网络保护和入侵探测产品SessionWall-3技术概览
MEMCO 白皮书
SessionWall-3
网络保护和入侵探测产品SessionWall-3技术概览
概览
通过大量地减少实施安全、高效的网络系统所需要的时间和技术,提高了网络建设水平。SessionWall-3可以全自动地识别网络使用模式、网络使用具体细节,并可以识别大量基于网络的入侵、攻击和滥用。它揭示了大量关于网络生产性使用情况、安全和遵守企业政策等方面的运行中的神秘因素。
背景
Internet是六十年代美国国防部资助的网络研究计划的产物(Advanced Research Projects Agency Network - ARPAnet),ARPAnet主要用于科研人员之间建立联系,实现信息的轻松互访。到了八十年代,国家科学基金会(NSF)正式创建了Internet,以取代原有的ARPAnet,使之成为更现代、更高速的网络系统。从那时起,Internet及其应用逐渐演化成为企业与企业,个人与企业,个人与个人之间的主要通讯渠道。导致它普遍被使用的主要原因在于其采用了一个使用起来简单的网络协议:TCP/IP(传输控制协议/互连协议)。
为了实现易用性,TCP/IP协议放弃了所有象IBM SNA这样的商业网络协议中的保护机制。
除了基本的通讯协议外,TCP/IP包括了一些基本的网络应用及应用协议。这些网络应用包括Telnet、Email功能(SMTP - Simple Mail Transport Protocol),文件传输功能(FTP - File Transport Protocol),超文本传送功能(HTTP - Hypertext Transfer Protocol),会话功能(IRC - Internet Relay Chat),等等。
易于使用的Internet浏览器的出现,使得有效使用的学习曲线大大缩短,提供了一个几乎实时的方式去浏览所需信息 — 各种各类的信息,这样就极大地增加了Internet的生存能力。这些易于使用的Internet浏览器(如,NetScape和Microsoft Internet Explorer)及其幕后的服务器系统对于广阔区域范围的网络系统的普遍使用的贡献,远远超出了电子表格对PC机应用的推动作用。
Email、浏览器和文件传输功能的结合推动着Internet互联性向着数以百万计连接方向发展,这些连接是通过含有Web内容的公用互连网络进行。
Web已经发展成为主要的沟通、传输软件和电子文档的工具,为支持服务、采购产品、新闻发布和研究活动提供了有效途径。推动Web有效和普遍被使用的三个主要原因是:
易于使用的Email、信息浏览器和文件传输。
强大易用的网络协议。
方便的访问和互联性。
简单地说,Internet/Web给企业提供了用于企业内部和位于不同地点的企业之间进行沟通的新渠道,同时也为这些企业的雇员们访问电子信息和新闻提供了途径。然而,这种灵活性同时也不可避免地带来了黑客的恶作剧、内部网络使用上的滥用、信息偷窃、工业间谍和其他企业非正当目的的活动等各种形式的威胁。
网络保护
Intranet保护需要适当的工具。不幸的是,即使有了合适的工具,也可能会由于缺乏适当的审计机制而对企业造成巨大的损失。例如,根据领先防火墙专家的介绍,由于技能的缺乏、配置的复杂性和低层操作系统的薄弱,50%以上的已安装的防火墙没有得到正确的实施。
结果不足为奇地导致了企业在采用网络保护工具方面大大滞后。大部分的企业希望等待更多的网络保护程序出现,以便在购买之前能加以选择。企业需要能够清晰地显示其网络使用情况的组件,以确定何处需要安全策略,以及应该封锁什么样的内容。另外,企业需要确认他们得到了自己所期望的安全策略的遵守和网络保护。
恶作剧、滥用、盗窃、间谍和非授权的使用。
恶作剧需要入侵探测系统
恶作剧表现为入侵,拒绝服务型的袭击和对服务器、应用或系统控制权的抢占。
