随着应用和威胁环境的迅速发展,对许多企业的影响是:信息技术(IT)部门已经失去了控制。因为现有的安全基础设施已无法有效地对那些不好的与坏的、希望的或不需要的应用进行区分,也使大多数IT商店采取了僵硬且荒唐的“全有或全无”的安全方法,这就造成了:
✓以一个宽容的态度 -- 确保重要应用的访问能力,允许企业网络上有不需要应用和威胁;
✓只是说“不”,维持较高的安全状态,但限制了业务灵活性和生产效率,疏远用户和业务部门,并建立后门处理的地下亚文化,规避安全控制;
这时,IT需要运用粒度控制的功能,提供各种应用级的深入保护,对业务和最终用户的合法要求能够自信地说“是”。不幸的是,传统的网络安全基础设施未能跟上时代的发展,无法提供此项功能。
在本部分,你能了解新应用和威胁环境是如何挑战这些传统的安全设备,尤其是防火墙,以及如何超出了他们的能力,无法有效地保护当今的网络。
防火墙出了什么事?
你有没有注意到,现在已经没有人对防火墙感到兴奋了?曾经有一段时间,防火墙是网络中单一最重要的安全设备。这到底发生了什么?
答案有点老生常谈:是因特网改变了一切!几年前,多数防火墙对进出企业网络流量的控制做得不错。这是因为应用的行为通常良好。电子邮件通常会走25号端口,文件传输(FTP)走20号端口,整个“网上冲浪”都挂在80号端口。每个人都按规则“端口+协议=应用程序”办事,防火墙让一切能够控制。阻塞端口意味着阻止应用,很好而且简单。
不幸的是,因特网从来没有真正的很好与简单。今天的情形比以往任何时候都更真实。如今,因特网往往占用企业网络70%以上的流量。而且不光使用80端口进行Web冲浪。通常情况下,20%至30%是加密的SSL通信,使用443号端口,更糟糕的是,有过多的新因特网应用坚持使用自己的规则。他们把自己包裹在其他协议中,用不属于他们的端口潜行,把自己埋入SSL隧道。总之,他们就是不按规矩出牌。
所有这些应用对业务都带入了一些风险。面对新威胁他们扮演成好客的主人,让他们可以轻易地溜过防火墙而不被发现。同时,防火墙还傻呆在那里,好像一切正常,什么都没有发生,因为它依旧按照已经过时的规则在玩游戏!
基于端口的防火墙视力糟糕
因为部署在关键网络结点的线路中,所以防火墙能看到所有流量,因此,它是理想的、提供合适粒度访问控制的设备。但问题是,大多数老防火墙都为“高瞻远瞩”型,他们只能看到事物的一般形状,不能看见事情实际发生的细节。这是因为它们通过推断应用层的服务来操作,基于数据包报头中使用的端口号,而且只看会话中的第一个包,就决定处理的流量类型。它们依赖于一种惯例-- 不是必须-- 即一个给定端口对应一种给定服务(例如,TCP端口80对应HTTP协议)。正因为如此,它们还不能区分使用同一端口/服务的不同应用(参见图3-1)。
图3-1:基于端口的防火墙无法看到或控制应用
最终的结果是:传统的“基于端口”的防火墙已经基本失明。除了无法识别常见的逃避技术:诸如跳端口、协议隧道和使用非标准端口,这些防火墙也缺乏可视性和智能辨别网络流量:
✓对应于服务合法商业目的的应用;
✓对应于可以成为合法商业目的、但是在实例中用于未经批准活动的应用;
✓因为包含恶意件或其他类型的威胁,即使对应于合法商业活动的应用也应该阻止。
在这所有之上,他们的控制模型粒度通常过于粗大。防火墙可以阻止或允许流量通过,但对所有的“灰色”应用应提供一些适合的反应,会让企业最终偏向支持-- 例如,在应用中允许某些功能,而阻止其他功能;允许流量通过,但同时也使用流量整形策略;允许但要扫描威胁或机密数据,或者基于用户、小组或一天中某个时间里允许。
固定功能是根本性缺陷
