信息来源:安全焦点
Cable & Wireless首席安全官Bill Hancock与Juniper网络公司著名工程师Ross Callon深入探讨并介绍了保护企业和电信运营商网络的战略
Cable & Wireless副总裁兼首席安全官Bill Hancock博士向Juniper网络公司的客户深入介绍了帮助Cable & Wireless成为世界最安全的电信运营商之一的战略和原则。在这次采访中,Juniper网络公司的著名工程师Ross Callon与Bill讨论了企业和网络运营商面临的各种安全性威胁以及C&W用来阻止攻击者的技术。
Bill和Ross还分析了电信运营商和系统运营商在实施网络防御措施的过程中面临的一些挑战。Bill坦率地指出,他认为行业必须采取哪些措施,来使网络安全性像简单连接那样实现自动化和强大特性。
认证信息系统安全专家(CISSP)、认证信息安全管理员(CISM) Bill Hancock博士协助完成了成千上万的网络设计和阻止黑客攻击的活动,是著名的网络和安全性咨询工程师。30多年以来,他为全世界数千家公司和政府部门设计和改造了网络,其中包括许多电力公司、金融机构、研发机构和电信公司。
作为Cable & Wireless的副总裁和首席安全官,Bill负责全世界最大互联网托管供应商的所有安全性和无线设施。他负责监督世界第3大IP网络的安全性管理专业服务,为3,300,000多个节点提供服务。Bill还编写了31本关于网络和安全性的书,并管理着世界最大的安全团队。
Ross Callon博士是Juniper网络公司的著名工程师,国际上公认的数据通信专家--重点研究IP路由。他在互联网协议标准、高速路由器设计以及多协议共置和互操作性方面拥有丰富的经验。Callon长期以来一直在参与多个IETF工作组的工作,并且拥有在ATM论坛、互联网工程设计指导小组、IEEE、ANSI和ISO工作的经验。他还编写或参与编写了MPLS、PNNI、IPv6、IS-IS和CLNP网络标准。Callon先生发表过许多文章,并获得了11项专利。
Ross Callon:拒绝服务(DOS)攻击对网络和用户的威胁有多大?
Bill Hancock:我们发现,攻击数量的增长令人毛骨悚然;这些攻击会消耗网络带宽,影响使用网络的每个人。3年以前,这些攻击在互联网中复制需要72到96小时。今年早些时候,Slammer蠕虫仅用了8分钟便在整个互联网中传播开了。今年第一季度的统计数据表明,与2002年同一季度相比,攻击数量增加了6倍。所以,不仅攻击数量在极剧增加,而且攻击也更加危险、覆盖的网络范围更加广泛、传播速度更快。随着这些消耗带宽的攻击在互联网中传播,他们会降低每条用户会话的速度,以至于协议超时、用户无法登录到要连接的网站。
Ross:攻击导致严重中断的频率有多大?
Bill:去年,我们遇到了5次严重攻击;每个人都受到了攻击,而且导致了严重故障。以前,我们每年只会遇到2到3起攻击;而在这之前,许多年都没有发生过如此严重的攻击。导致网络瘫痪的攻击频率显然在上升;而且攻击的复杂程度也有了极大提高。而1998年时的互联网规模还很小,一个非常简单的BUG就会导致各种故障。现在,我们可以看到,大部分网络受到了越来越完善、复杂的攻击。
Ross:针对单一站点的攻击情况如何?
Bill:有的攻击针对网络,有的攻击则针对单一站点。DOS攻击通常针对特定实体;他们的目标通常是破坏特定的计算机,或者阻塞服务器内存;这样它便不能接收更多的连接,或者导致计算机崩溃,或以某种形式受到损坏。这种类型的攻击通常直接面向某一公司或机构,以达到某种目的--政治目的或是报复行为。DDOS攻击或分布式DOS攻击是一种"多对一"的攻击;与特定网元上的攻击相比,消耗的带宽更多而且通常对网络的破坏性更大。
Ross:其他类型的攻击情况如何?
Bill:我们将所有攻击分为两大类:单独攻击和自动攻击。单独攻击指,某个人侵入网站、计算机和网络。在自动攻击中,软件代理(称作"蝇蛆")会预置在整个网络中。这些"蝇蛆"与主控制程序结合使用,通过拥塞链路或使用某种强力攻击来攻击一个或多个站点。
单独攻击仍旧很流行,但是自动攻击却变得越来越常见。3年以前,老练的攻击者会在整个网络中培养"蝇蛆",用来攻击他们想攻击的任何目标。在发动自动袭击之前,他们经常会发动某种手工攻击,以便进一步了解攻击受害者及其防御系统。今天,我们中有成群结队的"蝇蛆",通过地下黑客在攻击者中间共享。攻击者将互相协作,利用多个"蝇蛆"网络同时攻击一个站点。
Ross:攻击者是否使用病毒或蠕虫来放置"蝇蛆"?
Bill:是的。有些蠕虫的有效负载具有破坏性,但是许多蠕虫不会损伤被他们感染的系统。蠕虫只是在目标设备中放入"bot kit"或"root kit"的机制。Root kit是一组软件和工具;它破坏系统核心的方式使攻击者成为"网络主宰"。通过获得根访问权限,攻击者能够隐藏自己的存在,这样系统管理员便不能通过"show all users"查询发现他们。一旦有效负载准备好,它能够开始按键登录,获取口令并执行任何设计完成的任务。
两年前,"红色代码"的一个变种实际上在数百万计算机中放置了"root kit";其中有许多"root kit"仍在那里,仍未被系统拥有者检测到。我们不断发现大量的"root kit"。没有保护的系统受到黑客攻击的速度快得惊人。在Honeynet项目(
http://project.honeynet.org/)中,研究人员将没有防御系统的"成品"计算机连接到网络上,以发现他们在多长时间内就会受到影响。3年以前,这平均需要96个小时。而现在,缩短到了6分钟!
