數據中心安全
數據集中是管理集約化、精細化的必然要求,是企業優化業務流程、管理流程的的必要手段。目前,數據集中已經成為國內電子政務、企業信息化建設的發展趨勢。數據中心的建設已成為數據大集中趨勢下的必然要求。做為網絡中數據交換最頻繁、資源最密集的地方,數據中心無疑是個充滿著巨大的誘惑的數字城堡,任何防護上的疏漏必將會導致不可估量的損失,因此構筑一道安全地防御體系將是這座數字城堡首先面對的問題。
一、數據中心面對的安全挑戰
隨著 Internet 應用日益深化,數據中心運行環境正從傳統客戶機/服務器向網絡連接的中央服務器轉型,受其影響,基礎設施框架下多層應用程序與硬件、網絡、操作系統的關系變得愈加復雜。這種復雜性也為數據中心的安全體系引入許多不確定因素,一些未實施正確安全策略的數據中心,黑客和蠕蟲將順勢而入。盡管大多數系統管理員已經認識到來自網絡的惡意行為對數據中心造成的嚴重損害,而且許多數據中心已經部署了依靠訪問控制防御來獲得安全性的設備,但對于日趨成熟和危險的各類攻擊手段,這些傳統的防御措施仍然顯現的力不從心。
以下是當前數據中心面對的一些主要安全挑戰。
1.面向應用層的攻擊
常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等,最典型的應用攻擊莫過于“蠕蟲”。蠕蟲是指"通過計算機網絡進行自我復制的惡意程序,泛濫時可以導致網絡阻塞和癱瘓"。從本質上講,蠕蟲和病毒的最大的區別在于蠕蟲是通過網絡進行主動傳播的,而病毒需要人的手工干預(如各種外部存儲介質的讀寫)。蠕蟲有多種形式,包括系統漏洞型蠕蟲、群發郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見,變種最多的蠕蟲是群發郵件型蠕蟲,它是通過 EMAIL 進行傳播的,著名的例子包括"求職信"、"網絡天空 NetSky"、"雛鷹 BBeagle"等,2005 年 11 月爆發的"Sober"蠕蟲,是一個非常典型的群發郵件型蠕蟲。而傳播最快,范圍最廣、危害最大是系統漏洞型蠕蟲,例如利用 TCP 445 端口進行傳播的 windows PnP 服務漏洞到 2006 年第一季度還在肆虐它的余威。
2.面向網絡層的攻擊
除了由于系統漏洞造成的應用攻擊外,數據中心還要面對拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)的挑戰。DOS/DDOS 是一種傳統的網絡攻擊方式,然而其破壞力卻十分強勁。據 2004 美國 CSI/FBI 的計算機犯罪和安全調研分析,DOS 和 DDOS 攻擊已成為對企業損害最大的犯罪行為,超出其他各種犯罪類型兩倍。
常見的 DDOS 攻擊方法有 SYN Flood、Established Connection Flood 和 Connection Per Second Flood。已發現的 DOS 攻擊程序有 ICMP Smurf、UDP 反彈,而典型的 DDOS 攻擊程序有 Zombie、TFN2K、Trinoo 和 Stacheldraht 等。DOS/DDoS 攻擊大行其道的原因主要是利用了 TCP/IP 的開放性原則,從任意源地址向任意目標地址都可以發送數據包。
DOS/DDOS 利用看似合理的海量服務請求來耗盡網絡和系統的資源,從而使合法用戶無法得到服務的響應。早期的 DOS 攻擊由單機發起,在攻擊目標的 CPU 速度不高、內存有限、網絡帶寬窄的情況下效果是明顯的。隨著網絡和系統性能的大幅提高,CPU 的主頻已達數 G,服務器的內存通常在 2G 以上,此外網絡的吞吐能力已達萬兆,單機發起的 DoS 攻擊好比孤狼斗猛虎,沒有什么威脅。狼的習性是群居,一只固然勢單力薄,但如果群起而攻之,恐怕猛虎也難抵擋,這就是分布式拒絕服務攻擊的原理。用一臺攻擊機來攻擊不再起作用的話,攻擊者使用 10 臺攻擊機、100 臺呢共同發起攻擊呢?DDoS 就是利用大量的傀儡機來發起攻擊,積少成多超過網絡和系統的能力的極限,最終擊潰高性能的網絡和系統。
數據中心絕不允許DOS/DDOS垃圾報文肆虐于網絡之中,因此如何實施邊界安全策略,如何“拒敵于國門之外”將是數據中心面臨的又一個挑戰。
