DDoS攻击的常见形式为ICMP信息流溢出、TCP SYN信息流溢出或UDP信息流溢出。在电子商务环境中，这类信息流易于分类。只有当在端口80（HTTP）上限制TCP SYN攻击时，管理员才会面临在攻击时排斥合法用户的风险。即使在那时，也最好暂时排除新合法用户，保留路由和管理连接，这也要优于让路由器过度运行而损失所有连接。
　　大多数成熟的攻击使用带ACK位集的端口80信息流，这样信息流看来像是合法Web事务处理。管理员不可能对这类攻击正确的分类，这是因为所认可的TCP通信正是允许进入网络的类型。
　　限制这类攻击的方法之一是遵循RFC 1918和RFC 2827中列出的指导。RFC 1918定义了保留专用且永远不应在公共互联网上看到的网络。对于与互联网相连的路由器上的输入信息流，可采用RFC 1918和2827过滤来防止未授权信息流进入公司网络。在ISP实施后，该过滤能防止DDoS 攻击使用这些地址作为流经WAN链路的源地址的信息包，从而在攻击期间潜在地节约了带宽。总之，如果全球的ISP均采取了RFC 2827中的指导措施，源地址电子欺骗就会大大减少。此策略并未直接防止DDoS攻击，而是防止这类攻击破坏其源地址，这就会使跟踪所攻击网络更方便。
　　应用目标
　　应用大多是由人编写的，因此易于发生众多错误。这些错误可能是轻微的——例如导致文件打印的一个错误，也可能是恶意的——例如使您信用卡号码经由异步FTP在数据库服务器上公布。入侵检测系统（IDS）旨在发现恶意问题，以及其他更常见的安全漏洞。入侵检测类似于现实世界中的报警系统。当IDS发现它认为是攻击的事物时，它可以自己采取校正行动，也可以通知管理系统，由管理员采取行动。部分系统或多或少地配置为可以响应并防止此类攻击。基于主机的入侵检测可通过截取单台主机上的OS和应用会话来工作。它也可通过本地记录文件事后分析来运行。前一种方式可更好地防止攻击，而后一种则起到较为被动的攻击响应作用。因为其作用特点不同，基于主机的IDS（HIDS）系统在防止特定攻击方面要好于网络IDS（NIDS），后者通常仅在发现攻击后发出一个报警。思科建议将这两种系统组合起来—关键主机上设置HIDS，整个网络采用NIDS来实现全面的入侵检测系统。
　　一旦部署，用户必须调整其IDS以提高效率、去除“伪报警”。“伪报警”是指由合法流量或行为引起的报警。“未报警”是IDS系统无法看到的攻击。调整IDS后就可更具体地针对其威胁减缓作用实行配置。如上所述，用户应配置HIDS来中止大多数主机级的有效威胁，因为它能很快地判断某些事件是否确实构成威胁。
　　安全管理和报告
　　从体系结构的角度来说，提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。从其名称上就可看出，带外（ODB）是指无生产信息流驻留的网络。设备应尽可能地与这样一个网络建立直接本地连接，在无法实现的情况下，设备应经由生产网络上的一条专用加密隧道与其连接。这样的隧道应预先配置，仅在管理和报告所需的特定端口上通信。这一隧道也应锁定，以便适当的主机能启动和终止隧道。确保带外网络自身不会带来安全问题。
　　在实施完一个ODB管理网络后，记录和报告的处理变得更直接了。大多数联网设备可以发送系统日志数据，这些数据在对网络问题或安全威胁进行纠错时极为重要。将此数据发送到管理网络上的一台或多台系统日志分析主机。根据所涉及的设备的不同，用户可选择各种记录级别，以确保将正确数量的数据发送到记录设备中。用户也需要在分析软件中标记设备并记录数据以实现具体浏览和报告。IDS等专用应用通常使用自己的记录协议来传输报警信息。各不同来源的报警数据综合起来后，即可提供有关网络整体状态的信息。为确保记录信息彼此在时间上同步，主机和网络上的时间必须同步。对于支持网络时间协议（NTP）的设备来说，这种协议提供了一种确保所有设备上的时间均准确无误的方式。处理攻击时，误差不能为秒，这是因为确定特定攻击发生的顺序十分关键。
　　管理还指除记录和报告外，管理员对某一设备所执行的功能，这样就产生了其他问题和解决方案。在记录和报告方面，ODB网络允许信息传输保持在不易被干扰的受控环境中进行。此外，在可进行安全配置，如使用安全插接层（SSL）或安全壳程序（SSH）的情况下，最好使用安全配置。鉴于底层协议有自身的安全漏洞，应最为小心地处理SNMP。考虑经SNMP向设备提供只读接入，对SNMP公共串应给予与对待关键Unix主机上根口令一样的仔细注意程度。