Ross:哇!
Bill:这是因为,所有这些"bot"都在搜索网络。只要他们发现目标,他们会自动感染设备。3年以前,这些都是人工完成的。
Ross:是不是实际上网络中的任何系统都会成为受害者?
Bill:是的。而且不必运行经典的操作系统。它可能是路由器、交换机、任何网络设备--甚至是网络管理工作站。我记得,2001年2月宣布存在严重的SNMP漏洞之后,突然出现了许多基于SNMP的攻击。
Ross:服务供应商能采取什么措施来保护特别容易受到攻击的客户?公司能够采取什么措施来保护自己?
Bill:有防火墙和过滤器等各种攻击缓和工具;而且防御工作者可以采取许多措施来清除"垃圾"。如果你不需要,就关闭它--关闭网络;因为不使用的网络会被用来攻击你自己。
Ross:这也包括服务器上安装的协议,如果不使用,则关闭这些协议。
Bill:我会给你一个很好的例子:最近,我们的一位客户受到了相当严重的攻击;调查表明,他们正在通过一台老式VAX设备受到攻击;这台设备基本上已经退役,但仍连接在网络上以便不时运行一些备份程序。有人登录了这台设备,并通过它、利用各种坏数据包和有害电子邮件阻塞内部网络--这导致了严重问题。所以,如果有些设备在日常运营中没有必要,就没有理由再连接到网络。如果仍旧联机,则可能被用作攻击公司的平台。
Ross:人们不大注意采用旧版本软件的老式设备,可能不会修补安全漏洞。
Bill:完全正确。
Ross:哪些攻击很难有效地过滤或进行速率限制?
Bill:DNS攻击很难限制;这是因为,如果不对DNS查询进行路由,那就什么都做不了。
Ross:如果对DNS服务器的攻击来自100,000个地方,这似乎是个非常难以解决的问题。
Bill:可能是,但是还是开发了一些防御措施。我们像其他人一样,随时都会受到攻击;但是,去年当DDOS攻击指向我们的DNS服务器时,我们的设备智能化程度之高,能够注意到他们接收的DNS请求格式不正确、而且也没有正确的握手。因此,它能够丢弃大多数伪造的DNS请求。它能够通过分析每个DNS请求并丢弃任何源地址与观察到的节段数有差异的请求,将每秒20,000个数据包降低到3,000 pps。结果是,我们的客户从来都不知道发生的攻击。
Ross:所以,你在相对深入地分析数据包--而不只是IP和TCP或UDP报头。
Bill:还有会话本身以及连接的状态型特性。同时,我们还将我们的DNS集群从25,000 pps升级到超过300,000 pps的业务处理容量。
Ross:所以,您很容易就会获得足够的带宽,来处理其余的假请求。
Bill: 如果是采用最初的方法--我们现在可以称之为"碰运气"。之前它是"蜥蜴";现在它是巨兽-Godzilla,我们说"捞大鱼"。
Ross:连接您的DNS服务器的链路需要足够大,才不会被攻击流量淹没。
Bill:这对我们来说不是问题;因为,作为电信运营商,我们拥有连接各地的OC-192链路,所以我们的问题不是带宽消耗。某些攻击可能会消耗使用T1或部分T3链路的个别客户的带宽,而不是运营商。
Ross:您会采取什么措施?
Bill:我们在Juniper路由器和大型过滤器树上启动了源地址验证,这样可以丢弃不属于他们的数据包。我们还利用了数据包的状态型特性,以确保握手可以在会话启动时正确进行。如果握手完成不正确,则路由器会消灭这些握手。因此,我们可以消除许多不属于此的流量,从而使之不会成为一个问题。
Ross:所以会丢弃带有假源地址的数据包,或者地址与数据包来源不匹配的数据包。
Bill:是的。而且,我们的整个Juniper网络都可以进行这种处理。我们还有一个网络原则,我们会阻断所有允许流量之外的流量。1月25日遭到Slammer蠕虫攻击之后发生的情况就是一个很好的例子。它专门通过UDP端口1433和1434进行攻击。由于我们广泛部署了Juniper路由器,我们已经在默认配置中关闭了这些端口。Slammer攻击我们时,它只是被弹回,并不断尝试以寻找进行攻击的其他位置。因此,如果你注意一下那些天的互联网健康状况报告,我们是少数几个一直都保持"绿色"的运营商之一。坦率地讲,我们向行政主管们解释没有受到攻击的原因用去的时间比我们解释受到攻击的原因的时间还多!
Ross:攻击数据包非常特殊,而且采用的方法令你意想不到,所以千万不要让攻击数据包通过!
Bill:我们可能会受到各种不同的攻击;我们的部分防御措施只是简单地关闭"所有房间的灯、只留下我们所在的房间"。我们关闭了所有不特别需要的端口和协议--而不是运行所有端口和协议。而且,我们还对安装的所有新技术采用这条原则。所以,尽管来吧!试着用某种方式攻击它!祝你好运!因为,如果流量不属于这里,就会被歼灭。
Ross:您不担心路由器会受到影响吗?如果路由器受到影响,结果可能很令人担忧。
Bill:这一点毫无疑问。路由协议本身就不安全。用于路由器的密码和标记鉴权系统是严格设计用于人为访问的安全性组件--不是路由器到路由器的鉴权或访问控制。有些公司开发了一些对某些路由器的密码进行解密的工具;这使人们很容易就可以访问路由器控制层面。例如:某受欢迎的路由器制造商为整个路由器使用单一密码;而有家公司则开发了实时解密该密码的工具。这些工具性能很好;而且人们可以下载30天的免费试用版。如果你能使路由器显示自身、或用SNMP刺探攻击路由器以使其显示正确数据,它将返回加密的字符串;而这种实用程序可以对他解密,为你提供密码。
Ross:您如何防止这种情况发生呢?
