引言
隨著網絡技術的不斷發展,高效安全的信息存儲與傳輸已經成為網絡經濟發展必不可少的特性。由于黑客入侵、內部人員泄密、管理員權限的濫用等原因,很容易發生文件或資料丟失泄漏,由此造成的重大后果將是無法彌補的,通過安全存儲技術的應用,在相當程度上能夠有效地防止此類事件的發生,避免由于資料泄漏所造成的嚴重損失。本課題是以當前網絡存儲的主要結構SAN(存儲區域網絡)作為基礎架構設施來進行實例分析提出安全對策。
1 SAN的安全隱患
SAN(Storage Area Networks,存儲區域網)是一種高速的專用存儲子網,這個子網中的設備可以從主網中卸載流量。通常SAN 由RAID 陣列等存儲設備和服務器通過光纖通道連接組成。而網絡存儲帶來高性能、高開放性的同時,也對安全性提出了新的挑戰。由于其上數據的價值和集中性,使網絡存儲資源逐漸成為黑客們攻擊的重點。
根據存儲網絡的體系結構一般說來,在不同范圍存在三個危險區:系統/連接(外網)、存儲結構(內網)、子系統/介質(介質)。SAN 在應用環境中受到的典型威脅的具體內容和危害性可分為三類。
第一類出現在服務器與存儲區域網或存儲陣列設備的連接處。攻擊者通過盜用服務器的合法地址實施兩方面的攻擊,一是訪問超出它訪問權限的數據;二是修改SAN 交換機的配置信息,影響存儲區域網中合法用戶對數據的正常操作。
第二類出現在SAN交換機之間的連接處。當一個未經認證的SAN 交換機加入到現有交換機陣列中來時,攻擊者可通過該交換機非法獲取數據,也能獲得整個存儲區域網的配置信息。
第三類出現在服務器與存儲陣列之間,當FC交換通過軟分區隔離時,任何非授權的服務器能突破軟分區的限制,并與存儲設備通信;該服務器還能通過發出大量的請求包,造成對合法用戶的拒絕服務攻擊。
2 入侵檢測技術
防火墻系統作為網絡邊界的第一道安全防線,雖然在存儲安全體系中發揮著重要的作用,但隨著入侵技術的不斷改變和提高,基于策略及靜態保護的防火墻系統己經不能完全滿足安全防護實際需要,這就需要智能和動態分析為基礎的入侵檢測系統作為輔助。入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。從網絡安全的立體縱深、多層次防御的角度出發,入侵檢測理應受到人們的高度重視。
2.1 入侵檢測定義
入侵檢測系統(Intrusion Detection System,IDS)是部署在網絡的安全關鍵點,實時收集各種信息,根據內置的專家系統和入侵分析引擎進行分析、發現、報警、阻斷潛在的攻擊行為的一種網絡安全設備。
2.2 入侵檢測的分類
按系統結構可分為集中式入侵檢測和分布式入侵檢測;按待分析的數據來源將入侵檢測分為基于主機和基于網絡的2類;按工作方式可分為離線檢測和在線檢測;按檢測時間可分為實時入侵檢測和事后入侵檢測;按照分析方法分可分為誤用檢測和異常檢測。
2.3 入侵檢測系統的工作原理
入侵檢測系統通常只有一個監聽端口,無需轉發任何流量,而只需要在網絡上主動、無聲息的收集它所關心的報文,是一個典型的“窺探設備”。收集到報文后,入侵檢測系統將從報文中提取相應的流量統計特征值,并利用內置的入侵知識庫與這些流量特征進行智能分析、比較、匹配,根據預設的閾值,匹配耦合度較高的報文流量將被認為是進攻而發出相應的報警信號或自動進行有限度的反擊。
2.4 入侵檢測系統的工作流程
入侵檢測的第一步是信息收集,包括網絡流量的內容、用戶連接活動的狀態和行為。接下來是信號分析,系統將對上述收集到的信息通過模式匹配,統計分析和完整性3種技術手段進行分析。對于通過分析被認為有人侵行為的就實時記錄、報警或有限度反擊,作出適當的反應包括詳細日志記錄、實時報警和有限度的反擊攻擊源。
3 基于SAN的入侵檢測系統
3.1 基于SAN的入侵檢測系統的模塊設計
入侵檢測系統一般由控制臺,數據庫管理和數據采集與數據分析幾大功能模塊組成。本文的入侵檢測系統將數據采集與數據分析模塊的功能集中由探測器模塊功能實現。方案構建根據網絡流量和保護數據的重要程度,選擇IDS探測器配置在代理服務器的交換機處放置;核心交換機放置控制臺,監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護,在存儲網絡系統受到危害之前攔截和響應入侵。
系統主要包括控制臺和主機探測器二個部分。探測器和控制臺是相對獨立的,探測器各自分布在代理服器的換機處獨立工作,探測器通過網絡接口和控制臺通信,系統結構如圖1所示。
網絡探測器截獲網絡中的原始數據包,并從其中尋找可能的入侵信息或其他敏感信息。
控制臺實時監控所有分布在網絡中的探測器,匯總各個探測器的告警信息和狀態信息,并負責完成對探測器的遠程配置、規則庫的管理、告警信息的查閱、報表、打印以及數據庫的備份等工作。
圖1基于SAN的入侵檢測系統
3.2 基于SAN的入侵檢測系統的功能
在存儲區域網中,入侵檢測系統運行于存儲服務器與Internet 之間,通過實時截取網絡上的數據流,分析網絡通訊會話軌跡,尋找網絡攻擊模式和其它網絡違規活動。當發現網絡攻擊或未授權訪問時,入侵檢測可以進行幾種反應。
1)控制臺報警。
2)記錄網絡攻擊事件。
3)實時阻斷網絡連接。
4)入侵檢測采用透明工作方式,靜靜地監視本網絡數據流,對網絡通訊不附加任何時延。
5)入侵檢測可以過濾和監視TCP/IP協議。系統管理員通過配置入侵檢測,可以按協議(TCP、ICMP)源端口,目的端口,源IP目的IP地址過濾。入侵檢測可監測多種網絡服務包括文件傳輸、遠程登陸等,并且所支持的服務隨著入侵檢測的發展可以不斷地擴展。
6)入侵檢測還支持用戶自定義的網絡安全事件監視。
7)入侵檢測能生成系統安全日志以利于系統安全審計并以開放數據庫方式支持安全分析決策系統,從而為存儲安全提供有效的保障。
4 結束語
為了解決傳統存儲技術無法滿足各行業信息系統日益增長的數據存儲需求的問題,網絡存儲技術應運而生,然而,存儲的網絡化在滿足業務存儲需求的同時,面臨著各種各樣的安全問題和安全隱患。本文對SAN存在的安全問題進行分析,并依據分析的結果,結合SAN環境和入侵檢測技術設計了網絡存儲的安全方案。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:入侵檢測在存儲區域網中的應用
相關文章
