580 likes | 730 Views
锐捷 WG 技术交流. All for Security of Web. 锐捷 薛红卫. 目 录 Contents. Web 安全现状 探索 Web 安全事件频发的原因 Web 安全之道 信心源自最佳实践. 为什么关注 Web 应用安全?. 信息获取. 商品购买. 金融业务. 社会交往. Web 应用,我们身边无处不在!. 互联网 Web 安全事件层出不穷!. 2008 年 8 月,俄罗斯全 面封锁格鲁吉亚网站. 2010 年 2 月,央视被黑 疑因不满春晚植入广告. 商品购买. 2009 年 6 月,高考前夕 数十所知名高校被挂马.
E N D
锐捷WG技术交流 All for Security of Web 锐捷 薛红卫
目 录 Contents Web安全现状 探索Web安全事件频发的原因 Web安全之道 信心源自最佳实践
为什么关注Web应用安全? 信息获取 商品购买 金融业务 社会交往 Web应用,我们身边无处不在!
互联网Web安全事件层出不穷! 2008年8月,俄罗斯全 面封锁格鲁吉亚网站 2010年2月,央视被黑 疑因不满春晚植入广告 商品购买 2009年6月,高考前夕 数十所知名高校被挂马 2009年2月,某政府网站被篡改 俯卧撑、打酱油、躲猫猫 社会交往 Web攻击,已成为发生率最高的安全事件!
CNCERT报告:网页篡改日益严重 CNCERT/CC国家计算机应急中心网页篡改监控报告 (2009年) • 被篡改网页数量快速增长,从2003年的1157起到2009年的44393起 • 重大事件、关键时刻,往往成为攻击多发期(如国庆60周年为峰值)
一条条新闻,挂马钓鱼无比猖獗! 银行盗号、隐私窃取、黑色产业链,严重影响社会和谐!
每一个沦陷的网站都有一个WebShell! 长期收购WebShell 顶级黑客们也在讨论WebShell WebShell 等同于驻留网站的木马, 等同于驻留网站的后门, 它无声无息, 非专业人士难以觉察, 无数网站在其身后倒下, 不可不防! 在淘宝搜搜看?
病毒也离不开WEB站点 点击还是不点击,这是个问题。 万人追捧的热门小说 打2折的LV包包 漂亮的话题美女 无数相亲资源 当前病毒流行的口号是:我不强迫你,但我诱惑你! 当前病毒也草根,也WEB2.0,权威数据显示90%的病毒以HTTP为传播途径。
Web:机密、隐私泄露的第一途径 德企防泄密禁用社交网站 隐私泄露失去工作 微软挂出禁止Twitter泄密的海报 Web应用需要关键字过滤,防止机密、隐私泄露,屏蔽不良言论,维护健康和谐的社会大环境! 著名社区天涯关于不良言论的声明
目 录 Contents Web安全现状 探索Web安全事件频发的原因 Web安全之道 信心源自最佳实践
为什么Web攻击如此众多? Web安全问题的根源是“代码漏洞” • Web服务系统与客户端间的交互逻辑越来越复杂 • 为满足web应用交互,大量使用了Cookie、JavaScript、Java Activex、iFrame等各类小程序或交互技术,带来安全隐患 • Web交互对象、对象中的参数、参数中的合法值越来越复杂,缺乏有效验证机制,或有一定的验证,但不全面,很容易被绕过 • 交互式提交表单页面,易遭受表单滥用 • 因交互逻辑太复杂,整改代码变得较难实施或者需要较长时间的整改期 • 频繁变动以满足业务发展的需要,增加引入漏洞的概率 • 大多是某个机构独有的业务应用,没有通用补丁 • 攻击工具的广泛传播 并非每一个程序员身后都有一个扫地老太太!
Web杀手榜:SQL注入 经典案例: 2009年2月,罗马尼亚黑客团伙利用SQL注入攻击著名安全厂商卡巴斯基,获取其整个数据库(包括用户、激活代码和漏洞列表),同时还有著名安全厂商赛门铁克,获取其营销材料和客户信息。 SQL注入: 通过合法的途径,构造异常的语句,获取非法的信息 一个个辉煌战绩,让SQL注入威慑安全圈,谈之色变
Web杀手榜:跨站脚本攻击 经典案例: 2006年12月,中国工商银行、招商银行遭遇XSS跨站脚本攻击;众多网友通过邮件、MSN、QQ收到http://www.icbc.com.cn开头的地址,本来是要访问工行网站,却被跨站脚本引导到伪工行网站,带来严重隐患。 跨站脚本攻击: 极具隐蔽性,藏身于各大网站,邮件、MSN、QQ都有它的身影, 广泛适合于钓鱼、隐私窃取等黑色产业。
Web杀手榜:Cookie篡改 通过修改Cookie内容,在访问页面中显示另外一个用户名。 Cookie篡改: 路人甲:我没有散布不良言论! 执法者:网站上显示的就是你的用户名,我们会记录Cookie的! 黑客乙:我不仅篡改了用户名,还窃取了大量客户信息,嘿嘿
传统Web应用安全架构,能解决Web安全问题吗? 数据中心Web应用服务系统 Firewall IDS/IPS (已部署网页防篡改系统) 内部办公网络 让我们一起来思考: 防火墙、IPS、网页防篡改系统能解决Web安全问题吗?其主要功能和局限是什么?
