网络安全产品

为远程企业用户提供入侵防范的思科安全代理

越来越多的员工开始在办公室之外工作。其中有些用户是移动办公人员,需要从宾馆房间、机场或者客户办公室访问企业应用。另外一些则是远程办公人员,需要从家中办公。这些用户通常通过互联网 -- 而不是拨号调制解调器 -- 接入企业网络。所有这些用户都可能面临来自互联网的刺探或攻击,而且他们都缺乏集中企业防火墙的保护。计算机存在隐患的远程用户为攻击者提供了进入企业网络的入口。

集中管理的个人防火墙(有时称为“分布式防火墙”)市场的出现和发展表明,IT部门需要设法降低这些风险。为了满足客户的需要,现有的很多个人防火墙产品都具有下面这些重要的功能:

  • 端口拦截
  • 集中网络安全策略管理
  • 集中报告
  • 入侵检测(只有部分产品提供)
  • 控制哪些应用有权使用网络(只有部分产品提供)

这些功能只能消除远程用户面临的一部分威胁。大部分分布式防火墙功能只关注于网络攻击,例如连接计算机应用的尝试。但是,很多其他的风险来自于通过恶意内容载荷(例如电子邮件附件或者JavaScript)发动的攻击,或者协议攻击(例如针对网络应用的缓存溢出攻击)。

图1 应用攻击

应用攻击

在利用传统的个人防火墙保护资源时,保护范围通常只限于网络;当攻击威胁到某个应用时,主机将很容易遭受攻击。如果个人防火墙允许某项服务执行,那么提供服务的软件必须及时更新和正确配置。如果是通过网络访问该应用,个人防火墙就无法保护该应用。除了基本的端口或者IP地址控制以外,个人防火墙无法控制网络用户对应用的使用。标准个人防火墙的其他缺点包括:

  • 伪装成合法应用的入侵者可以绕过个人防火墙的安全防护。例如,Foundstone的“Firehole”攻击可以让其他应用伪装成Internet Explorer,进行合法连接1。
  • 由个人防火墙生成的大部分安全事件都是不重要的,并不具有恶意破坏的性质。这使得企业很难判断个人防火墙的作用2。
  • 个人防火墙无法保护使用网络的客户端应用。例如,最近出现的Internet Explorer漏洞使一个基本的HTML攻击可以威胁到操作系统的安全3。其他的例子包括用户能够通过即时消息工具下载可能受到感染的文件,以及通过邮件正文中内嵌的HTML进行的电子邮件窃听。

NIMDA攻击显示了混合型威胁所带来的风险。NIMDA蠕虫是一种多层面攻击,可以采用多种渠道 -- HTTP、电子邮件和共享文件夹。在网络层能够避免HTTP攻击的系统往往会因为电子邮件或者存在隐患的Web浏览器而遭受威胁。由于思科安全代理分布式防火墙包含了入侵防范功能,它能够控制攻击的传播和破坏 -- 即使在攻击进入系统之后。思科安全代理可以阻止NIMDA -- 即使在它进入系统之后,因为NIMDA的活动超出了正常行为的范围。这种攻击会在应用中执行缓存溢出操作,并且试图自动向其他目标发送电子邮件。尽管思科安全代理并不包含攻击签名,而且NIMDA是一种首次出现的攻击,思科安全代理仍然成功地阻止了恶意行为的发生。

思科安全代理可以防范各种类型的攻击

思科安全代理可以满足人们对个人(分布式)防火墙的基本要求,防止远程用户受到来自网络的攻击。除了这些传统功能之外,它还可以防范来自于协议和恶意内容攻击的威胁。而且,与其他供应商提供的个人防火墙产品相比,思科安全代理还具有下列优点:

