《网络安全》网络安全65.ppt

网络安全网络安全-6-5,网络安全网络安全-6-5,2,网络访问控制,网络边界控制把不同安全级别的网络相连接，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封杀”，一般来说网络边界上的安全问题主要有下面几个方面：信息泄密网络入侵网络病毒木马入侵边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。边界防护技术 防火墙技术多重安全网关技术网闸技术数据交换网技术,4网络访问控制网络边界控制,3,网络访问控制,边界防护技术多重安全网关技术如果一道防火墙不能解决各个层面的安全防护，就多上几道安全网关，如用于应用层入侵的IPS（Intrusion Prevention System）、用于对付病毒的AV（Antivirus Programs）。它们设计在一起就是UTM（Unified Threat Management是指全功能的安全防御设备，UTM系统将多种特性和功能集成到一个产品中，包括入侵检测与防御、网关杀毒、垃圾邮件过滤与Web内容过滤以及防火墙等传统功能），分开就是各种不同类型的安全网关。多重安全网关的安全性显然比防火墙要好些，起码对各种常见的入侵与病毒都可以抵御。但是UTM存在一个最重要的致命伤一直阻碍它的大规模推广，这就是性能问题。,5网络访问控制边界防护技术,4,网络访问控制,边界防护技术IPS与IDS,6网络访问控制边界防护技术,5,网络访问控制,网闸技术GAP源于英文的Air Gap，GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。GAP中文名字叫做安全隔离网闸，它采用独特的硬件设计，能够显著地提高内部用户网络的安全强度网闸的安全思路来自于“不同时连接”。不同时连接两个网络，通过一个中间缓冲区来“摆渡”业务数据，业务实现了互通，“不连接”原则上入侵的可能性就小多了。网闸只是单纯地摆渡数据，通过的内容清晰可见，这样入侵与病毒没有了藏身之地，网络就相对安全了。但是，网闸作为网络的互联边界，必然要支持各种业务的连通，也就是某些通讯协议的通过，所以网闸上大多开通了协议的代理服务，于是网闸的安全性就打了折扣，在对这些通道的安全检查方面，网闸比多重安全网关的检查功效不见得高明。网闸的思想是先堵上，根据需要再开一些小门，防火墙是先打开大门，对不希望的再逐个禁止，两个思路刚好相反。后来网闸设计中出现了存储通道技术、单向通道技术等等，但都不能保证数据的“单纯性”，检查技术由于没有新的突破，所以网闸的安全性受到了专家们的质疑。,7网络访问控制网闸技术,GAP技术的基本原理是：切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查，包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。安全隔离与信息交换系统SGAP一般由三部分构成：内网处理单元、外网处理单元和专用隔离硬件交换单元。系统中的内网处理单元连接内部网，外网处理单元连接外部网，专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元，与两者间的连接受硬件电路控制高速切换。这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网，既满足了内部网与外部网网络物理隔离的要求，又能实现数据的动态交换。SGAP系统的嵌入式软件系统里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机制，可以根据用户需求实现复杂的安全策略。SGAP系统可以广泛应用于银行、政府等部门的内部网络访问外部网络，也可用于内部网的不同信任域间的信息交互。