扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
服务器和域隔离是如何适用于总体网络安全战略的?
除了部署其他主动和响应机制外,还部署服务器和域隔离来保护网络和其连接的设备(包括计算机)。 因为安全性是一个涉及多方面的问题,需要从多个层次来解决,所以审核其背后的纵深防御的概念和深层次的概念是很有帮助的。 总体网络安全战略应用适当的技术以缓解优先级最高的风险,而无需极大地依赖于单点故障。 例如,如果由于配置错误或恶意的员工导致周边安全出现问题,则哪些其他层面的保护可停止网络攻击和内部受信任主机上的感染? 当攻击者连接到美国任何一间办公室的会议室中的以太网端口时,哪种保护可停止欧洲或亚洲的所有受信任主机上的攻击?
纵深防御
纵深防御被描述为保护计算机而非依赖于该保护的单个机制的最佳分层方法。要成功地进行分层保护,有必要首先了解准备攻击组织的感染源和敌手并且对它们可能攻击的目标有一定的认识。例如,敌手可能是雇佣间谍公司来偷窃有关正在开发中的新产品或服务的竞争对手。了解攻击者和它们可能攻击的目标之后,对可能受到破坏的计算机应用事件响应过程是很有必要的。 这些方法包括身份验证、授权、机密性和非拒绝。遵守保护-检测-响应的行业最佳做法的组织认识到攻击将会发生,并了解快速检测攻击和将服务中断或数据丢失降至最低是极其重要的。 实施保护-检测-响应可识别攻击,因为攻击的概率很高,所以应更努力地保护数据和资产而不是阻止攻击发生。 一般说来,防御攻击比攻击发生后再来消除它更有效。
所有信息保证机制都集中在人、过程和技术上。 隔离涉及所有这三个领域:通过彻底了解需要保护的风险、要求和资产来实现隔离,以及需了解包括人和过程元素。 此外,隔离还要求了解网络和其设备的当前状态,定义计算机应如何相互交互的通信要求以及可能限制实现安全与通信之间适当的平衡的那些要求的安全要求。
下图说明了逻辑隔离解决方案如何适用于 Windows Server System Reference Architecture 中使用的纵深防御方法:
从该图中需了解的重要一点是逻辑隔离层的安全的直接目的在于通过控制网络通信确保主机的安全。 此任务非常类似于基于主机的防火墙的任务。 但主机防火墙是对端口提供允许和阻止服务,而 IPsec 提供允许和阻止服务并协商受信任网络访问服务。 授予访问权限之后,IPsec 可确保两台计算机之间的所有数据包的安全。 如本解决方案的环境中所定义的一样,“逻辑隔离”解决方案(如服务器和域隔离)将:
• 不确保网络设备的安全,如路由器。
• 不提供物理网络访问控制,如指定哪台计算机被允许建立远程访问 VPN 连接或提供由基于网络的防火墙提供的保护。
• 不确保网络链接的安全,如用于访问控制的 802.1x 和用于无线链接的 802.11 WEP 加密。 但 IPsec 提供源和目标 Internet 协议 (IP) 地址间的路径中的所有网络链接上的端到端保护。
• 不对网络上的所有主机提供安全 — 仅对那些参与隔离解决方案的主机提供安全。
• 不确保应用程序级别的路径的安全,如电子邮件和 .NET 消息传递通过的端到端路径和在客户端与 Web 目标服务器之间可被代理多次的超文本传输协议 (HTTP) 请求。
进行 IT 安全风险缓解分析时应考虑每一层的安全性。 例如,如果某台计算机不允许访问逻辑隔离层上的服务器,则哪个用户登录那台计算机无关紧要。 所有用户(甚至包括管理员)都被拒绝访问该服务器。
SSL/TLS 和 IPsec 的比较
IPsec 不打算替换应用程序级别的安全,如 SSL/TLS。 使用 IPsec 的优势之一在于它可以为现有的应用程序提供网络通信流安全而无需更改这些应用程序。 在应用程序使用 SSL/TLS 的环境中使用 IPsec 可提供下列好处:
• 帮助保护所有应用程序和操作系统免遭不受信任计算机和其他设备的网络攻击。
• 建立纵深防御方法避免可能不正确或不符合要求的使用 SSL/TLS(例如,在所有 eHPI 数据未被加密和未经身份验证的情况下)。
• 帮助阻止用户凭据进入不受信任计算机中 — 因为除非 IPsec 在客户端和服务器之间建立相互信任,否则不会提示用户登录到内部 SSL/TLS 网站上。
• 在您无法使用 Windows 注册表设置以选择符合 SSL/TLS 算法的规范时提供安全性。 Windows 2000、Windows XP 和 Windows Server 2003 提供 SSL/TLS 算法的注册表控制,在 Microsoft 知识库文章 245030“How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel.dll”中对其有所描述,网址为 http://support.microsoft.com/?kbid=245030。
• 在没有证书可用的地方提供安全性。
IPsec 可确保源和目标 IP 地址之间的通信流的安全。 没SSL/TLS 可确保通过整个应用程序路径的通信流的安全(例如,从通过 Web 代理的 Web 浏览器到 Web 服务器)。
国家标准与技术协会 (NIST) 正在编写有关如何使用 TLS 的指南。 Special Publication 800-52“选择和使用传输层安全的准则”是在联邦政府中实施 TLS 的准则。 有关本指南的详细信息,请参阅 NIST Computer Security Division 网站,网址为 http://csrc.nist.gov/publications/index.html。 不存在有关如何使用 IPsec 的类似指南。 但美国国家安全局已发布如何使用 Windows 2000 IPsec 的指南。 这些指南可从 NSA 网站中获得,网址为 http://nsa2.www.conxion.com/win2k/download.htm。 需要符合 NSA 准则的组织应评估本解决方案的设计以及 NSA 指南。
使用证书身份验证的 IPsec 提供了类似于 SSL/TLS 的保护,但有一些区别。 Windows IPsec 支持一小部分由 TLS 支持并由 NIST 推荐的加密算法(例如:3DES、SHA-1 和寿命短暂的 1024 位 Diffie-Hellman)。本指南中介绍的解决方案使用域成员间的 IKE 身份验证的 Kerberos 协议签名代替基于证书的签名。 Windows IPsec IKE 协商使用 Kerberos 协议和基于证书的身份验证建立了计算机间的相互信任。 由于 IKE 未集成在应用程序中,它无法验证目标计算机名称是否是应用程序希望连接的名称,因此允许来自另一台受信任主机的复杂的人为干预攻击。但因为应用程序集成在 SSL/TLS 中,所以目标名称不仅经过验证(受信任),而且还可对照预期的名称来验证此名称。
术语复习
继续阅读本章之前,最好是回顾一下在本解决方案的环境中常用的几个术语。 如果您已熟悉这些术语,可跳过本节。 但如果您没有充分理解这些术语,则可能会发现本指南中的一些解释很令人费解。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。