Bill:只要运行TACACS+ 密码机并使用标记卡片进行鉴权,就可以防止这种精心设计的攻击。但是,如果您是一家小型公司,或者您不想安装TACACS或RADIUS,或者采用适当的管理和令牌--因为每个令牌要花75美元,则大多数人都会为他们的路由器使用一个简单的密码,然后不去管它。他们没有意识到,密码可以被实时解密。这种安全控制还只用于人机界面,与路由器协议、路由器更新和其他协议内部活动无关;这些方面完全没有安全控制。
Ross:您是否采取措施,以防止路由器受到影响时可能导致的后果?
Bill:噢,显然是的。我们必须这么做;因为我们是一家运营商。但是由于许多公司并不知道如何正确配置路由器,所以他们并没有采取相应的措施。有些路由器公司在路由器内部使用了微型Web服务器,这使得路由器的漏洞更加复杂。他们运行服务器微型内核;如果Web服务器中有BUG,这个BUG可能被用来破坏路由器。
还有其他问题。如果研究一下网络层上的所有协议,没有一个协议作为其中的一部分内置了用户鉴权、加密、密钥管理等任何基本的安全性。你会发现,他们都是附加特性,通常是通过VPN或类似的技术实施的,而不是路由报头或传输报头的一部分实施。只有在会话层或更高的一层才会有安全特性。例如:以太网,以太网报头和以太网帧协议中的比特能提供任何安全性控制吗?
Ross:不能。
Bill:都不能。这包括用来传输流量的所有基础协议--无论是通过帧中继、ATM、SONET、以太网、令牌环还是FDDI,他们的报头中都没有提供安全控制功能的比特。
Ross:例如:这样攻击者就可能会试图干扰IEEE生成树协议。
Bill:肯定会!这不是什么大问题。大多数人都会设置两个根节点,并将他们设置为零优先级,并观察整个网络会发生什么情况:它会触发转换(flip-flop)。我实际上曾经看到过,单单错误就会导致相当大的网络发生这种情况。以OSPF为例,设置两个零区域,会发生什么情况?
Ross:是的。许多经验都表明,错误配置会造成严重问题--尽管许多经验都是基于无知的错误。您如何保护路由协议?
Bill:有些像我们这样的服务供应商实施了许多对等互联,通过BGP-4双向运行所有鉴权系统。在有些情况下,我们实际上会编写应用程序来处理某些方面的协议安全性。但是,这仍是不够的。有几个委员会目前正在研究BGP-4的安全性;如:美国和英国内政部的NCS。问题是,这些基础协议根本就没有安全功能。所以,我们许多规模非常大、非常完善的全球网络使用的协议都是为完全可靠的环境构建的。
更糟糕的是,用于大多数路由协议的路由器不加辨别地接收更新数据包。这意味着,如果格式正确的路由数据被转发到路由器,而它所带的信息会导致一定范围的IP地址超出"生存时间(Time To Live)"或者最大成本参数;收到下一个更新之前,该路由器将无法到达这个范围内的节点。互联网中的有些攻击会导致这种情况。例如:routeup.exe每隔15秒向路由器发送一个RIP更新,告诉它某个IP范围"太浪费",而无法到达。由于RIP通常每隔30秒更新一次,所以在消息停止之前,这些节点会被标记为"无法到达"。所以,如果每隔15秒发送一个"too expensive"消息,这些节点会一直无法到达。无需密码、没有令牌、也不用鉴权。所有这些都是利用格式正确的路由消息完成的。密码是限制人的,而不是限制路由协议的。
1989年,我为NASA做了许多工作,当时我经常连接到海军的研究试验室。我认识试验室的网络管理员。我知道他如何管理网络,采用什么安全控制功能。而且,他知道我为NASA工作。我不怀疑他们的安全性但是,现在这些网络都成为了互联网的一部分,6.55亿的用户都可以访问这些网络;我怀疑我们是否可以彼此信赖,因为我不认识希望使用这些网络连接的其他人。在过去20年里,网络的整个形态都发生了巨大变化,然而协议并未跟上安全性要求的提高。
Ross:所以,我相信应对协议进行某种形式的升级。
Bill:我确信这一点。实际上,负责开发网络安全最佳方案的NRIC(网络可靠性和互操作性委员会 -
www.nric.org)
www.nric.org) 委员会在三月份制定了一个非常严肃的研究计划,认真分析所有网络和传输层协议以及帧层协议;因为这些协议没有安全控制功能,还要研究如何使他们更加安全。
Ross:你可以使用IPSec鉴权路由IP数据包。
Bill:是的,但是IPSec不是IP、TCP或UDP的一部分;你首先要考虑到这一点。IPSec也不是成帧协议的一部分。应用报头和封装协议有效负载都位于前三层协议上。IPSec是个会话层协议;安全性首先要从这里开始实施。
Ross:由于TCP和IP不安全,BGP在这些协议上运行,所以它也不安全。因此,如果黑客可以找到路由器地址,他们就可以向路由器发送一个BGP数据包。
Bill:非常正确。
Ross:黑客知道如何利用IP和TCP协议--他们已经在系统中运行了。
Bill:而且,他们也能够利用BGP协议;网络中有各种套接字,可用来写入。
Ross:的确如此。但是如果对数据包进行鉴权,他们就有麻烦了。
Bill:很对,但是这并不是说他们不能到达其他地方。现实当中,有多少人对所有数据包进行鉴权呢?每个Windows XP拷贝都带有磁盘加密,但是有多少人启用这项功能呢?