防火墙的主要功能和局限 • 包过滤防火墙:检测数据包包头信息进行访问控制 • 状态检测防火墙:根据IP报文之间的关系区分出不同会话,可以基于会话进行访问控制,属于会话层的安全防御手段,对HTTP内容仍然无法识别。 “75% 的安全事件由通过80端口进行的攻击造成”Information Week Port 80 Port 443 防火墙需要开放80端口,无法保护通过80端口提供服务的Web服务器!
IDS/IPS的主要功能和局限 • 检测数据包有效负载,根据特征码进行攻击防御 • IDS/IPS只能针对通用的协议、应用和系统漏洞,但是Web网站的代码一般由用户自行编写,没有通用特征,也没有通用补丁 • IDS/IPS根据每个数据包作出允许还是拒绝的决定,但面对Web应用,其对内容安全不专业,例如不识别网页内容、URL参数、cookie内容、表单输入等。 IDS/IPS能保护通用操作系统、数据库,但无法保护个性化的Web网站
网页防篡改系统的工作职责和局限 • 网页防纂改工作机制:定期比对网页内容是否被修改 • 只适用于完全静态Web站点的防篡改 • 对动态的Web页面,仅仅是编码的备份恢复,对数据库内容不能判断出是否被篡改或插入恶意代码 • 无法避免再次被黑 • 无法满足合规性检查需求,不能防御评审专家的攻击测试 页面框架是静态的,可以比对 以新浪为例 最新新闻条目从数据库实时提取、动态生成,无法比对 网页防篡改系统只能恢复静态网页,无法保护动态网页 被动事后恢复,篡改页面已经传播,无法避免再次被黑
网页防篡改 IDS/IPS 防火墙 小结:传统Web应用安全架构缺陷 ? 75%的攻击,现有投资无法解决! 适合静态网页,无法恢复动态网页 事后恢复没有解决问题,网站可能再次被黑 如果被篡改页面已经传播出去,则无法修复影响 无法满足合规性检查要求 特征库保护操作系统、数据库、IIS、Apache等通用服务器 但Web网站是自己编写的,其漏洞没有相应特征码可以识别 无法防御通过80端口的HTTP攻击 (1)75%的攻击特征:通过80端口、无特征码、攻击动态网页 (2)事后恢复没有解决问题,需要进行事前保护
目 录 Contents Web安全现状 探索Web安全事件频发的原因 Web安全之道 信心源自最佳实践
借鉴:美国PCI条款 • PCI-DSS6.6 – 采用以下任意一种方法确保所有面向Web的应用免受已知的攻击: (1)让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。 (2)在面向Web应用的前端安装应用层防火墙 注意:一直被业内视为最佳实践 内部:应用代码安全检查,从源头减少漏洞 外部:部署WEB应用防火墙,防御外部攻击
响应:国内技术规范;满足:合规性检查 08奥运中央政府对副部级单位要求 防网页挂马 防SQL注入 防跨站脚本 关键字过滤 虚拟补丁 . . . . . . 紧跟政策性需求,把握主流趋势
合作:全国高校招生安全检测平台指定解决方案合作:全国高校招生安全检测平台指定解决方案 (1)站点系统漏洞检测 (2)站点网页挂马监测 (3)Web应用安全检测 (4)不良信息检测 (5)网页质量监测 全国 高校 招生 安全 检测 平台 解决方案 锐捷WebGuard
锐捷WebGuard——Roadmap 吞吐量 3G 4GE+4SFP 支持2个扩展槽 支持2口万兆模块 RG-WG 3000 2G 4GE+4SFP 支持2个扩展槽 RG-WG 2000 1G 4GE+1FE 400M RG-WG 1000 300M NEW 200M 6GE,2对Bypass,高性价比 RG-WG 1000S
WebGuard核心价值点 全时空四维度WEB保护方案 DLP数据泄露防护 虚拟化和分级管理 WebGuard 站点隐身和虚拟补丁 反向代理和WebShell检测 产品跨界和“零配置”运行 敏锐把握应用趋势,快捷满足客户需求
价值点一:全时空四纬度WEB保护方案 网页恢复 审计报表 3、事后恢复+审计 防病毒 数据泄漏防护 2、事中防护+阻断 防SQL注入、跨站攻击 防挂马 免费漏洞扫描服务 内置挂马扫描 合规报告 1、事前检测+评估 事中网站防攻击 事前漏洞扫描 事后网站防攻击 时间轴 事中网站防病毒 一夫当关,万夫莫开
