|
 ·热 点 关 注: 信赖缔造姻缘 安全成就百年 ——“首家东软NetEye网络安全4S授权服务加 盟店落户南京优创” ·安 全 公 告: RPC DCOM接口堆缓冲区溢出漏洞解决方案 ·技 术 纵 谈: SMB防火墙市场渺茫 ·专 家 点 评: NetEye VPN 解决金融业的脆弱性 ·安 全 论 坛: 冲击波过后的反思 ·NetEye团 队: 选择你所爱的 爱你所选择的 ——记东软股份网络安全事业部技术服务组 |
信赖缔造姻缘 安全成就百年
——“首家东软NetEye网络安全4S授权服务加盟店落户南京优创”
2003年9月26日,首家东软NetEye网络安全4S(以下简称“4S店”)品牌服务加盟店落户南京优创科技有限公司授牌仪式在南京金丝利喜来登饭店举行,南京优创成为东软推出网络安全行业的创新服务模式——东软NetEye网络安全4S品牌服务加盟店后的第一个加盟伙伴。
NetEye网络安全4S品牌服务加盟店是东软在网络安全行业率先推出的创新服务模式,目的为更加充分体现东软NetEye产品特色,向用户提供非常完善及周到的服务。
随着网络安全行业的日趋成熟,用户对于网络安全设备的管理与维护的重视程度也日渐提高。但对于安全技术及管理等方面,很多用户尚不能做到熟悉及熟练;同时,国内网络安全供应渠道建设的特殊性,也导致了用户对于渠道商的不信任感,极大地阻碍了各大网络安全厂商及时地从渠道商处获取更多有价值的售后服务信息,改进产品及服务工作。
东软作为网络安全领域的领先厂商充分认识到良好的服务对网络安全市场持续健康发展的重要意义。他们在深入了解市场和客户需求的基础上,借鉴并延伸了汽车销售行业4S的服务理念,创造性地提出了网络安全行业的全新服务模式——4S品牌服务加盟店。东软对于4S的定义有着两层不同的含义,即:
4S服务模式:强调集信息反馈(survey)、方案支持(solution)、产品销售(sale)、售后服务(service)四位一体的服务模式。
4S服务理念:方式自助(self-support)、响应及时(speed)、流程简单(simple)、服务标准(standard)的全方位服务理念。
东软网络安全事业部总经理曹斌博士介绍,NetEye 4S品牌服务加盟店以“服务”作为切入点,旨在向用户传递集研制、生产、销售、服务于一身,根据客户需求而量身定做的综合品牌。作为东软NetEye服务体系的有效延伸,4S店特别强调标准化和规范化,以统一的工作流程和操作方式为最终用户带来全面、快捷、周到的服务。
据了解,南京优创作为东软首家发展的“4S店”,经过了东软严格考察与培训,具备了与东软同样的服务资质和能力,并得到东软的认证和授权,它将承担起对江苏地区NetEye用户进行全方位服务的重任。对于东软与南京优创的合作,南京优创董事长顾耀龙表示:网络安全设备的管理与维护相对于其它更重要,如果出现问题,那么对客户带来的损失是巨大的,所以我们认为售后服务比向客户销售产品更重要。东软是国内领先的解决方案供应商之一,与东软合作将会帮助南京优创大幅提升服务能力及服务水平。
参加此次认证会议除了广大媒体记者外,同时还有南京优创的重点客户及华东地区部分渠道商,与会来宾都对东软NetEye网络安全4S品牌服务加盟店给予了充分的肯定。
关于东软股份
东软软件股份有限公司成立于1991年,是国内领先的解决方案供应商之一。公司于1996年上市,是国内首家上市的软件企业。公司拥有28家控股子公司,7个研发中心,在华南、华东、华北、华中、西南、西北、山东和东北等八大区域设有“虚拟总部”,在国内40多个主要城市,以及香港、美国、日本等地区和国家设有分支机构,在形成国内软件行业最大的营销服务网络及研发和技术支持体系。
以“软件创造客户价值”作为公司的经营理念,东软长期承担国家有关安全项目和安全产品的研发,并以用户的需求为核心,不断地推出高质量的信息安全产品——NetEye系列,并推出了以防火墙、IDS、VPN 灵巧网关及个人安全平台等产品为核心的完整的信息安全解决方案。“流过滤”技术是东软NetEye防火墙的首创,是在传统“状态包过滤”基础上的发展。“流过滤”防火墙不仅能同时提供应用层和网络层的保护,而且保持了包过滤产品良好的透明性,其性能则远远超过应用代理结构的防火墙产品。对于需要一个能够支持数万个并发访问,同时又要相当于代理技术的应用层防护能力的系统,流过滤防火墙可以说是唯一的选择。
在未来几年日趋激烈的竞争中,网络安全产品的市场将日臻完善,只有具备先进技术、雄厚研发实力及服务实力的厂商才能够经得住市场变化中大浪淘沙般的洗礼。作为国内网络安全产业的领袖厂商,东软也将加倍努力,继续以振兴中国网络安全事业为己任,引领中国网络安全的发展。
