網絡保護和入侵探測產品SessionWall-3技術概覽

　　MEMCO 白皮書
　　SessionWall-3
　　網絡保護和入侵探測產品SessionWall-3技術概覽
　　概覽
　　通過大量地減少實施安全、高效的網絡系統所需要的時間和技術，提高了網絡建設水平。SessionWall-3可以全自動地識別網絡使用模式、網絡使用具體細節，并可以識別大量基于網絡的入侵、攻擊和濫用。它揭示了大量關于網絡生產性使用情況、安全和遵守企業政策等方面的運行中的神秘因素。
　　背景
　　Internet是六十年代美國國防部資助的網絡研究計劃的產物(Advanced Research Projects Agency Network - ARPAnet)，ARPAnet主要用于科研人員之間建立聯系，實現信息的輕松互訪。到了八十年代，國家科學基金會(NSF)正式創建了Internet，以取代原有的ARPAnet，使之成為更現代、更高速的網絡系統。從那時起，Internet及其應用逐漸演化成為企業與企業，個人與企業，個人與個人之間的主要通訊渠道。導致它普遍被使用的主要原因在于其采用了一個使用起來簡單的網絡協議：TCP/IP（傳輸控制協議/互連協議）。
　　為了實現易用性，TCP/IP協議放棄了所有象IBM SNA這樣的商業網絡協議中的保護機制。
　　除了基本的通訊協議外，TCP/IP包括了一些基本的網絡應用及應用協議。這些網絡應用包括Telnet、Email功能（SMTP - Simple Mail Transport Protocol），文件傳輸功能（FTP - File Transport Protocol），超文本傳送功能（HTTP - Hypertext Transfer Protocol），會話功能（IRC - Internet Relay Chat），等等。
　　易于使用的Internet瀏覽器的出現，使得有效使用的學習曲線大大縮短，提供了一個幾乎實時的方式去瀏覽所需信息 — 各種各類的信息，這樣就極大地增加了Internet的生存能力。這些易于使用的Internet瀏覽器（如，NetScape和Microsoft Internet Explorer）及其幕后的服務器系統對于廣闊區域范圍的網絡系統的普遍使用的貢獻，遠遠超出了電子表格對PC機應用的推動作用。
　　Email、瀏覽器和文件傳輸功能的結合推動著Internet互聯性向著數以百萬計連接方向發展，這些連接是通過含有Web內容的公用互連網絡進行。
　　Web已經發展成為主要的溝通、傳輸軟件和電子文檔的工具，為支持服務、采購產品、新聞發布和研究活動提供了有效途徑。推動Web有效和普遍被使用的三個主要原因是：
　　易于使用的Email、信息瀏覽器和文件傳輸。
　　強大易用的網絡協議。
　　方便的訪問和互聯性。
　　簡單地說，Internet/Web給企業提供了用于企業內部和位于不同地點的企業之間進行溝通的新渠道，同時也為這些企業的雇員們訪問電子信息和新聞提供了途徑。然而，這種靈活性同時也不可避免地帶來了黑客的惡作劇、內部網絡使用上的濫用、信息偷竊、工業間諜和其他企業非正當目的的活動等各種形式的威脅。
　　網絡保護
　　Intranet保護需要適當的工具。不幸的是，即使有了合適的工具，也可能會由于缺乏適當的審計機制而對企業造成巨大的損失。例如，根據領先防火墻專家的介紹，由于技能的缺乏、配置的復雜性和低層操作系統的薄弱，50%以上的已安裝的防火墻沒有得到正確的實施。
結果不足為奇地導致了企業在采用網絡保護工具方面大大滯后。大部分的企業希望等待更多的網絡保護程序出現，以便在購買之前能加以選擇。企業需要能夠清晰地顯示其網絡使用情況的組件，以確定何處需要安全策略，以及應該封鎖什么樣的內容。另外，企業需要確認他們得到了自己所期望的安全策略的遵守和網絡保護。
　　惡作劇、濫用、盜竊、間諜和非授權的使用。
　　惡作劇需要入侵探測系統
　　惡作劇表現為入侵，拒絕服務型的襲擊和對服務器、應用或系統控制權的搶占。