,6,GAP技术的基本原理是：切断网络之间的通用协议连接;将数据包,7,9,8,网络访问控制,边界防护技术数据交换网技术数据交换网技术是基于缓冲区隔离的思想，把城门处修建了一个“数据交易市场”，形成两个缓冲区的隔离，同时引进银行系统对数据完整性保护的Clark-Wilson模型，在防止内部网络数据泄密的同时，保证数据的完整性，即没有授权的人不能修改数据，防止授权用户错误的修改，以及内外数据的一致性。数据交换网技术比其他边界安全技术有显著的优势：综合使用多重安全网关与网闸，采用多层次的安全关卡。有了缓冲空间，可以增加安全监控与审计，用专家来对付黑客的入侵，边界处于可控制的范围内。业务的代理保证数据的完整性，业务代理也让外来的访问者止步于网络的交换区，就象是来访的人只能在固定的接待区洽谈业务，不能进入到内部的办公区。数据交换网技术针对的是大数据互通的网络互联，一般来说适合于下面的场合：频繁业务互通的要求高密级网络的对外互联,Clark-wilson integrity model）：在普通商业活动中提供数据完整性的方法，包括抽象数据类型、权力分离、分配最小权力和非任意访问控制等软件工程概念。,10网络访问控制边界防护技术Clark-wilson int,9,网络访问控制,物理安全主要是指通过物理隔离实现网络安全。国家保密局2000年1月1日起颁布实施的计算机信息系统国际联网保密管理规定第二章保密制度第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。” 为确保物理隔离技术和新产品的安全保密，国家保密局对物理隔离提出了明确的保密技术要求：在物理传导上使内外网隔离，确保外部网络不能通过网络连接而入侵内部网络，同时防止内部网络的信息通过网络连接泄露到外部网络。计算机屏幕上应有当前处于内网还是外网的明显标识。内外网络的接口处应有明确的标识。内外网络切换时应重新启动计算机，以清除内存、处理器等暂存部件残余信息，防止秘密信息串到外网上。移动存储介质未从计算机取出时，不能进行内外网络切换。防止内部网络信息通过电磁辐射泄露到外部网络上。,11网络访问控制物理安全主要是指通过物理隔离实现网络安全。,10,网络访问控制,物理安全主要是指通过物理隔离实现网络安全。国家保密局2000年1月1日起颁布实施的计算机信息系统国际联网保密管理规定第二章保密制度第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。” 为确保物理隔离技术和新产品的安全保密，国家保密局对物理隔离提出了明确的保密技术要求：在物理传导上使内外网隔离，确保外部网络不能通过网络连接而入侵内部网络，同时防止内部网络的信息通过网络连接泄露到外部网络。计算机屏幕上应有当前处于内网还是外网的明显标识。内外网络的接口处应有明确的标识。内外网络切换时应重新启动计算机，以清除内存、处理器等暂存部件残余信息，防止秘密信息串到外网上。移动存储介质未从计算机取出时，不能进行内外网络切换。防止内部网络信息通过电磁辐射泄露到外部网络上。,12网络访问控制物理安全主要是指通过物理隔离实现网络安全。,11,网络访问控制,电磁辐射泄密进入80年代以来，随着各类电子设备在军事及民用领域的普遍应用，解决电磁辐射泄密的问题也随之被提上了日程。就象河里的水必然有渗透漏一样，所有电子设备如计算机、电子打字机、通信机、电话机、扩音机、投影机等在信息传递过程中都存在不同程序的电磁辐射泄漏问题，其中尤以带有显示器（CRT）的电子设备泄漏更为严重。据有关资料介绍，国外接收和还原电磁辐射信息的距离已超过1000米。因此，采用技术手段防止秘密信息由电磁辐射形式泄漏已是迫切需要解决的问题。使用计算机处理涉密信息时，应当使用低辐射计算机设备或者采取屏蔽或干扰等防辐射的保密技术措施。就目前的技术手段讲，主要方法有降低电子设备的电磁辐射强度、屏蔽，安装干扰器，控制安全距离和降低电子设备安放楼层的高度等。,13网络访问控制电磁辐射泄密,12,网络访问控制,电磁辐射泄密使用低辐射计算机 使用低辐射计算机设备是防止计算机辐射泄密的根本措施。因为这些设备在设计和生产时，已经对可能产生电磁辐射的元器件、集成电路、连接线等采取了防辐射措施，使计算机设备的电磁辐射降到最低限度。