关于南京优创
南京优创科技有限公司于2000年4月在江苏软件园成立,是由江苏省海外集团投资控股的高科技企业。
公司主要包括三个板块的业务:网络安全产品与服务,开利小型中央空调、数字医疗设备。其中网络安全事业部主要从事网络与信息安全的研究开发、技术支持、代理销售并提供网络安全服务。为用户提供先进、易用的网络安全产品和解决方案,网络信息安全咨询、专业安全服务等系列服务项目。是东软股份网络安全事业部华东地区核心分销商,同时与Trend、CA、PANDA等厂商建立了良好的合作关系。
“网络安全是个动态过程”是优创信奉的技术理念。优创安全服务集风险评估、安全产品部署、安全监控、安全管理和培训、应急响应与安全恢复为一体,为用户实现理想的安全防御体系。
2000年6月成为东软全赢软件联盟伙伴,正式和东软开始合作。
2001年4月成为东软网络安全事业部江苏地区增值代理商。
2002年4月成为东软网络安全产品江苏地区增值分销商。
2003年4月与东软成为东软网络安全事业部首家钻石分销商,地区包括江苏、安徽两个省。
2003年9月成为东软网络安全首家4S旗舰店,从事东软网络安全产品的咨询、销售、安装、服务。
东软NetEye安全公告:RPC DCOM接口堆缓冲区溢出漏洞解决方案
最近在Windows RPC接口中又发现一个极其危险的远程任意代码执行漏洞。此漏洞存在于DCOM RPC接口中,此接口用来响应从客户端发来的请求。攻击者可以向服务器发送一个经过构造的特殊RPC请求包,这样会覆盖堆上的一些敏感数据导致系统执行攻击者提交的任意命令。
受影响的软件: · Microsoft Windows NT Workstation 4.0
· Microsoft Windows NT Server? 4.0
· Microsoft Windows NT Server 4.0, Terminal Server Edition
· Microsoft Windows 2000
· Microsoft Windows XP
· Microsoft Windows Server 2003
不受影响的软件: · Microsoft Windows Millennium Edition
详细技术资料:
此修补程序提供的修复取代了 Microsoft 安全公告 MS03-026 中包含的修复。
远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供进程间的通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地访问另一台计算机上的服务。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。
在为 DCOM 激活处理 RPC 消息的那一部分 RPCSS 服务中,存在三个已确知的漏洞——两个可能允许执行任意代码,一个可能导致拒绝服务。这些缺陷是由对有问题的消息的错误处理造成的。这些特定的漏洞影响 RPCSS 服务内的分布式组件对象模型 (DCOM) 接口。此接口处理从一台机器发送到另一台机器的 DCOM 对象激活请求。
成功利用这些漏洞的攻击者可以利用本地系统权限在受影响的系统上运行代码,或者可以使 RPCSS 服务失败。攻击者于是能够对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。
要利用这些漏洞,攻击者可以创建程序来将有问题的 RPC 消息发送到面向 RPCSS 服务的易受攻击的系统。
减轻影响的因素:
· 防火墙最佳做法和标准默认防火墙配置可以帮助保护网络免受源自企业之外的远程攻击。最佳做法建议封堵所有实际上未使用的端口。由于这个原因,对大多数连接到 Internet 的系统来说,所暴露的受影响端口的数目应越少越好。
· 有关 RPC 所使用的端口的详细信息,请访问此 Microsoft Web 站点:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp
严重等级:
|
Windows NT 4.0 Server
|
Windows NT 4.0 Terminal Server Edition
|
Windows 2000
|
Windows XP
|
Windows Server 2003
|
|
|
缓冲区溢出漏洞
|
严重
|
严重
|
严重
|
严重
|
严重
|
|
拒绝服务漏洞
