数据中心安全
数据集中是管理集约化、精细化的必然要求,是企业优化业务流程、管理流程的的必要手段。目前,数据集中已经成为国内电子政务、企业信息化建设的发展趋势。数据中心的建设已成为数据大集中趋势下的必然要求。做为网络中数据交换最频繁、资源最密集的地方,数据中心无疑是个充满着巨大的诱惑的数字城堡,任何防护上的疏漏必将会导致不可估量的损失,因此构筑一道安全地防御体系将是这座数字城堡首先面对的问题。
一、数据中心面对的安全挑战
随着 Internet 应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。
以下是当前数据中心面对的一些主要安全挑战。
1.面向应用层的攻击
常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最典型的应用攻击莫过于“蠕虫”。蠕虫是指"通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪"。从本质上讲,蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的,而病毒需要人的手工干预(如各种外部存储介质的读写)。蠕虫有多种形式,包括系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见,变种最多的蠕虫是群发邮件型蠕虫,它是通过 EMAIL 进行传播的,著名的例子包括"求职信"、"网络天空 NetSky"、"雏鹰 BBeagle"等,2005 年 11 月爆发的"Sober"蠕虫,是一个非常典型的群发邮件型蠕虫。而传播最快,范围最广、危害最大是系统漏洞型蠕虫,例如利用 TCP 445 端口进行传播的 windows PnP 服务漏洞到 2006 年第一季度还在肆虐它的余威。
2.面向网络层的攻击
除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS/DDOS 是一种传统的网络攻击方式,然而其破坏力却十分强劲。据 2004 美国 CSI/FBI 的计算机犯罪和安全调研分析,DOS 和 DDOS 攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。
常见的 DDOS 攻击方法有 SYN Flood、Established Connection Flood 和 Connection Per Second Flood。已发现的 DOS 攻击程序有 ICMP Smurf、UDP 反弹,而典型的 DDOS 攻击程序有 Zombie、TFN2K、Trinoo 和 Stacheldraht 等。DOS/DDoS 攻击大行其道的原因主要是利用了 TCP/IP 的开放性原则,从任意源地址向任意目标地址都可以发送数据包。
DOS/DDOS 利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。早期的 DOS 攻击由单机发起,在攻击目标的 CPU 速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高,CPU 的主频已达数 G,服务器的内存通常在 2G 以上,此外网络的吞吐能力已达万兆,单机发起的 DoS 攻击好比孤狼斗猛虎,没有什么威胁。狼的习性是群居,一只固然势单力薄,但如果群起而攻之,恐怕猛虎也难抵挡,这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话,攻击者使用 10 台攻击机、100 台呢共同发起攻击呢?DDoS 就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。
数据中心绝不允许DOS/DDOS垃圾报文肆虐于网络之中,因此如何实施边界安全策略,如何“拒敌于国门之外”将是数据中心面临的又一个挑战。
DDOS攻击示意图
3.对网络基础设施的攻击
数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒最容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在企业内部的黑客不仅可以通过应用攻击技术绕过防火墙,对数据中心的网络造成损害,还可以凭借其网络构架的充分了解,通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段,访问非授权资源,这些行将对企业造成更大的损失。
“木桶的装水量取决于最短的木板”,涉及内网安全防护的部件产品非常多,从接入层设备到汇聚层设备再到核心层设备,从服务器到交换机到路由器、防火墙,几乎每台网络设备都将参与到系统安全的建设中,任何部署点安全策略的疏漏都将成为整个安全体系的短木板。
“木桶的装水量还取决于木板间的紧密程度”,一个网络的安全不仅依赖于单个部件产品的安全特性,也依赖于各安全部件之间的紧密协作。一个融合不同工作模式的安全部件产品的无缝安全体系必须可以进行全面、集中的安全监管与维护。
因此,数据中心的安全防护体系不能仅依靠单独的某个安全产品,还要依托整个网络中各部件的安全特性。
二、安防措施
1.三重保护,多层防御
以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护;以
ASIC、FPGA 和 NP 技术组成的具有高性能精确检测引擎的 IPS
提供对网络报文深度检测,构成对数据中心网络的第二重保护;第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。
