1. 基于传统VPN网络的安全状况
信息系统正在逐渐改变人们的生活。几乎所有企业都开始重视网络安全的问题,纷纷采购防火墙/VPN等设备希望堵住来自Internet的不安全因素。但是大多数企业网络的核心内网还是非常脆弱的。虽然一些企业也对内部网络实施了相应保护措施,如:安装动辄数万甚至数十万的网络防火墙、入侵检测软件等,并希望以此实现内网与Internet的安全隔离,然而情况并非如此!企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁。从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。这种外联的接入方式的存在,极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。
另一方面,在当今这个多样化的、动态的全球环境中,对于试图接入企业网络的可管理或不可管理的设备,网络管理员根本无法在其接入网络前知晓它们的来源。尤其是,移动VPN用户的增多,使网络上班族和频繁出差族通过IPSec VPN 客户端软件接入内网带来的安全隐患受到关注。如果用户可以从一台主机通过VPN 接入内网,但主机本身不安全,如已被病毒感染或另有不安全的网络连接(split tunnel)等,将对内网带来极大威胁。而且,攻击者可以利用VPN的加密技术穿透防火墙,躲避防火墙对其行为的检测和控制。
另外,绝大部分现有的内网安全或者是内网行为控制,仅仅考虑了内部局域网的行为安全,即对局域网内的主机访问行为进行监视和控制,还没涉及到大规模跨地域的企业全网的安全问题。
这一切都呼唤着可信专用网络TPN(Trusted Private Network)的安全技术的出现,综合网关安全和通信端点安全技术,以及全局的统一管理来部署全方位、多层次的安全。
2. TPN网络
在TPN系统中,任何一个接入网络的主机都必须通过用户验证和主机验证的强制验证机制。只有在某个主机归类为受信任主机后才可以访问相应的系统资源。基本上,受信任意味着主机的风险受到管理。这种受管状态由负责配置主机的IT管理员和用户负责。如果受信任主机管理不当,很可能成为整个解决方案的弱点。
当主机被视为受信任主机时,其他受信任主机应该可以合理地假定该主机不会发起恶意操作。例如,受信任主机应期望其他受信任主机不会执行攻击它们的病毒,因为所有受信任主机都要求使用一些用来缓解病毒威胁的机制(如防病毒软件)。
使主机达到受信任状态需要下面的技术:
l 计算机或用户的身份未被盗用。
l 所需的资源不论驻留在受管环境中的什么位置,都安全而且可用。其中,“安全”的资源是指不会被篡改、没有病毒且不会受到未经授权的访问的资源。“可用”的资源是指达到或超过承诺的正常运行水平并且没有安全漏洞的资源。“受管”环境是指这些计算机经过适当地配置并安装了补丁程序。
l 数据和通信是专用的,这意味着只能由期望的接收人阅读和使用信息。
l 所有受信任主机都必须运行特定的网络管理客户端,以便对安全策略、配置和软件进行集中式管理和控制。
l 设备所有者/操作员了解并将遵守策略,确保环境保持可信度。
另一方面,受信任状态不是不变的,是一个过渡状态,随企业安全标准更改而更改,并且要符合那些标准。新的威胁和新的防御措施不断出现。因此,组织的管理系统必须经常检查受信任主机,以保持与标准相符。此外,在需要时,这些系统必须能够发布更新或配置更改,以帮助维持受信任状态。持续符合所有这些安全要求的主机可被视为受信任主机。
可信专用网TPN系统对经过强制验证的主机和用户,使用“用户—角色—资源”的授权机制,实现“内网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。
可信专用网TPN系统由“TPN安全网关”和“”(即:TPN客户端)组成。下图为可信专用网TPN系统的典型部署示意图:
2.1接入威胁管理
在网络接入控制架构中,执行网关只允许通过网络控制服务器验证的用户或设备接入企业网络,从而为企业网络提供保护。
客户端程序可预装或下载到用户设备上,通常使用 API 或插件来收集关于用户设备安全状态和安全产品状态的信息,然后决定用户设备是否感染了恶意软件或其他恶意应用。
然后,管理程序将验证用户及设备,以决定是否允许它们接入企业网络,从而确保网络接入的安全性。通过验证后,管理程序将把既定的网络安全和接入策略与它收集到的关于用户设备及其安全软件的状态信息进行比较。如果管理程序认为用户设备满足企业定义的安全策略或有关标准的要求,将允许用户及其设备接入企业网络。
用户或设备验证、设备安全状态、设备安全软件的状态、设备对公司安全和网络接入策略的遵从情况以及用户或设备的授权,都将决定用户和设备是否有权接入企业网络,或者是否对用户和设备实施拒绝接入以及隔离和修复等措施。
TPN 客户端提供“完整性评估收集器”的功能,收集关于客户设备以及设备上的安全性和其他软件的安全状态报告。