|
无
|
无
|
重要
|
无
|
无
|
|
所有漏洞的综合严重程度
|
严重
|
严重
|
严重
|
严重
|
严重
|
上面的评估是基于受漏洞影响的系统类型、典型的部署模式以及利用漏洞对它们产生的影响作出的。
修补程序及下载位置:
http://neteye.neusoft.com/Docs/News/html/20030916125000910/htmlfile/20030916125000910.html
是否需要重新启动:是
修补程序能否卸载:是
是否替代其他修补程序:此修补程序提供的修复取代了Microsoft 安全公告MS03-026和MS01-048中包含的修复。
常见问题解答:
http://neteye.neusoft.com/Docs/News/html/20030805221217789/htmlfile/20030805221217789.html
NetEye产品解决方案:
经测试,已经安装过原RPC溢出漏洞——W32.Blaster.Worm升级包的防火墙和IDS系统完全可以发现并阻断RPC DCOM接口堆缓冲区溢出漏洞。已经安装过此升级包的用户,只需要升级Windows补丁即可,还未升级的防火墙用户,请及时升级。
SMB防火墙市场渺茫
防火墙,一个稍微了解网络安全的人都知道的设备,在中小企业市场却遭遇到发展的坚冰。
原因很多,但是归结起来,却不外乎两点:价格以及需求的迫切性。
让我们来听听系统集成商以及厂商们的声音吧。
“我们年初预测今年中小型企业的销量将会有很大提升,但半年多过去以后,出货几乎全部在大型企业的单子上。”孔祥兴说道。孔先生是南京优创公司的总经理,这家系统集成公司销售东软公司的“NetEye”防火墙产品。
孔祥兴把中小型企业出货不利的主要原因归结于当地SMB企业信息化应用相对滞后以及防火墙产品价格偏贵。“企业信息化应用还没有到达那个程度,很多中小型企业营业额不算小,但是计算机应用这里不行,本身网络加上几台机器还不如一台防火墙值钱,当地企业通常是买个多功能的ADSL宽带路由器,利用路由器本身的代理网关。整个江苏地区都是这种情况。”
“目前一台普通中低端防火墙的售价大概在2万元人民币左右,这个价格和双路至强CPU的服务器价格接近,对于中小型企业来说,买服务器的感觉比买防火墙更好,服务器上那么多应用是时时刻刻可以感受得到的,而网络安全的设备,平时你是几乎感觉不出来它的存在。”孔祥兴的这番话或许可以道出大多数用户的心态。 易尚公司的防火墙产品经理郑文波先生也同样对于中小企业今年的销售行情不看好。“防火墙市场的主流用户依然为大型的行业用户,与供应商和渠道商的预期相差很远—SMB用户需求根本没有起来,对安全厂商来讲这类用户只是一个鸡肋。”
SMB用户真正安全需求在哪里?
上面这个小标题的内容也许和本文的主题有些脱节,但记者还是想把它写下来,请那些还没有攻破SMB市场坚冰的防火墙经销商仔细看看。
“从实际情况看,黑客对SMB用户进行攻击的概率很小,因此对于这类用户来说防毒比防黑更重要。”易尚郑文波先生的话可以说明一点问题:SMB用户当前安全的重点在于防毒,而不是防攻击。
仔细分析一下原因不难找到解释:SMB客户基于网络的业务不多,他们不必考虑太多的网络攻击,稍微正常一点的黑客也不会对那么多的中小型企业感兴趣——他们的焦点在于可以展现自己实力并且可能会有意外收获的大型企业。
相反,防毒设备,才是众多SMB企业在安全方面迫切需要的。比如本刊近两期介绍防毒墙时候所言,当前企业受攻击的大部分途径是通过邮件感染。如果我们再回忆一下整个8月通过邮件传输的“冲击波”病毒对国内众多企业的冲击:导致无数个企业内部网络瘫痪,严重影响正常工作。相信在饱受病毒摧残中,SMB客户想到的是防毒墙等类似产品,而不是防火墙—防火墙对病毒几乎是无能为力。
“还有很多中小企业客户实际上把防火墙当做VPN产品在用,”郑文波说,“SMB用户中存在一个另类群体,即大型行业用户的分支机构。这类中小用户的安全级别与其公司总部是一样,只是要求产品价格要低,对产品的性能要求也略低(如网络节点数很小)。这类用户多数要求防火墙产品具有VPN功能。因为分支机构与总部以及各分支机构之间进行通讯时,若数据以明码的形式进行传输,很容易被监听,所以对VPN的需求越来越迫切。”
在这些大企业分支用户的实际使用中,防火墙功能已经逐渐淡化,里面属于“附加”的VPN功能却正在受到重视——进行数据加密传输符合用户实际业务需求。可以预测,那种价格低廉、功能单一却非常实用的VPN设备将会受到这种特殊SMB用户的青睐。
防火墙的发展趋势是什么?
