天氣預報
2003-11-18, 07:29 PM
新式攻擊需以新安全技術因應
Lance Travis/AMR Research•陳奭璁譯 28/10/2003
近來接二連三的網路攻擊事件暴露出不少新漏洞,使得防火牆市場勢必經過一番調整。傳統防火牆是以網路參數為基礎來進行安全防範措施,諸如來源、伺服器目的地或網路傳輸的應用目的地等。雖然他們瞭解網路,卻對接收網路傳輸的應用缺乏認識,因此傳統防火牆無法阻擋最近幾次發生的網路型攻擊。不過現在已有一種稱為深層封包檢視(deep packet inspection)將可解決此一問題。
總論:為了抵擋新一代的安全攻擊事件,企業必須在自家的安全策略中加入深度封包檢視技術。
影響:除非你能完全禁止微軟IIS網站伺服器或SQL伺服器的存取,否則傳統防火牆將無力防範諸如Nimda或SQL Slammer這類攻擊的入侵。最新這類安全攻擊通常利用應用上的漏洞,而非網路本身漏洞。更糟的是,網路服務(Web services)的普及會只會讓應用漏洞更為惡化,應用漏洞的問題只會越來越嚴重。因此,駭客攻擊應用不論在數量或嚴重性都只會有增無減。
深度封包檢視一開始首見於入侵防範系統(IPS)與入侵偵測系統(IDS),現在也可見於部分防火牆,這是一種抵擋應用層面攻擊的新型防禦方式。深度封包檢視技術會檢視傳送至應用的資料,看是否有任何規則型態或異常現象,這些都可能是攻擊的先兆。若要一方面執行網路流量的檢查,但又不至於造成網路壅塞,使用就必須倚賴in-line裝置(防火牆或IPS設備)來進行深度封包檢視。結論是:使用in-line深度封包檢視來阻擋攻擊,並用out-of-band IDS當作攻擊事件發生後的分析與判斷。
建議:企業應該評估目前的防火牆策略,並將深度封包檢視技術加入安全策略中。
企業尤其應該特別注意廠商產品是否有下列功能:
深度封包檢視支援的成熟度與可得性:這可能是附加在防火牆中,也可能是單獨的IPS產品。把防火牆與IPS分開雖然有助於避免安全部署上的同時失效,但卻會增加系統的管理成本。擁有深度封包檢視技術的廠商必須專精於通訊協定與資料分析,且可開發應用專屬整合電路(ASICs)來支援線速(line speed)處理。
中央管理控制台:隨著防範攻擊的功能越來越多(數個防火牆、IDS、IPS、防毒、內容管理、垃圾郵件阻擋與漏洞掃瞄),管理人員也需花更多時間進行政策協調與事件的合作,這都會成為管理員在安全管理上的惡夢。新一代防火牆與IPS裝置必須支援中央管理控制台來管理防火牆廠商或第三方廠商的多個裝置與不同設備。
財務可行性:廠商必須有相當程度投資於研發,以便能開發出成熟的下一代防火牆與IPS入侵防範裝置。由於市場目前仍是小廠當道,未來經過一番市場整合後只會留下實力堅強的廠商。
廠商一覽:
在眾多的防火牆廠商中,以Check Point、思科與Netscreen最具開中控管理功能的發整合式防火牆與IDP產品實力,Check Point已經推出Next Generation (NG)防火牆,其中已內含深度封包檢視支援。同樣地,思科也在該公司的防火牆產品PIX Security Appliance中提供深度封包檢視支援;思科最近還買下IPS廠商Okena,並預期會將Okena的入侵預防支援加入該公司的網路安全設備中。Netscreen則已出賣出600多台IPS設備。
其他競爭廠商包括Internet Security Systems(ISS)、Network Associate、與賽門鐵克(Symantec),這些廠商都有完整的安全軟體,也有足夠的財力後盾來開發防火牆與IDP產品。前防火牆廠商Network Associates(已經該公司的Gauntlet防火牆賣給Secure Computing)在收購了IntruVert Networks與Entercept Security Technologies後,已經跨入網路IPS與主機型IPS領域。安全套裝軟體商ISS預計年底前將推出一套IPS設備,可支援防毒、內容過濾與阻擋垃圾郵件功能。賽門鐵克則將提供一套防火牆、IPS與一個中控式管理控制台,可相容於ISS與思科產品。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20084743,00.htm