　　正像前面指出的，TCP/IP的設計是非常靈活的。這種靈活性以及Internet訪問的普遍性，使任何了解其通訊協議和低層特征的人都可以充分地炫耀自己的能力。例如，黑客們可以利用標準的TCP/IP協議來確定內部地址并通過標準的服務搶占服務器，阻塞網絡通道或占用客戶機。另外，通過參與"hacker"新聞組，這些黑客們還可以學到有關TCP/IP協議或TCP/IP應用軟件bug的情況，并可以在他們的黑客活動中加以利用。例如，ping命令是網絡用戶通常用于查看位于網絡另一端的服務器或客戶機是否可以抵達，以及需要多長時間才能抵達的一種途徑。但是，如果ping的開銷過大，許多TCP/IP棧的掛起可能會導致桌面系統或服務器鎖定。這就是通常稱為死亡之ping的服務拒絕型攻擊。其它類似的攻擊包括：
　　通過大量針對特定網絡的，有效的低層網絡活動阻塞網絡通道。
　　開始后未能完成的會話，由于掛起而形成網絡阻塞。
　　發布有效的用戶服務器命令，使客戶機軟件處于被控制的狀態。
　　發布附件中帶有病毒或worms的Email消息。
　　發布可能使用戶Email應用將控制權交給郵件附件中的可執行代碼的Email消息。
　　提供有趣的Web站點，引起客戶下載Java或ActiveX小程序，并通過這些程序讀取桌面系統信息，并傳遞到其它網站，或自行搶占桌面系統的控制權。
　　這些攻擊的主要攻擊力在于他們采用了標準網絡功能，并用于不正當的目的，或采用標準功能來激活系統或系統應用中的bug?；镜姆阑饓Υ蠖际怯脕矸乐共贿m當的協議和特定的客戶/服務器訪問，但很少查看應用本身。Proxy服務器被用來解決與應用相關的問題。Proxy服務器扮演了代理人的角色，并可以查出特定應用中存在的問題。但是，proxy服務器的自身質量也是一個問題，因為一些攻擊行為可以引起proxy服務器的問題。這種不斷攔截攻擊行為的過程導致了一種新工具的出現，即入侵探測系統（Intrusion Detection Systems）。這些入侵探測系統致力于監控和探測已知或可疑的模式，并提供了自動和手工實時反應這兩種方式。
　　SessionWall-3提供了易于安裝和使用的入侵探測、病毒檢測和Java/ActiveX探測等功能。同時還提供了大量的使用記錄和相應的法律行為，以及有助于識別其它異常情況的報告。SessionWall-3提供了全面的入侵探測服務。
　　網絡濫用
　　濫用往往表現為對不恰當的Web站點進行訪問，使用內部網絡從事與其它員工或網絡用戶的非正當通訊或不正當的網絡資源消耗。
　　Internet濫用帶來不同的惡果，包括員工工作效率的下降、網絡帶寬的損失以及工作環境面臨風險的增加，未經控制的訪問冒犯其他雇員。從工作效率的角度而言，許多企業將體育網站、游戲和在線賭博等看做是Internet濫用行為，并希望對其加以監視與控制。從帶寬消耗的角度考慮，許多企業對員工訪問對提高工作效率沒有幫助的站點和下載大的圖形文件非常關注，因為這將對所有網絡用戶的工作效率產生影響。從責任角度而言，企業更多地關注其員工對色情站點，泄憤站點或類似攻擊性內容的訪問。對這些站點的訪問在工作場所中沒有環境，而企業則聽任其存在，不取消和阻止其發生，這些訪問會給公司帶來危害。
　　再者，防火墻系統并不將注意力放在應用層次的監控上，從而導致了Web控制網關的產生。這些網關通常包括大量URL和Web站點的分類庫，使網絡管理員可 以確定并阻塞不適當的訪問。這種方案的不足之處在于它會引起網絡傳輸的延遲，從而再次形成問題隱患。SessionWall-3引入了新的機制，以便在不造成上述的延遲或問題的情況下實施必要的監控。SessionWall-3以被動的方式連接到網絡上,對流量進行簡單地監聽，一旦發現需要攔截的訪問，即加以阻止。
　　電子資源盜竊
　　盜竊往往表現為未經授權訪問個人用的特殊信息。這可以通過對特定服務器或客戶機的偵聽和通過猜測密碼的手段對應用系統的侵入來實現。雖然主機保護軟件是保護服務器端資源的基礎，但是一旦應用資源進入網絡就很難加以跟蹤。
　　基于網絡的應用挑戰/反饋探測和網絡層傳輸內容掃描工具被用來識別試圖使用或破解注冊口令，以及跟蹤這種電子資源的傳送，并提供相應的日志，報警，反饋和記錄。SessionWall-3提供了這些服務。
　　工業間諜
