狀態(tài)檢測(cè)技術(shù)以與競(jìng)爭(zhēng)廠商對(duì)比

1、. .PAGE6 / NUMPAGES6狀態(tài)檢測(cè)技術(shù)以與競(jìng)爭(zhēng)廠商對(duì)比為什么所有的狀態(tài)檢測(cè)防火墻并不完全一樣？提綱1 概述：防火墻安全2 狀態(tài)檢測(cè)概念 Stateful Inspection2.1 不同防火墻實(shí)現(xiàn)狀態(tài)檢測(cè)的不同之處2.2 Cisco PIX防火墻安全之缺陷2.3 NetScreen防火墻安全之缺陷2.4 狀態(tài)檢測(cè)處理的公共服務(wù)和協(xié)議services and protocols3 檢測(cè)攻擊和防護(hù)攻擊3.1 Check Point的方法3.2 Cisco PIX 在檢測(cè)攻擊和防護(hù)攻擊上的局限性3.3 NetScreen 在檢測(cè)攻擊和防護(hù)攻擊上的局限性3.4 攻擊的防護(hù)能力總結(jié): Ch

2、eck Point的狀態(tài)檢測(cè)技術(shù)是防火墻的工業(yè)標(biāo)準(zhǔn)1 概述：防火墻安全很多的防火墻產(chǎn)品的出現(xiàn)給網(wǎng)絡(luò)安全管理者進(jìn)行產(chǎn)品選型過(guò)程中出現(xiàn)困難。為了決定哪個(gè)產(chǎn)品是最安全的而翻閱大量的市場(chǎng)和銷售的文檔令人頭疼。本文針對(duì)防火墻選擇過(guò)程提供一些技術(shù)背景，解釋并比較Check Point 、Cisco、 NetScreen 提出的安全解決方案。2. 狀態(tài)檢測(cè)概念 Stateful Inspection狀態(tài)檢測(cè)由Check Point公司發(fā)明，是企業(yè)防火墻的事實(shí)上的技術(shù)標(biāo)準(zhǔn)。為了提供全面的安全解決方案，一個(gè)防火墻必須能跟蹤和控制所有會(huì)話的flow，與原始的“包過(guò)濾”技術(shù)不同，狀態(tài)檢測(cè)分析流入和流出網(wǎng)絡(luò)的“流”，

3、因此可以基于通訊會(huì)話信息（也可基于應(yīng)用信息）做出實(shí)時(shí)的安全判斷， 這個(gè)結(jié)果通過(guò)跟蹤穿越防火墻網(wǎng)關(guān)的通訊會(huì)話的狀態(tài)state和上下文來(lái)實(shí)現(xiàn)，不管這個(gè)連接connection包含多么復(fù)雜的協(xié)議。2.1不同防火墻實(shí)現(xiàn)狀態(tài)檢測(cè)的不同之處狀態(tài)防火墻所能提供的安全級(jí)別由是否能跟蹤大量的數(shù)據(jù)和對(duì)數(shù)據(jù)是否進(jìn)行了徹底的分析來(lái)決定。防火墻只有跟蹤每一個(gè)通訊會(huì)話session的實(shí)際狀態(tài)和許可會(huì)話所動(dòng)態(tài)打開的TCP或UDP端口 。如果防火墻沒(méi)有這個(gè)能力，就必須打開一個(gè)很大的端口圍來(lái)支持哪怕是最基本的Internet服務(wù)。防火墻如果不加鑒別地打開一定圍的端口將會(huì)在在安全配置上出現(xiàn)嚴(yán)重的可被利用的漏洞。為了跟蹤上下文，一

4、個(gè)防火墻必須檢查包的容以確保每個(gè)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包能匹配通訊會(huì)話原有的的參數(shù)或?qū)傩?，這就能確?？梢傻幕驉阂獾臄?shù)據(jù)包與正常通訊數(shù)據(jù)包的上下文區(qū)別開來(lái)，因此不會(huì)威脅防火墻的安全，為了跟蹤和處理某一應(yīng)用的狀態(tài)state信息和上下文context信息，應(yīng)用的信息被看作具有一定狀態(tài)的traffic，以下是一個(gè)防火墻所應(yīng)該跟蹤和分析的狀態(tài)和上下文關(guān)系的例子：狀態(tài)和上下文信息數(shù)據(jù)包的頭信息 (源地址、目的地址、協(xié)議、源端口、目的端口、包長(zhǎng)度)連接狀態(tài)信息 (哪一個(gè)連接打開了哪一個(gè)端口)TCP 和 IP 分段數(shù)據(jù) (例如：分段號(hào)、順序號(hào)) 數(shù)據(jù)包重組、應(yīng)用類型、上下文校驗(yàn) (即：包屬于哪個(gè)通訊會(huì)話session

