入侵檢測(cè)在存儲(chǔ)區(qū)域網(wǎng)中的應(yīng)用

引言

    隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，高效安全的信息存儲(chǔ)與傳輸已經(jīng)成為網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展必不可少的特性。由于黑客入侵、內(nèi)部人員泄密、管理員權(quán)限的濫用等原因，很容易發(fā)生文件或資料丟失泄漏，由此造成的重大后果將是無(wú)法彌補(bǔ)的，通過(guò)安全存儲(chǔ)技術(shù)的應(yīng)用，在相當(dāng)程度上能夠有效地防止此類事件的發(fā)生，避免由于資料泄漏所造成的嚴(yán)重?fù)p失。本課題是以當(dāng)前網(wǎng)絡(luò)存儲(chǔ)的主要結(jié)構(gòu)SAN（存儲(chǔ)區(qū)域網(wǎng)絡(luò)）作為基礎(chǔ)架構(gòu)設(shè)施來(lái)進(jìn)行實(shí)例分析提出安全對(duì)策。

1 SAN的安全隱患

    SAN（Storage Area Networks，存儲(chǔ)區(qū)域網(wǎng)）是一種高速的專用存儲(chǔ)子網(wǎng)，這個(gè)子網(wǎng)中的設(shè)備可以從主網(wǎng)中卸載流量。通常SAN 由RAID 陣列等存儲(chǔ)設(shè)備和服務(wù)器通過(guò)光纖通道連接組成。而網(wǎng)絡(luò)存儲(chǔ)帶來(lái)高性能、高開(kāi)放性的同時(shí)，也對(duì)安全性提出了新的挑戰(zhàn)。由于其上數(shù)據(jù)的價(jià)值和集中性，使網(wǎng)絡(luò)存儲(chǔ)資源逐漸成為黑客們攻擊的重點(diǎn)。

    根據(jù)存儲(chǔ)網(wǎng)絡(luò)的體系結(jié)構(gòu)一般說(shuō)來(lái)，在不同范圍存在三個(gè)危險(xiǎn)區(qū)：系統(tǒng)/連接（外網(wǎng)）、存儲(chǔ)結(jié)構(gòu)（內(nèi)網(wǎng)）、子系統(tǒng)/介質(zhì)（介質(zhì)）。SAN 在應(yīng)用環(huán)境中受到的典型威脅的具體內(nèi)容和危害性可分為三類。

    第一類出現(xiàn)在服務(wù)器與存儲(chǔ)區(qū)域網(wǎng)或存儲(chǔ)陣列設(shè)備的連接處。攻擊者通過(guò)盜用服務(wù)器的合法地址實(shí)施兩方面的攻擊，一是訪問(wèn)超出它訪問(wèn)權(quán)限的數(shù)據(jù)；二是修改SAN 交換機(jī)的配置信息，影響存儲(chǔ)區(qū)域網(wǎng)中合法用戶對(duì)數(shù)據(jù)的正常操作。

    第二類出現(xiàn)在SAN交換機(jī)之間的連接處。當(dāng)一個(gè)未經(jīng)認(rèn)證的SAN 交換機(jī)加入到現(xiàn)有交換機(jī)陣列中來(lái)時(shí)，攻擊者可通過(guò)該交換機(jī)非法獲取數(shù)據(jù)，也能獲得整個(gè)存儲(chǔ)區(qū)域網(wǎng)的配置信息。

    第三類出現(xiàn)在服務(wù)器與存儲(chǔ)陣列之間，當(dāng)FC交換通過(guò)軟分區(qū)隔離時(shí)，任何非授權(quán)的服務(wù)器能突破軟分區(qū)的限制，并與存儲(chǔ)設(shè)備通信；該服務(wù)器還能通過(guò)發(fā)出大量的請(qǐng)求包，造成對(duì)合法用戶的拒絕服務(wù)攻擊。

2 入侵檢測(cè)技術(shù)

