![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 其它 > 正文 |
 |
| VPN及目前Firewall 在DDoS 攻擊防上的缺陷 |
| http://www.fanqiang.com (2001-05-20 08:10:00) |
■VPN及目前Firewall 在DDoS 攻擊防上的缺陷
自九O 年開始,網際網路在各國開始風行,加上許多的網站與應用程式的開發,也促成了上
網的使用者在短時間內大量增加,漸漸的開始影響人們的生活,從教育娛樂知識經濟等各方
面都起了許多的變化,人們可透過網際網路與世界各國的友人互通訊息,也可進行遠距教學
來學習課業或透過圖書館的網頁來進行資料檢索,商業行為也可以經由網路達成,更重要的
是網路造就了一個無實體距離的虛擬世界,跨越了現實生活裡一切形式上的規。在網路眾
多的應用裡,商業活動可以說是最重要的一環,利用網際網路進行的金融交易與行銷活動,
可不再受限於資本、人員、設備、區域、銷售點等有形的限制,使的中小企業更有競爭力,
更出現了許多前所未有的電子商務模式,像Business to Business(B to B)、Business to
Client (B to C)、Client to Business( C to B)和Client to Client( C to C)等等,許
多的投資者前後繼的加入網際網路的行列,希望在這所謂第二次工業革命裡,佔有一席之
地,在眾多的些應用裡,網路安全一直是核心議題之一,因為無論是企業或是使用者所傳的
資料往往牽涉到金錢或個人私有資料,所以資料的安全性是首要課題。
在以往,產業裡要進行訊息的交換,無論是公司與公司或公司內各部門之間都可能要拉一條
專線,這樣非常的不經濟並且有許多地域性或設備上的限制,企業希望真正進行通訊時能動
態產生一條屬於自己的網路連線,而不需要時就可離線以節省成本,加上網際網路的風行與
技術簡單性,許多人嘗試著將機密重要的文件經網際網路來傳輸,卻又怕資料被竊取或
,導致無法彌補的損失,因此希望透過網際網路建立連線時資料傳輸的通道(tunnel)是絕對
安全的,這就是VPN 的基本觀念。
1 節省成本
使用網際網路VPN ,最淺而易見的的優點就是節省成本,傳統的VPN 無論是架T1 或ISDN 專
線,其費用是很嚇人的,包含安裝費,每月固定的月費,以及依據距離所增加的費用等等,
其成本與網際網路VPN 相比高出許多。
2 富有彈性
企業可透過ISP 提供整合服務,傳統點對點的連接,因為每個點所需所需頻寬的不同,希望
能配備不同頻寬的線路,因此可能造成設備的繁瑣與浪費,維護起來也是雜麻煩,但網際
網路VPN 因為服務是由ISP 來提供,可依據ISP 所提供的頻寬不同,針對每個個點選擇你所
需要的頻寬,這樣不但有彈性而且也可節省費用,並且依據不同的需要規劃頻寬。
3 富有擴展性
地理擴展性:一般的IPS 廠商,在一個國家或區域內通常都有許多的據點,因此當辦公室的
的規模改變而搬遷時,網路線的移動較為簡單,僅需要修改單一點對ISP 的連線,而且一般
行動型筆記電腦的使用者,也可以透過ISP 的撥接,來加入VPN 的體系裡,使行動用戶不再
受限於線路的限制。頻寬擴展性:當某分公司頻寬不足時,我們可以輕易依據當地的ISP 所
提供的服務進行升級,並不需要將大規模的修改線路。
通道(Tunnels )
1 Virtual
VPN 與傳統的專線連接最大的不同,在於組織有需要時才動態產生連線,VPN 通常並不維護
一永久的連線,也就是當傳輸結束時,就進行離線釋放頻寬給予其他人使用,當兩個端點間
開啟一個通道時,輸出端通常會將所用到的IP封包加以處理後再送到網際網路上,通常這種
處理包含將資料部分加密或增加認的資訊,並且重新計算IP Header ,當接收端收到此封
