集成式AES、入侵防護和防御層

2019-11-04 23:46:05

字體：大中小

來源：轉載

供稿：網友

　　網絡與安全技術越來越密不可分。目前，許多機構都依靠計算機網絡開展日常業務，有時候，網絡甚至已經影響到企業能否生存。隨著依靠程度的提高，數據被盜的成本逐漸升高，惡意代碼和拒絕服務（ DoS ）攻擊造成的危害也越來越大。事實上，計算機安全局（ CSI ）與圣弗朗西斯科聯邦調查局（ FBI ）計算機入侵科所作的“ 2004 年計算機犯罪和安全調查”表明，美國大約每 20 秒種就發生一次計算機犯罪，去年給企業造成的損失高達 1.41 億美元。
　　
　　思科安全技術事業部 IOS 安全產品線經理 Charles Goldberg 說：“為抵御各種類型的攻擊，并在網絡遭到破壞之前就給予反擊，必須將多種安全技術集成到網絡中。”
　　
　　計算機犯罪和數據被盜現象的快速增加是網絡業轉而使用分組加密，即高級加密標準（ AES ）的原因之一。例如， 2004 年 7 月，美國國家標準和技術局（ NIST ）認定，數據加密標準（ DES ），也稱為聯邦信息處理標準（ FipS ） 46-3 已不足以保護政府信息。
　　
　　IdleAire Technologies 公司的首席技術官和 Cisco 2800 系列路由器的客戶 Jon Duren 。
　　
　　NIST 已建議撤銷 FIPS 46-3 ，只將其作為三重數據加密算法（ TDEA ）的組件。目前， NIST 建議采用更加有效的加密方法 AES ，也稱為 FIPS-97 。 NIST 的影響遍及全球，其它國家通常引用 FIPS 標準。
　　
　　與之相似，互聯網工程任務組（ IETF ） IP Security （ IPSec ）工作組也正將標準 AES 作為默認的 IPSec 封裝安全負載（ ESP ）密碼。早期采用者，即政府和金融機構等對加密要求最高的機構已經開始轉向AES。
　　
　　思科最近推出的集成多業務路由器屬于分支機構使用的接入設備，它將虛擬專用網（ VPN ）通道與內部 AES 、三重 DES 和 DES 加密加速處理（參見“安全、服務和速度 … 真棒！”一文）捆綁在一起，幫助各機構分段實施移植，并通過性能提高保證線速運行。這三種加密機制都可以與 IPSec VPN 一起使用。
　　
　　這些分支和小型機構接入路由器將多種安全功能捆綁到了內部處理器和 Cisco IOS? Software 軟件上，以便使集成網絡安全不會降低網絡性能。例如，除嵌入式加密外，還將另一種新的安全功能——內部入侵防護（ IPS ）集成到了思科接入路由器中，以便縮短惡意代碼侵入網絡造成的停機。
　　
　　本文將具體分析新的加密方法和分層 IPS 對網絡的防護作用。
　　
　　加密技術的發展
　　
　　目前，只有思科集成多業務路由器是通過硬件支持 AES 的。這些路由器包括 Cisco 1800 、 2800 和 3800 系列，均在主板上支持 AES 、三重 DES （ 3DES ）和 DES 加密加速的任意組合。路由器在出廠時已預裝加密方法和相應的 Cisco IOS Software 。
　　
　　多模加密著眼于企業的未來，使企業能夠以自己的步調（一年、五年甚至七年）移植到 AES ，從而有效保護了集成多業務路由器的投資。
　　
　　思科端點設備，包括配有 VPN 加速模塊（ VAM ）、 VPN 集中器和 PIX? 防火墻的 Cisco 7200 和 7300 系列路由器，均支持所有三種加密模式。思科路由器技術事業部安全產品線經理 Kevin Sullivan 說：“因此，企業可以先執行已經安裝在分支機構內配備的集成多業務路由器中的算法，然后在適當的時候將遠程站點升級為與 AES ‘對話'。”