DDOS攻擊示意圖
3.對網絡基礎設施的攻擊
數據中心象一座擁有巨大財富的城堡,然而堅固的堡壘最容易從內部被攻破,來自數據中心內部的攻擊也更具破壞性。隱藏在企業內部的黑客不僅可以通過應用攻擊技術繞過防火墻,對數據中心的網絡造成損害,還可以憑借其網絡構架的充分了解,通過違規訪問、嗅探網絡系統、攻擊路由器/交換機設備等手段,訪問非授權資源,這些行將對企業造成更大的損失。
“木桶的裝水量取決于最短的木板”,涉及內網安全防護的部件產品非常多,從接入層設備到匯聚層設備再到核心層設備,從服務器到交換機到路由器、防火墻,幾乎每臺網絡設備都將參與到系統安全的建設中,任何部署點安全策略的疏漏都將成為整個安全體系的短木板。
“木桶的裝水量還取決于木板間的緊密程度”,一個網絡的安全不僅依賴于單個部件產品的安全特性,也依賴于各安全部件之間的緊密協作。一個融合不同工作模式的安全部件產品的無縫安全體系必須可以進行全面、集中的安全監管與維護。
因此,數據中心的安全防護體系不能僅依靠單獨的某個安全產品,還要依托整個網絡中各部件的安全特性。
二、安防措施
1.三重保護,多層防御
以數據中心服務器資源為核心向外延伸有三重保護功能。依拖具有豐富安全特性的交換機構成數據中心網絡的第一重保護;以
ASIC、FPGA 和 NP 技術組成的具有高性能精確檢測引擎的 IPS
提供對網絡報文深度檢測,構成對數據中心網絡的第二重保護;第三重保護是憑借高性能硬件防火墻構成的數據中心網絡邊界。
用一個形象的比喻來說明數據的三重保護。數據中心就像一個欣欣向榮的國家,來往的商客就像訪問數據中心的報文;防火墻是駐守在國境線上的軍隊,一方面擔負著守衛國土防御外族攻擊(DDOS)的重任,另一方面負責檢查來往商客的身份(訪問控制);IPS
是國家的警察,隨時準備捉拿雖然擁有合法身份,但仍在從事違法亂紀活動的商客(蠕蟲病毒),以保衛社會秩序;具有各種安全特性的交換機就像商鋪雇傭的保安,提供最基本的安全監管,時刻提防由內部人員造成的破壞(STP
攻擊)。
在網絡中存在不同價值和易受攻擊程度不同的設備,按照這些設備的情況制定不同的安全策略和信任模型,將網絡劃分為不同區域,這就是所謂的分區思想。數據中心網絡根據不同的信任級別可以劃分為:遠程接入區、園區網、Internet
服務器區、Extranet 服務器區、
Intranet 服務器區、管理區、核心區,如圖。
三、技術說明
1.VLAN端口隔離
交換機可以由硬件實現相同 VLAN 中的兩個端口互相隔離。隔離后這兩個端口在本設備內不能實現二、三層互通。當相同 VLAN 中的服務器之間完全沒有互訪要求時,可以設置各自連接的端口為隔離端口,如圖。這樣可以更好的保證相同安全區域內的服務器之間的安全:
即使非法用戶利用后門控制了其中一臺服務器,但也無法利用該服務器作為跳板攻擊該安全區域內的其他服務器。可以有效的隔離蠕蟲病毒的傳播,減小受感染服務器可能造成的危害。比如:如果 Web 服務器遭到了 Code-Red 紅色代碼的破壞,即使其它 Web 服務器也在這個網段中,也不會被感染。
2.STP Root/BPDU Guard
基于 Root/BPDU Guard 方式的二層連接保護保證 STP/RSTP 穩定,防止攻擊,保障可靠的二層連接
(1)BPDU Guard
對于接入層設備,接入端口一般直接與用戶終端(如 PC 機)或文件服務器相連,此時接入端口被設置為邊緣端口以實現這些端口的快速遷移;當這些端口接受到配置消息(BPDU 報文)時系統會自動將這些端口設置為非邊緣端口,重新計算生成樹,引起網絡拓撲的震蕩。這些端口正常情況下應該不會收到生成樹協議的配置消息的。如果有人偽造配置消息惡意攻擊交換機,就會引起網絡震蕩。BPDU 保護功能可以防止這種網絡攻擊。交換機上啟動了 BPDU 保護功能以后,如果邊緣端口收到了配置消息,系統就將這些端口 shutdown,同時通知網管。被 shutdown 的端口只能由網絡管理人員恢復。推薦用戶在配置了邊緣端口的交換機上配置 BPDU 保護功能。
(2)ROOT Guard