　　配置变更管理是另一个与安全管理相关的问题。当一个网络处于攻击下，重要的是了解主要网络设备的状态以及所知道的最后一次修改发生的时间。为变更管理建立一个计划应是全面安全政策的一部分，至少要采用设备上的验证系统记录变更，并通过FTP或TFTP对配置归档。
　　二、企业模块
　　企业由两个功能区域组成: 园区网和边缘，这两个区域可进一步划分成模块，这些模块具体定义了每个区域的各种功能。
　　从威胁的角度来看，企业网络与大多数和互联网相连的网络一样，内部用户需要流出，外部用户需要接入。有几种常见威胁会引发黑客通过再次探索进一步深入网络导致初始破坏。
　　首先是来自内部用户的威胁。尽管统计结果的百分比数有所不同，但大多数攻击来自于内部网络已是不争的事实。心怀不满的员工、公司间谍、访问的客人以及无意中进入的用户都是这类攻击的潜在来源。设计安全性时，重要的是要了解潜在的内部威胁。
　　其次是对与互联网相连，可公开定址的主机的威胁。这些系统很可能会遭受应用层漏洞攻击和DoS攻击。
　　最后，黑客可能通过“War-Dialer”试图确定您的数据电话号码并试图进入网络。War-Dialer是可拨打多个电话号码以确定连接另一端系统类型的软件或硬件。安装了远程控制软件的个人系统是最易遭受攻击的，这是因为一般它们都不很安全。
　　三、企业园区网
　　1. 管理模块
　　管理模块的主要目标是实现企业SAFE体系结构中所有设备和主机的安全管理。
　　主要设备
　　SNMP管理主机，为设备提供SNMP管理; NIDS主机，为网络中所有NIDS设备提供集中报警;系统日志主机，集中防火墙和NIDS主机的记录信息; 接入控制服务器，向网络设备提供一次性、双因素验证服务; 一次性口令（OTP）服务器，授权从接入控制服务器转接的一次性口令信息; 系统管理主机，提供设备的配置、软件和内容变更; NIDS应用，提供对模块中主要网段的第4～7层监控; Cisco IOS防火墙，对管理主机和受控设备间信息流动的细化控制; 第2层交换机（带专用VLAN支持），确保来自受控设备的数据仅可直接传输到IOS防火墙。
　　所缓解的威胁
　　未授权接入，在IOS防火墙处的过滤中禁止了两个方向的大多数未授权信息流; 中间人攻击，管理数据穿越专用网络，使中间人攻击较为困难; 网络侦察，虽然所有管理信息流穿越此网络，但它不穿越有可能被截获的网络; 口令攻击，接入控制服务器使每台设备都能拥有强大的双因素验证; IP电子欺骗，在IOS防火墙的两端均终止了欺骗流量; 分组窃听，交换基础设施限制了窃听的有效性; 信任关系利用，专用VLAN可防止任何受破坏设备伪装成为一台管理主机。
　　设计指南
　　管理模块通过使用两种基本技术为网络中近乎所有的设备提供配置管理，这两种技术是：作为终端服务器的Cisco IOS路由器和一个专用管理网段。路由器为企业中Cisco设备的控制台端口提供反向远程通信功能。而专用管理网段则提供了更广泛的管理特性（软件变更、内容升级、记录和报警集中，以及SNMP管理）。其余几个无法管理的设备和主机则通过源自管理路由器的IPSec隧道管理。
　　2. 核心模块
　　SAFE体系结构中的核心模块几乎与其他任意网络体系结构的核心模块一样，它主要是将信息流尽可能快速地从一个网络传送和交换至另一网络。
　　主要设备
　　第3层交换，将生产网络数据从一个模块传送和交换至另一个模块。
　　所缓解的威胁
　　分组窃听, 限制了窃听的交换基础设施。
　　设计指南
　　遵循标准实施指南，与出色的Cisco网络中常见的“核心、分布层和接入层”部署相一致。
　　3. 构建分布模块
　　此模块的目标是向构建交换机提供分布层服务，这其中包括路由、服务质量（QoS）和访问控制。数据请求流入这些交换机再传至核心，响应则以相反途径进行。
　　主要设备
　　第3层交换机，集中构建模块中的第2层交换机并提供高级服务。
　　所缓解的威胁
　　未授权访问，针对服务器模块资源的攻击受到特定子网第3层过滤的限制; IP电子欺骗，RFC 2827过滤终止了大多数电子欺骗企图; 分组窃听，限制了窃听的交换基础设施。
　　设计指南