硬件化:东软股份网络安全产品营销中心市场总监王虎先生认为,未来防火墙可能会采用全硬件的产品,比如在处理器上采取专用的NP芯片(网络处理器,代表者如Intel公司的IXP系列、IBM公司的NP4GS3以及SiByte公司的SB1250成熟产品),或者说采用ASIC硬件加速技术。
北京中科网威信息技术有限公司刘兵先生也认同这个观点。他认为,在下一阶段,性能将成为防火墙产品的竞争焦点,也是国内外厂商、用户关注的热点。对于提高性能来说,硬件技术是关键。高速网络环境下千兆防火墙产品的数据处理包括过滤、内容检查、高速交换、加解密等诸多方面,没有高性能的硬件就不能保证千兆以上的线速处理,而缺乏灵活性就不能满足千兆防火墙产品对网络协议进行二到七层处理的需求。这就需要使用具有高性能、高灵活性以及高可靠性的专用网络设备。网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心,它已经成为新一代网络设备的核心处理器,是未来网络设备的发展趋势。
防火墙产品模块化:产品的模块化有两种概念。一种是防火墙做为一种网络模块可以接到其他网络设备上去,比如说思科公司的中低端模块化路由器产品就支持防火墙模块。
另外一种概念是以后可能会有专门的“集成式、模块化”安全设备,它会以机架式出现,上面有若干模块插槽,可以分别插入防火墙、防毒墙、IDS等专业的网络安全模块。这样做的好处不仅是节省空间,节省企业投资,更主要的是可能实现联动。“这样避免了不同厂商产品联动的障碍。”陆融通达公司张小姐如是说。
不要把联动当卖点!
不要把联动当做卖点!东软股份王虎认为,防火墙的联动性不能算是一个新的卖点,根据目前的技术发展和实现上看还不适合在用户网络中大规模使用,国外用户很少有真正使用联动的,因为IDS本身的弱点:误报和漏报,对于防火墙产生规则和业务影响很明显,IDS检测出来后告诉防火墙信息,有可能造成新的DOS攻击,致使合法用户无法使用网络资源,技术层面上还没有发展到那一步。
南京优创的孔祥兴先生持相同观点:“联动目前不可能实现,现有情况下讲防火墙和入侵检测系统IDS的联动只是所谓的卖点,但是实施起来困难,因为模式匹配难以解决,用户对于是IDS的误报还是真正攻击难以控制,起码,在IDS的误报率居高不下解决之前无法实现联动。”
东软信息安全咨询顾问 侯小东
当网络化的势头再也不能阻挡,互联成为一种需求的时候,孤立的计算机系统已经逐步退出了现代生产活动的范畴。网络在无形中改变了我们的生存方式,也改变了各行各业的运作方式。
金融业的脆弱性
在金融行业中e-Bank、e-Business、e-Wallet等业务正方兴未艾,而其整体的运营也基本实现了业务的互联、资源的共享。与此同时,以前人们认为的再机密不过的信息却在这个开放的没有任何安全保障的环境里传输和交换着。因为TCP/IP网络的安全保障是建立在“信任”的基础上的,一旦这种信任关系遭受破坏,与之相关的安全性也就不复存在。
金融系统已经建立了覆盖全国的网络,包括广泛的企业内部网、办公网和开放Web站点。随着业务的合并、应用的整合,事实上所有这些网络就构成了LAN+WAN+Internet的一个复杂的而又不可分割的有机体。这样一个有着多层次、广用户的业务应用,存在纵横交错的逻辑合并和物理连接的网络,不可避免地存在众多安全隐患。
从金融网络的逻辑结构上来讲,其脆弱性可以从以下几方面分析:
1、Confidentiality(机密性):在一个开放的网络环境中,绝大多数的数据是明文传输的,那么就很容易遭受搭线窃听。在一个交换环境中,无论是通过SPAN、Monitor的端口设定,还是通过Sniffer监听网络中的广播数据,都是轻易而举的事,因此不管是通过Intranet/Extranet或者恶意的ISP传输的明文数据都没有安全性可言。
2、Interity(完整性):数据在传输过程中一旦被窃听、截获,那么就很容易被篡改并重发,无论是偶尔的被动传输错误还是故意人为攻击,数据的完整性都会被破坏。“中间人攻击”、“会话劫持”就是典型的针对数据完整性的攻击方式,而随着类似Juggernaut这种工具的普及,使得攻击越来越容易也越来越频繁。