Ross:可能大多数人都不知道应该怎么做。
Bill:他们不知道该怎么办--而且他们可能也不想知道;因为复杂性可能会带来麻烦。他们传输一份仍被加密的文件,当文件到达另一端时,却没人知道该怎么使用--天啊!去年,Peter Shipley在拉斯维加斯举行的Defcon黑客大会上公布了一份统计数据,他发现85%的无线接入点完全关闭了所有安全特性。
Ross:没有受到保护的无线设备似乎有严重的漏洞。
Bill:是的。但是,其余的15%也只是运行默认的密码。
Ross:但是,无线网络有一个特点,你无法通过物理连接接入到网络。
Bill:是的,但是除非采取特殊方式,否则你必须与网络发生联系;这表示你"一对一"地直接连接到安装了无线卡的其他设备。但是,我想说的是,从更大的范围看,802.11只是另一种成帧协议。无线协议有一些安全特性--比以太网的安全特性多;但是所有人都关闭了这些特性。与大多数其他成帧协议相比,802.11占有一定优势--他拥有协议安全功能,但是大多数公司甚至没有启用或使用这些功能。
Ross:因此,主要的问题是,人们几乎没有使用安全特性的紧迫感。
Bill:这只是部分原因。另一个问题是,人们禁用那些安全特性是因为他们太难实施了。而且,许多人也没有意识到,他们不需要打开所有特性;他们只需要启用适当的特性就可以了。
Ross:让我们谈谈应如何放慢或限制蠕虫和病毒的传播吧。我设想,如果一个蠕虫每10分钟复制一次,那么蠕虫开始复制之后就无法打开过滤器了。
Bill:并非完全如此。回忆一下Slammer蠕虫;它在一个非常紧密的回路中随机创建IP地址,以便以最快的速度传播,尽可能释放更多的蠕虫。但是它只针对特定的协议--端口1433和1434上的UDP协议。如果你通过阻断这些端口来关闭协议,这样就可以消灭蠕虫传播的机会。
Ross:这样的话,即使蠕虫被广泛传播,人们仍有可能打开过滤器来阻止蠕虫传播和阻塞带宽了。然后,当人们将蠕虫清除出系统后,他们就不会再进来了。
Bill:是这样的。当然,这种方法只适用于这种蠕虫;有些其他蠕虫就不能采用这种方法。
Ross:如果要直接过滤UDP或TCP端口,只要你知道应该进行,路由器就能够完成过滤。有多少蠕虫带有路由器能够识别的特点,如:假源地址或针对特定端口等特点?
Bill:如果入侵检测系统(IDS)能够检测到,显然会有一些能够被其他设备检测到的区别特点。IDS系统的确可以检测到Slammer蠕虫;这意味着,他们在寻找某种签字。问题是,IDS系统通常不能共享这些信息。IDS系统拥有相对完善的功能来观察发生的情况,但是它是一种"线路附加"设备,而不是内嵌设备。如果IDS系统是内嵌设备,则可能导致系统速度下降。但是作为"线路附加"设备,它能够在不导致网络业务降级的情况下观察数据。因而,当你确定某些东西有害时,你能够像点亮"圣诞树"那样启动系统,处理问题。如果在路由器中配置同样的功能,则会消耗相当大的CPU处理能力,而且有可能会导致通过路由器的业务降级。遗憾的是,我们没有机会将IDS系统与路由器捆绑在一起,以便自动应用过滤器。
Ross:我们可以设置路由器,使它向下一个机架中的IDS系统或路由器中的刀片服务器发送流量的拷贝。
Bill:是的。1995年,我的公司--被Cable & Wireless收购以前--建立了一个基于主机的防火墙;它确实包括入侵检测功能。只要IDS系统检测到奇怪的东西,它就会向防火墙组件发出命令,阻断它。这与IDS命令路由器过滤某种流量完全相同。
Ross:所以,我们可以利用任何控制路由器的网络管理协议,使IDS系统发布命令,以打开适当的过滤器,然后可能会向工作人员发出警报--它已经启动了某个过滤器。这样,将可以以更快的速度完成所有操作--工作人员不会减慢它的速度。
Bill:如果你注意到今天的联网方式,在当地的商店购买一台PC机、带回家、安装无线卡、打开无线集线器、连接网络并开始工作,这能有多难?