　　除标准网络设计基础外，也应实施“交换机目标”部分描述的优化内容，以便提高企业用户的安全性。构建分布模块提供了针对内部发起的攻击的第一道防御。访问控制可减少一个部门访问另一部门服务器上保密信息的机会。例如，包含营销和研发的网络可以将研发服务器分配到一个特定VLAN并过滤对其的访问，以确保只有研发人员能访问它。出于性能原因，重要的是，此访问控制应在能以近乎线速过滤信息流的硬件平台上实施。通过使用RFC2827过滤，同一访问控制也可防止源地址电子欺骗。最后，子网独立可用来向呼叫管理器及其相关网关传输IP语音（VoIP）信息，这可阻止VoIP信息穿过其他数据流穿过的网段，降低了窃听语音通信的可能性，可更平稳地实现QoS。
　　4. 构建模块
　　SAFE将构建模块定义为包括最终用户工作站、电话及其相关第2层接入点的扩展网络部分，其主要目的是向最终用户提供服务。
　　主要设备
　　第2层交换机，向电话和用户工作站提供第2层服务; 用户工作站，向网络上的授权用户提供数据服务; IP电话，向网络上的用户提供IP电话服务。
　　所缓解的威胁
　　分组窃听，限制窃听的交换基础设施和缺省VLAN服务; 病毒和特洛伊木马应用，基于主机的病毒搜索可预防大多数病毒及多数特洛伊木马。
　　设计指南
　　因为用户设备一般来说是网络中的最大规模元素，以简洁、有效的方式实现安全性是极具挑战性的。从安全角度来说，构建分布模块提供了在最终用户实施的访问控制的主要部分，这是因为工作站和电话与其相连的第2层交换机没有第3层访问控制功能。除交换机安全准则中描述的网络安全指南以外，基于主机的病毒搜索也在工作站级实施。
　　5. 服务器模块
　　服务器模块的主要目标是向最终用户和设备提供应用服务。服务器模块上的信息流由第3层交换机中的入侵检测进行检查。
　　主要设备
　　第3层交换机，向服务器提供第3层服务并用NIDS检查通过服务器模块的数据; 呼叫管理器，为企业中的IP电话设备执行呼叫路由功能; 公司和部门服务器，为构建模块中的工作站提供文件、打印和DNS服务; 电子邮件服务器，向内部用户提供SMTP和POP3。
　　设计指南
　　服务器模块通常会被忽略。在检查大多数员工对其所连服务器的接入水平时，服务器通常会成为内部攻击的主要目标。仅依靠有效口令不能提供全面的攻击缓解策略。使用基于主机和网络的IDS、专用VLAN、访问控制和出色的系统管理惯例（如使系统保持与最新补丁同步等）可实现对攻击的更全面响应。
　　因为NIDS系统在可分析的信息量方面有限制，所以重要的是应仅向其发送对攻击敏感的信息流，这根据各网络的情况有所不同，但应包括SMTP、Telnet、FTP和Web。之所以选择基于交换机的NIDS是因为它能仅监督安全政策定义下所有VLAN上有意义的信息。
　　6. 边缘分布模块
　　此模块的目标是在边缘集中来自各元素的连接，信息流从边缘模块过滤和路由并送至核心。
　　主要设备
　　第3层交换机，集中边缘连接性并提供高级服务。
　　所缓解的威胁
　　未授权接入，过滤提供了对特定边缘子网及其在园区网内的到达能力的具体控制; IP电子欺骗，RFC 2827过滤限制了本地发起的电子欺骗攻击; 网络侦察，过滤可以限制不重要的流量进入园区网，从而限制黑客对网络进行侦察的能力; 分组窃听，限制窃听的交换基础设施。
　　设计指南
　　边缘分布模块在整体功能方面与构建分布模块有些类似。这两个模块都采用接入控制来过滤信息流，但边缘分布模块在一定程度上可依赖整个边缘功能区域来执行附加安全功能。这两个模块均使用第3层交换来获得高性能，但边缘分布模块可添加附加安全功能，这是因为其性能要求不高的缘故。边缘分布模块为从边缘模块发送到园区网模块的所有信息流提供了最后一道防线，这可以减少电子欺骗分组、错误路由升级和对网络层访问控制的配置。
　　四、电子商务
　　电子商务的特殊性要求接入和安全两方面必须取得出色平衡。
　　1. 主要设备
　　Web服务器：作为用于浏览电子商务商城的主要用户接口。
　　应用服务器：适用于Web服务器所需各种应用的平台。
　　数据库服务器：位于电子商务实施核心的关键信息。
　　防火墙：管理各级安全之间的沟通和系统中的信任关系。
　　NIDS应用：提供对模块中主要网段的监控。
　　带IDS模块的第三层交换机：带集成安全监控的可扩展电子商务输入设备。
　　2. 所缓解的威胁
　　未授权访问：状态防火墙和ACL限制了特定协议的暴露。
　　应用层攻击：通过使用IDS缓解攻击。
