引言
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,高效安全的信息存儲與傳輸已經(jīng)成為網(wǎng)絡(luò)經(jīng)濟發(fā)展必不可少的特性。由于黑客入侵、內(nèi)部人員泄密、管理員權(quán)限的濫用等原因,很容易發(fā)生文件或資料丟失泄漏,由此造成的重大后果將是無法彌補的,通過安全存儲技術(shù)的應(yīng)用,在相當(dāng)程度上能夠有效地防止此類事件的發(fā)生,避免由于資料泄漏所造成的嚴重損失。本課題是以當(dāng)前網(wǎng)絡(luò)存儲的主要結(jié)構(gòu)SAN(存儲區(qū)域網(wǎng)絡(luò))作為基礎(chǔ)架構(gòu)設(shè)施來進行實例分析提出安全對策。
1 SAN的安全隱患
SAN(Storage Area Networks,存儲區(qū)域網(wǎng))是一種高速的專用存儲子網(wǎng),這個子網(wǎng)中的設(shè)備可以從主網(wǎng)中卸載流量。通常SAN 由RAID 陣列等存儲設(shè)備和服務(wù)器通過光纖通道連接組成。而網(wǎng)絡(luò)存儲帶來高性能、高開放性的同時,也對安全性提出了新的挑戰(zhàn)。由于其上數(shù)據(jù)的價值和集中性,使網(wǎng)絡(luò)存儲資源逐漸成為黑客們攻擊的重點。
根據(jù)存儲網(wǎng)絡(luò)的體系結(jié)構(gòu)一般說來,在不同范圍存在三個危險區(qū):系統(tǒng)/連接(外網(wǎng))、存儲結(jié)構(gòu)(內(nèi)網(wǎng))、子系統(tǒng)/介質(zhì)(介質(zhì))。SAN 在應(yīng)用環(huán)境中受到的典型威脅的具體內(nèi)容和危害性可分為三類。
第一類出現(xiàn)在服務(wù)器與存儲區(qū)域網(wǎng)或存儲陣列設(shè)備的連接處。攻擊者通過盜用服務(wù)器的合法地址實施兩方面的攻擊,一是訪問超出它訪問權(quán)限的數(shù)據(jù);二是修改SAN 交換機的配置信息,影響存儲區(qū)域網(wǎng)中合法用戶對數(shù)據(jù)的正常操作。
第二類出現(xiàn)在SAN交換機之間的連接處。當(dāng)一個未經(jīng)認證的SAN 交換機加入到現(xiàn)有交換機陣列中來時,攻擊者可通過該交換機非法獲取數(shù)據(jù),也能獲得整個存儲區(qū)域網(wǎng)的配置信息。
第三類出現(xiàn)在服務(wù)器與存儲陣列之間,當(dāng)FC交換通過軟分區(qū)隔離時,任何非授權(quán)的服務(wù)器能突破軟分區(qū)的限制,并與存儲設(shè)備通信;該服務(wù)器還能通過發(fā)出大量的請求包,造成對合法用戶的拒絕服務(wù)攻擊。
2 入侵檢測技術(shù)
防火墻系統(tǒng)作為網(wǎng)絡(luò)邊界的第一道安全防線,雖然在存儲安全體系中發(fā)揮著重要的作用,但隨著入侵技術(shù)的不斷改變和提高,基于策略及靜態(tài)保護的防火墻系統(tǒng)己經(jīng)不能完全滿足安全防護實際需要,這就需要智能和動態(tài)分析為基礎(chǔ)的入侵檢測系統(tǒng)作為輔助。入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā),入侵檢測理應(yīng)受到人們的高度重視。
2.1 入侵檢測定義
入侵檢測系統(tǒng)(Intrusion Detection System,IDS)是部署在網(wǎng)絡(luò)的安全關(guān)鍵點,實時收集各種信息,根據(jù)內(nèi)置的專家系統(tǒng)和入侵分析引擎進行分析、發(fā)現(xiàn)、報警、阻斷潛在的攻擊行為的一種網(wǎng)絡(luò)安全設(shè)備。
2.2 入侵檢測的分類
按系統(tǒng)結(jié)構(gòu)可分為集中式入侵檢測和分布式入侵檢測;按待分析的數(shù)據(jù)來源將入侵檢測分為基于主機和基于網(wǎng)絡(luò)的2類;按工作方式可分為離線檢測和在線檢測;按檢測時間可分為實時入侵檢測和事后入侵檢測;按照分析方法分可分為誤用檢測和異常檢測。
2.3 入侵檢測系統(tǒng)的工作原理
入侵檢測系統(tǒng)通常只有一個監(jiān)聽端口,無需轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上主動、無聲息的收集它所關(guān)心的報文,是一個典型的“窺探設(shè)備”。收集到報文后,入侵檢測系統(tǒng)將從報文中提取相應(yīng)的流量統(tǒng)計特征值,并利用內(nèi)置的入侵知識庫與這些流量特征進行智能分析、比較、匹配,根據(jù)預(yù)設(shè)的閾值,匹配耦合度較高的報文流量將被認為是進攻而發(fā)出相應(yīng)的報警信號或自動進行有限度的反擊。