Ross:希望这不会太复杂,或者人们不愿意这样做。
Bill:没错。10年以前,想想我们要进行哪些复杂的操作,在PC机上配置TCP/IP协议!难度非常大!如果使用Windows 3.1,你必须从第三方购买网络程序包,然后配置子网掩码等鲜为人知的项目--多麻烦的事情啊!然后,你必须购买网卡,安装驱动程序。而今天,所有的一切都是自动的,可以即插即用。UNIX如此,许多其他操作系统也是如此。
Ross:实际上,如果今天购买一台计算机,它会告诉你,需要插入一条电话线,这样就能拨通你的ISP供应商,然后报告购买计算机的地方一些信息
Bill:是的。我越来越担心,有人带着小爪子,来抢你的钱包,以便扫描你的信用卡。我的意思是,经过10年的时间,我们已经从痛苦的"经过复杂、纷乱的操作,被搞得一团糟"的方式发展到了非常简单、直接的联网方式。网络安全现在所处的境地就像10年以前的联网方式一样。
Ross:是这样的。
Bill:安全组件有许多--各种需要完成的工作,但是配置任何一个组件都会很痛苦。你要处理许多个组件。你的各种工作人员互相之间没有任何沟通。如果看看10年以前的联网方式,你有FDDI、令牌环、以太网、ARCnet、Appletalk、帧中继--使这些技术互相对话是一项艰巨的任务。现在,这一切都变得非常简单了。今天,要使IDS、安全参考监控器和路由器等安全组件实现互操作不是一件简单的事情;因为这项工作远没有完成。
Ross:所以在标准制定和产品开发方面仍有许多工作要做。
Bill:对。而且安全组件的基本互操作性方面也有一些工作要做。我会给你一个简单的例子:哪些防火墙日志可以相互兼容?一个都没有!Cable & Wireless部署了14家不同供应商提供的防火墙。我希望,我能够将所有这些日志融合在一起,以便寻找有害的东西。但是,所有这些供应商都没有为我提供一种协作标准,以便我能完成这项工作。这是个很简单的例子,但是这确实是个问题,最终会导致严重后果。基础协议没有安全性,附加的安全工具不能互操作,所有安全性工作都堆到了工作人员身上;而他们可能对安全性没有一个非常好的了解;因为这仍旧是一项新技术。如果把所有这些都加起来,会变得非常困难。
Ross:让我来讲一个关于安全性在人员方面的问题的故事:许多年以前,在我从事过许多工作以前,我忘了一份文件在办公室。那是一个周末,我和我的一位朋友驾车去一个离我的办公室很近的地方,所以我顺路去了公司。但是,我忘记带我的身份卡,所以我就等着有人来。我对那位同事解释说,我忘了带身份卡了,他说"没问题,",就让我进来了。这样,我的朋友和我就进去了,到了我的办公室。当然,我的办公室是锁着的,我没有带办公室钥匙。所以,我要到秘书那里,打开她办公桌上的公文格,找到钥匙,打开了办公室。我找到了那份文件,把钥匙放回去,锁上所有的门,就出来了。在我们驾车离开的时候,我的朋友说"我对你们公司的安全防卫有些担心。"所以,很大程度上,安全性是一个教人如何做的问题。
Bill:只需应用社会工程技巧便能很容易进入一家公司。在我来到被Cable & Wireless收购的那家公司之前,我的一位客户找到我,看我是否能够进入他们的网络。我离开那个家伙在洛杉矶的办公室,飞到他的公司在达拉斯的办事处。我向为我提供办公室和网络连接等办公设备的工作人员出示了该公司首席安全官的名片;所以,在一周里,我可以获得任何我想要的东西。从来没有人核对过我的名片和我的驾驶执照,或者要求我进一步证实身份。所以,这属于社会工程学的范畴--向人撒谎就可以进去。这本身不是什么大问题。像Kevin Mitnik那样的人因善于入侵网络而出名。如果你看一下他闯入的系统,他的许多入侵能力是通过社会工程技巧获得的,而不是技术技能。这并不难做到。
Ross:所以,有一部分只是教网络运行者如何变得不那么配合工作的简单问题!
Bill:我们把这称之为"安全意识培训"。让我给你举另一个例子,这发生在我为Cable & Wireless工作以前:有一天,我在新泽西的一位朋友给我打电话,问道"Bill,为什么有人要我给你传真一份我们的员工名单?"我说,"是吗!你为什么要这么做!我根本没有向你要过我们员工的名单,我有要过吗?"他接着说:"没有,你没有。而且我们知道,你会用电子邮件,而不用传真。"我的同事很机智,会与我核实;因为他们都很清楚我的工作习惯,并且都知道,如果有任何问题,他们应该给我打电话。后来我们知道了,是当地的一家猎头公司,想了解我们雇用的人员。他们假装是我。当地的行政管理团队知道我从不使用传真传输信息,这是一种基本的意识能力。那些猎头公司知道,如果他们假装是安全部门,他们就不会受到质询。结果是,我们请我们的内部调查部门参与进来,给那些猎头公司发了一封令人非常不快的电子邮件,他们遇到了诸多麻烦。但是,通常就是这样。
Ross:让我们回到网络设备的功能上来,我们能够采取什么其他措施来使网络更加安全?
Bill:很显然,路由器对网络基础设施非常关键。一个核心问题是,开发路由协议时,大多数人都没有考虑到安全性。我和你都在ANSI(美国国家标准研究所)小组委员会X3S3.3工作时,我们无休止地讨论IS-IS路由应以何种方式运行,但从来没有讨论过安全性的问题。
Ross:从来都没提到过。
Bill:当时没有无线网络。因为当时没有太多的黑客攻击,所以这也不是个大问题。我们关心的只是联网技术。
Ross:这确实是个大问题,IS-IS实际上允许你使用明码传送密码,而其他协议完全忽略了这一点。所以,我们确实做了些事情!
Bill:即使在那时,我记得我们曾在科罗拉多州玻尔得商务部召开过一次会议。我相信,人们已经准备在X.25中实施DES了,有人抱怨密钥长度太长了。我是会议室中唯一一个举手发言的人,我说"先生,你不能缩短密码算法。""是吗,为什么不能?""因为,如果你这么做,会削弱整个实施。"在场的都是才华出众的联网专家,但是他们对安全性没有一点头绪。而这正是协议创建时的情况。
Ross:那是20年以前的事情了。
Bill:是的。但是,我们仍在使用那些协议。他们没有进行其他协议完成的重要的叉式升级。例如:HTTP和XML有何差别?他们有根本上的差别。一个像是说德语,另一个就像日语一样。XML内置了一整套安全性特性,但是成帧层、网络层、路由层和传输层中,一个和另一个协议之间的安全性根本没有进行这种重要的升级。
Ross:在路由协议方面,应该只允许几个系统向路由器发送数据包。谁应该与路由器对话?只有网络内部的另一台路由器、EBGP对等设备和网络管理系统可以与之对话。
Bill:好吧!现在,我们部署了12,000台路由器--你告诉我,我如何回去、列出一个处理所有路由器的清单?