正像前面指出的,TCP/IP的设计是非常灵活的。这种灵活性以及Internet访问的普遍性,使任何了解其通讯协议和低层特征的人都可以充分地炫耀自己的能力。例如,黑客们可以利用标准的TCP/IP协议来确定内部地址并通过标准的服务抢占服务器,阻塞网络通道或占用客户机。另外,通过参与"hacker"新闻组,这些黑客们还可以学到有关TCP/IP协议或TCP/IP应用软件bug的情况,并可以在他们的黑客活动中加以利用。例如,ping命令是网络用户通常用于查看位于网络另一端的服务器或客户机是否可以抵达,以及需要多长时间才能抵达的一种途径。但是,如果ping的开销过大,许多TCP/IP栈的挂起可能会导致桌面系统或服务器锁定。这就是通常称为死亡之ping的服务拒绝型攻击。其它类似的攻击包括:
通过大量针对特定网络的,有效的低层网络活动阻塞网络通道。
开始后未能完成的会话,由于挂起而形成网络阻塞。
发布有效的用户服务器命令,使客户机软件处于被控制的状态。
发布附件中带有病毒或worms的Email消息。
发布可能使用户Email应用将控制权交给邮件附件中的可执行代码的Email消息。
提供有趣的Web站点,引起客户下载Java或ActiveX小程序,并通过这些程序读取桌面系统信息,并传递到其它网站,或自行抢占桌面系统的控制权。
这些攻击的主要攻击力在于他们采用了标准网络功能,并用于不正当的目的,或采用标准功能来激活系统或系统应用中的bug。基本的防火墙大都是用来防止不适当的协议和特定的客户/服务器访问,但很少查看应用本身。Proxy服务器被用来解决与应用相关的问题。Proxy服务器扮演了代理人的角色,并可以查出特定应用中存在的问题。但是,proxy服务器的自身质量也是一个问题,因为一些攻击行为可以引起proxy服务器的问题。这种不断拦截攻击行为的过程导致了一种新工具的出现,即入侵探测系统(Intrusion Detection Systems)。这些入侵探测系统致力于监控和探测已知或可疑的模式,并提供了自动和手工实时反应这两种方式。
SessionWall-3提供了易于安装和使用的入侵探测、病毒检测和Java/ActiveX探测等功能。同时还提供了大量的使用记录和相应的法律行为,以及有助于识别其它异常情况的报告。SessionWall-3提供了全面的入侵探测服务。
网络滥用
滥用往往表现为对不恰当的Web站点进行访问,使用内部网络从事与其它员工或网络用户的非正当通讯或不正当的网络资源消耗。
Internet滥用带来不同的恶果,包括员工工作效率的下降、网络带宽的损失以及工作环境面临风险的增加,未经控制的访问冒犯其他雇员。从工作效率的角度而言,许多企业将体育网站、游戏和在线赌博等看做是Internet滥用行为,并希望对其加以监视与控制。从带宽消耗的角度考虑,许多企业对员工访问对提高工作效率没有帮助的站点和下载大的图形文件非常关注,因为这将对所有网络用户的工作效率产生影响。从责任角度而言,企业更多地关注其员工对色情站点,泄愤站点或类似攻击性内容的访问。对这些站点的访问在工作场所中没有环境,而企业则听任其存在,不取消和阻止其发生,这些访问会给公司带来危害。
再者,防火墙系统并不将注意力放在应用层次的监控上,从而导致了Web控制网关的产生。这些网关通常包括大量URL和Web站点的分类库,使网络管理员可 以确定并阻塞不适当的访问。这种方案的不足之处在于它会引起网络传输的延迟,从而再次形成问题隐患。SessionWall-3引入了新的机制,以便在不造成上述的延迟或问题的情况下实施必要的监控。SessionWall-3以被动的方式连接到网络上,对流量进行简单地监听,一旦发现需要拦截的访问,即加以阻止。
电子资源盗窃
盗窃往往表现为未经授权访问个人用的特殊信息。这可以通过对特定服务器或客户机的侦听和通过猜测密码的手段对应用系统的侵入来实现。虽然主机保护软件是保护服务器端资源的基础,但是一旦应用资源进入网络就很难加以跟踪。
基于网络的应用挑战/反馈探测和网络层传输内容扫描工具被用来识别试图使用或破解注册口令,以及跟踪这种电子资源的传送,并提供相应的日志,报警,反馈和记录。SessionWall-3提供了这些服务。
