摘要: 目前大多數(shù)內(nèi)網(wǎng)安全產(chǎn)品在防止非法接入時(shí)主要使用ARP欺騙的阻斷方式,但ARP欺騙阻斷存在很多不足,啟明星辰公司對(duì)此提出了新的思路,天珣內(nèi)網(wǎng)安全系統(tǒng)采用多種阻斷方式實(shí)現(xiàn)主動(dòng)防御、合規(guī)管理。
隨著內(nèi)網(wǎng)安全管理產(chǎn)品在市場(chǎng)上的熱銷,各種理念的產(chǎn)品層出不窮,但產(chǎn)品同質(zhì)化趨勢(shì)明顯,尤其是針對(duì)終端非法接入內(nèi)網(wǎng)的阻斷方面,手段普遍單一,主要采用ARP欺騙的阻斷方式。任何技術(shù)都存在現(xiàn)實(shí)的兩面性,ARP欺騙阻斷對(duì)于內(nèi)網(wǎng)安全產(chǎn)品而言,需要科學(xué)合理運(yùn)用才能發(fā)揮最大的功效。國(guó)內(nèi)信息安全領(lǐng)軍企業(yè)啟明星辰公司在內(nèi)網(wǎng)安全管理產(chǎn)品的諸多底層技術(shù)方面開展了積極的實(shí)踐探索,并提出了新的防止非法接入的手段和思路。
一、 什么是ARP欺騙阻斷
ARP(Address Resolution Protocol是地址解析協(xié)議),是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層(IP層,也就是相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當(dāng)于OSI的第二層)。簡(jiǎn)單說,IP地址與MAC地址之間就必須存在一種對(duì)應(yīng)關(guān)系,而ARP協(xié)議就是用來確定這種對(duì)應(yīng)關(guān)系的協(xié)議。
ARP欺騙阻斷:在同一個(gè)IP子網(wǎng)內(nèi),數(shù)據(jù)包根據(jù)目標(biāo)機(jī)器的MAC地址進(jìn)行尋址,而目標(biāo)機(jī)器的MAC地址是通過ARP協(xié)議由目標(biāo)機(jī)器的IP地址獲得的。每臺(tái)主機(jī)(包括網(wǎng)關(guān))都有一個(gè)ARP緩存表,在正常情況下這個(gè)緩存表能夠有效維護(hù)IP地址對(duì)MAC地址的一對(duì)一對(duì)應(yīng)關(guān)系。但是在ARP緩存表的實(shí)現(xiàn)機(jī)制和ARP請(qǐng)求應(yīng)答的機(jī)制中存在一些不完善的地方,容易造成ARP欺騙的情況發(fā)生。
由于ARP欺騙的阻斷方式技術(shù)實(shí)現(xiàn)較簡(jiǎn)單,就被國(guó)內(nèi)大部分廠商所采用,特別是針對(duì)未注冊(cè)阻斷、非法訪問的阻斷等,往往都采用ARP欺騙的阻斷方式。
二、 ARP欺騙阻斷的不足
首先,采用ARP欺騙阻斷方式對(duì)網(wǎng)絡(luò)的負(fù)荷影響很大。
ARP工作時(shí),首先請(qǐng)求主機(jī)會(huì)發(fā)送出一個(gè)含有所希望到達(dá)的IP地址的以太網(wǎng)廣播數(shù)據(jù)包,然后目標(biāo)IP的所有者會(huì)以一個(gè)含有IP和MAC地址的數(shù)據(jù)包應(yīng)答請(qǐng)求主機(jī)。在ARP欺騙阻斷的實(shí)現(xiàn)中,一個(gè)ARP請(qǐng)求可能會(huì)收到數(shù)十個(gè)、設(shè)置數(shù)百個(gè)ARP應(yīng)答,有些ARP欺騙阻斷程序還通過主動(dòng)發(fā)ARP請(qǐng)求實(shí)現(xiàn)欺騙,因此,在網(wǎng)絡(luò)中采用大量發(fā)ARP包的動(dòng)作對(duì)于網(wǎng)絡(luò)資源的占用是十分巨大的,可能導(dǎo)致網(wǎng)絡(luò)設(shè)備性能下降,影響用戶正常的業(yè)務(wù)。
其次,ARP欺騙阻斷方式準(zhǔn)入效果不可靠。
ARP欺騙并不能100%保證有效,比如目標(biāo)機(jī)器的ARP應(yīng)答包和欺騙包都能正確達(dá)到ARP請(qǐng)求者,請(qǐng)求者是否被欺騙還存在一定的機(jī)率,或者客戶端安裝了防ARP欺騙的軟件,如果采用ARP欺騙包來實(shí)現(xiàn)終端設(shè)備的準(zhǔn)入控制,效果就可想而知,其自身的缺陷,使得準(zhǔn)入的可靠性大為降低。
最后,ARP欺騙阻斷和真正的ARP欺騙難以區(qū)分。
在一個(gè)網(wǎng)絡(luò)內(nèi)如果啟用了ARP欺騙阻斷,當(dāng)真的發(fā)生ARP欺騙時(shí),后果將是災(zāi)難性的。用戶將不能區(qū)分主動(dòng)的ARP欺騙阻斷和真正的ARP欺騙,將給用戶的故障排除帶來極大的困難,嚴(yán)重影響用戶業(yè)務(wù)。另一方面,在大多數(shù)的ARP欺騙阻斷實(shí)現(xiàn)中,往往是子網(wǎng)內(nèi)的所有電腦同時(shí)對(duì)目標(biāo)電腦進(jìn)行欺騙,如果目標(biāo)電腦無需受欺騙后,要求所有電腦停止對(duì)其進(jìn)行欺騙,而此時(shí)如果個(gè)別電腦沒有收到停止欺騙的指令,將導(dǎo)致目標(biāo)電腦持續(xù)不能正常訪問網(wǎng)絡(luò),導(dǎo)致用戶運(yùn)維事故。