传统防火墙的许多销售商试图通过结合深层包检测(DPI)功能,来纠正产品无远见的性质。从表面上看,这种方式增加了应用层的可见和控制,似乎是一种合理的方法。然而,在多数情况下,虽然“绑定”功能可以增加安全效能,但绑定的基础开始就很薄弱。换句话说,新功能是加到而非集成到防火墙,老防火墙完全缺乏应用意识,仍使用流量的原始分类。这导致的问题和局限包括:
✓不应该上网的应用允许进入网络;
✓不该检查的应用进行了检查。因为防火墙无法对应用准确分类,所以可能把错误的会话传送到DPI引擎,造成了检查的问题;
✓策略管理搞得令人费解。如何处理各种应用的规则基本上得到是产品DPI部分内的“嵌套”—它本身就是更高/更外级访问控制策略的一部分;
✓不足的性能被迫需要进行妥协。系统资源、CPU和内存密集型应用层功能的低效利用对下层平台施加了相当大的压力。考虑到这种情况,管理员可以只能选择先进的过滤功能。
防火墙“帮手”不帮忙
多年来,企业也试图实施一系列补充方案来弥补防火墙的不足,这往往采用独立设备的形式。入侵防御系统、防病毒网关、Web过滤产品和特定应用解决方案-- 如为即时通讯安全提供专用平台-- 只是少数较受欢迎的选择。不幸的是该结果类似于DPI方法,令人失望且增加了纠结。
不该检查的应用进行了检验,因为这些防火墙的帮手要么看不到所有的流量,基于端口和协议的分类方法已经在传统的防火墙中失败了,要么仅能覆盖一组有限的应用。策略管理甚至是更大的问题,因为访问控制规则和检查要求分布在几个控制台,涉及多个策略模型。性能仍然也是个问题,具有相对高的累计延迟。
接下来问题是:设备无序扩张。各种“解决方案”设备陆续添加到网络中,设备数量、复杂程度和总体拥有成本都不断上升。为产品本身和支持所有基础设施的成本,需要大量的经常性业务支出,其中包括支持/维护合同、内容订阅以及设施成本(电源、冷却和现场空间)-- 还没提到一系列“软”成本,如有关的IT效率、培训、供应商管理。该结果是一种无效的、代价高昂的工作,是不可持续的。
传统侵入防御系统(IPS)对今日的威胁是一场可怜的比赛
入侵防御系统(IPS)检测和阻止攻击,重点针对存在于系统和应用的漏洞。不像入侵检测系统(IDS)只集中于警报,IPS系统一般部署在线中,因为一旦检测到入侵,就必须积极阻断攻击。IPS的一个核心功能是协议解码,这能更准确地判断应用。IPS的这个特性可以用于流量的特定部分,从而减少了系统仅用端口+服务造成的出错发生率。要注意的是大部分IPS产品使用端口和协议作为流量分类的第一关,这里,考虑到今天应用的回避特性,可能会导致应用的误识别。而且,由于IPS系统主要是针对攻击,它们通常与防火墙结合部署,作为单独设备或作为防火墙与IPS组合使用。
IPS使用“找到它,杀死它”的方法来停止威胁。它不是用来控制应用。但即使能停止威胁,IPS也有自己的缺陷。
在给定的新应用和威胁环境中,企业也要重新审查传统入侵防御系统(IPS)。主要的IPS厂商都在努力超越IPS的几个基本要素,以示与众不同:
✓服务器和数据中心保护。因为只有少数检测和预防技术,因此大部分IPS产品都支持他们。这些技术包括协议异常检测、状态模式匹配、统计异常检测、启发式分析、阻止无效或异常包、IP碎片整理和TCP重新组装(用于防止逃避)。多数IPS厂商也使用面向漏洞特征(而不是面向利用特征),并关闭服务器到客户端保护提高性能。
✓研究和支持。这取决于供应商做了多少实际研究,能够多快做出反应,帮助企业抵御新的攻击和漏洞。IPS供应商的研发团队做了很多的工作,同时保持一定的差异,多数的研究外包给行业研究的中坚分子。另一方面也至关重要-- 不管谁做的研究– 供应商必须及时提供更新,保护客户免受新的威胁。
✓性能。企业显然对IPS的性能问题非常敏感。最近的Infonetics研究指出,引入流量/应用延迟和带宽/性能是企业部署“带外”IPS的主要关切。很显然,能够跟上企业的预期吞吐量和延迟是为众多客户的首要考虑。