  • “活动内容沙盒”可以防止Web浏览器受到活动代码(例如Java、JavaScript和ActiveX)的破坏
  • 电子邮件蠕虫保护可以阻止电子邮件蠕虫攻击,例如NIMDA或者GONER
  • 应用伪装防范可以防范利用动态链接库(DLL)控制钩进行的“应用劫持”攻击,例如“Firehole”和“Tooleaky”攻击
  • 应用策略控制可以防范应用中存在风险的用户行为,例如利用一个即时消息应用下载文件。
  • 缓存溢出防范可以阻止已知的和未知的缓存溢出攻击。
  • 应用执行控制可以集中管理哪些应用可以运行、使用网络,哪些不可以使用网络
  • 地点感知保护可以在办公室中允许普通网络应用 -- 例如文件共享等,同时在远程地点阻止存在风险的网络应用
  • 零升级入侵检测可以在不需要签名的情况下,检测和拦截攻击。因为入侵防范不需要使用签名 -- 与其他的入侵检测产品不同,因而不会出现在攻击传播时没有供应商提供的签名的情况。这也可以避免安装和更新签名所带来的管理负担。

思科安全代理的特性

您可以将思科安全代理的下列功能、性能标准和产品特性与其他个人防火墙产品相比较,确定它是否符合您的网络安全需求。

基本的网络安全功能

输入和输出端口拦截 -- 思科安全代理中的分布式防火墙策略可以控制网络流量的所有方面,包括所有输入和输出连接。思科安全代理还可以根据协议、端口和通信主机地址控制流量。与其他个人防火墙产品不同,它可以根据哪些应用正在尝试执行存在隐患的操作,进行相应的控制 -- 例如管理员可以允许Web浏览器连接到远程Web服务器,但是禁止电子邮件客户端进行这样的操作。

防范分段式(Fragmented)分组攻击 -- 思科安全代理可以防范多种第三层攻击,其中包括分段式分组攻击。这不仅可以阻止像WinNuke或者SMBDie这样的拒绝服务(DoS)攻击,还可以制止端口扫描和操作系统指纹(nmap)攻击。

防范采用“躲避”技术的攻击 -- 思科安全代理可以识别很多常用的躲避入侵检测系统(IDS)的方法5。

入侵检测和防范 -- 代理可以自动地检测和拦截已知和未知的攻击。因为思科安全代理包含的入侵防范系统可以利用行为策略执行适当的系统行为,所以它不需要使用任何入侵检测特征码。其他入侵检测产品都需要依赖新的特征码检测和拦截新的攻击。不幸的是,这些升级往往并不会及时发布,导致计算机因为不能获得新的签名而存在隐患。

因为思科安全代理入侵检测和防范并不依赖于特征码,所以防火墙所提供的保护并不取决于新的特征码升级的发布速度。为大量的客户端台式机或者笔记本电脑频繁地部署大容量的特征码升级不仅非常难以管理,而且需要占用大量的网络带宽。思科安全代理提供了更加严格的保护,带来一种零升级架构,即不需要管理任何签名升级。

可配置的IDS规则 -- 思科安全代理关注于防范 -- 而不是检测 -- 入侵。管理员可以轻松地定制该系统中的行为策略。

应用执行保护 -- 思科安全代理可以控制哪些应用可以执行。规则不仅允许对可执行应用进行极为精确的控制,还可以限制可执行应用的版本。它还可以控制可以运行的DLL版本。

地点感知保护 -- 思科安全代理可以在办公室中允许普通的网络应用运行 -- 例如在计算机之间共享文件,同时在远程地点阻止这些存在风险的网络应用运行。

高级安全功能

针对Web浏览器和电子邮件客户端的“沙盒”保护 -- 思科安全代理可以防范通过活动代码(例如Java、JavaScript和ActiveX)发动的、针对Web浏览器或者其他最终用户网络应用的、基于内容的攻击。它可以在用户浏览网页、阅读电子邮件或者在线聊天的同时防范恶意内容造成的威胁。

电子邮件蠕虫防范 -- 思科安全代理可以检测、拦截发送大量包含恶意附件的攻击。它不仅可以通过严格控制对网络资源(例如Microsoft Outlook地址簿)的访问而阻止这些企图,还可以将恶意电子邮件附件报告到集中管理器,由其升级一个覆盖整个系统的全局隔离清单。该隔离清单部署在所有代理之上,使得那些没有遭受过蠕虫攻击的代理也可以免除威胁。