由于維護人員的錯誤配置或網絡中的惡意攻擊,網絡中的合法根交換機有可能會收到優先級更高的配置消息,這樣當前根交換機會失去根交換機的地位,引起網絡拓撲結構的錯誤變動。這種不合法的變動,會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上,導致網絡擁塞。Root 保護功能可以防止這種情況的發生。
對于設置了 Root 保護功能的端口,端口角色只能保持為指定端口。一旦這種端口上收到了優先級高的配置消息,即其將被選擇為非指定端口時,這些端口的狀態將被設置為偵聽狀態,不再轉發報文(相當于將此端口相連的鏈路斷開)。當在足夠長的時間內沒有收到更優的配置消息時,端口會恢復原來的正常狀態。
(3)LOOP PROTECTION
交換機的根端口和其他阻塞端口的狀態依靠不斷接收上游交換機發送的 BPDU 來維持的。但是由于鏈路擁塞或者單向鏈路故障,這些端口會收不到上游交換機的 BPDU。此時交換機會重新選擇根端口,根端口會轉變為指定端口,而阻塞端口會遷移到轉發狀態,從而交換網絡中會產生環路。環路保護功能會抑制這種環路的產生。在啟動了環路保護功能后,根端口的角色如果發生變化就會設置它為 Discarding 狀態,阻塞端口會一直保持在 Discarding 狀態,不轉發報文,從而不會在網絡中形成環路。
(4)TC PROTECTION
根據 IEEE 802.1w 和 IEEE 802.1s 協議,交換機監測到拓撲變化或者接收到 TC 報文后會清空 MAC 表。如果受到 TC 攻擊(連續不斷收到 TC 報文)交換機就會一直進行 MAC 刪除操作,影響正常的轉發業務。使能 TC PROTECTION 功能后,將減少刪除 MAC 的次數,保證業務的正常運行。
3.端口安全
端口安全(Port Security)的主要功能就是通過定義各種安全模式,讓設備學習到合法的源 MAC 地址,以達到相應的網絡管理效果。對于不能通過安全模式學習到源 MAC 地址的報文或 802.1x 認證失敗的 0
當發現非法報文后,系統將觸發相應特性,并按照預先指定的方式自動進行處理,減少了用戶的維護工作量,極大地提高了系統的安全性和可管理性。
4.防 IP 偽裝
(1)在 internet 出口處過濾 RFC3330 和 RFC1918 所描述的不可能在內外網之間互訪的 IP 地址。病毒和非法用戶很多情況會偽裝 IP 來實現攻擊。偽裝 IP 有三個用處:
①就是攻擊的直接功能體。比如 smurf 攻擊。
②麻痹網絡中的安全設施。比如繞過利用源 IP 做的接入控制。
③隱藏攻擊源
設備防止 IP 偽裝的關鍵在于如何判定設備接收到的報文的源 IP 是經過偽裝的。這種判定的方式有三種。分別在內網和內外網的邊界使用。
由于現今 internet 上的大多數攻擊者都不具備很高的網絡技術水平,其攻擊手段僅僅是比較機械利用現有的攻擊工具。同時一些攻擊工具雖然做到了使用方便,但其攻擊方法設計也相對簡單,沒有辦法根據網絡實際狀況進行調整。因此,網絡中大多數的攻擊方式是帶有盲目性的。局域網在其 internet 出入口處過濾掉不可能出現的 IP 地址,可以緩解非法用戶簡單的隨機偽裝 IP 所帶來的危害。
(2)網關防御
利用 DHCP relay 特性,網關可以形成本網段下主機的 IP、MAC 映射表。當網關收到一個 ARP 報文時,會先在映射表中查找是否匹配現有的映射關系。如果找到則正常學習,否則不學習該 ARP。這樣偽裝 IP 的設備沒有辦法進行正常的跨網段通信。
(3)接入設備防御
利用 DHCP SNOOPING 特性,接入設備通過監控其端口接收到的 DHCP request、ACK、 release 報文,也可以形成一張端口下 IP、MAC 的映射表。設備可以根據 IP、MAC、端口的對應關系,下發 ACL 規則限制從該端口通過的報文源 IP 必須為其從 DHCP 服務器獲取的 IP 地址。
5.數據中心網絡邊界安全技術
邊界安全的一項主要功能是實現網絡隔離,通過防火墻可以把安全信任網絡和非安全網絡進行隔離。防火墻以其高效可靠的防攻擊手段,和靈活多變的安全區域配置策略擔負起是守護數據中心邊界安全的的重任。