3、Authentication & Authoryization(认证与授权):对于金融系统,市场行情信息、成交记录以及清算和银行割账等行为,都需要进行一定的访问控制,而对于电子交易更是需要严格的身份认证。如果没有一个可信第三方做出权威的仲裁,那么,对于随时可能被篡改的请求和回应,就无法进行安全性的校验,主客体双方身份得不到确认,自然无法保证其行为的合法性。
NetEye VPN重定义金融安全
为了解决端到端的数据安全,许多VPN方案被提出:比如PPTP、L2TP、L2F VPN以及MPLS VPN。
什么是VPN,VPN(Virtual Private Network)也叫虚拟专网,它是企业网在Internet上的拓展和延伸。VPN通过一个私有的通道来创建一个安全的私有连接,将远程用户、分支机构、业务伙伴等跟企业网连接起来,形成一个扩展的网络。事实上,VPN的初衷就是为了解决两个私有网络的连接问题,这也是PPTP、L2TP等VPN的根本目的,因为这样就可以为行业或者企业提供高性能、低价位的因特网接入。
基于目前的安全现状,作为国内领先的网络安全产品提供商、行业解决方案的先导者,东软提出了针对金融行业的网络安全整体解决方案,从防火墙、VPN、IDS到Universal CA,而东软的拳头产品NetEye Firewall with VPN已经成为众多行业网络安全的坚壁利盾。
NetEye VPN采用了先进的IPSec协议,和其他的几种VPN方案相比较,它们基本上是基于2层的,本身并不提供加密能力,必须依赖于其他协议来提供加密;同时它们也没有对每个数据包的认证,因此数据的机密性和完整性得不到充分的保证。IPSec协议集则定义了终端实体或网络之间如何通过Internet来进行安全的数据传输,它既可运行在 L2TP上,也可运行在 PPTP上。
 |
和其他同类的IPSec VPN产品相比较,NetEye VPN提供了极完善的产品线,提供了极全面的解决方案:提供中心网关—中心网关、中心网关—灵巧网关、中心网关—个人移动客户端以及个人安全平台—策略服务器、个人安全平台—个人安全平台之间的连接。
NetEye VPN中心网关。带有VPN功能的NetEye防火墙。
NetEye VPN灵巧网关。浓缩和精简的NetEye Firewall with VPN,能为用户提供便捷的接入及灵活的安全策略控制,和大网关相比功能上要简化。需要说明更值得一提的是,灵巧网关的VPN功能模块是可选组件,用户可以根据自身实际需求来决定是否选择安装。
NetEye VPN个人移动客户端。也叫个人安全平台,其基本功能是一个个人防火墙,但是用于与NetEye VPN中心网关的VPN连接。个人安全平台还能与策略服务器连接,或者在多个个人安全平台之间协商建立一个虚拟的安全域。
 |
NetEye VPN和防火墙紧密地结合在一起,因此在利用VPN强大的加密和认证功能的同时,又充分发挥了NetEye防火墙独有的“流过滤”技术的优势,并且集认证、访问控制、安全管理和审计于一身,构建了SVPN(Super-VPN)的完美体系结构。
SVPN,即在构建了一个VPN网络之后,进一步通过安全策略和安全规则的制定,把网络划分成不同的安全区域,控制VPN通道内不同的安全区域之间的访问,这样,使网络的安全性得到进一步的提升,并在一定程度上防止内部人员的误操作和恶意行为。以图一为例,通过制定安全策略,可以使各个安全域的信息只在本域内传播,而不会传输到其它域中去,从而在一定程度上减少了内部窃听的风险和不安全因素。
NetEye VPN 四种部署方式
根据金融系统的业务特点和目前的布局结构,为了充分保证其在网络接入、端到端的数据传输和业务交换的机密性、完整性,NetEye VPN在其整个网络中的部署,可以用图二来简单描述。
1、移动用户与VPN中心网关间的连接
在外出差或者SOHO的金融行业工作人员,可以利用当时当地的条件连入Internet,比如拨号上网,那么利用移动客户端软件,他就可以连接总部的VPN中心网关。NetEye VPN在对用户进行合法性校验后,就会在两者之间建立一条加密的私有隧道,移动用户可以方便地对于总部的私有网络进行安全的访问,整个传输过程都对数据进行软件加密。
2、中心网关与灵巧网关间的VPN连接
金融行业的各地机构或者办事处,可以在各个部署方案中进行选择,我们认为如果其局域网的规模不是很大的话,那么灵巧网关是值得推荐的。灵巧网关与VPN中心网关的连接即解决了用户的接入问题,也同时解决了安全隐患。
