引文:張鶴鳴,李庚欣,王雲麗,等. 終端安全框架的研究與實現[J].通信技術,2020,57(11):2828-2831.
終端作爲信息安全的薄弱地帶,逐漸成爲各類安全事件的目標和發生地。隨着信息技術的發展,網絡攻擊手段進一步豐富,大量樣本變種湧現,採用病毒庫升級、定時查殺等傳統方式,已經難以應對網絡中大規模、無差別的攻擊行爲。針對未知威脅的檢測能力和響應能力,是對終端安全提出的新的要求。通過對傳統防火牆、入侵檢測技術進行研究,基於安全聯動思想提出了一套終端框架安全,並在Linux平臺下給出具體的設計方案和策略建議,爲終端安全研究提供思路。
關鍵詞:終端安全;防火牆;入侵檢測;安全聯動
內容目錄
0 引 言
1 終端安全框架
2 防火牆規則配置策略
3 入侵檢測模塊的選擇
4 安全聯動機制設計
5 結語
0 引言
工信部印發的《大數據產業發展規劃(2016—2020)》指出,到2020年,大數據產業體系基本形成,其相關的產品和服務業務收入突破1萬億元,年均複合增長率保持在30%左右。近年來,大數據技術的創新和發展爲人們的生活帶來了極大的便利,同樣也爲信息安全引入了一系列的挑戰。個人隱私泄露、終端被植入木馬等各類安全事件頻出,傳統的防禦手段面臨着嚴峻挑戰,對新一代網絡安全技術的研究逐漸成爲全球關注的焦點。
一個安全事件,無論在網絡中經過多少環節,使用多少技術手段,最終目的都是爲了完成某些未經授權的工作,如竊取數據、破壞系統,或者潛伏下來以備後用。這些動作的完成,大多數是通過終端實現的。然而,由於終端部署具備分散性的特點,直接接觸用戶,物理環境、網絡環境複雜多變,可以說終端是最難實施有效管理的環節,可能成爲信息安全體系的薄弱地帶。因此,終端逐漸成爲安全事件的目標和發生地,也成爲數據安全的主戰場。
本文基於Linux平臺提出了一套終端安全框架,結合傳統的主動防禦機制與防火牆技術,重點探討了安全聯動功能的設計與實現。第一部分從新時代終端安全防護體系入手,介紹了終端安全框架的組成。第二、第三部分從終端的角度,分別探討Iptables防火牆規則配置策略和入侵檢測模塊的選擇。第四部分提出利用決策響應模塊,實現防火牆與入侵檢測的安全聯動功能。最後一部分對全文進行總結。
1 終端安全框架
360企業安全集團副總裁張聰認爲,新時代的終端安全體系應該具備:針對已知威脅的評估能力、攔截能力,以及針對新威脅的檢測能力和響應能力[1]。因此,基於終端構建網絡安全框架,防火牆和入侵檢測是其中必不可少的組成部分。
然而,防火牆是一種靜態安全技術,需要設置規則才能起到防護作用,無法主動跟蹤入侵源,也不能對實時攻擊做出響應;入侵檢測作爲主動防禦機制,雖然可以監控網絡傳輸、檢測入侵行爲,但無法做到實時阻斷。因此,必須有一套安全、合適的技術,在終端上將兩個功能模塊聯合起來發揮效用,做到動靜結合、優勢互補。
本方案提出的終端安全框架包括:防火牆、入侵檢測和決策響應三個組成部分。通過決策響應實現安全聯動功能,將入侵檢測同防火牆聯繫起來,入侵檢測的數據不再來源於網絡,而是流經防火牆的數據包。網絡數據在通過防火牆後,拷貝一份進行入侵檢測,如果在網絡數據包中檢測到攻擊行爲,則通過決策響應模塊調整防火牆的過濾規則,及時阻斷攻擊行爲,將網絡安全隱患降至最低。終端安全框架的組成及流程示意如圖1所示。
圖1 終端安全框架
2 防火牆規則配置策略
Linux2.4及之後的版本集成了Netfilter/Iptables防火牆系統,該系統利用Netfilter提供可擴展的結構化底層框架,實現數據包過濾、深度包檢測、動態地址轉換、網絡地址僞裝和透明代理等功能;Iptables作爲防火牆的配置、管理工具,由一組規則列表組成,用戶通過配置相應的規則,阻斷網絡層、傳輸層的非法數據包。
在Iptables結構中,鏈是作爲規則的容器,串接着擁有相同標籤的規則,如INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING等,分別代表數據包通過協議棧的各個位置點[2]。表作爲鏈的容器,包含着具有相同功能的鏈,Iptables管理着Raw(鏈接跟蹤)、Mangle(修改)、Nat(地址轉換)和Filter(過濾)4個不同的規則表,每個表的功能均由獨立的內核模塊實現。
一個合理、高效的規則集是防火牆良好工作的前提。新時代的終端安全框架,要求系統能夠根據網絡實際情況動態調整防火牆過濾規則,但規則的動態調整可能造成規則的冗餘,導致系統對數據包處理時間延長、過濾效率降低,反而影響系統的性能。