5、)到防火墻的哪一個(gè)接口上從防火墻的哪一個(gè)接口上出去第二層信息 （如VLAN ID號(hào))數(shù)據(jù)包到達(dá)的日期和時(shí)間真正的狀態(tài)檢測(cè)意味著能跟蹤通訊的所有的狀態(tài)和上下文信息，所以說(shuō)，只有Check Point FireWall-1 能提供真正的狀態(tài)檢測(cè)Stateful Inspection.2.2 Cisco PIX防火墻安全之缺陷盡管Cisco也講他的技術(shù)是狀態(tài)檢測(cè)，但是Cisco PIX 防火墻并不能夠?qū)λ兄С值膽?yīng)用和服務(wù)提供狀態(tài)安全機(jī)制。因此，他所能提供的安全是不完整的。例如， PIX 不能處理Microsoft Exchange 服務(wù)的完整的狀態(tài)和上下文信息，CISCO為了配置PIX能支持f M

6、S Exchange服務(wù), Cisco 建議用戶在要發(fā)MAIL的外部HOST上打開一定圍的端口 (TCP 1024 到 65535)，如果PIX要維護(hù)MS Exchange服務(wù)的狀態(tài)，他將自動(dòng)打開那些所需的應(yīng)用和通訊會(huì)話的端口， Cisco對(duì) MS Exchange 的支持方式是違反安全慣例的：在防火墻上不加選擇地打開一定圍的沒(méi)有用的可被利用的漏洞。并且， PIX不理解MS Exchange這種應(yīng)用。由于不理解通訊的上下文， PIX防火墻不能夠阻止夾雜在合法的MS Exchange 數(shù)據(jù)中的可以數(shù)據(jù)包。對(duì)MS Exchange的處理方式是Cisco PIX 不能按照狀態(tài)檢測(cè)數(shù)據(jù)包的一個(gè)簡(jiǎn)單例子

7、。更多更全面的對(duì)比，祥見(jiàn)表1.2.3 NetScreen防火墻安全之缺陷NetScreen的狀態(tài)檢測(cè)的實(shí)現(xiàn)也是不完整的。 NetScreen防火墻設(shè)備在對(duì)所有的應(yīng)用執(zhí)行安全策略時(shí)也不能夠重組碎片 fragmented TCP 包，這就意味著在網(wǎng)絡(luò)遭受 -driven攻擊時(shí)會(huì)出現(xiàn)嚴(yán)重的安全問(wèn)題。如果一個(gè)攻擊（例如一個(gè)可疑的URL）被分片成多個(gè)數(shù)據(jù)包，NetScreen防火墻不能檢測(cè)到，也不能夠阻斷這個(gè)攻擊。對(duì)包進(jìn)行分片易如反掌，NetScreen防火墻這個(gè)缺陷使被他保護(hù)的網(wǎng)絡(luò)很容易被很多知名的攻擊手段所攻擊。例如，對(duì)于紅色代碼 Code Red，如果一個(gè)可疑的URL string 被分片，并按多

8、個(gè)包發(fā)送，這種攻擊將穿越NetScreen防火墻而不被發(fā)現(xiàn)，一旦目的服務(wù)器收到后，這些惡意的包將被重新組裝，最終導(dǎo)致服務(wù)器“緩沖區(qū)溢出” (更詳細(xì)的容見(jiàn)下面的“檢測(cè)攻擊和防護(hù)攻擊”章節(jié)).在所有應(yīng)用和服務(wù)上的TCP包的重新組裝是任何一個(gè)狀態(tài)檢測(cè)防火墻的最基本的要求。如果防火墻沒(méi)有這個(gè)功能，或者丟棄合法連接的分片的包fragmented packets，或者允許夾雜有網(wǎng)絡(luò)攻擊的惡意分片進(jìn)入網(wǎng)絡(luò)。這兩種情況的問(wèn)題都是潛在的安全威脅。2.4 狀態(tài)檢測(cè)處理的公共服務(wù)和協(xié)議FireWall-1對(duì)應(yīng)用的狀態(tài)的了解深度體現(xiàn)了CHECKPOINT幾年來(lái)對(duì)各種應(yīng)用和各種協(xié)議的研究和分析的成果。這個(gè)功能的核心是“