国外对计算机辐射问题认识比较早，制定了一系列安全标准 ，生产厂家也严格按规定生产符合标准的设备，但这些低辐射计算机是禁止出售给我国的。目前我国已能生产有相对屏蔽措施的显示屏和主机箱内套有金属屏蔽柜的设备，电磁辐射较小。 采取计算机电磁屏蔽技术 根据计算机辐射量的大小和客观环境的需要，对计算机机房或主机部件加以屏蔽，是防止涉密计算机群体电磁辐射泄密的有效措施。将计算机房用金属屏蔽笼(又称法拉第笼)封闭起来，并将金属屏蔽笼接地，能有效地防止计算机和辅助设备的电磁波辐射。不具备屏蔽条件的计算机机房，也可将计算机辐射信号的区域控制起来，避免辐射信号被截收。 采取计算机电磁辐射干扰技术 根据电子对抗原理，采用一定的技术措施，对计算机的辐射信息进行干扰，增加接收还原解读的难度，是防止计算机电磁辐射泄密的有效措施。目前对电磁辐射实施干扰的方法，主要有白噪声干扰和相关干扰两种。,14网络访问控制电磁辐射泄密,13,网络访问控制,为什么需要物理隔离？在实行物理隔离之前，我们对网络的信息安全有许多措施，如在网络中增加防火墙、防病毒系统，对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性与有限性，这些在线分析技术无法提供某些机构（如军事、政府、金融等）提出的高度数据安全要求。而且，此类基于软件的保护是一种逻辑机制，对于逻辑实体而言极易被操纵。后面的逻辑实体指黑客、内部用户等。 正因为如此，涉密网不能把机密数据的安全完全寄托在用概率来作判断的防护上，必须有一道绝对安全的大门，保证涉密网的信息不被泄露和破坏，这就是物理隔离所起的作用。,15网络访问控制为什么需要物理隔离？,14,网络访问控制,什么是物理隔离？物理隔离技术实质就是一种将内外网络从物理上断开，伹保持逻辑连接的信息安全技术。这里，物理断开表示任何时候内外网络都不存在连通的物理连接，逻辑连接表示能进行适度的数据交换。物理隔离是指内部网不直接通过有线或无线等任何手段连接到公共网，从而使内部网络和外部公共网络在物理上处于隔离状态的一种物理安全技术。,16网络访问控制什么是物理隔离？,15,网络访问控制,物理隔离的含义它可以阻断网络的直接连接，即没有两个网络同时连在隔离设备上；隔离设备的传输机制具有不可编程的特性，因此不具有感染的特性；任何数据都是通过两级移动代理的方式来完成，两级移动代理之间是物理隔离的；物理隔离系统具有管理和控制功能，隔离设备具有审查的功能。,17网络访问控制物理隔离的含义,16,网络访问控制,物理隔离从广义上分为网络隔离和数据隔离，它们都称为物理隔离。网络隔离网络隔离就是把被保护的网络从开放、无边界、自由的环境中独立出来，使得Internet上的黑客和计算机病毒都无从入手，也就谈不上入侵了。数据隔离不管网络隔离采用的是真正的物理隔离还是逻辑隔离，如果在使用中出现一台计算机能够连接两个或多个网络，那么所有的网络隔离就没多大意义，因为同一台计算机连接两个网络，而没有把存储设备隔离，使同一个操作系统能连接不同的网络，计算机病毒很容易从一个网络流向另一个网络，这样即使做了网络隔离，但是网络安全的威胁同样存在。所以数据的隔离是非常重要的。,18网络访问控制物理隔离从广义上分为网络隔离和数据隔离，它们,17,网络访问控制,物理隔离在网络上的要求主要有3点：在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网，同时防止内部网信息通过网络连接泄漏到外部网。在物理辐射上隔断内部网与外部网，确保内部信息不会通过电磁辐射或祸合方式泄露到外部网。在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时做清除处理，防止残留信息泄漏；对于断电非遗失性设备(如磁带机、硬盘等存储设备)，内部网与外部网信息要分开存储。,19网络访问控制物理隔离在网络上的要求主要有3点：,18,网络访问控制,物理隔离技术原理数据二极管技术这是一种在物理断开的网络之间进行单向桥接的专用安全技术。这种单向桥接技术是通过单工的连接完成的。这种连接只在数据源计算机具有一个数据发送源，在数据目标计算机上有一个数据接收器。