三、 內(nèi)網(wǎng)安全產(chǎn)品的新型阻斷方式
綜上所述,ARP欺騙的阻斷方式存在很多問題,因此內(nèi)網(wǎng)安全產(chǎn)品應(yīng)該辨證地使用這一方式,啟明星辰在其天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中提出了不同的思路。
1. 避免單一,采用多種阻斷方式
天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)在終端接入邊界交換機(jī),可以通過網(wǎng)絡(luò)準(zhǔn)入控制手段阻斷不合法的終端接入內(nèi)網(wǎng),同時(shí),在后臺(tái)重要服務(wù)器中,通過應(yīng)用準(zhǔn)入控制,實(shí)現(xiàn)阻斷不合法的終端訪問重要服務(wù)器和服務(wù)資源。也就是說,從內(nèi)網(wǎng)接入邊界、后臺(tái)服務(wù)器資源和客戶端自身實(shí)現(xiàn)無縫的準(zhǔn)入控制。在不支持網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入兩項(xiàng)條件的環(huán)境下,天珣產(chǎn)品雖然也使用了ARP欺騙的阻斷方式,但是,這種阻斷方式被大大規(guī)范和限制,特別是在個(gè)人防火墻只要攔截到ARP欺騙的攻擊,就會(huì)立即制止客戶端向其他客戶端發(fā)送欺騙包,從而徹底改變了ARP欺騙的不利局面。除此之外,啟明星辰天珣內(nèi)網(wǎng)安全系統(tǒng)與天清漢馬USG一體化安全網(wǎng)關(guān)(UTM)形成UTM平方統(tǒng)一安全套件,提供外網(wǎng)邊界準(zhǔn)入控制,可以實(shí)現(xiàn)阻斷不合法的終端訪問internet。
2. 主動(dòng)防御ARP欺騙
啟明星辰天珣內(nèi)網(wǎng)安全系統(tǒng)通過檢查IP數(shù)據(jù)包包頭,可確保數(shù)據(jù)包欺騙不能發(fā)生。通過監(jiān)控網(wǎng)絡(luò)行為的發(fā)起進(jìn)程,防止木馬以隱藏進(jìn)程方式進(jìn)行網(wǎng)絡(luò)訪問。通過監(jiān)控ARP請(qǐng)求或應(yīng)答包,自動(dòng)綁定網(wǎng)關(guān)MAC,拒絕延遲的ARP應(yīng)答包等方式,防止內(nèi)網(wǎng)ARP欺騙侵害。內(nèi)置強(qiáng)大的企業(yè)級(jí)主機(jī)防火墻系統(tǒng),采用訪問控制、流量控制、ARP欺騙控制、網(wǎng)絡(luò)行為模式控制、非法外聯(lián)控制等手段,實(shí)現(xiàn)了針對(duì)計(jì)算機(jī)終端的威脅主動(dòng)防御和網(wǎng)絡(luò)行為控制,從而保證計(jì)算機(jī)終端雙向訪問安全、行為受控,有效防護(hù)疑似攻擊和未知病毒對(duì)企業(yè)內(nèi)網(wǎng)造成的危害。
3. 基于終端網(wǎng)絡(luò)行為模式的威脅主動(dòng)防御
啟明星辰天珣內(nèi)網(wǎng)安全系統(tǒng)具備基于終端網(wǎng)絡(luò)行為模式的威脅主動(dòng)防御機(jī)制,通過集中控制每臺(tái)計(jì)算機(jī)終端的網(wǎng)絡(luò)行為,限定網(wǎng)絡(luò)行為的主體、目標(biāo)及服務(wù),并結(jié)合計(jì)算機(jī)終端的安全狀態(tài)控制網(wǎng)絡(luò)訪問,可以有效切斷“獨(dú)立進(jìn)程型”蠕蟲病毒的傳播途徑及木馬和黑客的攻擊路線,彌補(bǔ)防病毒軟件“防治滯后”的弱點(diǎn)。通過監(jiān)控TCP并發(fā)連接數(shù),減緩蠕蟲病毒對(duì)網(wǎng)絡(luò)造成的損害。通過監(jiān)控UDP的發(fā)包行為,限制異常進(jìn)程的網(wǎng)絡(luò)訪問。
啟明星辰天珣內(nèi)網(wǎng)安全系統(tǒng)緊密圍繞“合規(guī)”,內(nèi)含企業(yè)級(jí)主機(jī)防火墻系統(tǒng),通過“終端準(zhǔn)入控制、終端安全控制、桌面合規(guī)管理、終端泄密控制和終端審計(jì)”五維化管理,全面提升內(nèi)網(wǎng)安全防護(hù)能力和合規(guī)管理水平。天珣內(nèi)網(wǎng)安全系統(tǒng)引領(lǐng)了內(nèi)網(wǎng)安全管理模式的新變革,在行使終端安全管理職能的同時(shí),更與天清漢馬USG一體化安全網(wǎng)關(guān)(UTM)組成以“網(wǎng)絡(luò)邊界、終端邊界”為主要防護(hù)目標(biāo)的UTM平方統(tǒng)一安全套件,協(xié)同構(gòu)建多層次縱深防御體系,改變了“被動(dòng)的、以事件驅(qū)動(dòng)為特征”的傳統(tǒng)內(nèi)網(wǎng)安全管理模式,開創(chuàng)了“主動(dòng)防御、合規(guī)管理”為目標(biāo)的內(nèi)網(wǎng)安全管理新時(shí)代。