優秀的防火牆配置策略可以有效減少規則的數量,降低規則冗餘引入的消耗,提高防火牆的工作效率。在實際應用中,根據終端的部署環境、安全需求和業務能力的不同,防火牆配置策略一般有以下兩種: ①先允許所有的數據包通過防火牆,然後根據網絡實際情況,依次禁止有危險的數據包通過,本策略適用於功能複雜、對安全性要求較低的綜合型終端;②先禁止所有的數據包通過防火牆,然後根據業務需求和所需服務,依次允許特定的數據包通過防火牆,本策略適用於網絡環境簡單、業務穩定、對安全性要求較高的終端。
3 入侵檢測模塊的抉擇
Snort是一個輕量級的入侵檢測系統,由數據包捕獲庫Libpcap、包解碼器、預處理程序、檢測引擎和報警輸出模塊等部分組成。作爲一種主動防禦機制,Snort利用以太網的共享特性,對網絡中的數據包進行捕獲,通過規則匹配識別網絡攻擊行爲,從而完成用戶行爲監控、網絡異常分析、系統弱點探測,以及網絡攻擊報警等功能。
目前Snort已經遍佈全球,成爲企業級的分佈式入侵檢測體系。考慮到終端資源的有限性,以及“儘量減小對網絡數據傳輸的影響”的要求,方案決定採用Snort作爲終端安全框架的入侵檢測工具。
Snort將攻擊事件的行爲特徵定義爲規則,一系列規則按照樹形結構管理稱爲規則樹,即攻擊特徵庫。Snort利用Libpcap函數實時捕獲數據包,經過解碼、預處理後,檢索攻擊特徵庫,通過規則匹配判斷包中是否含有攻擊特徵。Snort完整的工作流程示意如圖2所示。
圖2 Snort工作流程示意
在本方案的設計中,Snort部署於Iptables防火牆之後,通過防火牆的網絡數據,經過拷貝後進行分流,一份送至上層處理,一份送到入侵檢測模塊,如果在數據包中檢測到攻擊特徵,則在第一時間發出告警信息。
Snort缺乏手段阻止攻擊行爲,終端依然會遭受入侵,而且Snort對攻擊特徵庫的依賴性較強,終端需要及時更新攻擊特徵庫,以保證系統能夠識別最新的攻擊手段。鑑於入侵檢測與防火牆之間功能的互補性,終端安全框架在設計時,還需要有一套獨立的機制,不僅能夠將二者有效地聯動起來,而且能夠保證Snort攻擊特徵庫的實時更新。
4 安全聯動機制設計
作爲框架實施的核心和安全防護的依據,決策響應模塊主要負責安全聯動功能的實現,同時接受區域安全管理中心的統一調度,完成攻擊特徵庫的更新和系統安防策略的調整等工作。決策響應模塊包括入侵行爲分析、安全決策和防護策略調整三部分。
其中,入侵行爲分析負責檢測Snort產生的報警信息和日誌文件,通過對各類安全事件進行分析、轉換,識別具體的攻擊行爲,並通知安全決策進行處理。安全決策主要負責終端防護策略的生成與下發,支持自動防禦和中心干預兩種方式完成安防策略的調整。
在自動防禦模式下,終端設備能夠針對各種不同的攻擊行爲,制定相應的安全策略進行防護;而在中心干預模式下,終端設備接受區域安全管理中心的統一調度,接收並啓用管理中心下發的安全策略,進而構建區域分佈式防火牆。防護策略調整根據安全決策制定的防護規則,更新防火牆配置,達到實時防護的目的。
在決策響應模塊的設計中,有以下要點需要關注:
(1)由於終端資源的有限性,對Snort日誌文件的分析,建議採用Select多路複用機制實現,以節省系統資源,提升工作效率;如果採用定時掃描機制,則需要設定合理的掃描頻率,在處理器資源消耗和入侵響應速度之間,尋找一個可接受的平衡。
(2)安全聯動機制在設計實現過程中,儘量維持防火牆、入侵檢測兩個模塊的獨立性和完整性,避免將入侵檢測作爲一個功能模塊,直接集成到防火牆中。這種高耦合的設計模式,不僅增加了防火牆的複雜程度,而且不利於終端安全框架整體的開發和維護。
(3)重視Iptables防火牆規則集的優化,在添加新規則時,建議對新添加的規則和已有的規則進行分析、比較,刪除被包含的規則,合併功能類似的規則,對於提升防火牆的工作效率、穩定設備性能至關重要。
5 結語
本方案實現的終端安全框架,充分保證了Iptables防火牆、Snort入侵檢測兩個模塊的獨立性和完整性,不僅易於移植、開發和維護,而且將二者有效地聯動起來,形成決策、防護、檢測、響應於一體的終端安全體系。同時,支持人爲干預和中心干預的方式調整安防策略,在緊急情況下能夠斷開聯動,通過區域安全管理中心直接更新規則,形成區域分佈式防火牆,最大限度地保證系統安全。