入侵攻击防火墙无关性研究.docVIP

入侵攻击防火墙无关性研究 　　摘要：分析研究了入侵攻击的防火墙无关性因素，对安全防护策略的制订提供了方向性的指导，并将不可预知的风险因素转换为一定的可预见性因素，从而提供安全部署策略性的参考方案。 　　关键词：入侵风险；防火墙无关性；安全策略；攻击模型；统一威胁管理 　　中图分类号：TP393．08文献标志码：A 　　文章编号：1001-3695(2008)05-1521-03 　　 　　每年大量的网络入侵事例中，被入侵的对象如果说没有防火墙的保护那是极其罕见的。防火墙到底在充当一个什么角色？为什么部署了防火墙后入侵攻击仍然能够得逞？这除了防火墙本身的性能和配置合理性外，一些与防火墙无关的威胁因素是导致入侵攻击得逞的重要原因。因此，分析研究入侵攻击的防火墙无关性因素，能够对安全防护策略制订提供解决问题的方向性指导，并将不可预知的风险因素转换为一定的可预见性因素，从而提供安全部署的策略性指导，同时对防火墙的性能改进和规则制定提供了参考意见。首次提出了章鱼式防火墙体系的观点，提出章鱼式防火墙体系将成为新一代防火墙防护体系的发展方向。?? 　　本文涉及的防火墙为广义的防火墙概念，具体可包括狭义上的边界防火墙、入侵检测以及各种系统的本地防火墙等。?? 　　 　　1防火墙无关性入侵攻击模型?? 　　 　　防火墙无关性的入侵攻击，其考察对象是指无差别的广义上的防火墙因其部署、功能、性能等而导致的潜在安全威胁。它既包括边界防火墙防御能力之外的各种入侵攻击，同时也包含部分本地防火墙（如服务器系统中部署的软件防火墙）防御能力之外的入侵攻击。这些攻击以貌似正常的访问方式进入系统，防火墙无法按访问规则将入侵攻击与正常访问明确地区别开来，从而导致典型网络环境下入侵攻击的成功机率极大地?┨岣摺＊? 　　1．1防火墙无关性攻击模型?? 　　防火墙无关性是指在通用的防火墙功能和防护范围的基础上，防火墙因部署方式、工作模式（网关或路由）等方面而造成的客观上的安全防护死角，这些超出防火墙功能和性能之外的因素的总和即防火墙无关性因素。?? 　　 　　上述模型中，防火墙能够阻挡一部分基于网络层的攻击，但有部分利用溢出、注入及操作错误等导致的攻击仍然可以成功进入server/OS和application/data。?? 　　1．2防火墙无关性攻击模型分类?? 　　防火墙无关性安全威胁因素可以按照多种标准进行分类。传统漏洞检测系统的体系结构从逻辑上可分为集中式、层次式和分布式三种[1]。但无论哪种方式，都是从漏洞威胁的检测本身入手来考察的。而事实上考察一个系统的安全性并不能单纯地只从漏洞威胁本身进行考察，因此笔者提出“用户、数据/应用、系统OS”的逻辑化防火墙无关性攻击模型结构。?? 　　从图1中可以看出，防火墙无关性攻击来源可分为来自外部和来自内部两大类别。?? 　　外部攻击主要是利用防火墙的盲区和弱点；内部攻击主要包括用户或管理员的滥用、误用、人为漏洞等，这是与来自外部的攻击相比更具危险性的威胁。 　　这内外两大攻击类别中，还应当引入一个时间因素，即在某个特定时间段内，其中一个类别的威胁占据更多的比例。因此，来自外部和来自内部的两类攻击并不能简单地给出哪一部分对系统安全影响更为严重的结论，而是在特定时期、特定环境下两者的威胁严重性会存在一定幅度的动态改变。?? 　　 　　2防火墙无关性威胁因素?? 　　 　　2．1入侵检测回避?? 　　入侵攻击的防火墙无关性在所有攻击类型上有一个共同表现，即入侵检测回避。攻击者根据防火墙的工作原理，采取一切可能的手段，来绕过或欺骗防火墙的检测，从而实现成功的入侵攻击。?? 　　入侵检测回避具体可表现在入侵攻击的所有方面和攻击的所有过程中。其中网络层和应用层是最容易被攻击者采取回避措施的部位。攻击者可以采取部分包含但不限于如下的手段以回避防火墙系统的检查：?? 　　a）伪造数据包。提供虚假的源地址或目标地址信息等绕过防火墙规则检查。?? 　　b）盗用MAC或IP地址。对于采取了MAC或IP访问限制的系统，攻击者可通过伪造MAC或IP地址的途径骗取认证系统的信任。?? 　　c）与IP欺骗相似的，还有DNS欺骗等[2]。?? 　　d）对提交的数据进行Unicode或UTF－8编码。对于具备应用层合法性检测的系统，攻击者可对提交信息进行二次编码，利用系统对不同编码的自动兼容特性，绕过防火墙规则中的特征匹配，如将空格编码为%20等。e）添加垃圾干扰信息。对付特征字串检测的最简单有效的做法就是添加垃圾干扰信息。例如系统禁止上传.asp格式的文件，则攻击者上传.asp格式的木马后门时，可以利用NT系统对扩展名的空格自动截断的特性，将上传的文件扩展名改成xx.asp xyz（其中空格后