存储池交换技术这也是一种桥接隔离网络之间连接的专用安全技术。这种技术使用一个可交换方向的电子存储池。存储池每次只能与内外网络的一方相连。通过内外网络向存储池拷贝数据块和存储池的摆渡完成数据传输。这种技术实际上是一种数据镜像技术。它在实现内外网络数据交换的同时，保持内网网络的物理断开。,20网络访问控制物理隔离技术原理,19,网络访问控制,物理隔离技术原理数据二极管技术这是一种在物理断开的网络之间进行单向桥接的专用安全技术。这种单向桥接技术是通过单工的连接完成的。这种连接只在数据源计算机具有一个数据发送源，在数据目标计算机上有一个数据接收器。存储池交换技术这也是一种桥接隔离网络之间连接的专用安全技术。这种技术使用一个可交换方向的电子存储池。存储池每次只能与内外网络的一方相连。通过内外网络向存储池拷贝数据块和存储池的摆渡完成数据传输。这种技术实际上是一种数据镜像技术。它在实现内外网络数据交换的同时，保持内网网络的物理断开。,21网络访问控制物理隔离技术原理,一个典型的物理隔离方案（隔离设备处于与外网相连状态）,一个典型的物理隔离方案（隔离设备处于与外网相连状态）,一个典型的物理隔离方案（隔离设备处于与内网相连状态）,一个典型的物理隔离方案（隔离设备处于与内网相连状态）,22,网络访问控制,物理隔离技术分类物理隔离技术自问世以来，已历经了3个发展阶段，每个阶段都产生了一种具有代表性的产品或解决方案。第一代物理隔离技术第一代物理隔离主要采用双机双网的技术，即采用配置两台计算机、分别连接内外两个网络的做法。这种方法虽然能够有效保证内外网的物理隔离，符合国家有关网络安全隔离的规定，但是它具有成本高、设置复杂、维护困难等缺点，性能问题也是其需要进一步解决的问题。在实现双网物理隔离手段上，还有一种采用切换开关的方案，即用一台电脑通过开关切换不同的网络。这种方式结构简单，但是不能保证内外网的可靠隔离。它只实现了网络隔离，而不满足数据隔离的条件。,24网络访问控制物理隔离技术分类物理隔离技术自问世以来，已,23,网络访问控制,物理隔离技术分类第二代物理隔离技术第二代物理隔离技术采用双硬盘隔离卡，主要在原有计算机上增加一块硬盘和一块隔离卡来实现物理隔离，两块硬盘分别对应内外网，用户启动外网时关闭内网硬盘，启动内网时关闭外网硬盘。二代双硬盘物理隔离卡是一种功能相对简单但较为经济的物理隔离产品。根据网络隔离技术可以将双硬盘物理隔离技术分为两种：基于主板的隔离技术和基于隔离卡的隔离技术。基于主板的隔离技术的核心是双硬盘技术，基本方式是将内外网络转换功能做入BIOS中，并将插槽分为内网和外网。基于隔离卡的隔离技术的核心也是双硬盘技术，它不仅适用于两个网络物理隔离的情况，也可用于存有保密资料的计算机上网的情况。安全计算机在传统PC主板结构上形成了两个物理隔离的网络终端接入环境，分别对应于国际互联网和内部局域网，保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制由网卡和硬盘构成，网络接入和信息存储环境各自独立，并只能在相应的网络环境下工作，不可能在一种网络环境下使用在另一网络环境才使用的设备。网络安全隔离卡的功能是以物理方式将一台PC虚拟为两台计算机。网络安全隔离卡实际是被设置在物理层上，通过卡上一边的IDE总线连接主板，另一边连接IDE硬盘。内外网的连接都需要通过网络安全隔离卡，PC机硬盘被物理分割为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。在安全状态时，主机只能使用硬盘的安全区与内部网连接，而此时外部网(如Internet)连接是断开的，且硬盘的公共区的通道是封闭的；在公共状态时，主机只能使用硬盘的公共区与外部网连接，而此时与内部网是断开的，且硬盘安全区是封闭的。当这两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程完成的。两种状态分别有独立的操作系统，并独立导入，两种硬盘分区不会被同时激活。