    防火墻系統(tǒng)作為網(wǎng)絡(luò)邊界的第一道安全防線，雖然在存儲(chǔ)安全體系中發(fā)揮著重要的作用，但隨著入侵技術(shù)的不斷改變和提高，基于策略及靜態(tài)保護(hù)的防火墻系統(tǒng)己經(jīng)不能完全滿足安全防護(hù)實(shí)際需要，這就需要智能和動(dòng)態(tài)分析為基礎(chǔ)的入侵檢測(cè)系統(tǒng)作為輔助。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視。

    2.1 入侵檢測(cè)定義

    入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）是部署在網(wǎng)絡(luò)的安全關(guān)鍵點(diǎn)，實(shí)時(shí)收集各種信息，根據(jù)內(nèi)置的專家系統(tǒng)和入侵分析引擎進(jìn)行分析、發(fā)現(xiàn)、報(bào)警、阻斷潛在的攻擊行為的一種網(wǎng)絡(luò)安全設(shè)備。

    2.2 入侵檢測(cè)的分類

    按系統(tǒng)結(jié)構(gòu)可分為集中式入侵檢測(cè)和分布式入侵檢測(cè)；按待分析的數(shù)據(jù)來(lái)源將入侵檢測(cè)分為基于主機(jī)和基于網(wǎng)絡(luò)的2類；按工作方式可分為離線檢測(cè)和在線檢測(cè)；按檢測(cè)時(shí)間可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)；按照分析方法分可分為誤用檢測(cè)和異常檢測(cè)。

    2.3 入侵檢測(cè)系統(tǒng)的工作原理

    入侵檢測(cè)系統(tǒng)通常只有一個(gè)監(jiān)聽(tīng)端口，無(wú)需轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上主動(dòng)、無(wú)聲息的收集它所關(guān)心的報(bào)文，是一個(gè)典型的“窺探設(shè)備”。收集到報(bào)文后，入侵檢測(cè)系統(tǒng)將從報(bào)文中提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的入侵知識(shí)庫(kù)與這些流量特征進(jìn)行智能分析、比較、匹配，根據(jù)預(yù)設(shè)的閾值，匹配耦合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻而發(fā)出相應(yīng)的報(bào)警信號(hào)或自動(dòng)進(jìn)行有限度的反擊。

    2.4 入侵檢測(cè)系統(tǒng)的工作流程

    入侵檢測(cè)的第一步是信息收集，包括網(wǎng)絡(luò)流量的內(nèi)容、用戶連接活動(dòng)的狀態(tài)和行為。接下來(lái)是信號(hào)分析，系統(tǒng)將對(duì)上述收集到的信息通過(guò)模式匹配，統(tǒng)計(jì)分析和完整性3種技術(shù)手段進(jìn)行分析。對(duì)于通過(guò)分析被認(rèn)為有人侵行為的就實(shí)時(shí)記錄、報(bào)警或有限度反擊，作出適當(dāng)?shù)姆磻?yīng)包括詳細(xì)日志記錄、實(shí)時(shí)報(bào)警和有限度的反擊攻擊源。

3 基于SAN的入侵檢測(cè)系統(tǒng)

    3.1 基于SAN的入侵檢測(cè)系統(tǒng)的模塊設(shè)計(jì)

    入侵檢測(cè)系統(tǒng)一般由控制臺(tái)，數(shù)據(jù)庫(kù)管理和數(shù)據(jù)采集與數(shù)據(jù)分析幾大功能模塊組成。本文的入侵檢測(cè)系統(tǒng)將數(shù)據(jù)采集與數(shù)據(jù)分析模塊的功能集中由探測(cè)器模塊功能實(shí)現(xiàn)。方案構(gòu)建根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇IDS探測(cè)器配置在代理服務(wù)器的交換機(jī)處放置；核心交換機(jī)放置控制臺(tái)，監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù)，在存儲(chǔ)網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