工业间谍
工业间谍以知识或信息窃贼的形式出现,往往会将得到的资源传递到另一企业。使用Internet,就可以更加方便地将有价值的数字化的企业机密设计方案或类似的内容传递出内部网络以外的地方。出于这种考虑,Email大小被加以监控、特殊的邮件过滤程序被用来确保Web没有成为企业资源传递到企业之外的手段。在这种情形下,全面的记录和报表是必要的,以备以后可能出现法律争端时使用。SessionWall-3提供了这些服务。
未经授权的使用与骚扰
Email的普遍使用使企业有必要对其在网络上的暴露程序进行控制。如,员工可以在与用户的沟通中,通过在Email里使用象“保证”或“免费”等字眼对企业作出非授权的承诺。类似地,电子邮件可以被用于骚扰企业内部或外部的其他员工。这些都是通过利用企业资源而实现的。如果企业确实有这样的政策但还没有加以实施,那么企业可能需要对攻击者的行为负责。其它形式的无意识行为可能包括接受有关公司利益的协议,或在未经合法审查的情况下引入敏感的软件到企业中。
SessionWall-3的技术
SessionWall-3是一种易于使用的软件型网络分析方案。它对网络流量进行监听,并对传输内容进行扫描、显示、报告、记录和报警,并提供了全面地查看有关内容的途径,以易于理解的方式提供了相应的信息。另外,SessionWall-3采用了专利型的"unobtrusive blocking"技术,在基于规则和相应的报警条件的情况下对不恰当的网络流量进行拦截。
直到1997年SessionWall-3出现之前,企业不得不购买各种不同的软件,用来创建自己的安全系统。现在,SessionWall-3的用户可以在同一个软件中查看其网络使用的情况、确定企业暴露的程度、提供及时的帮助以保护网络和减少业务暴露的程度。
SessionWall-3可以被安装到任何连接到网络上的Windows 95/98或NT4.0/5机器上。并可以对一个或多个以太网,Token Ring和FDDI局域网段中的网络流量进行处理。
SessionWall-3 Release 3(V1R3)被设计成可以当做独立或补充性产品使用,它包括了世界级的监控和使用情况查看工具、入侵探测和服务拒绝型攻击探测引擎,一个巨大的超过400,000个分类站点清单的URL控制列表,世界级的攻击型Java/ActiveX探测引擎和病毒探测引擎。它对所有流行的“防火墙”是有效的补充,可以提供与应用相关的保护,提供入侵探测,并对现有的设置进行审计。SessionWall-3也可以通过使用OPSEC接口与FireWall-1连接。
SessionWall-3的独到之处
与业界大多数通过在网络通讯路径中插入设置的方式进行保护的产品不同,Sessionwall-3是一个全透明的,unobtrusive的解决方案,不需要对网络或地址进行任何改动,也不会对网络的传输造成延迟,独立于平台所使用的网络。
版本三的特点
在SessionWall-3版本三中,引入了以下改进:
q 识别NT域授权用户
在日志中显示用户ID作为名字的一部分(除IP/MAC/DNS名称外)
对NT用户提供基于用户ID的报告
对NT用户进行统计
q 执行过程的改进
基于会话内容的阻塞
当特定事件发生时,自动生成阻塞规则
支持用户提供的DLL
输出会话日志
q 报表处理的改进
"Drill-down"报表查看
输出报表到Web服务器以便远程浏览
计费报表
入侵探测报表
报表可以基于NT用户名生成
独立的报表查看器
q SessionWall-3的多用户支持功能为不同的用户提供了不同的查看特权。
q 支持在SessionWall-3查询中的整词匹配
q 回放Telnet会话
q 限制收集数据信息的能力
q 全面的proxy服务器支持
q SessionWall-3可以支持多用户Windows NT环境
q 额外的入侵探测模式
碎片处理(包重组)
探测与不同数据的交叉
接受SYN包中的数据
ID测试支持
