扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
网络安全是多领域的综合业务,近10年来在规模和范围方面都获得了极大的发展。对网络及内容潜在的威胁来自各类不同的领域,因此增加了解决这一问题的难度。
在因特网产生之前,对卫星网络及内容实时入侵的安全防护相对容易。然而,基于卫星网络的WWW互联打开了潘多拉的盒子。
●安全政策
多年来,卫星网络是独立的,一般不与外部世界相互连接。卫星网络因其独特性而获得了安全性,目前这一状况不再如此。
为数不多的网络工程师能够应用不同的工具来提高其网络的安全性,然而除了选择工具,有效的安全策略开始于对网络的真实评估和对安全政策的开发。除非人们十分拥护,否则安全政策是不会起作用的。
网络中的每个设备至少应该在荧屏上建有日志,这些日志要求有用户名和接入设备的口令。要考虑到设备的风险,这些风险仅只需通过加入某些终端便能得到处理。如果人们从不改变工厂默认设备,那么用户名和口令保护的作用有限。一旦某个硬件的默认配置被黑客发现,那它们就会出现在黑客们的荧屏上。
●防火墙
下面的这些网络安全工具可以单独应用,但它们在同时使用时会最有效,从而充分发挥了它们的单方面的效能。
防火墙仍是防护网络进攻的第一道防线,这一技术经过Cisco、Juniper和Check Point等供应商过去15年的研发,已有了很大的进步。防火墙历来配置在可信任的边界上,或者是专用和公用网络的交界处,然而,随着802.11无线网络的广泛应用,可信任边界的数量猛增,因此可能受到攻击地方的数量也在猛增。
最开始,防火墙通过打开和关闭端口来控制流量,这一方式由互联网工程任务组(IETF)设计用来协调特殊的应用。端口80将用于控制网页浏览,端口25将控制SMTP流量,端口23将控制远程登陆流量,如此等等。一时间,每个人都遵守这些规则,但是应用开发商希望他们的软件能够被更广泛的用户应用。一些端口,例如端口80和端口443几乎总是开放的,应用开发商便利用这种方式进出防火墙。应用技术的发展已经到了大多数人能够发现一种方式来进入基于端口的防火墙的地步。端口阻止的价值随着时间的消逝而不断降低。
静态应用使用的是单个端口(80、25、23等),能够被简单的分组过滤器控制。动态应用(例如FTP)将从一个端口出去并从另一个端口进来,要求更复杂的控制,因此状态检测出现了。现代应用完全忽略了端口,因此一些销售商附加了更多的过滤器,从而增加了处理延时(见《Via Satellite》2009年9期的“卫星网络的延时最小化处理”)。现实情况是,现代应用的企业控制要求更复杂一些的处理方式。
为了满足这一需求,Palo Alto网络公司将应用ID(App-ID)集成进它的防火墙中。该公司有能力将870种不同的应用进行分类。App-ID允许整个网络具备更细致的细分决定的能力。例如一个组织的营销部门可以允许运行WebEx,但其它部门则不能。对应用确认的能力也非常强大,但是Skype等某些应用使用的是特殊的加密形式,并在端口间跳动,从而造成应用申请的拒绝。然而,Skype的这一特点还能通过启发式的分析进行确认,这样Palo Alto网络公司的防火墙便可以阻止Skype的流量。 ●AAA(鉴权、授权、计费)
由于网络规模的扩大,对它们的照看和维护变得非常地复杂。为了有助于完成好这一任务,AAA系统包括有3个完全不同的安全功能:鉴权、授权、计费。鉴权确认你是谁;授权确认你能被允许对网络做什么、计费记录了你做过什么。终端接入控制器的接入控制系统(TACACS)及远程认证拔号业务(Radius)都是占有巨大市场份额的安全协议。轻型目录访问协议(LDAP)是一种由IETF指定的应用协议,该协议还可针对信息技术设施提供层次控制。