(1)狀態防火墻
實現網絡隔離的基本技術是 IP 包過濾,ACL 是一種簡單可靠的技術,應用在路由器或交換機上可實現最基本的 IP 包過濾,但單純的 ACL 包過濾缺乏一定的靈活性。對于類似于應用 FTP 協議進行通信的多通道協議來說,配置 ACL 則是困難的。FTP 包含一個預知端口的 TCP 控制通道和一個動態協商的 TCP 數據通道,對于一般的 ACL 來說,配置安全策略時無法預知數據通道的端口號,因此無法確定數據通道的入口。
狀態防火墻設備將狀態檢測技術應用在 ACL 技術上,通過對連接狀態的狀態的檢測,動態的發現應該打開的端口,保證在通信的過程中動態的決定哪些數據包可以通過防火墻。狀態防火墻還采用基于流的狀態檢測技術可以提供更高的轉發性能,因為基于 ACL 的包過濾技術是逐包檢測的,這樣當規則非常多的時候包過濾防火墻的性能會變得比較低下,而基于流的狀態防火墻可以根據流的信息決定數據包是否可以通過防火墻,這樣就可以利用流的狀態信息決定對數據包的處理結果加快了轉發性能。
(2)防火墻 DOS/DDOS 防御
Dos(Deny of service)是一類攻擊方式的統稱(DDos 也是 Dos 的一種),其攻擊的基本原理就是通過發送各種垃圾報文導致網絡的阻塞、服務的癱瘓。Dos 攻擊方式其利用
IP 無連接的特點,可以制造各種不同的攻擊手段,而且攻擊方式非常簡單。
在 Internet 上非常流行,對企業網、甚至骨干網都造成了非常嚴重的影響,引發很大的網絡事故,因此優秀的 Dos 攻擊防范功能是防火墻的必備功能。現在幾乎所有的防火墻設備都宣傳具有 Dos 攻擊防御功能,但是那么為什么 Dos 攻擊導致網絡癱瘓的攻擊事件為什么還是層出不窮呢?一個優秀的 Dos 攻擊防御體系,應該具有如下最基本的特征:
防御手段的健全和豐富。因為 Dos 攻擊手段種類比較多,因此必須具有豐富的防御手段,才可以保證真正的抵御 Dos 攻擊。
優秀的處理性能。因為 Dos 攻擊伴隨這一個重要特征就是網絡流量突然增大,如果防火墻本身不具有優秀的處理能力,則防火墻在處理 Dos 攻擊的同時本身就成為了網絡的瓶頸,根本就不可能抵御 Dos 攻擊。因為 Dos 攻擊的一個重要目的就是使得網絡癱瘓,網絡上的關鍵設備點發生了阻塞,則 Dos 攻擊的目的就達到了。防火墻設備不但要注重轉發性能,同時一定要保證對業務的處理能力。在進行 Dos 攻擊防御的過程中,防火墻的每秒新建能力就成為保證網絡通暢的一個重要指標,Dos 攻擊的過程中,攻擊者都是在隨機變化源地址因此所有的連接都是新建連接。
準確的識別攻擊能力。很多防火墻在處理 Dos 攻擊的時候,僅僅能保證防火墻后端的流量趨于網絡可以接受的范圍,但是不能保證準確的識別攻擊報文。這樣處理雖然可以保證網絡流量的正常,可以保證服務器不會癱瘓,但是這樣處理還是會阻擋正常用戶上網、訪問等的報文,因此雖然網絡層面是正常的,但是真正的服務還是被拒絕了,因此還是不能達到真正的 Dos 攻擊防御的目的。SecPath 系列防火墻產品,在對上述各個方面都做了詳盡的考慮,因此 Dos 防御的綜合性能、功能等方面在同類防火墻產品中都具有很強的優勢。
(3)防火墻TCP代理
Tcp 代理是為防止 SYN Flood 類的 Dos 攻擊,而專門開發的一個安全特性。
SYN Flood 攻擊可以很快的消耗服務器資源,導致服務器崩潰。在一般的 Dos 防范技術中,在攻擊發生的時候不能準確的識別哪些是合法用戶,哪些是攻擊報文。采用 TCP 透明代理的方式實現了對這種攻擊的防范, 防火墻通過精確的驗證可以準確的發現攻擊報文,對正常報文依然可以通過允許這些報文訪問防火墻資源,而攻擊報文則被防火墻丟棄。有些攻擊是建立一個完整的 TCP 連接用來消耗服務器的資源。防火墻可以實現增強代理的功能,在客戶端與防火墻建立連接以后察看客戶是否有數據報文發送,如果有數據報文發送防火墻再與服務器端建立連接否則丟棄客戶端的報文。這樣可以保證即使采用完成 TCP 三次握手的方式消耗服務器資源,也可以被防火墻發現。