Ross:数量太多了。我想,他们并不都使用少量的地址前缀。
Bill:我们是运营商,运行网络就是我们的业务。如果运营商很难部署过滤器,以保护他们的路由器。中小型企业没有实施路由器的专业技术,他们应该怎么办呢?对于许多IT人员来说,访问控制列表是一个全新的概念。如果公司规模没有那么大,IT经理也是网络管理员和应用管理员。我敢向你保证,他们除了保护路由器之外还要考虑其他问题。实际上,即使是现在,我们也不得不与人们做斗争,让他们部署防火墙,让他们告诉我如何保护网络基础设施的基本概念--而中小型企业根本没有这些措施。
Ross:我们讨论了如何在路由器上使用过滤和速率限制功能。已经部署的许多路由器都不能达到可以接受的性能,这肯定是个问题。
Bill:是的,而且情况越来越糟糕:如果你到其他国家,语言障碍的确会妨碍我们充分利用可用的技术。因为翻译的手册和命令可能词不达意,所以可能无法很好地理解速率限制等概念。
Ross:是由于翻译对技术和语言不够精通吗?
Bill:这只是部分原因。另一方面的原因是,如果分析一下每个编程语言,他们都基于英语语法和英语的段落结构。所有的命令也是如此。如果你不讲英语,或者英语水平不高,就很难掌握同一水平的专业技术。供应商试图通过翻译所有资料来解决这个问题,但是并非每个国家翻译的语言界面都很恰当。这并不是因为人们做不到这一点,而是因为他们仍不得不学习英语,以便能够很好地理解我们希望他们实现的功能,如:速率限制。我可以讲7国语言,我自己就曾经有过类似的经历。部分原因是由于人机界面和其他部分缺少有关路由运行原理的信息。你可能会花费20年的时间,却仍未理解所有的路由协议。但是,如果你是一般公司的IT经理,你必须了解联网、路由、安全性、应用、鉴权以及所有保密规定。你有一大堆的事情要操心;这超出了一个中型企业所能掌握的技术。这就是为什么许多公司都在利用外包业务的原因之一。
Ross:有人用毕生精力研究路由协议,有人则终日研究安全性问题。
Bill:安全性比路由协议复杂得多,但是你会发现有许多网络工程师研究路由协议;但是通常只有一个安全专家从事全面的安全性工作。他要处理许多杂乱无章的工作--就像10年前的联网工作一样。
Ross:随着时间的过去,人们会更好地理解安全性的重要性。
Bill:安全性会越来越多地嵌入系统;所以,随着时间的过去,它会像联网那样,它会成为"即插即用"的安全性。就像变魔术一样:交换策略、设置过滤器--一切都那么自然。但是,目前尚未达到这种水平。伏特公司哪年推出T型轿车的--第一款批量生产的汽车?1909年。哪一年法律规定必须使用安全带?1979年。这相隔了70年;我们知道安全带是一种很好的安全装置,但是政府花了70年的时间才规定强制使用安全带。看看,自1979年以来汽车安全得到了多大的改善!
Ross:非常惊人!
Bill:现在有许多安全功能--并非都是因为政府的规定,而是因为市场已经被培育。消费者可能会说,"我会购买更加安全的汽车,因为安全功能非常重要,所以我愿意在这方面投资。"
Ross:汽车厂商已经对安全需求做出了响应。
Bill:没错。所以,哪家路由器厂商在下大力气,向市场宣传如何保护路由协议和路由基础设施?我确信,我还没有看到一家厂商这样做。不是一家厂商的问题,所有厂商都没有这样做--也包括你们这些专业工程师。
Ross:准确地讲,我们经常谈论这个问题。
Bill:但是,你就像原野中的孤狼。你的公司或者其他路由器厂商有像IBM发布黑客商业广告那样教育市场吗?告诉市场,在路由器安全性方面需要采取这些措施?没有人这么做。IBM最好的商业广告是一年半以前在Super Bowl期间运作成功的。我们完成了4个原始的"黑客"商业广告。最好的广告是从一个满脸纹身的家伙开始的。他非常镇定,小心翼翼地操作电脑--像他说的,听起来非常训练有素。"在你浏览 Super Bowl的时候,你应该意识到,像我这样的人可能会闯入你的计算机系统。"他继续照常操作,说道:"我们为什么要这么做?"突然,音乐改成了硬摇滚风格,他伸出舌头,尖叫道"因为,我们不得不这么做!"