    系統(tǒng)主要包括控制臺(tái)和主機(jī)探測(cè)器二個(gè)部分。探測(cè)器和控制臺(tái)是相對(duì)獨(dú)立的，探測(cè)器各自分布在代理服器的換機(jī)處獨(dú)立工作，探測(cè)器通過(guò)網(wǎng)絡(luò)接口和控制臺(tái)通信，系統(tǒng)結(jié)構(gòu)如圖1所示。

    網(wǎng)絡(luò)探測(cè)器截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包，并從其中尋找可能的入侵信息或其他敏感信息。

    控制臺(tái)實(shí)時(shí)監(jiān)控所有分布在網(wǎng)絡(luò)中的探測(cè)器，匯總各個(gè)探測(cè)器的告警信息和狀態(tài)信息，并負(fù)責(zé)完成對(duì)探測(cè)器的遠(yuǎn)程配置、規(guī)則庫(kù)的管理、告警信息的查閱、報(bào)表、打印以及數(shù)據(jù)庫(kù)的備份等工作。

圖1基于SAN的入侵檢測(cè)系統(tǒng)

    3.2 基于SAN的入侵檢測(cè)系統(tǒng)的功能

    在存儲(chǔ)區(qū)域網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于存儲(chǔ)服務(wù)器與Internet 之間，通過(guò)實(shí)時(shí)截取網(wǎng)絡(luò)上的數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡，尋找網(wǎng)絡(luò)攻擊模式和其它網(wǎng)絡(luò)違規(guī)活動(dòng)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪問(wèn)時(shí)，入侵檢測(cè)可以進(jìn)行幾種反應(yīng)。

    1）控制臺(tái)報(bào)警。

    2）記錄網(wǎng)絡(luò)攻擊事件。

    3）實(shí)時(shí)阻斷網(wǎng)絡(luò)連接。

    4）入侵檢測(cè)采用透明工作方式，靜靜地監(jiān)視本網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)通訊不附加任何時(shí)延。

    5）入侵檢測(cè)可以過(guò)濾和監(jiān)視TCP/IP協(xié)議。系統(tǒng)管理員通過(guò)配置入侵檢測(cè)，可以按協(xié)議（TCP、ICMP）源端口，目的端口，源IP目的IP地址過(guò)濾。入侵檢測(cè)可監(jiān)測(cè)多種網(wǎng)絡(luò)服務(wù)包括文件傳輸、遠(yuǎn)程登陸等，并且所支持的服務(wù)隨著入侵檢測(cè)的發(fā)展可以不斷地?cái)U(kuò)展。

    6）入侵檢測(cè)還支持用戶自定義的網(wǎng)絡(luò)安全事件監(jiān)視。

    7）入侵檢測(cè)能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計(jì)并以開(kāi)放數(shù)據(jù)庫(kù)方式支持安全分析決策系統(tǒng)，從而為存儲(chǔ)安全提供有效的保障。

4 結(jié)束語(yǔ)

    為了解決傳統(tǒng)存儲(chǔ)技術(shù)無(wú)法滿足各行業(yè)信息系統(tǒng)日益增長(zhǎng)的數(shù)據(jù)存儲(chǔ)需求的問(wèn)題，網(wǎng)絡(luò)存儲(chǔ)技術(shù)應(yīng)運(yùn)而生，然而，存儲(chǔ)的網(wǎng)絡(luò)化在滿足業(yè)務(wù)存儲(chǔ)需求的同時(shí)，面臨著各種各樣的安全問(wèn)題和安全隱患。本文對(duì)SAN存在的安全問(wèn)題進(jìn)行分析，并依據(jù)分析的結(jié)果，結(jié)合SAN環(huán)境和入侵檢測(cè)技術(shù)設(shè)計(jì)了網(wǎng)絡(luò)存儲(chǔ)的安全方案。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標(biāo)題：入侵檢測(cè)在存儲(chǔ)區(qū)域網(wǎng)中的應(yīng)用

本文網(wǎng)址：http://www.lukmueng.com/html/support/1112159036.html