9、TCP packet reassembly”TCP包的重新組裝。如果 FireWall-1 收到了分片的數(shù)據(jù)包之后，首先重新組裝成原始格式，因此，對(duì)整個(gè)數(shù)據(jù)流,stream of data的分析符合協(xié)議的定義definitions ，以與包所承載的信息容的合法性。狀態(tài)檢測(cè)防火墻必須對(duì)各種應(yīng)用有很大深度的理解才能實(shí)現(xiàn)完全的網(wǎng)絡(luò)保護(hù)。NetScreen 和Cisco 產(chǎn)品都不支持所有應(yīng)用的“TCP packet reassembly” 在表1中，對(duì)號(hào)表示應(yīng)用或者協(xié)議的狀態(tài)基于安全目的進(jìn)行維護(hù)。協(xié)議或應(yīng)用 Check Point Cisco PIX NetScreen FireWall-1 IP S

10、ecurity Protocol (IPSec) Domain Naming Service (DNS) Internet Control Message Protocol (ICMP) General Packet Radio Service Tunneling Protocol (GTP) Session Initiation Protocol (SIP) 不完整HP Open View Services SUN Remote Procedure Call (RPC) Services Microsoft Distributed Component Object Model (DCOM)

11、Microsoft Exchange Services 協(xié)議或應(yīng)用Check PointCisco PIXNetScreenIP Security Protocol (IPSec)Domain Naming Service (DNS)InternetControl Message Protocol (ICMP)General Packet Radio Service TunnelingProtocol (GTP)HP Open View ServicesSUN Remote Procedure Call (RPC) ServicesMicrosoft Distributed Component

12、Session Initiation Protocol (SIP)Microsoft Distributed ComponentObject Model (DCOM)Microsoft Exchange Services3. 檢測(cè)攻擊和防御攻擊3.1 Check Point 實(shí)現(xiàn)方法Check Point的狀態(tài)檢測(cè)引擎針對(duì)所有類型的網(wǎng)絡(luò)攻擊進(jìn)行保護(hù)。這就包括簡(jiǎn)單的包破壞packet corruption attacks的攻擊，以與更高級(jí)別的攻擊例如：oversized packets、malicious use of IP packet options、SYN floods, 基于分片的攻擊方

13、式自動(dòng)地被FireWall-1阻止和記錄blocked and logged。Check Point 的獨(dú)特的可擴(kuò)展的軟件模式，可以很方便地應(yīng)用于高水平的網(wǎng)絡(luò)安全需求。 諸如隱藏部mail domains， DNS確認(rèn),FTP, SMTP, 和其他命令集的嚴(yán)格控制， 阻止Java 和 ActiveX, 以與基于用戶的email尺寸限制，等等這些功能都可以在FireWall-1 policy editor中輕易實(shí)現(xiàn)。并且，Check Points FireWall-1 的SmartDefense技術(shù)具備一體化的防攻擊能力。SmartDefense 可以檢測(cè)和防止所有已知的攻擊和已知攻擊的變種。S

14、martDefense也可以使管理員能夠在線地很快地更新他們的安全策略。3.2 Cisco PIX 在檢測(cè)攻擊和防護(hù)攻擊上的局限性Cisco PIX 防火墻不提供對(duì)惡意URL或者基于 攻擊的直接保護(hù)，遠(yuǎn)離網(wǎng)絡(luò)攻擊的威脅，例如Code Red。 Cisco建議用戶用其他專門的入侵檢測(cè)產(chǎn)品來(lái)防止攻擊（CISCO也能提供IDS產(chǎn)品）。因此加上IDS同時(shí)也可以當(dāng)WEB服務(wù)器受到威脅時(shí)減輕損失。 (例如，對(duì)WEB服務(wù)器的部開放連接進(jìn)行預(yù)防).3.3 NetScreen在檢測(cè)攻擊和防護(hù)攻擊上的局限性盡管NetScreen確實(shí)提供了一些集成的攻擊防護(hù)功能。但是這種方式缺乏關(guān)鍵的功能。一個(gè) NetScreen