为了保证安全，两个分区不能直接交换数据，但是用户可以通过在两个分区外，在硬盘上另外设置一个功能区，在两种状态下功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。,25网络访问控制物理隔离技术分类,24,网络访问控制,物理隔离技术分类第三代物理隔离技术的核心产品是单硬盘隔离卡。它的工作原理是将原计算机的单个硬盘从物理层上分割为公共和安全两个分区，安装两套操作系统，从而实现内外网的安全隔离。单硬盘隔离卡有严密的的数据保护功能，有方便的使用方式，有较强的可扩展功能。单硬盘物理隔离卡的工作原理就是通过对单个硬盘的磁道读写控制技术，在一个硬盘上分隔出两个工作区间，这两个区间无法互相访问。网络安全隔离卡是被设置在PC的物理层上的，内外网的连接都需要通过网络安全隔离卡，在任何时候，数据只通往一个分区。两个分区分别安装各自的操作系统，是两个完全独立的环境。,26网络访问控制物理隔离技术分类,25,网络访问控制,物理隔离技术的发展趋势客户端服务器端第四代、第五代产品内外网自动切换通过反射原理代替切换开关进行内外网的物理隔离,27网络访问控制物理隔离技术的发展趋势,26,28,27,29,双硬盘隔离卡,28,双硬盘隔离卡30,单硬盘隔离卡,29,单硬盘隔离卡31,物理隔离卡三网物理隔离解决方案,30,物理隔离卡三网物理隔离解决方案32,31,33,内、外网单布线物理隔离解决方案,32,内、外网单布线物理隔离解决方案34,隔离网闸在公安行业中的应用,33,隔离网闸在公安行业中的应用35,数据交换网,数据交换网的思路是在需要隔离的两个网络之间构建一个数据交换的平台，一个双方交互的隔离区，在这个安全区域上，不仅可以设置多道安全关卡，而且可以通过业务代理保护“内网”数据的完整性，同时安全监控与审计手段的加入，大大弥补了防护网关对“慢性”攻击行为的防护不足。,34,数据交换网数据交换网的思路是在需要隔离的两个网络之间构建一个,在两个网络间建立一个可监控的、安全的、专用的网络，来负责交换业务数据、抵御外部的攻击、阻止入侵与病毒的通过，通过业务代理隔离直接访问，通过审计验证业务安全，这个网络称为数据交换网，也可称为数据交换平台、数据交换隔离区。,35,在两个网络间建立一个可监控的、安全的、专用的网络，来负责交换,36,38,从数据交换网的设计模型中，可以把数据交换网分成两个区域：1.接入缓冲区(接入平台)：负责业务的申请代理，完成对非安全网络中的用户接入。外网的接入是安全第一道关，采用多重安全网关(FW+IPS+AV+防攻击+流量管理+内容过滤)，实行多重关卡防护，主要是针对入侵、病毒的防护与设备自身的抗攻击性。另外一个考虑是不影响用户接入的速度，多重安全网关一般采用硬件过滤技术，重点是常见的、特征型的病毒与入侵的过滤，相当于安全网络的“大门”。在接入缓冲区内采用IDS对网络入侵行为监控、对网络的异常流量监控，该处主要是针对高级黑客的攻击行为与未知攻击的监控。在接入缓冲区主要是收集客户的业务代理，有些类似TP把UDI转换为CDI1，接管用户业务的控制权。2.业务缓冲区(业务平台)：负责对业务申请的审核，并完成数据交换。与内网连接是数据交换网安全的最后一道门，采用网闸隔离，利用网闸的摆渡特性来隔离网络，同时网闸保证“协议落地”，减少服务的支持，降低入侵的“门路”。若对业务的实时性要求较高，也可以考虑多重安全网关，但尽量不与接入缓冲区的安全策略相一致。在业务缓冲区内部采用“花瓶模型”的安全保障建设思路，IDS入侵监控、行为审计系统、SOC安全管理平台，形成事前防护、事中监控、事后审计的立体安全保障体系。在业务缓冲区完成业务的代理，对业务的审计，完成TP的生成CDI2、CDI3的功能与IVP的功能。非安全网络的客户接入是通过接入缓冲区进来的，但对大客户(专线客户)的接入，由于客户是固定接入的，是可控的，所以可以直接接入到业务缓冲区的接入防火墙上，提高业务访问的效率。另外，作为数据交换的平台，还可以根据安全的需要，增加“蜜罐”类的安全技术，把攻击引导到对系统无害的区域，一方面减少可能的损失，一方面分析攻击行为的新变化，为安全防护技术的提高提供依据。