包後就會去除IP Header並且重組,然後進行資料解碼與認的動作。經過Tunneling 處裡
的封包通道一般可存在兩種不同型態的端點間,也就是存在一般的工作站電腦或是安全閘道
(Security Gateway)之間,安全閘道可能是路由器或防火牆所構成,此兩種端點可任意組合
成LAN-to-LAN 、LAN-to-Client 、Client-to-Client 的形式。
2 Private (私有化)
VPN 的成立條件之一就是當兩端點間進行通訊時,必須要達成私有化的的議題,所謂的私有
化就是經由通道的建立在共享的介質上進行資料傳輸,其結果相當於在專線上做傳輸,因此
必須符合以下四個條件
Authentication (認): 確定資料的來源是對方所聲稱的身份
Access Control (存取權): 限制無使用權的人機進行資料的存取
Confidentiality (資料機密性): 防止非法使用者閱讀或拷貝資料內容
Data Integrity (資料完正性): 確定傳輸的過程裡資料沒有被更改過
為達成上述條件,必須加入許多的額外程序例如加密的程序,電子簽章的作程序,雜湊認
法程序等,也由於雙方有共同的機要資訊(key)稱為金鑰,故必須有一機制進行管理。
目前Firewall 在DDoS 攻擊防上的缺陷
防火牆(Firewall )是網路安全中非常重要的一環,大多數的企業機關多半也認為僅需安
裝一套「防火牆」設備,應該就可以解決他們的安全問題。它最主要是透過存取的限制,來
保護自己內部的網路,不會遭受到攻擊。然而,防火牆必須有正確的環境設定,才能發揮安
全防護上的機制。因此,防火牆功能的強大與否,主要是取決於環境設定的層面,當防火牆
依據多重安全規則,對不同服務進行Packet Filters 與Proxies 時,常常容易導致系統管
理者將防火牆的環境設定錯誤,而留下一些系統安全漏洞,讓入侵者有機可趁。Firewall 的
Packet Filter 通常針對IP 封包的表頭欄位與管理者制定的規則進行過濾,這些欄位主要為:
封包型別(Packet Type),如:IP 、UDP 、ICMP 、或TCP來源主機之IP 位址目標主機之
IP 位址,來源TCP/UDP 埠號碼,目標TCP/UDP 埠號碼
以目前Firewall 的產品,要來抵擋住DDoS 的攻擊,實在是有許多的困難,原因如下:
1. Firewall 是由人力去手動設定(Static Configure ),因此,不適合於動態的設定
(Dynamic Configure ),由於每次攻擊的方式並不一定,你無法得知攻擊者的來源位址,
和用來攻擊的通訊協定,除非你要做一個很完整的設定,不然,很難對DDoS 攻擊做有效的
防。
2. 而且,目前Firewall 的設定通常是採用寧可錯殺一百也不可放過一人的方式,也就是它
不會分辨正常封包與攻擊封包之不同,舉例來說,大部分的網路管理者為了抵擋住ICMP Ping
的攻擊,會設定Firewall 將所有進來的ICMPPing 的封包都擋掉,然而,它並不擋ICMP
Ping Response的封包,這種方式使得在Firewall 外部的使用者,無法Ping在Firewall 內
部的IP 位址,雖然是達到了防的目的,卻不是一個很好的方式,而且,現在攻擊的方式
已經改採傳送大量假造的ICMP Ping Response 的封包,如此,Firewall 只好連ICMP Ping
Response 的封包都給擋掉,才能擋住這類的攻擊封包,這會對Firewall 內部的User 造成
不便。因此,我們急迫切的需要一個能有效偵測DDoS 攻擊事件的工具,使得我們能在攻擊
的第一時間就做處理。
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
|
===閩=== |
|
|
|
★ 樊強制作 歡迎分享 ★ |