15、防火墻不能抵御知名攻擊well-known attacks的變種。（例如紅色代碼或尼姆達(dá)病毒） 。對(duì)于所有的NetScreen 設(shè)備，攻擊特征碼(例如一個(gè)惡意的URL)必須與防火墻數(shù)據(jù)庫(kù)中的特征碼精確的匹配才可以識(shí)別出來(lái)。 攻擊的任何一個(gè)變種，不論變動(dòng)如何微小，都可以穿越防火墻而不被識(shí)別。這個(gè)情況的直接結(jié)果就是NetScreen 防火墻不能支持有規(guī)律的特征碼匹配，所以，管理員不得不用特定的wild card自己查找攻擊攻擊特征變量，因此，攻擊可以通過(guò)加以微小的變化就能繞過(guò)NetScreen防火墻進(jìn)入網(wǎng)絡(luò)。例如在Code Red惡意URL增加一個(gè)空格，或者改變一個(gè)字符。FireWall-1中對(duì)有

16、規(guī)律的特征匹配的好處可以在.htr worm蠕蟲病毒中體現(xiàn)，當(dāng)前發(fā)布的蠕蟲攻擊以一個(gè)惡意URL做起始，以.htr結(jié)束。使用有規(guī)律的特征匹配功能，防火墻可以檢查所有可疑的URL以與其變種，從而阻止了所有版本的攻擊。NetScreen 設(shè)備不能阻止.htr worm 蠕蟲病毒的各種變種版本的攻擊，因?yàn)樗恢С痔卣髌ヅ涔δ?，所以他只能檢測(cè)到特定的以.htr結(jié)束的URL類型，從而增加了用戶的安全風(fēng)險(xiǎn)NetScreen只能檢測(cè)有限數(shù)量的攻擊 (例如惡意 URLs)， NetScreen防火墻不能檢測(cè)和阻止其他額外的攻擊類型。并且攻擊檢測(cè)的數(shù)量也不能通過(guò)升級(jí)存或其他組件來(lái)增加。最近以來(lái)，所有的NetScr

17、een平臺(tái)有同樣的（攻擊數(shù)量）限制，（見(jiàn)表2），用戶不能擴(kuò)展惡意URL的檢測(cè)數(shù)量。即使是最高配置的設(shè)備，這個(gè)限制也是極低（如NS-5000僅支持64個(gè)），一旦達(dá)到限制，管理員必須選擇是否以放棄舊攻擊的代價(jià)來(lái)?yè)Q取抵御新的攻擊。表2顯示可被檢測(cè)和阻斷的 -driven攻擊的最大數(shù)量。這些限制的確是太低了，尤其是考慮到Net Screen的惡意URL的檢測(cè)機(jī)制是大小寫敏感的。由于NetScreen不支持有規(guī)律的特征匹配功能，安全管理員必須定義所有知名攻擊的大寫和小寫組合。這就意味著由于同種攻擊的不同組合很快就可以達(dá)到這個(gè)數(shù)量限制。 表2，可檢測(cè)的惡意URL的最大數(shù)目NetScreen Platfor

18、m Maximum # of User Defined Attacks4 (including variants i.e. Code Red II)NS-5XT, NS-5XP 48NS-50 48NS-100 48NS-204, NS-208 48NS-500 48NS-1000 48NS-5000 Series 643.4攻擊的防護(hù)能力應(yīng)用或協(xié)議 Check Point NetScreen Cisco FireWall-1 (所有平臺(tái)) PIXLow-level protocol-corruption attacks SYN Flood ICMP flood UDP flood Ping

19、of Death IP Spoofing Land attack Tear Drop IP Source Route IP range scan SYN+FIN set No Flags Set IP options All Blocked Partial PartialICMP fragmentation Per-source session limits (DoS/DDoS) IP/UDP/TCP header-to-length mismatch Application-layer attacks Email Security SMTP commands no content filtering) Not integratedMalicious URLs Limited WinNuke IP Fragmentation Malformed FTP commands LimitedFTP Bounce TCP-based attacks spanning multiple