防范已知和未知的缓存溢出攻击 -- 思科安全代理可以检测和防止受保护计算机上运行的任何应用遭受缓存溢出攻击。因为检测的依据是应用执行代码的方式,而不是对分组内容的分析,所以它可以拦截已知和未知的缓存溢出攻击。即使那些使用IDS躲避技术的攻击也会被阻止。分布式防火墙的高级缓存溢出保护功能不仅可以拦截人们熟知的堆栈溢出攻击,还可以阻止更加复杂的堆积溢出攻击。

应用伪装防范 -- 在针对个人防火墙产品的最新攻击技术中,有一种技术是通过某种机制(例如DLL注入6)将恶意应用伪装成合法应用。因为这使得恶意程序代码看来似乎在合法应用内部运行,防火墙将会误认为恶意代码是合法程序的组成部分。因此,恶意应用将可以绕过防火墙的控制(例如进入网络)。思科安全代理可以检测和拦截所有DLL注入攻击,阻止未经授权的网络访问和本地密码窃取攻击。

可配置的即时消息控制 -- 思科安全代理提供了应用策略控制功能,让企业可以有针对性地控制即时消息应用在企业内部的使用方式。例如,思科安全代理可以允许文本消息传输,但是禁止文件通过即时消息系统传输,而利用其他机制(例如浏览器或者FTP)继续允许文件传输。它可以允许即时消息工具只使用经过批准的企业即时消息服务器,或者只在需要使用内部即时消息服务器时传输文档。

操作系统锁定 -- 思科安全代理可以加固Windows操作系统,防止攻击窜改关键的操作系统二进制文件或者配置设定。因为这种功能并不需要对文件系统内容进行密码分析,它几乎不会对系统性能造成任何影响。

管理功能

代理的集中管理 -- 思科安全代理的策略可以集中定义,并被自动发送到需要保护的服务器和台式机上的代理。

为管理员提供从任何地方进行管理的解决方案 -- 思科安全代理的管理建立在HTTP和HTTPS的基础上,因此管理员可以从任何地方利用一个标准的Web浏览器执行所有管理功能。

工作在一个动态主机配置协议(DHCP)环境中 -- 各个代理并不通过在DHCP环境中经常变化的IP地址来标明自己的身份。相反,每个代理都会获得一个不依赖于IP地址的全局唯一标识符(GUID)。因此,所有集中管理功能 -- 例如分组、策略指定或者修改,或者代理升级 -- 都将针对指定的主机执行,即使这些代理的地址发生了变化。

集中报警 -- 所有代理事件都将被发送到管理控制台,由其集中生成警报。

可配置警报 -- 警报会被报告到一个集中控制台;所有客户端事件都向思科安全代理管理控制台报告,由其向集中客户控制台生成警报。所有由客户端代理生成的警报都可以通过设置,经由电子邮件、寻呼消息、简单网络管理协议(SNMP)陷阱、纯文本日志文件或者定制编程接口发送。

代理和管理控制台之间的安全通信 -- 管理控制台和代理之间的所有通信都是利用安全套接字层(SSL)在可配置的端口上进行的。

集中策略定义和本地策略执行 -- 如果代理连接中断了一段时间,所有策略都将继续在本地执行。当代理重新连接时,新的策略和更新将会自动安装。代理升级会按照可配置的周期,自动地从管理控制台分发。

远程安装和自动配置 -- 代理软件在开始时可以通过HTTP、短消息服务(SMS)或者其他企业软件分发机制部署。所有进一步的策略和软件升级都可以通过代理轮询机制自动完成。

最终用户与安全策略隔离 -- 最终用户并不能直接访问思科安全代理,也不能在本地更改策略。思科安全代理会执行一个集中定义的、保存在本地代理的策略。客户端用户无法查看或者更改该策略。

在遭受攻击时对最终用户进行选择性的通知 -- 所有安全事件都保存在客户端本地,并被发送到集中管理控制台。客户端可以利用Windows任务栏中的一个波浪标志,选择是否接收策略违反情况通知。如有需要,思科安全代理还可以设置为对最终用户不可见。