价值点二:DLP数据泄露防护 互联网接入单位由于内部重要机密通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取造成的,而97%都是由于内部员工有意或者无意之间泄露而造成的。 Cookie内容的加密和校验 避免网站被上传反动、暴力、色情关键字内容,影响社会和谐 • 屏蔽网站敏感信息 • 自定义禁用词过滤,防止非法内容发布 • 涵盖URL、URL参数、Cookie、Post表单
WG设备 客户B 客户A 客户C IDC WEB服务器区 价值点三:虚拟化和分级管理 • 功能点 • 支持多网站管理员独立的防护策略配置与管理 • 支持多用户独立的日志与报表 • 支持多用户独立的报警通知 • 价值 • 利于增值服务业务的拓展 • 便于安全运维管理 • 提高客户的业务体验感 • 投资回报率高 虚拟设备 虚拟设备 虚拟设备 (1)一台设备可虚拟多台设备 (2)不同级别的客户不同的权限 (3)托管服务器的任何变更不需要管理员干预
对外部访问隐身 • Web应用服务器类型 • 操作系统 • 版本号 • 版本更新程度 • 已知安全漏洞 • 工作站信息 • 源代码 • 站点目录信息 • 数据报错信息 价值点四:站点隐身 • 站点隐身 • 防范攻击前的渗透扫描 • 避免Web服务反馈信息暴露关键信息 阻止意外泄露 阻止动机不纯的扫描 锐捷WebGurad 你看我不到! 站点隐身:(1)使攻击者无法获取服务器信息,从而无法执行下一步攻击 (2)帮助通过合规性检查
价值点五:虚拟补丁 • 为Web应用服务平台提供虚拟补丁 • 除了Web网站本身的漏洞,承载网站的操作系统、数据库、Apache、IIS等应用服务平台漏洞也会成为攻击目标 Database 扫描流量内容、监控会话 Web servers • 保护Web应用服务器 • 保护Web服务器操作系统 • 保护Web服务数据库系统 你攻我不到! 虚拟补丁:保护操作系统、数据库、Apache、IIS等服务平台免受新漏洞的攻击
OA网站1 OA网站2 公司外网 公司外网 公司CRM 公司CRM 新亮点四:反向代理 • 提供云部署防护模式,客户无需添加设备,无需改变网络架构。 ① 域名为OA网站1,解析IP也为其实际IP DNS ② WebGuard 域名为OA网站1,解析IP也实际为WebGuard的IP Internet WEB服务器群1 第1种方式:正常部署 第2种方式:反向代理 无论身在何处,都可以方便得使用WebGuard资源,这就是云的理念! WEB服务器群2
价值点七:WebShell检测(1) Webshell实例 • 提供文件下载、数据库备份、执行SQL语句、批量挂马等等简单易上手的攻击破坏功能 我就是一个木马!
Database Web servers 价值点七:WebShell检测(2) Webshell侦测与阻断 • 对在部署WAF前已植入webshell的站点进行安全侦测 实时检查过滤webshell攻击命令 • 阻止利用webshell发起的各种攻击:挂马、文件下载、端口扫描、内容篡改等。 1 2 Web客户端 实时检查分析webshell访问页面内容特征 • 阻止webshell的访问
价值点八:产品跨界、四合一 我们只解决WEB服务器的安全问题! WEB威胁扫描 WEB防攻击 WEB防病毒 WEB恢复 客户说:1=4,省钱更省心! 第 34页 / 共 4页
价值点九:即插即用、“零配置”运行 (1)即插即用 透明接入,不影响现有网络架构 无需改动web应用服务架构 (2)管理、维护简单 WebUI管理 内置多种攻击防御模型 内置多种malware检测规则 内置各类高级攻击防御关键字列表 不增加管理员负担,轻松实现web系统防护 管理员: 无需手工添加任何策略! Database 扫描检测web请求URL、URL参数、表单输入、Cookie内容等。 Web servers • 防SQL注入 • 防XSS攻击 • 防缓冲区溢出攻击 • 防command 注入 • 防Cookie篡改、假冒、劫持… 让管理员解放出来,做更多有意义的事情!