Sweep attack
TCP包重叠
确定入侵的新模型
缓冲区溢出
匹配应用冲突反馈
q 可用性
规则优先权消除,有利于定义成熟的优先权
阻塞被定义成行为来执行
修订行为的定义和处理
GUI接口通过OPSEC支持与FireWall-1连接
忽略假的可疑网络活动误报警的能力
在查询日志文件的同时通过鼠标点击编辑规则
通过工具栏按钮点击来在不同的日志事件察看和阻塞事件察看中切换
DHCP客户的别名可以基于MAC的选项
定义全局缺省阻塞信息的选项
HTTP支持的分块页面格式
切换工作空间
切换后强制重新统计的选项
切换上的安排报表
q 操作环境
NT服务支持
NT CPU利用情况
LLC网络支持
Windows 98和NT 5支持
SessionWall-3保护
随着用户将其本地或企业网络连接到Web上并在企业内使用Internet技术,他们必将面临以下两个主要问题:
保护用户网络不受外来入侵和攻击。
保护用户的企业不会出现内部的滥用和生产力的下降
SessionWall-3是一种经济有效的方法,可以快速顺利地解决这两个问题。另外,它避免了改变现有网络布局,引入网络性能开销或进行复杂规划及全面实施周期的必要。
SessionWall-3 R3在一个单一而全面集成的方案中提供了业界最为全面的网络保护,它包括:
从高层统计信息到具体用户使用情况的网络利用报告。R3目前包括了“drill-down”的能力。
网络安全包括内容扫描、入侵探测(服务拒绝型袭击,可疑活动,怀恶意的applets,病毒)、阻塞、报警和日志记录。
Web和内部使用政策监控技术和可以通过用户ID、IP地址、域名、组、内容和控制清单等对Web访问和企业内部政策进行监控和加强的控制器。
企业信息记录通常作为法律保护手段,对Email内容、日志监控,查看和记录。
SessionWall-3被审计人员,安全咨询人员,法律执行人员,财务机构,中小型企业,大型企业以及ISP,教育机构和政府部门用来满足网络保护方面的各种不同需求。
SessionWall-3监控
SessionWall-3包括适用于Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全政策文件夹。这些政策文件夹包括企业在了解其网络利用情况、检测入侵和可疑网络活动时需要的规则。这些规则可以非常方便地加以激活、关闭或加以剪裁以满足企业在一般需要之外的其它具体要求。这些规则包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功能。
一旦安装了SessionWall-3,它就立即开始对入侵企图和可疑的网络活动进行监控,并开始对所有的Email、Web浏览、新闻、Telnet以及FTP活动进行记录。新的规则可以方便地添加,现有的规则也可以利用菜单功能选项进行修改。所有未能与规则关联的网络活动,都被加以识别,并被用于统计分析和实时分析,以确定是否需要额外的规则。
特殊的隐私功能
SessionWall-3提供了登录和管理访问控制的能力,以控制访问权限。
平稳的安装和运行
通过以下的特点,SessionWall-3解决了网络保护中存在的关键问题:
最小化技能和资源上的需要
提供经济的,可伸缩的解决方案
提供管理报告
提供易于使用的,灵活的工具
从运行的角度讲,SessionWall-3消除了安装和运行网络保护方案的神秘感。SessionWall-3实际上提供了以前只有多种管理工具结合起来,并需要通过艰苦的分析才可以获得的网络信息, 这是通过以下的方式实现的:
插即用的安装(自行配置)
方便易用的图形化用户界面
联机查看网络活动日志
实时的统计数字和dashboard图形
全面的“drill-down”查询和报表
联机查询和调度报告
易于更新的监控、阻塞设置和报警规则
包括实时干涉在内的全系列的反馈
预定义的阻塞规则,“stateful dynamic blocking”以及
SNMP陷阱、运行以及OPSEC接口以激发其它反馈
全面的URL站点分类和控制列表