3、中心网关与中心网关间的VPN连接
两个中心网关之间的连接,等于将两个对等的私有网络无缝连接起来,两者之间可以实现完全共有、安全的资源共享;NetEye防火墙功能模块,控制着整个连接的访问控制、身份认证和其他安全策略。
NetEye VPN中心网关的设计采用了虚拟物理接口的概念,将每一条VPN通道都虚拟成为一个物理接口,这样类似于对In/Out/Dmz的控制,就可以对于VPN通道进行同样的安全策略配置和集中管理。
4、个人安全平台之间的互联
利用NetEye个人安全平台,局域网内部的用户可以利用事先协商好的口令形成一个独立的安全域,域内用户可以进行安全的通信。
NetEye VPN改进IPSec
目前IPSec已经成为目前极为流行的VPN解决方案。NetEye VPN在利用IPSec自身优点的同时,对于其核心的实现和附加功能进行了专业的优化和重组。
IPSec事实上是一个协议集,它包括AH和ESP。AH,验证头,提供数据源身份认证、数据完整性保护、重放攻击保护功能。ESP,安全负载封装,提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能。
另外,在IPSec框架当中还有一个必不可少的要素:因特网安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。利用AH、ESP,NetEyeVPN就可以做到对于C.I.A的满足。
对于认证过程,NetEye VPN采用了基于PKI的公钥认证体系,遵循X.509标准。并且提供单独的密钥管理中心,用以进行密钥的生成、分发、更新和吊销等一系列的密钥管理活动。所有网关间的数据传输,根据国家有关法令的规定,全部采用硬件加密和专有的加密算法。
IPSec有两种工作模式:传输模式和通道模式。两种模式最根本的区别在于是否尽心进行IPIP封装。
NetEye防火墙工作于通道模式,其特点就是生成了新的IP头,替换了原有的IP包头,这样就可以做到对于原始地址的隐藏,从安全性上讲更进了一步。
原来的IPSec标准是不支持NAT的,可以看到,一旦经过NAT,因为IP包头数据被修改,那么等于数据完整性遭受破坏,AH或ESP的校验就会失败。NetEye VPN采用了最新的标准,利用附加UDP头的方式成功解决了NAT穿越问题。
综上所述,NetEye VPN解决方案具有以下特色:
1、采用标准的AH和ESP协议,保证IP包的机密性、完整性以及对于收发双方的身份认证;
2、结合流过滤防火墙技术,兼具包过滤的性能以及代理防火墙的安全性,最大程度上保证网络安全无懈可击;
3、安全隧道的链路设备映射技术,使得VPN网络的设置一目了然;
4、清晰简洁的密钥管理流程,使得系统具有极佳的扩展性与灵活性;
5、智能的“One-Click”技术和“一点即连”特性使得管理更加流畅轻松;
6、独特的NAT穿越机制保证了网络的灵活应用。
冲击波过后的反思
东软资深网络安全咨询顾问 梁迎利
网络安全的概念可以说已经深入人心了,但是最近的蠕虫大恐慌向我们证实了一点,众多的安全产品只是给我们构架了一个虚幻的堡垒,所谓的安全预警和防范机制在我们这个虚拟的世界里,还不如现实世界里来得有效。
冲击波(Blaster)蠕虫的爆发向所有的网络安全从业人员提出了一个严厉的命题,尽管他们谁也不愿意承认,但冷冰冰的事实告诉我们,所有现有的安全机制和安全产品都在某种程度上存在着管理上的漏洞或理论上的缺陷。
RPC Dcom漏洞在年初就已经被发现了,微软在7月16日在其安全论坛发布了公告,并且连篇累牍的警告用户打最新的补丁,但是非常遗憾,没有人真正关注这一切,除了那些跃跃欲试的hackers和crackers。直到8月中旬的Blaster蠕虫大爆发,人们才意识到问题的严重性。然而还没有等用户和安全响应人员做好反应,1周后welchia蠕虫,blaster的变种也出现了。TCP和ICMP的肆虐造成众多的网络瘫痪。所有这一切来得如此之快,以至大部分遭受攻击的用户都无所适从。
现在虽然事件已经基本平息,但是也到了我们所有安全从业人员该静下来好好反思一下的时候了,我们应该反思我们的security alert是否能真正起到作用,反思我们的众多安全产品是否能真正应对意外的攻击!