数据交换网技术是把“花瓶模型”的安全保障机制与Clark-Wilson模型的数据保障机制有机地结合起来，从网络安全、业务安全的角度审视与非安全网络的业务互联，其安全性大大加强。,37,从数据交换网的设计模型中，可以把数据交换网分成两个区域：1,数据交换网技术的利与弊,数据交换网技术的利与弊豪无疑问，数据交换网技术适合于业务量大、实时性要求高，安全要求也高的两个网络之间的数据交换，并且由于网络分为两个区域，形成两个对付攻击的缓冲地带，用户可以根据自己面临攻击的特点，再增加安全的措施。但是，数据交换网技术作为与非安全网络的互联也有它一些固有的缺陷：1、用网络替代传统意义上的网关，安全保障系数增加了，成本也增加了，所以一般是业务非常需要的时候采用此设计，同时也可以根据业务安全性的需要，把两个区域合并在一起，减少总投资。2、业务的代理与验证部分需要客户针对业务做一定的开发，Clark-Wilson模型用于银行系统，银行的业务本身就是专用的，自行开发不是问题。但其他行业的业务系统可能采取的是通用系统，代理开发需要中间件或加壳方式。3、数据交换网综合了“花瓶模型”保障机制与Clark-Wilson模型安全机制，安全系数比较高，但总体上对入侵与病毒的识别与当今的安全技术发展是一致的，所以从理论上讲，数据交换网仍然具有被攻破的可能，最安全的办法还是物理的不连接，就是所谓的人工交换数据。所以，安全保障还是离不开管理制度的建设、人的参与，“技术不够用人补”仍然是数据交换领域的重要安全手段。数据交换网技术不是万能的，但还是不错的方案选择。在使用该技术的同时，也要注意几点，确保该技术的安全、有效地发挥作用：1、“花瓶模型”中的防护、监控、审计是有机结合的安全技术，相互补充、相互配合才能有效保障，若缺失一部分，则容易出现安全的漏洞。2、业务的代理与验证是业务保障的精要，也数据完整性的必须，若数据交换网中没有了完整性保障，安全网络面临的威胁将大大升级。,38,数据交换网技术的利与弊数据交换网技术的利与弊40,实际应用案例介绍,39,实际应用案例介绍41,40,42,41,43,42,蜜罐/蜜网,计算机犯罪是与高科技相伴而生的新型犯罪，近几年来以每年30%的速度递增，造成了严重的危害。黑客地下产业链基本形成，攻击者非法盈利目的更加明确，行为更加嚣张；2006年网络安全工作报告国家计算机网络应急技术处理协调中心地下计算机犯罪经济已形成一个繁荣的市场，且还将高速增长下去。2007年威胁报告暨2008年预测趋势科技）计算机犯罪进入了2.0时代，攻击的趋利性越来越明显。,44蜜罐/蜜网计算机犯罪是与高科技相伴而生的新型犯罪，近几年,43,蜜罐/蜜网,网络攻防的不对称博弈工作量不对称攻击方：夜深人静, 攻其弱点防守方：24*7, 全面防护信息不对称攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知后果不对称攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损,45蜜罐/蜜网网络攻防的不对称博弈,44,蜜罐/蜜网,蜜罐技术的提出扭转工作量不对称增加攻击代价：假目标扭转信息不对称：了解你的敌人！他们是谁？他们使用什么工具？如何操作？为什么攻击你？扭转后果不对称防守方不受影响损失计算机取证对攻击方的威慑,46蜜罐/蜜网蜜罐技术的提出,45,蜜罐/蜜网,“蜜罐”这一概念最初出现在1990年出版的一本小说The Cuckoos Egg中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。蜜网项目组（The Honeynet Project）的创始人Lance Spitzner给出了对蜜罐的权威定义：“A security resource whos value lies in being probed, attacked or compromised.”蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。