因为网络在规模和复杂性方面的增长,AAA系统对于网络安全来说,变得必不可少了。
●入侵防护系统
对一次入侵的阻止是一种对计算机系统或网络进行主导的尝试,同时使其他人不能对其进行应用。这些进攻的基本作用之一是进攻者发出打开端口的要求,然后在对方做出反应前等上一段时间,比如说10秒。攻击者对其攻击的系统大量灌入要求,这些要求试图隔离对正常流量进行响应的要求,而被进攻的计算机系统必须假定具备以下条件:在对所有明显要求做出反应并保留资源方面,计算机提出要求缓慢;被进攻的计算机不能明确地区分合法要求与非法要求;对业务进攻的阻止必须保证带宽和计算能力。由于大多数卫星网络的带宽只能微调,任何带宽的补充都对网络性能产生严重的影响。
网络入侵检测系统(NIDS)着眼于进来的分组包,筛选出看上去可疑的行为用于检测,当人们的网格遭受进攻时,检测系统依靠人工来评估数据,因此很费时, 时间是珍贵的。入侵防护系统(IPS)自动决定处理过程,交替应用NIDS的方法,因此改善了对攻击的响应。 TippingPoint五年前在这一领域中拨得头筹,现在仍是市场的领先者。应用TippingPoint的IPS,所有进来的分组包都要过滤并评测威胁。该系统实时形成的协议决定,能够评估事件序列,评估可疑行为的数据模式。一旦辨认出来,系统能够向人们通报可疑行为或者直接采取行动。
大量网络管理面临的挑战是要确保在对流量的准确扫描、分析和路由选择的条件下,不影响网络的性能。大多数销售商因为会导致性能的降低(处理延时)后果,只能打开有限的过滤器。TippingPoint在他们的过滤器的精确性方面,提高了一个层次。为了保证网络的平滑运行,TippingPoint优化了它的检查引擎,因此它可以打开更多的过滤器而不降低性能。除此之外,该公司推荐DV实验室团队的过滤器,它认为这些过滤器将证明会给其用户最大的保护,而不影响网络性能。
人们需要记住的是,更多的过滤器将放缓总处理速度。TippingPoint采取的方法是提高过滤器的精确程度,而不是去关注过滤器巨大的数量。与较少数量的过滤器综合在一起,TippingPoint特有的高速数据引擎实现了处理时延的最小化。
●安全远程管理
基于IP的计算和通信设备已经综合进了管理接口,因此他们能够接入或控制LAN或WAN。使用SNMP(简单网络管理协议)来管理一个基于IP的网络所面临的挑战是,人们必须依靠网络来管理网络。如果网络出现故障,从本质上说,人们已经看不到或听不到任何信息,也就没有办法与远程地区的技术设施交流信息。
对于基于IP网络的潜在的最大安全威胁是网络在一段时间的停止运作,无论是部分网络还是全部网络的停止运作,都是如此。理由是:一旦远端设备与AAA系统失去了连接,他们便退出到默认用户名,有时退出回到默认口令。因此,一旦网络出现故障,网络设备更易受到攻击。人们通过跟踪路径,便可以发现以上提到的管理接口的寻址,提高了不必要的风险。自动远程管理系统,例如Uplogix的一种产品,使用安全的次级信道来代替管理接口,从而管理网络设备。Uplogix系统使用一种基于逻辑的方法,这种应用程序灵活地直接连接到各种各样环环相扣的设备的控制端口,例如卫星调制解调器、路由器、交换机、防火墙、接入端口等。这些设备通过应用程序对管理设备的情况或来自中央服务器的SSH连接(可能与AAA系统有接口)的自动响应来实现管理。万一网络出现故障,远端应用便可通过应急连接而连接至网络中心。
由于经由线缆连接至远程地点的各类设备的控制端口,即使在网络出现故障的情况下,这一应用也从不失去与设备的连接。Uplogix的应用隐藏了最后确信的AAA配置,并在网络出现故障的情况下,也能执行组织的安全政策。自动远程管理系统也允许在高级层次的细分授权。例如维持PBX的程序组总是与维持网络接口的程序组发生冲突。细分的授权单个程序或程序组进入下一个程序组领域层中,获取“只读”的权利。因此,PBX程序组能观察PRI的状态,从而在故障产生前观察到网络的各个方面是否正常。 ●加密