　　
　　從 Software 12.2 （ 13 ） T 開始，思科在 IOS Software 圖像中提供 AES 。思科路由器同時支持 DES/3DES 和 AES 。
　　
　　Sullivan 解釋說：“例如，假如銀行想從 DES 移植到 AES ，可以分多個階段進行，例如在十月份將四個分行移植到 AES ，在十二月完成另外四家分行的移植。改造完成后，遠程站點的硬件和軟件將同時支持 AES 。另外，思科還修改了 IOS 的許可證發放方式，以便在同一個圖像中免費提供 [DES/3DES 和 AES] ，簡化移植過程。”
　　
　　移植的方式和理由
　　
　　AES 的加密功能更強，而且加密 / 解密的速度更快，尤其是對于較大的負載分組。與 DES 相似， AES 也屬于塊密碼機制。塊密碼將數據（和加密密鑰）分成多個塊。假如想竊取數據，黑客必須對每個塊執行多輪操作，破解出這些塊的密鑰，并將計算值鏈接到下一個塊，重復執行前面的過程。 DES 支持 8 位塊密碼，加密密鑰長度為 56 位。 AES 則支持 128 、 192 和 256 位塊密碼和加密密鑰長度。
　　
　　由于需要對每個塊展開攻擊，即需要發動多次攻擊，因而增加了攻擊的難度。三重 DES 對每個塊執行三次 DES 。但是，基于 DES 的加密已經有 25 年的歷史，人們已經對它有了足夠的了解，很輕易被黑客破解。事實上， 1998 年，有關單位還專門組織過密碼破譯大賽！（參見《紐約時報》上的相關文章： cisco.com/packet/164_6d1 。）
　　
　　塊密碼不同于流密碼算法（例如 RC4 ）。流密碼產生與數據流長度相同的密鑰流，因此， 200 字節的數據將產生 200 字節的密鑰流，由于數學操作相對簡單，黑客可以比較輕易地使用蠻力攻擊和破解流密碼。
　　
　　除用戶數據外，利用思科路由器，企業還可以用 3DES 和 DES （ AES 支持不久也將出臺）對簡單網絡治理協議版本 3 （ SNMPv3 ）消息進行加密。
　　
　　SNMP 已列入 SANS 學院發布的“ 20 個最突出的互聯網安全易損點”名單。 SANS 學院已經從事了 15 年的協作研究和教育，總部設在馬里蘭的百塞達，主要從事信息安全培訓和認證。
　　
　　SNMP 治理協議通常用于遠程監控和配置 TCP/IP 設備，例如打印機、路由器、交換機以及無線接入點和橋接器。它包含 SNMP 治理站與網絡設備軟件代理之間的多種消息。這些交換活動有很多可被利用的易損點，尤其是 SNMPv1 和 SNMPv2 ，它們不對消息加密，并將默認的公共“社區字串”作為唯一的認證機制。在實際使用中，許多用戶甚至因怕麻煩而不予以修改。的教導主任 Joshua Wright 說：“只要讀 / 寫 SNMP MIB ，就有可能使系統遭到破壞。只要有人接入，黑客就可以修改配置文件，并為所欲為。思科 Web 站點上就有相關的指導。”
　　
　　學院建議使用 SNMPv3 ，即通過 SNMP 消息加密以及認證和授權降低這些風險。 NIST 認為， DES 已不足以提供有效的保護，因此， IETF 正在為 SNMPv3 標準編寫 AES ，以加強保護。
　　
　　Wright 說：“ AES 總體上好于 DES ，更易于保持路由器的穩定性。另外，它還有助于在性能問題更加突出的地方提高 SNMP 的吞吐量。”
　　
　　Wright 指出，一段時間內， 3DES 仍然可以滿足許多企業的安全要求，因此，企業大可不必受 NIST 決策的影響，在短期內紛紛轉向 AES 。