TPN系统对于通过VPN接入的移动用户和远地局域网进行类似本地用户一样的访问控制,如:当VPN用户在和总部的TPN安全网关建立起加密隧道后,总部的TPN安全网关能够对远程接入的主机进行安全评估:如果发现主机上有威胁或不满足接入总部的安全级别(如:没有打补丁等),则不允许该主机接入到总部。这就是安达通倡导的“VPN准入控制”技术。通过该技术可以确保外网的威胁(如:木马、病毒、攻击等)不会通过VPN用户带进内网,避免了黑客进行“跳板”攻击。并且网络管理员能够象管理本地局域网一样,对整个VPN网络进行统一的安全策略管理,实现面向全(VPN)网而不仅仅是本地局域网的全网行为管理。
2.2边界威胁管理
在边界安全方面,TPN系统继承了传统的安全功能:状态检测防火墙,VPN,网络层入侵检测,并可选配网络防病毒系统,外挂第三方网络内容审计系统。“边界威胁”防护功能主要依靠系统中的TPN安全执行网关来实现, 而且TPN安全网关和主机威胁引擎相互联动,构建主机和网关的互动防护体系。
在访问控制方面,传统的安全技术是以IP地址或者是主机特征为身份进行访问控制。然后实际上需要控制的应该是“人和资源”的关系,即:让合适的人以安全的方式获取到他应该获取的资源,访问与其身份和角色不相匹配的资源都应当被禁止和封锁。不论这个人使用哪个终端接入内网,只要该用户身份被确认,他就应该具有管理员所赋予他的访问权限。
TPN安全执行网关中完全采用“用户——角色——资源”的访问控制方法。角色是系统中用户和服务之间沟通的枢纽,利用角色避免了用户和服务之间的直接关联关系,减少了配置任务量,并提高系统策略的可维护性。一个用户可以分配给多个角色,每个角色包含多个用户;针对每一个服务,可设定可以访问该服务的各种角色。
当用户接入TPN系统防护的网络时,首先必须进行“强制身份认证”(可采用Web方式或客户端方式登陆TPN系统进行身份认证),在身份认证通过后,TPN安全网关中根据该用户的资源访问权限和登陆认证时该用户使用的PC机的特征(IP/端口),动态在TPN安全网关中形成“五元组+时间”的动态访问控制策略。该动态访问控制策略有短期时效性,当一段时间用户没有活动后,该策略即行失效,需要重新进行强制身份认证,再次在TPN安全网关中建立针对该用户的动态访问控制策略。
2.3内网威胁管理
针对内网威胁防护,主要是对用户的网络行为进行管理。TPN继承了传统的内网行为管理、网关防病毒、反垃圾邮件技术。同时,TPN将这些技术运用到整个企业网络,而不是仅仅局限在局域网内。因此,不论是VPN接入用户还是本地局域网的接入用户,TPN系统都采用 “强制身份”认证机制,没有通过认证的用户无法访问任何内/外网资源。
TPN系统采用非法外联检测和非法接入检测技术,确保网络内主机与外界通信的唯一出口只能是安全网关。为了防止网内病毒的爆发,TPN系统结合主机的客户端软件定位内网病毒爆发点,并实施内网威胁点(如:感染病毒/木马的主机)自动隔离功能。
2.4主机威胁管理
TPN客户端软件主要监控3大类软件运行:威胁软件、禁用软件、强制运行软件。“威胁软件”为对PC运行和局域网有安全威胁的软件,如:木马后门,间谍软件,安全扫描,嗅探检测,蠕虫软件;“禁用软件”为用户单位管理制度禁止运行的软件,如:远程管理(如:远程桌面、PCanywhere等),P2P/下载(QQ,MSN,SKYPE,Emule,BT等),网络聊天等;“强制运行软件”是为了保证客户端系统的安全,必须运行的软件,如:防火墙、杀毒软件等。另外,用户还可以自定义需要监控的软件。
TPN客户端通过“完整性评估收集器”,对主机风险进行评估。在主机被病毒感染后,“完整性评估收集器”能够自动感知,并主动阻断自身的网络访问进行问题主机隔离,防止病毒或其他网络威胁扩散。“完整性评估收集器”可检测主机的补丁版本和安全软件运行监控,根据用户的角色对机器进行强制补丁更新。如:当用户在一个安全级别不高的机器登录后,TPN系统会强制要求该机器根据该用户的角色进行补丁更新,然后才能允许用户使用网络资源。另外,还可以进行主机的外设控制(如:PC、硬盘、USB 口、软盘、网口等的使用)。
TPN客户端集成“防病毒组件”可以和TPN安全网关构建病毒的联动防御体系,发现内网中的病毒爆发点。
TPN客户端的“反垃圾邮件组件”采用业界最先进的反垃圾邮件技术,采用多种技术进行垃圾邮件分析,包括:黑白名单,垃圾邮件指纹识别,邮件行为分析,智能应答确认等多种手段,大大提高识别率和减少误判率。
3. 小结
TPN的技术宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成的危害。借助TPN系统,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其他设备接入。
TPN系统中采用“TPN安全网关”和“TPN客户端”形成联动防御体系,避免了依靠单一网关防御体系(如:UTM网关)或单一客户端防御体系(如:很多内网行为管理系统)形成的功能瓶颈,充分发挥出了网关和客户端的各自优势。