,47蜜罐/蜜网“蜜罐”这一概念最初出现在1990年出版的一本,网络中的蜜罐（示意图）,网络中的蜜罐（示意图）,网络蜜罐系统的体系结构,攻击事件,攻击事件,网络诱骗策略,诱导,欺骗,蜜罐系统,欺骗信息,欺骗、诱导策略,欺骗、诱导信息库,欺骗、诱导日志审计,网络诱骗效果分析及策略配置,网络蜜罐系统的体系结构 攻击事件攻击事件网络诱骗策略诱,网络安全 第12讲 蜜罐技术与应用,蜜罐系统可以由决策、诱导、欺骗、分析等模块组成决策模块实时地监听各种各种事件，包括入侵检测系统的报警信号，如某地址被攻击等。普通的网络访问事件，如收到某地址的ICMP echo request报文；收到某地址某端口的发起连接报文等。当决策模块监听到某事件后，将其与欺骗、诱导信息库中的记录进行比较，先判断目的地址是否在被保护的范围内，若是，则根据欺骗、诱导策略决定进行诱导或欺骗。诱导将攻击者的连接转向蜜罐系统。欺骗则由欺骗主机生成虚假信息，发送给攻击者，使攻击者得不到正确的网络资料。系统所作的欺骗和诱导事件都记录到日志中，由分析模块进行分析，调整欺骗诱导策略,网络安全 第12讲 蜜罐技术与应用蜜罐系统可以由决策、诱导、,49,蜜罐/蜜网,蜜罐的分类蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq等一系列的商业产品。研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组” 所推出的第二代蜜网技术。,51蜜罐/蜜网蜜罐的分类,50,蜜罐/蜜网,蜜罐的分类蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹（Fingerprinting）信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap，属于高交互蜜罐。,52蜜罐/蜜网蜜罐的分类,51,蜜罐/蜜网,蜜罐的优点收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投入。相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。,53蜜罐/蜜网蜜罐的优点,52,蜜罐/蜜网,蜜罐的缺点需要较多的时间和精力投入。蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。蜜罐技术不能直接防护有漏洞的信息系统。部署蜜罐会带来一定的安全风险。部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后，他将可能通知黑客社团，从而避开蜜罐，甚至他会向蜜罐提供错误和虚假的数据，从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐指纹，并使得蜜罐与真实的漏洞主机毫无差异。另外，蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限，并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为，但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了确保黑客活动不对外构成威胁，必须引入多个层次的数据控制措施，必要的时候需要研究人员的人工干预。,54蜜罐/蜜网蜜罐的缺点,蜜罐蜜罐关键技术关键技术,网络欺骗技术蜜罐主机技术网络欺骗技术陷阱网络技术网络欺骗技术诱导技术网络欺骗技术欺骗信息设计技术 端口重定向技术入侵报警和数据控制数据捕获技术,蜜罐蜜罐关键技术关键技术网络欺骗技术蜜罐主机技术,54,蜜罐/蜜网,蜜网蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又可成为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击信息。但与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。