现有的安全警告机制已经非常完善了,完善到甚至连一些欺骗信息也大肆宣扬的地步。这是一个非常荒诞的现象,大部分用户对于真正的警告可能置若罔闻,但是对于类似“JDBGMGR”这种恶作剧病毒却反应热烈,结果因为一个根本不存在的病毒,许多用户删除了自己的系统文件。
安全警告作为一种有偿或者无偿的服务,显然没有考虑到用户的行为方式,没有分析用户的心理。大部分的用户都不愿意频繁的去给自己的系统手工升级,各种hotfix对他们来说,可能更愿意看成垃圾文件。当然,所有这一切也可以通过加强管理来实现,不过,网络安全的管理不是那么简单的。尽管大家都在强调动态的、平衡的安全机制,但是在安全的三要素C.I.A.(Confidentiality, Integrity, Availability)当中,天平的杠杆总是倾向可用性一边。因此,一种强制的系统自动升级机制,或许才是最终的解决办法。 现在也该评估一下网络安全产品在这些事件中的扮演的角色了。对于杀毒软件我并不想在此进行太多的评论,不为别的,只因为本文讨论的是来自外部的攻击,那些攻击的发起端一般都不在网关级防病毒软件的势力范围以内,而且它们永远摆脱不了自身被动落后的局面。
IDS在侦测攻击上具有明显的优势,不过对于不支持和防火墙联动的产品来说,它所能发挥的作用也很有限。IDS的特长就是补充防火墙不能识别的来自应用层协议的攻击,基于速度和有效性上的考虑,只有把这些信息反馈给防火墙,让防火墙根据动态规则去阻断。当然,IDS未来的发展趋势是自身更多的参与入侵阻断,但是目前的形式下,双方只有通过互补才能从整个OSI体系上保证网络的安全运行。
剩下来的,就只能看防火墙的了。的确,在第一时间内,防火墙能够起到关键的作用,尽管任何防火墙都无法阻挡DoS攻击,但是它能最大限度的减少攻击流量,起码一定程度上保证了网络可用。然而从我们接受的反馈来看,很多安装了防火墙的网络一样瘫痪了。为什么会有如此多的网络把由外到内的TCP 135和ICMP打开呢?而事实上用户无须提供这些服务甚至根本就可以完全屏蔽,但是用户的规则偏偏没有那么设定。这是一个值得深思的问题,用户显然过于迷信防火墙,却没有管理和整体的安全策略。对于网络安全产品的依赖,给了他们一种心里上的慰藉,却没有真正去发挥产品的功能。没有管理上的安全和策略上的严谨,防火墙的功能就不能最大限度发挥!
另一方面,防火墙在对抗DDoS攻击的能力上还有很大的空间有待挖掘。以Blaster蠕虫为例,该蠕虫会以两种不同的方式来选取受害者的 IP 。它会从受感染机器的IP ,比如192.168.1.1 中使用 192.168.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在C 类网络的地址范围内往上累加,直到192.168.255.255。虽然对于随机选取的IP,防火墙很难做判断。但是基于(Dip,Dport,Sip,Sport)的四元组,状态检测防火墙能够很容易判断那些地址累加的数据包,因此也就有能力对这种类型的DDoS阻断!