加密通过数学算法将内容译成密码,保护了网络上的内容。这一处理改变了比特的次序,使内容不再可读。加密后的内容然后应用相同的算法解密。这两个操作的秘密就在于一个秘而不宣的密钥,无论是发送者还是接收者都要使用密钥。有两大类加密种类:对内容通过的信道进行加密、对数据(例如包含数据的文件)进行加密。两者都有优点和缺点。
当整个链路被加密后,一般意义的数据从加密通道中进进出出。这是保护政府及军事网络的一般技术,提供了高层次的安全,但是也有几个潜在的缺点。端到端的整个线路都必须加密。如果一部分线路没有加密,未保护的数据就很容易在这些地方被拷贝下来。网络工程师因此必须了解每个加密线路的实际数据路径。一旦加密的信道被建立,就只能运作和维持。要知道,加密增加了时延和开销。由于明显的理由,军队通常会加密卫星信道,而商业机构因为会增加成本和复杂性,从而回避了这一方法。
另一种选择是加密单个的文件,传输至它们的目的地,然后解密。AES(高级加密标准)256比特现在是加密的黄金标准。加密和解密数据文件的软件密钥是独一无二的,必须得到保护。加密单个文件有许多优点。加密文件能够安全地在任何网络上传送,保证它们不会被非授权人员看到。这还是一种防范“中间攻击人”的有效措施,因此即使加密信道存在一个未被人们发现的漏洞,整个文件仍是安全的。国家秘密被加密后在加密信道中传输,因此是双重加密。由于这类加密只是简单地记录下比特模式,不会提高文件规格或增加任何开销。
数学公式是加密的核心,数学能够实现的结果最终能够被数学还原,因此如摩尔法则所承诺的一样,应用更大的软件密钥的新算法被开发了出来,用于破解更陈旧更小型的密钥。因此尽管对内容进行加密是保护内容的最安全的形式,但时间不会停滞不前,一旦未来能够提供更新更强的加密方法,人们今天应用的加密形式很可能过时了。
●提高半导体制造商的防范能力
DTH提供商依靠条件接收系统来防止非授权观看,因此来保护网络上的内容。加密用的密钥和算法嵌入在安全模式和机顶盒中,加密方式保护了通过卫星广播的内容。正如前面所提到的,用户密钥必须保证机密,否则就会造成危险。在DTH网络中应用加密算法和密钥的情况中,这些算法和密钥嵌入在安全模式和机顶盒中,目的是用于解密。加拿大现在发展了一个“别墅产业”,该产业进一步加速了全球DTH系统的盗用。大约200万加拿大人在看美国电视,因为语言要求或别的什么原因,他们不能合法地订看美国的DTH。其解决方案是:购置非法的接收机来战胜DTH提供商的条件接收系统。由于他们的数量达到了百万级,有许多资金付诸东流,这些资金足够多到可资助地下实验室来分解半导体芯片的内部工作情况,最终解析出隐藏在其中的加密算法和密钥。拥有加载合法编码从而可以接入条件接收系统能力的DTH接收机,正在被大规模地生产并在全球销售。 不愿意透露姓名的产业来源证实了在美国范围内对DTH的盗看人员的比例大约在10%~20%,尚未达到发展中国家90%的高度。
盗版业应用广泛的战略,试图从芯片中获取核心秘密。有一种叫做各类功率分析的技术,对芯片电耗进行测量,再用统计技术分析出密钥。另一种叫做“错误归纳”或“小故障”的攻击,可分析出芯片非正常运作时所出现的错误。人们可以将芯片一层层地分解下去,在显微镜下看到图像,并分析出逻辑结构。密码研究所通过在机顶盒和条件接收模式中应用的芯片里增加专用的反干预电路,帮助直播公司保护他们的DTH业务。这些公司使用数学方法及先进的半导体工作技术等特有的技术,提高了从芯片中盗出信息的难度,因此使拷贝变得困难。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者