IBM试图告诉市场,安全性意味着什么。不止他们这么做。Computer Associates也在这么做。McAfee和其他杀毒公司也在这么做。对推销和出售安全性非常感兴趣的人在不遗余力地教育市场。但是,如果是一家路由器厂商,则要解释路由和基础设施安全性问题--市场上根本没有一家公司这么做。
整个行业都需要安全性培训:路由器厂商担心路由协议和路由方法,第2层厂商关心的是中继器和相关技术,托管供应商担心应用采用的协议以及HTTP或XML协议--但是,我们安全人员面临的问题是,我们担心所有这些问题。我们不得不担心成帧安全性--生成树以及所有相关安全性--无论黑客能否攻击交换和互连--路由和传输协议安全性、会话控制--以及所有应用、数据管理--所有的一切。
安全性远远超出了人们的想象。它包括我们发送和接收的所有业务层。然而,大多数公司都没有重视它,并且认为安全人员会知道一切。这简直是荒唐!大多数安全人员--真正优秀的安全人员--最初都是联网和系统技术人员--这也许不会令人惊讶。他们长期从事本职工作,无意间涉足了安全性领域--因为学起来很有趣。他们成为了"安全性先验论者。"
Ross:我跟一些服务供应商谈过,其中有个安全人员说,"但是,当然要使这更加安全我们将不得不做……,但是我们却没有这么做。"所以,只有一个人在努力保护重要的网络,这够糟糕的了;但是,如果禁止他做他认为需要做的事情,就更糟了。
Bill:这是个大问题。我很幸运,我工作的运营商相信安全性,至少自1953年以来一直相信安全性--1953年Cable & Wireless发生了第一起安全性事件。C&W是一家非常老的公司--早在1879年就成立了。作为一家历史如此悠久的公司,如果不是安全性问题缠身,才会让我震惊呢。但是实事上,这家公司一直都处于安全技术的前沿,包括基础设施路由器和交换机安全性。我们一次又一次证明了这一点;这是因为,无论何时,如果有人要攻击我们,攻击都会被挡回去。这不是因为我们关闭了某些设备,而是进行了大量管理工作。
Ross:人们都在绞尽脑汁,想预测出人们会做什么,然后想出阻止他们的办法。
Bill:还要处理像错误配置路由器或交换机那样"蠢笨"的操作--他们也可能会把一切搞乱。各公司都非常重视风险管理。风险管理不仅涉及到攻击你的外部人员,同样也包括我们内部人员的任何隐蔽的活动。
Ross:服务供应商采取了各种措施,以确保安全性。根据推测,可能也达到了客户希望的效果。
Bill:在攻击过程中受影响的程度,从这一方面看,是这样的。
Ross:Slammer蠕虫是否进入了他们的网络,业务是不是在丢失或者放慢?客户可能通过各种不同的方式看到了区别。你认为,市场的力量是否足以促使服务供应商部署更多的安全性特性?如果服务供应商希望部署安全性措施,各厂商将有兴趣支持他们希望部署的特性。
Bill:市场上有一些推动因素,开始迫使每个人严肃地看待安全性问题。FCC等有些监管机构也开始说"因为这是全国性的基础设施,所以你最好认真对待安全性问题。"美国90%的网络连接都归私营公司所有,而不归政府所有。所以,这都是我们关键的全国基础设施的一部分。政府很清楚,如果我们不保护它,他们不能强迫我们这么做。然而,如果我们不这么做,基础设施就会被搞得淅沥哗啦;然后,所有人都会受到伤害。因此,我们成立了NRIC网络安全部等机构;这是因为,有些人需要告诉基础设施的所有者,他们需要实施什么安全性方案。还要告诉他们,因为如果你不这么做,你将不得不受到法规的处罚,所以我们会督促你这么做。
就像前两年那样,新颁布了一些法律,涉及到了特定的垂直市场。在金融和医疗保健行业,现在有许多安全性要求--而两年以前根本没有这些要求。政府还制定了一些法规,来打击恐怖活动、洗黑钱以及像类似安然丑闻那样的活动。这些法律和功能正在向各行各业扩展。对于企业必须如何保护他们的网络、应用和数据方面,法律规定发生根本的转变,这远远超出了电信运营商的范围。
Ross:你知道,服务供应商应从哪里获得有关保护网络的更多信息吗?
Bill:可以通过各种途径获得信息。首先,可以登录NRIC网站(
www.nric.org),查看最佳方案。现在,该网站为电信运营商和电信公司提供了一些网络安全最佳方案。我们非常小心地扩展了这些最佳方案,以覆盖我们的企业网络。另一个不错的网站是互联网安全性联盟(
www.isalliance.org),它是由EIA、电子行业联盟、Cable & Wireless和IBM等网络和计算机公司以及波音等大型公司(还包括Carnegie Mellon的CERT协调中心)共同创办的。他们在行政指导中结合了一系列最佳方案,来帮助投资的决策者了解安全性及其重要意义。他们还为家庭用户提供了一系列最佳方案。
Ross:这些信息非常宝贵。
Bill:是的,而且所有信息都可以免费下载。行业、CERT和EIA就是通过这种方式使每个人都开始开展适当的安全性工作的。SANS(系统管理、审计、网络、安全性研究所)(
www.sans.org)等机构对技术人员很有用。另一个不错的网站是
www.opensource.org;我们不久前在这里公布了一些用于Juniper路由器的ACL树--防火墙过滤器。如果有人采用了Juniper 的技术,并且想实施一些我们采取的措施,他们可以看到我们是怎么做的,以及我们为什么这么做,他们自己也可以实施同样的方案。
Ross:你在鼓励你的竞争对手与你一道使网络变得更加安全。
Bill:完全正确。因为我们的竞争对手同样是我们的对等网络,我们必须与他们相连接。我一直都发现,销售方面的竞争非常激烈,但是在技术方面,我们彼此了如指掌--这非常有趣。而且,因为我们都必须一起合作,我们希望大家都很安全,而不是互相伤害。我希望,我们所有的同行至少要达到与我们一致的安全水平,这样,我才能在某种程度上相信,我们不会受到他们的影响,或者有人通过他们的网络攻击我们。
Ross:你新出版了一本安全性方面的书,是吗?