支持Web自行评定系统(RSACi)
先进的可疑applet探测(如,Java/ActiveX)引擎
全面的病毒扫描引擎和病毒信息库
全面的格式化内容及附件查看功能。
电子字词模式内容扫描和阻塞
自动和菜单驱动的地址解析
pager、Email、fax、console消息和可审计的报警
自动或迅速反应的阻塞
SessionWall-3日志和NT事件日志记录
SessionWall-3企业版
新的SessionWall-3企业版增加了集中化地监控多个分布式SessionWall-3的功能,并可以远程地管理SessionWall-3,将所选择的信息合并到一个公用的关系型数据库中。
SessionWall-3 Central使网络管理员可以监视和控制一个或多个运行SessionWall-3的节点。这可以通过在网络的不同分区(本地或远程)安装SW3 agent来实现,中央节点可以对其它节点进行监控,并可以在不同agent所收集的信息进行合并的基础上查看和生成报表。
SessionWall-3 Central是若干个不同服务的基础。SessionWall-3 Central:
使同一个网络管理员可以对多个远程和本地的SessionWall-3进行监视和管理。利用这一功能,网络管理员可以在控制台上查看报警信息,并拥有远程控制特定SW3节点的功能,就象它们在本地一样。
使系统管理员可以管理远程的SessionWall-3节点。
使远程网络上的授权用户可以查看已被授权的特定信息。
SessionWall-3 Central支持以下组件:
SessionWall-3 Central组件运行于Windows 95、Windows 98或Windows NT。SW3 Central组件接收、排序和显示由一个或多个远程SW3 agent生成的信息,并使管理员可以连接到SW3 agent并对其进行操作。
SessionWall-3 Central Agent是运行于安装了SW3企业版软件的节点上的组件。SW3 Central Agent包括的代理应用可以在后台运行,接收来自SW3的报警,通过可以对远程访问进行授权的远程控制应用将其发送到SW3 Central,并使SW3 Central可以远程控制。
SessionWall-3 Log View使用户可以通过选取特定的数据库,并对其中存档的信息进行浏览和查看,监控一段时间内网络使用的细节。用户们也可以在关系型数据库中对从多个SessionWall-3节点得到的会话信息进行合并。
用户可以在SessionWall-3中创建规则,以便将会话数据存入到备份档案中,从而可以在晚些时候对数据进行查找。
The SessionWall-3 Log View包括三个主要的部分:
SessionWall-3系统组件,SessionWall-3 Data Client负责收集数据并将它传送到备份档案中。
SessionWall-3 Log View Database Server组件,负责控制装有关系数据库产品(Oracle或SQL)的本机或不同机器上的归档数据。
SessionWall-3 Log View Viewer,它可以驻留在任何NT系统,并为用户提供查看归档日志的接口。
在软件安装和归档位置被确定后,用户定义SessionWall-3的规则,以便将会话数据存入归档文件中,用于以后的查找。
总结
SessionWall-3代表了最新一代的Internet和Intranet保护技术,提供了无与伦比的网络使用智能水平、访问控制、用户和网络透明度、性能、灵活性、适应性和易用性。SessionWall-3克服了对强大的UNIX主机的需要,也排除了非路由防火墙软件所引起的开销。另外,SessionWall-3包括了会话日志查看工具,可以被用于内容审计,提供有关电子通讯手段滥用方面的有力证据。使用了最新企业版SessionWall-3,那么远程管理、监视和保护大规模的分布式网络成为可能。
发布人:netbull 来自:中软