随着防御的成熟,攻击者也在进化。给定的入侵检测和防护系统,如防火墙基于相对很好理解的传统技术,所以新攻击可以利用众所周知的弱点,其中包括:
✓应用传播威胁。威胁开发者正使用应用,即可以作为目标,也可以作为传输载体。应用为这两种方法提供了肥沃的土壤。有些应用传播威胁很好理解(例如,许多威胁跨越社交网络移动-- Koobface,Boface或Fbaction)-- 其他不容易理解(如蝴蝶,使用MSN Messenger和P2P文件共享应用来传播)。不管怎样,攻击者发现哪种应用更容易搭载,他们就开始对客户端攻击。
✓加密威胁载体。威胁使用的另一项重要技术是加密。尽管安全研究人员已经警告多年,加密可以被各种威胁利用,加密的攻击仍需要一个管道–进入用户中心的应用。用户很容易受骗点击加密链接(太多的用户认为HTTPS意味着“安全”),这可发送加密的威胁,穿过企业的防御。这在社交网络上越来越简单,而那里的信任程度是非常高的。其他密切相关的载体是通过压缩来混淆-- 传统的IPS不能解压缩,因此不能扫描压缩的内容。
这里的共同主题是需要控制层防止这些新威胁 --控制应用和内容、SSL解密、解压缩内容查找威胁-- 所有这些都远远超出了传统IPS能做的。 IPS的主要限制是它仍然是一种消极安全模型,而且架构就是这样了。尽管从IDS(入侵检测系统)到IPS转换做了很多工作。更简单地说,IPS依赖于“找到它,杀死它”的模式--对于许多转移过来应用的新威胁,它不能很好地完成工作,进行必要的控制,也不能为自己的架构和平台提供解密能力和流量分类。
积极的安全模型,应使良性的、适当的或必要的所有通信正常运行,并排除其他一切干扰。消极的安全模型,只寻求对不良的通信和内容分类,采用已知的策略运行。
UTM使破坏更便宜
统一威胁管理(UTM)设备是另一种新的方法,基于传统技术面对现代的安全挑战。为了降低部署成本,当安全厂商开始为状态防火墙捆绑入侵防御和防病毒插件时,UTM的解决方案诞生了。 UTM产品不比单机设备执行的功能更好。而是把多个功能集成到一个设备,为顾客提供方便。不幸的是,当UTM启动运行时,有不准确、难以管理,性能不佳的问题;设备只在下面的环境中使用:只用于整合,而不关心功能、管理和性能。
UTM解决方案的主要优点是:它通常只做与设备扩展有关的工作。而没有独立设备具有的“帮手”对策,UTM是全包括的物理包装。
但这又怎样呢?其结果与捆绑的方法没有什么不同,因此,具有相同的缺陷。不充分的应用分类和有盲点的检查仍是根本问题,由于必须考虑多个对策,所以性能和策略管理问题变得更加复杂。
是解决防火墙问题的时候了
基于端口的传统防火墙已不能提供任何价值-- 不在过去的世界里了,现在的情况是:网络边界正在瓦解,互联网应用正在爆炸。
而你已经知道了,这就是为什么你一直要用更专业的设备-- 入侵防御系统、代理服务器、防病毒、防间谍软件,URL过滤等来弥补这些不足。当然,这些工具增加了一些价值,但越来越多地增加了额外成本和复杂性-- 尤其在充满挑战的经济时代。
更多的安全设备并不一定意味着更安全的环境。事实上,这样的做法相关的复杂性和不一致性实际上损害了企业的安全。
2009年2月,网络世界杂志社采访了信诺(Cigna)公司的首席信息安全官(CISO)克雷格舒马德,谈到在企业中安防产品的增长堆栈是“不可持续”的,他把它比做“比萨斜塔”,他说:“我们不能继续运行15至25或更多个安全产品,我们不能继续只添加新的安全产品,并期望能有效地使用它们”。显然,这是个没有限度的策略。更重要的是,这些增加的产品没有给应用在网络上运行为用户提供需要的可见和控制。
现在是解决核心问题的时候了。也是改变防火墙的时候了!毕竟,防火墙位于网络中最重要的地方,是一切进入和离开网络可见和控制的中心点。