2.4 入侵檢測系統(tǒng)的工作流程
入侵檢測的第一步是信息收集,包括網(wǎng)絡(luò)流量的內(nèi)容、用戶連接活動的狀態(tài)和行為。接下來是信號分析,系統(tǒng)將對上述收集到的信息通過模式匹配,統(tǒng)計分析和完整性3種技術(shù)手段進行分析。對于通過分析被認為有人侵行為的就實時記錄、報警或有限度反擊,作出適當(dāng)?shù)姆磻?yīng)包括詳細日志記錄、實時報警和有限度的反擊攻擊源。
3 基于SAN的入侵檢測系統(tǒng)
3.1 基于SAN的入侵檢測系統(tǒng)的模塊設(shè)計
入侵檢測系統(tǒng)一般由控制臺,數(shù)據(jù)庫管理和數(shù)據(jù)采集與數(shù)據(jù)分析幾大功能模塊組成。本文的入侵檢測系統(tǒng)將數(shù)據(jù)采集與數(shù)據(jù)分析模塊的功能集中由探測器模塊功能實現(xiàn)。方案構(gòu)建根據(jù)網(wǎng)絡(luò)流量和保護數(shù)據(jù)的重要程度,選擇IDS探測器配置在代理服務(wù)器的交換機處放置;核心交換機放置控制臺,監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實時保護,在存儲網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
系統(tǒng)主要包括控制臺和主機探測器二個部分。探測器和控制臺是相對獨立的,探測器各自分布在代理服器的換機處獨立工作,探測器通過網(wǎng)絡(luò)接口和控制臺通信,系統(tǒng)結(jié)構(gòu)如圖1所示。
網(wǎng)絡(luò)探測器截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包,并從其中尋找可能的入侵信息或其他敏感信息。
控制臺實時監(jiān)控所有分布在網(wǎng)絡(luò)中的探測器,匯總各個探測器的告警信息和狀態(tài)信息,并負責(zé)完成對探測器的遠程配置、規(guī)則庫的管理、告警信息的查閱、報表、打印以及數(shù)據(jù)庫的備份等工作。
圖1基于SAN的入侵檢測系統(tǒng)
3.2 基于SAN的入侵檢測系統(tǒng)的功能
在存儲區(qū)域網(wǎng)中,入侵檢測系統(tǒng)運行于存儲服務(wù)器與Internet 之間,通過實時截取網(wǎng)絡(luò)上的數(shù)據(jù)流,分析網(wǎng)絡(luò)通訊會話軌跡,尋找網(wǎng)絡(luò)攻擊模式和其它網(wǎng)絡(luò)違規(guī)活動。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪問時,入侵檢測可以進行幾種反應(yīng)。
1)控制臺報警。
2)記錄網(wǎng)絡(luò)攻擊事件。
3)實時阻斷網(wǎng)絡(luò)連接。
4)入侵檢測采用透明工作方式,靜靜地監(jiān)視本網(wǎng)絡(luò)數(shù)據(jù)流,對網(wǎng)絡(luò)通訊不附加任何時延。
5)入侵檢測可以過濾和監(jiān)視TCP/IP協(xié)議。系統(tǒng)管理員通過配置入侵檢測,可以按協(xié)議(TCP、ICMP)源端口,目的端口,源IP目的IP地址過濾。入侵檢測可監(jiān)測多種網(wǎng)絡(luò)服務(wù)包括文件傳輸、遠程登陸等,并且所支持的服務(wù)隨著入侵檢測的發(fā)展可以不斷地擴展。
6)入侵檢測還支持用戶自定義的網(wǎng)絡(luò)安全事件監(jiān)視。
7)入侵檢測能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計并以開放數(shù)據(jù)庫方式支持安全分析決策系統(tǒng),從而為存儲安全提供有效的保障。
4 結(jié)束語
為了解決傳統(tǒng)存儲技術(shù)無法滿足各行業(yè)信息系統(tǒng)日益增長的數(shù)據(jù)存儲需求的問題,網(wǎng)絡(luò)存儲技術(shù)應(yīng)運而生,然而,存儲的網(wǎng)絡(luò)化在滿足業(yè)務(wù)存儲需求的同時,面臨著各種各樣的安全問題和安全隱患。本文對SAN存在的安全問題進行分析,并依據(jù)分析的結(jié)果,結(jié)合SAN環(huán)境和入侵檢測技術(shù)設(shè)計了網(wǎng)絡(luò)存儲的安全方案。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:入侵檢測在存儲區(qū)域網(wǎng)中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112159036.html