用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家,来往的商客就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土防御外族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);IPS
是国家的警察,随时准备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保卫社会秩序;具有各种安全特性的交换机就像商铺雇佣的保安,提供最基本的安全监管,时刻提防由内部人员造成的破坏(STP
攻击)。
在网络中存在不同价值和易受攻击程度不同的设备,按照这些设备的情况制定不同的安全策略和信任模型,将网络划分为不同区域,这就是所谓的分区思想。数据中心网络根据不同的信任级别可以划分为:远程接入区、园区网、Internet
服务器区、Extranet 服务器区、
Intranet 服务器区、管理区、核心区,如图。
三、技术说明
1.VLAN端口隔离
交换机可以由硬件实现相同 VLAN 中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同 VLAN 中的服务器之间完全没有互访要求时,可以设置各自连接的端口为隔离端口,如图。这样可以更好的保证相同安全区域内的服务器之间的安全:
即使非法用户利用后门控制了其中一台服务器,但也无法利用该服务器作为跳板攻击该安全区域内的其他服务器。可以有效的隔离蠕虫病毒的传播,减小受感染服务器可能造成的危害。比如:如果 Web 服务器遭到了 Code-Red 红色代码的破坏,即使其它 Web 服务器也在这个网段中,也不会被感染。
2.STP Root/BPDU Guard
基于 Root/BPDU Guard 方式的二层连接保护保证 STP/RSTP 稳定,防止攻击,保障可靠的二层连接
(1)BPDU Guard
对于接入层设备,接入端口一般直接与用户终端(如 PC 机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接受到配置消息(BPDU 报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU 保护功能可以防止这种网络攻击。交换机上启动了 BPDU 保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口 shutdown,同时通知网管。被 shutdown 的端口只能由网络管理人员恢复。推荐用户在配置了边缘端口的交换机上配置 BPDU 保护功能。
(2)ROOT Guard
由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根交换机有可能会收到优先级更高的配置消息,这样当前根交换机会失去根交换机的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。Root 保护功能可以防止这种情况的发生。
对于设置了 Root 保护功能的端口,端口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。
(3)LOOP PROTECTION
交换机的根端口和其他阻塞端口的状态依靠不断接收上游交换机发送的 BPDU 来维持的。但是由于链路拥塞或者单向链路故障,这些端口会收不到上游交换机的 BPDU。此时交换机会重新选择根端口,根端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。在启动了环路保护功能后,根端口的角色如果发生变化就会设置它为 Discarding 状态,阻塞端口会一直保持在 Discarding 状态,不转发报文,从而不会在网络中形成环路。
(4)TC PROTECTION
根据 IEEE 802.1w 和 IEEE 802.1s 协议,交换机监测到拓扑变化或者接收到 TC 报文后会清空 MAC 表。如果受到 TC 攻击(连续不断收到 TC 报文)交换机就会一直进行 MAC 删除操作,影响正常的转发业务。使能 TC PROTECTION 功能后,将减少删除 MAC 的次数,保证业务的正常运行。
3.端口安全
端口安全(Port Security)的主要功能就是通过定义各种安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。对于不能通过安全模式学习到源 MAC 地址的报文或 802.1x 认证失败的 0
当发现非法报文后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可管理性。
4.防 IP 伪装
(1)在 internet 出口处过滤 RFC3330 和 RFC1918 所描述的不可能在内外网之间互访的 IP 地址。病毒和非法用户很多情况会伪装 IP 来实现攻击。伪装 IP 有三个用处:
①就是攻击的直接功能体。比如 smurf 攻击。
②麻痹网络中的安全设施。比如绕过利用源 IP 做的接入控制。
③隐藏攻击源
设备防止 IP 伪装的关键在于如何判定设备接收到的报文的源 IP 是经过伪装的。这种判定的方式有三种。分别在内网和内外网的边界使用。
由于现今 internet 上的大多数攻击者都不具备很高的网络技术水平,其攻击手段仅仅是比较机械利用现有的攻击工具。同时一些攻击工具虽然做到了使用方便,但其攻击方法设计也相对简单,没有办法根据网络实际状况进行调整。因此,网络中大多数的攻击方式是带有盲目性的。局域网在其 internet 出入口处过滤掉不可能出现的 IP 地址,可以缓解非法用户简单的随机伪装 IP 所带来的危害。