一定程度上,我们要感谢冲击波蠕虫,除了它带给了我们这么多的启示,还有一点那就是或许出于蠕虫编写者的“仁慈”之心,或许限于自身的编程能力,blaster和变种welchia蠕虫都没有加入恶意的有效负载,虽然Dcom漏洞允许攻击者执行任意代码,但是这两种蠕虫都没有对感染主机系统的文件和其他资源进行破坏。否则的话,我们将面临一场类似大屠杀的灾难。
冲击波蠕虫也有光明的一面,通过这次事故,那些从来没有访问过微软升级网站的人,也许不得不去求助windows update了,顺便patch一些他们从来不乐意更新的东西。就像网络生态系统中的森林大火,即使没有blaster,类似的灾难终究会发生。而每一次大火,都有助于改变人们陈腐的观念。
如今,blaster的冲击已经快平息了,一些蠕虫的生命周期也将终结,可是事情并没有就这样结束。作为专业的网络安全产品提供商,我们也认识到自身对于紧急安全事件的应急响应速度,还有待提高。
这里我想针对最近我们处理的case提供一些或许有用的信息。
最近国内最严重的安全事故主要是由下面三种蠕虫引起的:W32.Blaster.Worm、W32.Welchia.Worm、W32.Sobig.F@mm。最后一种是群发邮件蠕虫,它们最终结果都是产生DoS攻击。
对于那些没有防火墙的网络来说,网管人员可以通过配置路由器来减弱攻击流量。请配置路由器的Ingress和Egress的access-list吧,把TCP的135,UDP的69端口deny掉,把所有的ICMP deny掉。另外请配置ip verify unicast reverse-path,这样可以防止IP-spoofing,对于防止smurf攻击也挺有用。以上在路由器上的配置在一定程度上能减弱Blaster和Welchia蠕虫对于网络的攻击,但是对于Sobig就无能为力了,我们说过它是群发邮件蠕虫,除非你把Tcp 110和25也给deny掉。
已经使用了防火墙的网络建议对包过滤规则的进行如下设定:拒绝所有ICMP流量的进出,同时选择合适的方向禁止TCP 135端口,UDP 59端口,以及TCP/UDP 4444端口和内到外的UDP 8898端口。如果防火墙具有应用层检测功能,那么请启用smtp过滤:设置防邮件炸弹攻击,设置主题、正文或附件过滤,这样都有助于阻断Sobig蠕虫发送的垃圾邮件。如果防火墙还具有内置的抗DoS模块那么就更好了,请把防ICMP flooding和防syn flooding功能打开。
附件:
东软在历次安全事件中的表现:
* Unicode缺陷——2001年5月份发布警告及基于HTTP过滤模块的保护规则
* SQL Slammer——发现攻击样本后当天发布安全警告
——1天后提供IDS升级包
——2天后提供防火墙保护策略
* 最新的RPC-DCOM溢出缺陷——8月5日发布安全警告及基本处理方案
——8月7日发布IDS升级包
——8月8日提供防火墙保护模块,是目前唯一一个提供针对性保护能力的防火墙产品
选择你所爱的 爱你所选择的
——记东软股份网络安全事业部技术服务组
中秋佳节的夜空显得格外的美丽,天边那一轮皓月,毫不吝惜的把它迷人的魅力展现给欣赏它、仰慕它的人们,仿佛也想通过自己的光辉把美好的祝福撒向人间。
在这合家团聚,共度良辰美景的时刻,让人不由得想起那些为了工作,出差在外而不得不放弃与家人团聚、享受天伦之乐的技术服务组的工程师们。身在他乡的你们还好吗?你们还在忙着写方案、作测试、准备材料吗?能否也吃上一块香甜的月饼、饮一杯醉人的美酒?
我们经常开玩笑说技术服务组的工程师们是“神龙见首不见尾”。的确,他们一年有一多半时间都在全国各地奔波,给用户提供技术支持、解决疑难问题,在部门的时间非常有限,经常是刚刚从一个地方出差回来不久就接到其他任务,便又匆匆踏上了行程。我也曾问过一位工程师:“你们经常出差、奔波,不觉得累吗?”他笑了笑,挠了挠头,然后说了这样一句话:“选择你所爱的,爱你所选择的!”我不禁为之一震,细细品味起来,这其中蕴涵的深意的确让人获益匪浅,我觉得最关键的是后面那句——“爱你所选择的”,我想这并不是每个人都能达到的意境,也许很多人选择了所爱的却不能全身心的投入,最终也无法体会到成功的喜悦;也许有的人会说当初的选择并非自己所爱的,那么那些能够接受并勇于面对生活的挑战与历练,微笑着昂首走过的人,才是真正的强者,不是吗?我们的工程师用最简洁而又朴素的言语道出了他们对工作的那份执着,我不禁为他们的“超然”处世哲学感动了。
然而这仅仅是一个感动的开始,让我更为感动的是技术支持工程师们对工作忘我的投入和无私的奉献精神,一切都以公司的利益为重中之重。哪里客户有解决不了的问题,哪里就有他们的身影,随叫随到,没有丝毫的怨言、怠慢。“节假日”、“双休日”这些概念在他们印象里已经很模糊了,他们甚至记不清上次休息是什么时候。在我们对内部和外部客户进行回访的过程中,客户们对技术服务组工程师的响应问题的速度、服务态度以及解决问题的能力都给予了充分的肯定和高度评价,还有一些客户以打电话或发邮件的方式来表达工程师们的感激之情。他们纷纷表示:有这样一支技术过硬的工程师队伍作保障,的确让人放心。
我不禁为能与这些可爱更可敬的同事一起共事而感到骄傲和自豪,有这些优秀的工程师,优秀的团队,我们的产品又怎能不在市场上所向披靡、独占熬头呢!
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com