Lance Travis/AMR Research•陳奭璁譯 28/10/2003
近來接二連三的網路攻擊事件暴露出不少新漏洞,使得防火牆市場勢必經過一番調整。傳統防火牆是以網路參數為基礎來進行安全防範措施,諸如來源、伺服器目的地或網路傳輸的應用目的地等。雖然他們瞭解網路,卻對接收網路傳輸的應用缺乏認識,因此傳統防火牆無法阻擋最近幾次發生的網路型攻擊。不過現在已有一種稱為深層封包檢視(deep packet inspection)將可解決此一問題。
總論:為了抵擋新一代的安全攻擊事件,企業必須在自家的安全策略中加入深度封包檢視技術。
影響:除非你能完全禁止微軟IIS網站伺服器或SQL伺服器的存取,否則傳統防火牆將無力防範諸如Nimda或SQL Slammer這類攻擊的入侵。最新這類安全攻擊通常利用應用上的漏洞,而非網路本身漏洞。更糟的是,網路服務(Web services)的普及會只會讓應用漏洞更為惡化,應用漏洞的問題只會越來越嚴重。因此,駭客攻擊應用不論在數量或嚴重性都只會有增無減。
深度封包檢視一開始首見於入侵防範系統(IPS)與入侵偵測系統(IDS),現在也可見於部分防火牆,這是一種抵擋應用層面攻擊的新型防禦方式。深度封包檢視技術會檢視傳送至應用的資料,看是否有任何規則型態或異常現象,這些都可能是攻擊的先兆。若要一方面執行網路流量的檢查,但又不至於造成網路壅塞,使用就必須倚賴in-line裝置(防火牆或IPS設備)來進行深度封包檢視。結論是:使用in-line深度封包檢視來阻擋攻擊,並用out-of-band IDS當作攻擊事件發生後的分析與判斷。
建議:企業應該評估目前的防火牆策略,並將深度封包檢視技術加入安全策略中。
企業尤其應該特別注意廠商產品是否有下列功能:
深度封包檢視支援的成熟度與可得性:這可能是附加在防火牆中,也可能是單獨的IPS產品。把防火牆與IPS分開雖然有助於避免安全部署上的同時失效,但卻會增加系統的管理成本。擁有深度封包檢視技術的廠商必須專精於通訊協定與資料分析,且可開發應用專屬整合電路(ASICs)來支援線速(line speed)處理。
中央管理控制台:隨著防範攻擊的功能越來越多(數個防火牆、IDS、IPS、防毒、內容管理、垃圾郵件阻擋與漏洞掃瞄),管理人員也需花更多時間進行政策協調與事件的合作,這都會成為管理員在安全管理上的惡夢。新一代防火牆與IPS裝置必須支援中央管理控制台來管理防火牆廠商或第三方廠商的多個裝置與不同設備。
財務可行性:廠商必須有相當程度投資於研發,以便能開發出成熟的下一代防火牆與IPS入侵防範裝置。由於市場目前仍是小廠當道,未來經過一番市場整合後只會留下實力堅強的廠商。
廠商一覽:
在眾多的防火牆廠商中,以Check Point、思科與Netscreen最具開中控管理功能的發整合式防火牆與IDP產品實力,Check Point已經推出Next Generation (NG)防火牆,其中已內含深度封包檢視支援。同樣地,思科也在該公司的防火牆產品PIX Security Appliance中提供深度封包檢視支援;思科最近還買下IPS廠商Okena,並預期會將Okena的入侵預防支援加入該公司的網路安全設備中。Netscreen則已出賣出600多台IPS設備。
其他競爭廠商包括Internet Security Systems(ISS)、Network Associate、與賽門鐵克(Symantec),這些廠商都有完整的安全軟體,也有足夠的財力後盾來開發防火牆與IDP產品。前防火牆廠商Network Associates(已經該公司的Gauntlet防火牆賣給Secure Computing)在收購了IntruVert Networks與Entercept Security Technologies後,已經跨入網路IPS與主機型IPS領域。安全套裝軟體商ISS預計年底前將推出一套IPS設備,可支援防毒、內容過濾與阻擋垃圾郵件功能。賽門鐵克則將提供一套防火牆、IPS與一個中控式管理控制台,可相容於ISS與思科產品。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20084743,00.htm