(2)网关防御
利用 DHCP relay 特性,网关可以形成本网段下主机的 IP、MAC 映射表。当网关收到一个 ARP 报文时,会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习,否则不学习该 ARP。这样伪装 IP 的设备没有办法进行正常的跨网段通信。
(3)接入设备防御
利用 DHCP SNOOPING 特性,接入设备通过监控其端口接收到的 DHCP request、ACK、 release 报文,也可以形成一张端口下 IP、MAC 的映射表。设备可以根据 IP、MAC、端口的对应关系,下发 ACL 规则限制从该端口通过的报文源 IP 必须为其从 DHCP 服务器获取的 IP 地址。
5.数据中心网络边界安全技术
边界安全的一项主要功能是实现网络隔离,通过防火墙可以把安全信任网络和非安全网络进行隔离。防火墙以其高效可靠的防攻击手段,和灵活多变的安全区域配置策略担负起是守护数据中心边界安全的的重任。
(1)状态防火墙
实现网络隔离的基本技术是 IP 包过滤,ACL 是一种简单可靠的技术,应用在路由器或交换机上可实现最基本的 IP 包过滤,但单纯的 ACL 包过滤缺乏一定的灵活性。对于类似于应用 FTP 协议进行通信的多通道协议来说,配置 ACL 则是困难的。FTP 包含一个预知端口的 TCP 控制通道和一个动态协商的 TCP 数据通道,对于一般的 ACL 来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。
状态防火墙设备将状态检测技术应用在 ACL 技术上,通过对连接状态的状态的检测,动态的发现应该打开的端口,保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术可以提供更高的转发性能,因为基于 ACL 的包过滤技术是逐包检测的,这样当规则非常多的时候包过滤防火墙的性能会变得比较低下,而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙,这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。
(2)防火墙 DOS/DDOS 防御
Dos(Deny of service)是一类攻击方式的统称(DDos 也是 Dos 的一种),其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos 攻击方式其利用
IP 无连接的特点,可以制造各种不同的攻击手段,而且攻击方式非常简单。
在 Internet 上非常流行,对企业网、甚至骨干网都造成了非常严重的影响,引发很大的网络事故,因此优秀的 Dos 攻击防范功能是防火墙的必备功能。现在几乎所有的防火墙设备都宣传具有 Dos 攻击防御功能,但是那么为什么 Dos 攻击导致网络瘫痪的攻击事件为什么还是层出不穷呢?一个优秀的 Dos 攻击防御体系,应该具有如下最基本的特征:
防御手段的健全和丰富。因为 Dos 攻击手段种类比较多,因此必须具有丰富的防御手段,才可以保证真正的抵御 Dos 攻击。
优秀的处理性能。因为 Dos 攻击伴随这一个重要特征就是网络流量突然增大,如果防火墙本身不具有优秀的处理能力,则防火墙在处理 Dos 攻击的同时本身就成为了网络的瓶颈,根本就不可能抵御 Dos 攻击。因为 Dos 攻击的一个重要目的就是使得网络瘫痪,网络上的关键设备点发生了阻塞,则 Dos 攻击的目的就达到了。防火墙设备不但要注重转发性能,同时一定要保证对业务的处理能力。在进行 Dos 攻击防御的过程中,防火墙的每秒新建能力就成为保证网络通畅的一个重要指标,Dos 攻击的过程中,攻击者都是在随机变化源地址因此所有的连接都是新建连接。
准确的识别攻击能力。很多防火墙在处理 Dos 攻击的时候,仅仅能保证防火墙后端的流量趋于网络可以接受的范围,但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常,可以保证服务器不会瘫痪,但是这样处理还是会阻挡正常用户上网、访问等的报文,因此虽然网络层面是正常的,但是真正的服务还是被拒绝了,因此还是不能达到真正的 Dos 攻击防御的目的。SecPath 系列防火墙产品,在对上述各个方面都做了详尽的考虑,因此 Dos 防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。
(3)防火墙TCP代理
Tcp 代理是为防止 SYN Flood 类的 Dos 攻击,而专门开发的一个安全特性。
SYN Flood 攻击可以很快的消耗服务器资源,导致服务器崩溃。在一般的 Dos 防范技术中,在攻击发生的时候不能准确的识别哪些是合法用户,哪些是攻击报文。采用 TCP 透明代理的方式实现了对这种攻击的防范, 防火墙通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过允许这些报文访问防火墙资源,而攻击报文则被防火墙丢弃。有些攻击是建立一个完整的 TCP 连接用来消耗服务器的资源。防火墙可以实现增强代理的功能,在客户端与防火墙建立连接以后察看客户是否有数据报文发送,如果有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成 TCP 三次握手的方式消耗服务器资源,也可以被防火墙发现。