WebGuard关键功能介绍 公安部认证的“WEB过滤防护”产品 细致的分应用防护策略 敏感文件、动态木马实时监控 WebGuard 独家内置防病毒网关 网页事后保护机制 网站管理入口安全检查机制 敏锐把握应用趋势,快捷满足客户需求
关键功能一:公安部认证的“Web过滤防护”产品关键功能一:公安部认证的“Web过滤防护”产品 公安部测试报告产品类别为“Web过滤防护”,与防火墙、IPS两码事
OA网站 公司外网 公司CRM 关键功能二:细致的分应用防护策略 • 不同的服务器采用不同的防护策略 • 享受专业针对性的安全防护 • 方便运维与管理 • 投资回报率高 • 策略1: • SQL注入防护 • XSS防护 • 上传文件的病毒扫描 • 挂马监控 • 启用URL白名单 • 启用动态黑名单 • 策略2: • 站点隐身 • 危险文件下载 • SQL注入防护 • XSS防护 • 网页防篡改 • 上传内容的关键字过滤 • 策略3: • 站点隐身 • 危险文件下载 • SQL注入防护 • XSS防护 • 网页防篡改 • 上传内容的关键字过滤 • 上传文件的病毒扫描 • 挂马监控 • 启用动态黑名单 • 策略3: • 网站隐身
关键功能三:敏感文件、动态木马实时监控 • 只允许执行正确的Web应用行为 • 阻断download 数据库文件,例如Access数据库文件。 Web服务系统 扫描检测下载数据内容 • 阻断危险文件的下载 • 对已挂马的Web站点进行监控诊断 • 对未挂马的Web站点进行预防 • 检测过滤ActiveX、JAVA Applet、iFrame等嵌入式程序 Database 实时扫描监控Web活动行为,数据流向 Web servers • 阻断非法信息回传 • 报警通知管理员 • 提供Web请求临时响应服务,避免名誉损失
内置防病毒网关 关键功能四:独家内置防病毒网关 • 多数攻击利用病毒进行,“防毒墙”卡住绝大部分攻击 • 内置多种Malware检测规则 • 实时拦截ASP或PHP后门病毒:阻止进而获取Web管理权限的行为 • 防网站被挂马,防止Web站点成为Malware发布源头:避免遭受名誉损失和客户损失 Database 扫描检测Web上传附件、Web交互代码等 Web servers 专业防病毒网关,全部覆盖Wildlist的病毒样本库 1、远离65%利用病毒、木马的攻击! 2、从此不用定期给网站服务器杀毒!
关键功能五:网页事后保护机制 网页被篡改,WG返回缓存的正确页面给访问者
关键功能六:网站管理入口安全检查机制 通过完善的黑白名单机制确保网站管理入口安全 1、只允许管理员管理网站 2、支持客户端黑名单、动态黑名单、服务器组黑名单 3、支持客户端白名单、服务器白名单
WebGuard四种部署模式 集中式部署 分布式部署 WebGuard 旁挂式部署 反向代理部署
部署模式一:集中式部署 服务器群 WebGuard 路由器 防火墙 DMZ 内网区 LAN 当服务器集中部署,并且统一出口时,WebGuard部署在服务器区
部署模式二:分布式部署 高校为例:除网络中心外各学院拥有自己的网站 服务器群 路由器 防火墙 学校核心 WebGuard 学院一 学院二 学院三 服务器分布部署时,WebGuard部署在出口一站式防护
部署模式三:旁挂式部署 服务器群 路由器 防火墙 DMZ 只监控 内网区 LAN WebGuard 初次部署时,建议先旁挂监控,待全面掌握网络情况后,再在线部署
OA网站1 OA网站2 公司外网 公司外网 公司CRM 公司CRM 部署模式四:反向代理部署 ① DNS ② WebGuard Internet WEB服务器群1 WEB服务器群2 当WEB服务器不在WebGuard的保护范围之内,又需要其保护时,反向代理部署
目 录 Contents Web安全现状 探索Web安全事件频发的原因 Web安全之道 信心源自最佳实践
国家物联网中心 移动办公 电信 网通 RG-WALL1600S RG-WALL1600S 网络核心层 RG-WALL1600T RG-WG 2000 RG-WG 2000 S5352C-M S5352C S5352C-B S9303-M S9303-B S6503-M S6503-B 服务器群 服务器群 S5328C-1 S5328C-2 核心生产区 金牛座网络核心区 系统管理区 DMZ隔离区
团林业 林业局 林业厅 国土厅 团国土 国土局 兵直N 兵直1 水利厅 水利局 团水利 3*155M 师(市) 师(市) 师(市) 2×155M 师(市)城域网汇聚 N×2M XX团 XX团 XX团 XX团 新疆生产建设兵团电子政务外网 安全管理中心 资源共享中心 托管门户站群 RG-WG3000