Bill:是的,今天夏天新出版的,书名是《网络安全操作手册(Cyber Security Operations Handbook)》。它主要向网络、系统和安全管理员以及他们的技术人员介绍很好的安全方案。这本书很厚--现在已经到了1400页。
Ross:那么,这本书是面向为服务供应商工作、并且一直都很重视开支的相关人员的。
Bill:还有企业、甚至是小型公司。如果有人说"我得建立一个防火墙",那么他可以翻到有关防火墙的一章,了解如何安装防火墙以及应用什么样的规则和策略。
Ross:那么,如果有人为员工达到100人的公司工作,假定他们有一个大型站点和两个小型站点,还有一个小型网络--可能提供一些VPN业务,他或她不用读完所有1400页的内容。
Bill:当然不用!你只需要阅读与你相关的内容就可以了。有些地方甚至根本没有网络,如:提供业务设置或执行安全性审计的部门;书里也有相关章节。有一节介绍安全性审计,提供了审计树范例,一步一步地教人们执行全面的网络评审。John Rittinghouse博士和我联合编写了这本书,目的是要提供第一个针对网络安全操作的综合指南。John和我已经相识多年了。他是个IT/CIO型的权威,我是CTO/CSO(首席安全官)型的权威。我们结合了我们的经验,概括介绍IT部门或安全部门实际执行他们的安全操作的最佳方法(我们认为的最佳方法)。我应该指出,我出书挣到的钱都捐助给了慈善事业,所以我推销我的书不是为了个人目的。
Ross:有句谚语,千里之行始于足下;对于安全性来说,有获取信息的地方,还要开始改进安全性的进程。
Bill:是的。问题是,所有一切的扩展都超过了安全部门能够跟上的速度。如果看一下统计数据,在你实施适当的安全性之前,你的站点可能非常容易受到攻击--你可能不相信,但攻击速度的统计数据却是事实。我要告诉我的客户,"如果你不是攻击目标,那你很有可能被用来实施攻击。"
Ross:整个行业的发展如此迅速,以至于很难为每个方面开发成熟的技术和操作程序。
Bill:是的。这还因为,安全性通常并没有内置到技术当中,而是一种附加特性。
Ross:当然,任何事物都不是绝对安全的。我记得仔细考虑过我家新地下室隔墙的锁有多安全--我意识到,如我锁上门,你仍可以闯进来;而且用链锯在墙上割一个洞会更容易一些。那么,安全性的目标真的是要确保系统非常安全,不会出问题吗?
Bill:在这方面我有一条原则:你的所有一切都必须可以自我防御。例如:在安玻璃窗的房子前面建假山公园就不是什么好主意。捡起一块石头,朝窗户扔过去不需要什么"火箭技术"。在我自己的家里,我直到最近才安装了运动传感器,用作安全系统的一部分。如果有窃贼打开了门,警报会响起来;但是,如果他从窗户爬进来,警报就不响了。我们需要注意到这些细节,并纠正这些问题。
你必须使资产可以进行自我防御--你必须教会它如何进行防御。如果是路由器,你要确保厂商在路由器中提供了安全性技术,然后通过实施访问控制表和鉴权来实施这种技术。不要以为设备中有密码就可以高枕无忧了;还要实施RADIUS或TACACS+,并使用令牌鉴权。这些都是基本技术,都可以找到。如果你采用适当的技术,你可以很快地解决问题。但是,就是因为有人不想这么做--唉,太糟糕了。你至少要有一点点动作,以解决自己的问题。
F有关如何利用Juniper网络公司路由器保护IP网络的更多信息,请参阅以下技术文档:
Juniper网络公司路由器安全性、增强基础设施的通用最佳方案 197 KB
此应用说明介绍了有关路由器配置和操作的常见安全问题。他介绍了Juniper网络公司能够用来预防和抗击攻击的特性,并提供了安全部署Juniper网络公司路由器的通用最佳方案原则。
Internet处理器II ASIC:增强核心 235 KB
此应用说明介绍数据包过滤功能如何能够提高服务供应商骨干网络的安全性,例子包括:源地址验证、抵抗并跟踪拒绝服务(DOS)攻击,防止受欺骗的网络操作中心(NOC)地址以及增强路由引擎。
最大限度减小DoS攻击的影响126 KB
此技术说明介绍了两种常见的DoS攻击:smurf和SYN泛滥。并提供了利用过滤、采样和速率限制等功能最大限度减小这种攻击对Juniper网络公司平台的影响的技术。
>>Bill:都不能。这包括用来传输流量的所有基础协议--无论是通过帧中继、ATM、SONET、以太网、令牌环还是FDDI,他们的报头中都没有提供安全控制功能的比特。
Ross:例如:这样攻击者就可能会试图干扰IEEE生成树协议。
Bill:肯定会!这不是什么大问题。大多数人都会设置两个根节点,并将他们设置为零优先级,并观察整个网络会发生什么情况:它会触发转换(flip-flop)。我实际上曾经看到过,单单错误就会导致相当大的网络发生这种情况。以OSPF为例,设置两个零区域,会发生什么情况?
Ross:是的。许多经验都表明,错误配置会造成严重问题--尽管许多经验都是基于无知的错误。您如何保护路由协议?
Bill:有些像我们这样的服务供应商实施了许多对等互联,通过BGP-4双向运行所有鉴权系统。在有些情况下,我们实际上会编写应用程序来处理某些方面的协议安全性。但是,这仍是不够的。有几个委员会目前正在研究BGP-4的安全性;如:美国和英国内政部的NCS。问题是,这些基础协议根本就没有安全功能。所以,我们许多规模非常大、非常完善的全球网络使用的协议都是为完全可靠的环境构建的。
>>
确实还是很有远见卓识啊.