　　工業間諜以知識或信息竊賊的形式出現，往往會將得到的資源傳遞到另一企業。使用Internet，就可以更加方便地將有價值的數字化的企業機密設計方案或類似的內容傳遞出內部網絡以外的地方。出于這種考慮，Email大小被加以監控、特殊的郵件過濾程序被用來確保Web沒有成為企業資源傳遞到企業之外的手段。在這種情形下，全面的記錄和報表是必要的，以備以后可能出現法律爭端時使用。SessionWall-3提供了這些服務。
未經授權的使用與騷擾
　　Email的普遍使用使企業有必要對其在網絡上的暴露程序進行控制。如，員工可以在與用戶的溝通中，通過在Email里使用象“保證”或“免費”等字眼對企業作出非授權的承諾。類似地，電子郵件可以被用于騷擾企業內部或外部的其他員工。這些都是通過利用企業資源而實現的。如果企業確實有這樣的政策但還沒有加以實施，那么企業可能需要對攻擊者的行為負責。其它形式的無意識行為可能包括接受有關公司利益的協議，或在未經合法審查的情況下引入敏感的軟件到企業中。
　　SessionWall-3的技術
　　SessionWall-3是一種易于使用的軟件型網絡分析方案。它對網絡流量進行監聽，并對傳輸內容進行掃描、顯示、報告、記錄和報警，并提供了全面地查看有關內容的途徑，以易于理解的方式提供了相應的信息。另外，SessionWall-3采用了專利型的"unobtrusive blocking"技術，在基于規則和相應的報警條件的情況下對不恰當的網絡流量進行攔截。
　　直到1997年SessionWall-3出現之前，企業不得不購買各種不同的軟件，用來創建自己的安全系統?，F在，SessionWall-3的用戶可以在同一個軟件中查看其網絡使用的情況、確定企業暴露的程度、提供及時的幫助以保護網絡和減少業務暴露的程度。
　　SessionWall-3可以被安裝到任何連接到網絡上的Windows 95/98或NT4.0/5機器上。并可以對一個或多個以太網，Token Ring和FDDI局域網段中的網絡流量進行處理。
　　SessionWall-3 Release 3(V1R3)被設計成可以當做獨立或補充性產品使用，它包括了世界級的監控和使用情況查看工具、入侵探測和服務拒絕型攻擊探測引擎，一個巨大的超過400,000個分類站點清單的URL控制列表，世界級的攻擊型Java/ActiveX探測引擎和病毒探測引擎。它對所有流行的“防火墻”是有效的補充，可以提供與應用相關的保護，提供入侵探測，并對現有的設置進行審計。SessionWall-3也可以通過使用OPSEC接口與FireWall-1連接。
　　SessionWall-3的獨到之處
　　與業界大多數通過在網絡通訊路徑中插入設置的方式進行保護的產品不同，Sessionwall-3是一個全透明的，unobtrusive的解決方案，不需要對網絡或地址進行任何改動，也不會對網絡的傳輸造成延遲，獨立于平臺所使用的網絡。
　　版本三的特點
　　在SessionWall-3版本三中，引入了以下改進：
　　q 識別NT域授權用戶
　　在日志中顯示用戶ID作為名字的一部分（除IP/MAC/DNS名稱外）
　　對NT用戶提供基于用戶ID的報告
　　對NT用戶進行統計
　　q 執行過程的改進
　　基于會話內容的阻塞
　　當特定事件發生時，自動生成阻塞規則
　　支持用戶提供的DLL
　　輸出會話日志
　　q 報表處理的改進
　　"Drill-down"報表查看
　　輸出報表到Web服務器以便遠程瀏覽
　　計費報表
　　入侵探測報表
　　報表可以基于NT用戶名生成
　　獨立的報表查看器
　　q SessionWall-3的多用戶支持功能為不同的用戶提供了不同的查看特權。
　　q 支持在SessionWall-3查詢中的整詞匹配
　　q 回放Telnet會話
　　q 限制收集數據信息的能力
　　q 全面的proxy服務器支持
　　q SessionWall-3可以支持多用戶Windows NT環境
　　q 額外的入侵探測模式
　　碎片處理(包重組)
　　探測與不同數據的交叉
　　接受SYN包中的數據
　　ID測試支持
　　Sweep attack
　　TCP包重疊
　　確定入侵的新模型
　　緩沖區溢出