　　
　　Wright 繼續說：“在路由器上執行 AES 能夠建立未來保證。一旦 3DES 無法繼續使用，企業將能夠立即部署 AES 。”
　　
　　電話保護
　　
　　AES 還能保護思科新型集成多業務路由器中的 IP 電話。一級防御是為話音域提供訪問控制。二級防御是在新型路由器的數字話音處理器和 Cisco IOS Software 12.3 （ 10 ） T 上提供保護，充分利用最初由思科開發，通過 AES 對話音會話加密的 IETF 標準安全實時傳輸協議（ SRTP ）。
　　
　　Sullivan 解釋說“利用這種方式， Cisco 2800 和 3800 系列路由器能夠支持并保護 Cisco CallManager EXPRess IP PBX 特性。”
　　
　　SRTP 只對話音分組負載進行加密，而不添加加密標頭。因此，加密過的話音分組幾乎與 RTP 話音分組沒有差別，不需要額外的分組操作就能支持服務質量（ QoS ）特性和壓縮 RTP 。話音加密密鑰針對每路通話產生，從而提高了安全保護水平。另外， SRTP 還能核實對電話加密的網關或 IP 電話的身份。
　　
　　抵御惡意代碼
　　
　　捆綁到思科集成安全路由器系列后，將能夠實時動態加載和支持思科 IDS 傳感器支持的部分或所有 740 個簽名。利用 Cisco IOS 動態入侵防御系統（ IPS ），用戶能夠修改現有簽名，創建新簽名，有效消除新發現的威脅。
　　
　　由于 Cisco IOS IPS 在內部操作，因此，每個簽名都可以發送警報、丟棄分組或重設鏈接，使路由器能夠立即對安全威脅作出反應。
　　
　　利用其它功能，希望增強入侵防護能力的網絡治理員還可以選擇包含“最可能出現的”蠕蟲和攻擊簽名的易于使用的簽名文件。假如思科路由器認為這些“極有可能出現”的蠕蟲和攻擊簽名與實際流量匹配，則自動丟棄這些流量。
　　
　　思科路由器以及出廠時已加載到每臺集成多業務路由器閃存中的 Security Device Manager （ SDM ）提供了直觀的用戶界面，供用戶執行簽名操作。 SDM 不需要修改軟件鏡像就能動態上載 Cisco.com Web 站點中的新簽名，并相應地針對這些簽名完成路由器的配置。
　　
　　思科產品和技術營銷部安全營銷經理 BrUCe Johnson 說：“網絡治理員不需要再重新加載整個 IOS 軟件就能獲得新簽名。現在，他們可以動態加載和重加載。”
　　
　　與路由器集成在一起的其它安全特性
　　
　　·狀態化防火墻·
　　路由器可以對每個應用實施過濾，使吞吐量性能符合 Cisco PIX? 防火墻的要求。通過配置，網絡治理員還可以只答應合法流量在會話正在進行時進入 LAN 。另外， Cisco IOS Firewall 還支持 Cisco IOS Software 12.3 （ 7 ） T 及以上版本提供的透明防火墻，即無需對網絡重新編號就能插入新防火墻。
　　·思科網絡準入控制（ NAC ）
　　NAC 型思科路由器能自動檢測試圖接入內部網的客戶機設備上是否安裝了防病毒軟件。假如發現客戶機設備上未安裝相應的軟件， NAC 將根據企業的策略采取相應的行動。
　　·動態多點 VPN （ DMVPN ）
　　DMVPN 利用零接觸供給實現全方位安全連接。通過創建按需站點到站點 IPSec 通道， DMVPN 能夠減少跳數和加密 / 加密數，從而減少帶寬消耗，提高性能。
　　·話音、視頻 VP
　　·N （ V 3

上一篇：用命令行在設備上查看機框序列號

下一篇：Cisco對其兩大產品存在SSL漏洞發出警告