此外，虚拟蜜网通过应用虚拟操作系统软件（如VMWare等）使得可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设蜜网的代价大幅降低，也较容易部署和管理，但同时也带来了更大的风险，黑客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。,56蜜罐/蜜网蜜网,55,蜜罐/蜜网,蜜网核心需求蜜网有着三大核心需求：即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；数据捕获技术能够检测并审计黑客攻击的所有行为数据；数据分析技术帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。,57蜜罐/蜜网蜜网核心需求,56,蜜罐/蜜网,“蜜网项目组”及第二代蜜网技术“蜜网项目组”是一个非赢利性的研究组织，其目标为学习黑客社团所使用的工具、战术和动机，并将这些学习到的信息共享给安全防护人员。“蜜网项目组”前身为一个非正式的蜜网技术邮件组，到2000年6月，此邮件组演化成“蜜网项目组”，开展对蜜网技术的研究。为了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习，2002年1月成立了“蜜网研究联盟”（Honeynet Research Alliance），到2002年12月为止，该联盟已经拥有了10 个来自不同国家的研究组织。,58蜜罐/蜜网“蜜网项目组”及第二代蜜网技术,57,第二代蜜网体系架构,第二代蜜网方案的整体架构如图所示，其中最为关键的部件为称为HoneyWall的蜜网网关，包括三个网络接口，eth0接入外网，eth1连接蜜网，而eth2作为一个秘密通道，连接到一个监控网络。HoneyWall是一个对黑客不可见的链路层桥接设备，作为蜜网与其他网络的唯一连接点，所有流入流出蜜网的网络流量都将通过HoneyWall，并受其控制和审计。对黑客而言，HoneyWall是完全不可见的，因此黑客不会识别出其所攻击的网络是一个蜜网。,蜜罐/蜜网,59第二代蜜网体系架构第二代蜜网方案的整体架构如图所示，其中,58,蜜罐/蜜网,HoneyWall实现了蜜网的第一大核心需求：数据控制。如图所示，HoneyWall对流入的网络包不进行任何限制，使得黑客能攻入蜜网，但对黑客使用蜜网对外发起的跳板攻击进行严格控制。控制的方法包括攻击包抑制和对外连接数限制两种手段。,60蜜罐/蜜网HoneyWall实现了蜜网的第一大核心需求：,59,蜜罐/蜜网,攻击包抑制主要针对使用少量连接即能奏效的已知攻击（如权限提升攻击等），在HoneyWall中使用了snort_inline网络入侵防御系统（NIPS）作为攻击包抑制器，检测出从蜜网向外发出的含有的攻击特征的攻击数据包，发出报警信息并对攻击数据包加以抛弃或修改，使其不能对第三方网络构成危害。而对外连接数限制则主要针对网络探测和拒绝服务攻击。HoneyWall通过在IPTables防火墙中设置规则，当黑客发起的连接数超过预先设置的阈值，则IPTables将其记录到日志，并阻断其后继连接，从而避免蜜网中被攻陷的蜜罐作为黑客的跳板对第三方网络进行探测或拒绝服务攻击。,61蜜罐/蜜网攻击包抑制主要针对使用少量连接即能奏效的已知攻,基于VMWare的密网设计,虚拟Gen 3蜜网网络拓扑,基于VMWare的密网设计虚拟Gen 3蜜网网络拓扑,虚拟Gen 3蜜网资源需求硬件资源单台主机P4以上/512M以上/40G以上/2块网卡软件资源Vmware Workstation 4.2.5-8848 for Linux / vmware-any-any-update93.tar.gz (bridge mode patch)Honeywall Root CDROM（目标是用来捕获网络空间中各种威胁的具体行为，并能对捕获的数据加以分析。 ）Linux/Windows操作系统安装盘Sebek client 3.0.x（捕捉攻击行为）,虚拟Gen 3蜜网资源需求,Thank You !,Thank You,感谢聆听,感谢聆听,