　　匹配應用沖突反饋
　　q 可用性
　　規則優先權消除，有利于定義成熟的優先權
　　阻塞被定義成行為來執行
　　修訂行為的定義和處理
　　GUI接口通過OPSEC支持與FireWall-1連接
　　忽略假的可疑網絡活動誤報警的能力
　　在查詢日志文件的同時通過鼠標點擊編輯規則
　　通過工具欄按鈕點擊來在不同的日志事件察看和阻塞事件察看中切換
　　DHCP客戶的別名可以基于MAC的選項
　　定義全局缺省阻塞信息的選項
　　HTTP支持的分塊頁面格式
　　切換工作空間
　　切換后強制重新統計的選項
　　切換上的安排報表
　　q 操作環境
　　NT服務支持
　　NT CPU利用情況
　　LLC網絡支持
　　Windows 98和NT 5支持
　　SessionWall-3保護
　　隨著用戶將其本地或企業網絡連接到Web上并在企業內使用Internet技術，他們必將面臨以下兩個主要問題：
　　保護用戶網絡不受外來入侵和攻擊。
　　保護用戶的企業不會出現內部的濫用和生產力的下降
　　SessionWall-3是一種經濟有效的方法，可以快速順利地解決這兩個問題。另外，它避免了改變現有網絡布局，引入網絡性能開銷或進行復雜規劃及全面實施周期的必要。
　　SessionWall-3 R3在一個單一而全面集成的方案中提供了業界最為全面的網絡保護，它包括：
　　從高層統計信息到具體用戶使用情況的網絡利用報告。R3目前包括了“drill-down”的能力。
　　網絡安全包括內容掃描、入侵探測（服務拒絕型襲擊，可疑活動，懷惡意的applets，病毒）、阻塞、報警和日志記錄。
　　Web和內部使用政策監控技術和可以通過用戶ID、IP地址、域名、組、內容和控制清單等對Web訪問和企業內部政策進行監控和加強的控制器。
　　企業信息記錄通常作為法律保護手段，對Email內容、日志監控，查看和記錄。
SessionWall-3被審計人員，安全咨詢人員，法律執行人員，財務機構，中小型企業，大型企業以及ISP，教育機構和政府部門用來滿足網絡保護方面的各種不同需求。
　　SessionWall-3監控
　　SessionWall-3包括適用于Web訪問、監控/阻塞/報警、入侵探測、攻擊探測、惡意applets、惡意Email等在內的安全政策文件夾。這些政策文件夾包括企業在了解其網絡利用情況、檢測入侵和可疑網絡活動時需要的規則。這些規則可以非常方便地加以激活、關閉或加以剪裁以滿足企業在一般需要之外的其它具體要求。這些規則包括了監控/阻塞具體用戶組、地址、域訪問特定的Web站點、URL或內部服務器的功能。
　　一旦安裝了SessionWall-3，它就立即開始對入侵企圖和可疑的網絡活動進行監控，并開始對所有的Email、Web瀏覽、新聞、Telnet以及FTP活動進行記錄。新的規則可以方便地添加，現有的規則也可以利用菜單功能選項進行修改。所有未能與規則關聯的網絡活動，都被加以識別，并被用于統計分析和實時分析，以確定是否需要額外的規則。
　　特殊的隱私功能
　　SessionWall-3提供了登錄和管理訪問控制的能力，以控制訪問權限。
　　平穩的安裝和運行
　　通過以下的特點，SessionWall-3解決了網絡保護中存在的關鍵問題：
　　最小化技能和資源上的需要
　　提供經濟的，可伸縮的解決方案
　　提供管理報告
　　提供易于使用的，靈活的工具
　　從運行的角度講，SessionWall-3消除了安裝和運行網絡保護方案的神秘感。SessionWall-3實際上提供了以前只有多種管理工具結合起來，并需要通過艱苦的分析才可以獲得的網絡信息， 這是通過以下的方式實現的：
　　插即用的安裝（自行配置）
　　方便易用的圖形化用戶界面
　　聯機查看網絡活動日志
　　實時的統計數字和dashboard圖形
　　全面的“drill-down”查詢和報表
　　聯機查詢和調度報告
　　易于更新的監控、阻塞設置和報警規則
　　包括實時干涉在內的全系列的反饋
　　預定義的阻塞規則，“stateful dynamic blocking”以及
　　SNMP陷阱、運行以及OPSEC接口以激發其它反饋
　　全面的URL站點分類和控制列表