　　拒绝服务：ISP过滤和速率限制减少了DDoS的可能性。
　　IP电子欺骗：RFC 2827和1918防止本地发出的欺骗分组并限制远程电子欺骗企图。
　　分组窃听：交换式基础设施和HIDS限制了窃听的可行性。
　　网络侦察：端口仅限于必需内容，限制ICMP。
　　信任关系利用：防火墙确保通信仅以正确的方向在合适的服务上进行。
　　端口重定向：HIDS和防火墙过滤限制了对端口的暴露。
　　3. 设计实施说明
　　Web、应用和数据库提供保护的两对弹性防火墙，部分附加保护由ISP边缘路由器在ISP和企业提供。通过考虑典型电子商务事务处理的信息流顺序和方向就能最好地了解此设计。
　　电子商务客户在收到位于ISP网络的DNS服务器的IP地址后启动一条到Web服务器的HTTP连接。DNS位于不同网络之上，以减少电子商务应用所需的协议数目。第一套防火墙必须配置为允许此协议到达那一特定地址。此连接的返回信息流可以返回，但无需将Web服务器启动的任何通信返回到互联网。防火墙应堵塞此路径，以便在黑客控制了Web服务器时对其进行限制。
　　随着用户浏览网站，某些链接选择会使Web服务器启动到外部接口上接受对服务器的请求。此连接必须得到第一个防火墙的许可，其相关返回信息流也是同样。而对Web服务器来说，应用服务器没有理由启动到Web服务器或向外到互联网的连接。同样，用户的整个会话在HTTP和SSL上运行，不能直接与应用服务器或数据库服务器通信。
　　一方面，用户要执行事务处理，Web服务器将要保护此事务处理，从互联网到Web服务器间需SSL协议。而同时，应用服务器可能要查询或将信息传送到数据库服务器上。这些一般是由应用服务器向数据库服务器发出的SQL请求（不存在相反请求）。这些请求通过第二个防火墙，传到数据库服务器。根据所用的特定应用不同，数据库服务器可能需与位于企业服务器模块的后端系统通信。
　　总而言之，防火墙必须仅允许三条特定通信路径，每条路径均有自己的协议阻止其他通信，除非是与三条原始路径相关的返回路径分组才另当别论。
　　服务器本身也必须全面保护，特别是作为可公开编址主机的Web服务器更是如此。操作系统和Web服务器应用必须与最新版本一致，由主机入侵检测软件监控。这将缓解大多数应用层的首要和辅助攻击，如端口重定向等。其他服务器应有类似安全性，以防第一个服务器或防火墙受损。
　　4. 防火墙之外
　　电子商务防火墙最初由位于ISP的客户边缘路由器保护。在路由器面向企业的出口，ISP可仅通过Web服务器的地址限制到电子商务所需数量较少的协议的流量。边缘路由器需路由协议升级，且应阻止所有其他信息流。ISP应实施“SAFE准则”部分中指定的速率限制，从而缓解DDoS攻击。此外，基于RFC1918和RFC2827的过滤也应由ISP实施。
　　
　　在企业端，初始路由器仅作为到ISP的一个接口。第三层交换机参与完全BGP路由决策，从而决定哪个ISP有到特定用户的更好路径。第三层交换机也提供了与上述ISP过滤相一致的验证过滤，这提供了重复安全性。第三，第三层交换机提供了内置IDS监控。如果到互联网的连接超出了IDS的功能，可能仅需查看IDS上来自互联网的进入Web请求。虽然这会丢失某些HTTP报警（大约10％），但也要好于查看这两个方向的整个传输流，那样会导致更多丢失。各防火墙接口后的其他NIDS应用可监控网段，找出可能已穿越第一道防线的攻击，例如，如果Web服务器过期，黑客就能通过假定它们能绕过HIDS的应用层攻击破坏它。
　　从应用角度来说，各层（Web、应用、数据库）间的通信路径已加密，可执行事务处理高度验证。例如，如果应用服务器将通过某种类型的编程互动会话（SSH、FTP、Telnet等）从数据库获取数据，黑客即可充分利用此互动会话来启动应用层攻击。通过采用安全通信，用户可限制潜在威胁。
　　支持各种防火墙段的第二层交换机能实施专用VLAN，因此部署了一个值得信任的模型，可匹配特定网段上的信息量通信，并删除所有其他通信。例如，通常一个Web服务器没有理由与另一Web服务器通信。
　　很明显，网络设计并不是一个死板的概念，而是必须根据设计人员所面临的特定需求做出选择
　　
　　
　　
　　
　　
　　
　　 更多请看Cisco与华为技术网（Vlan9.com）路由安全配置、网络管理实用手册、网络故障手册专题，或进入论坛讨论。