减少日志和消除误报 -- 因为思科安全代理是可以设置的、基于行为的策略系统,所以不存在误报。用户可以方便地根据特定的计算环境调节策略。

针对远程计算机的识别和系统分析

图2 思科安全代理架构

思科安全代理架构

传统个人防火墙的一个常见的缺陷是,尽管应用控制允许指定已知的“合法”应用,但是用户安装的应用数量往往要多得多。暂时检测并不能解决这个问题,因为需要考虑很多软件版本和补丁等级。用户会对他们的(并非恶意的)应用被防火墙拦截感到不满,而管理员也不愿意允许过多的应用运行。

管理员面临的问题是,他们没有一种简便的方法来找出系统中安装或者使用的应用,也无法查看应用所执行的行为。这使得他们很难在出现过去不知道的应用时,建立一个已知合法应用列表。

管理员还无法监控那些经过允许的应用是否被正确使用;例如,防病毒扫描器是否正常运行,并定期升级到最新的签名。在很多系统位于远程地点时,这项任务将会变得更加困难。

思科安全代理框架允许思科安全代理与其他 -- 位于思科安全代理集中管理服务器上的 -- 思科产品协作,从而让管理员可以轻松地解决这些问题。

思科安全代理剖析器可以利用现有的思科安全代理,发现远程系统上的所有应用的状态,包括:

  • 每台计算机上安装了哪些应用
  • 哪些应用正在运行
  • 哪些应用使用了网络,作为客户端还是服务器端
  • 需要使用的应用 -- 例如防病毒扫描器 -- 是否正确地安装和运行
  • 禁止使用的应用 -- 例如点对点文件共享 -- 是否在运行
  • 是否存在不受思科安全代理保护的远程系统(需要在关键的内部服务器 -- 例如电子邮件、域名系统[DNS]或者DHCP -- 上安装思科安全代理;思科安全代理剖析器可以发现所有与这些系统通信的、没有安装思科安全代理的系统)

思科安全代理剖析器可以对任何计算机上的任何应用进行详细的分析检查。它可以观察应用的实时行为 -- 所有被访问的文件,无论是用于读取还是写入;所有网络连接,无论是对内(服务器)还是对外(客户端),以及远程计算机的地址;所有注册表访问,无论是用于读取还是写入;以及所有COM对象加载操作。思科安全代理剖析器可以搜集关于应用行为的信息,将其汇总到一份报告中提交给管理员,并生成一个策略,以允许对其进行控制。

利用思科安全代理框架,管理员可以集中:

  • 发现不受个人防火墙代理保护的远程计算机
  • 发现没有运行系统安全产品(例如防病毒扫描器)的远程计算机
  • 发现没有运行防病毒签名升级工具(例如Symantec的LiveUpdate)的远程计算机
  • 发现没有安装关键的系统安全升级(例如服务包或者热补丁)的远程计算机
  • 发现没有安装组织策略规定的重要应用的远程计算机
  • 发现安装或者运行在远程计算机上的未经授权的或者未知的应用
  • 发现未知应用在运行时出现哪些行为——将未知但恶意的应用与未知但正常的应用分开
  • 根据所观测到的行为分析控制应用可以执行的行为或者功能

思科安全代理和思科安全代理剖析器都安装在思科安全代理管理服务器上,可以使用现有的防火墙代理 -- 不需要安装在远程系统上。

出色的功能和网络安全

思科安全代理可以在基本的 -- 甚至高级的 -- 防火墙功能之外,添加远程分析和控制功能。它所提供的严格保护可以克服传统个人防火墙产品的限制。利用广泛的网络安全覆盖和深入的系统分析,思科安全代理让管理员可以为远程计算机提供强大的网络安全保护。

思科安全代理可以为企业环境提供强大的入侵防范。它可以在不使用签名的情况下,防止入侵的发生和提供安全保障。与标准的个人防火墙产品相比,安装在关键的服务器和台式机上的思科安全代理可以利用思科独有的拦截关联规则引擎(INCORE)架构,提供对所需资源的安全访问。INCORE可以拦截应用对操作系统的资源请求,在它的规则引擎内部关联行为,并根据客户的应用安全策略制定实时的允许/拒绝决策。思科安全代理能够主动制止针对需要保护的服务器和台式机的攻击,从而成为客户的安全策略的重要组成部分。思科安全代理是一个全新的、独立的防御层,不会因为对签名升级的连续管理加重IT部门的负担。

联系我们