　　支持Web自行評定系統(RSACi)
　　先進的可疑applet探測(如，Java/ActiveX)引擎
　　全面的病毒掃描引擎和病毒信息庫
　　全面的格式化內容及附件查看功能。
　　電子字詞模式內容掃描和阻塞
　　自動和菜單驅動的地址解析
　　pager、Email、fax、console消息和可審計的報警
　　自動或迅速反應的阻塞
　　SessionWall-3日志和NT事件日志記錄
　　SessionWall-3企業版
　　新的SessionWall-3企業版增加了集中化地監控多個分布式SessionWall-3的功能，并可以遠程地管理SessionWall-3，將所選擇的信息合并到一個公用的關系型數據庫中。
　　SessionWall-3 Central使網絡管理員可以監視和控制一個或多個運行SessionWall-3的節點。這可以通過在網絡的不同分區（本地或遠程）安裝SW3 agent來實現，中央節點可以對其它節點進行監控，并可以在不同agent所收集的信息進行合并的基礎上查看和生成報表。
　　SessionWall-3 Central是若干個不同服務的基礎。SessionWall-3 Central：
　　使同一個網絡管理員可以對多個遠程和本地的SessionWall-3進行監視和管理。利用這一功能，網絡管理員可以在控制臺上查看報警信息，并擁有遠程控制特定SW3節點的功能，就象它們在本地一樣。
　　使系統管理員可以管理遠程的SessionWall-3節點。
　　使遠程網絡上的授權用戶可以查看已被授權的特定信息。
　　SessionWall-3 Central支持以下組件：
　　SessionWall-3 Central組件運行于Windows 95、Windows 98或Windows NT。SW3 Central組件接收、排序和顯示由一個或多個遠程SW3 agent生成的信息，并使管理員可以連接到SW3 agent并對其進行操作。
　　SessionWall-3 Central Agent是運行于安裝了SW3企業版軟件的節點上的組件。SW3 Central Agent包括的代理應用可以在后臺運行，接收來自SW3的報警，通過可以對遠程訪問進行授權的遠程控制應用將其發送到SW3 Central，并使SW3 Central可以遠程控制。
　　SessionWall-3 Log View使用戶可以通過選取特定的數據庫，并對其中存檔的信息進行瀏覽和查看，監控一段時間內網絡使用的細節。用戶們也可以在關系型數據庫中對從多個SessionWall-3節點得到的會話信息進行合并。
　　用戶可以在SessionWall-3中創建規則，以便將會話數據存入到備份檔案中，從而可以在晚些時候對數據進行查找。
　　The SessionWall-3 Log View包括三個主要的部分：
　　SessionWall-3系統組件，SessionWall-3 Data Client負責收集數據并將它傳送到備份檔案中。
　　SessionWall-3 Log View Database Server組件，負責控制裝有關系數據庫產品(Oracle或SQL)的本機或不同機器上的歸檔數據。
　　SessionWall-3 Log View Viewer，它可以駐留在任何NT系統，并為用戶提供查看歸檔日志的接口。
　　在軟件安裝和歸檔位置被確定后，用戶定義SessionWall-3的規則，以便將會話數據存入歸檔文件中，用于以后的查找。
　　總結
　　SessionWall-3代表了最新一代的Internet和Intranet保護技術，提供了無與倫比的網絡使用智能水平、訪問控制、用戶和網絡透明度、性能、靈活性、適應性和易用性。SessionWall-3克服了對強大的UNIX主機的需要，也排除了非路由防火墻軟件所引起的開銷。另外，SessionWall-3包括了會話日志查看工具，可以被用于內容審計，提供有關電子通訊手段濫用方面的有力證據。使用了最新企業版SessionWall-3，那么遠程管理、監視和保護大規模的分布式網絡成為可能。

原文轉自：http://www.kjueaiud.com