CERNET网络安全应急响应服务

CERNET网络安全应急响应服务

CERNET网络安全应急响应服务

清华大学信息网络工程研究中心段海新张千里

Internet安全的概念和问题的根源

计算机应急响应服务的国内外发展情况

CCERT 运行一年来的回顾

关于增强网络和系统安全配置的建议

您当前位置：网站首页> 节点动态 > 正文

发布者： 发布时间：2012-12-04来源：

---- 计算机网络特别是Internet已经把人们的工作和生活,国家的教育、经济、政治、军事等各行业和部门紧密地联系在一起，逐渐成为整个社会基础设施的重要组成部分。网络安全问题是随着Internet的发展而产生的，近年来得到普遍关注。

----本文首先讨论了Internet安全问题的起因，然后简要地介绍了国内外网络安全事件应急响应服务的背景,最后,重点介绍了中国教育和科研计算机网络(CERNET)应急响应组CCERT运行一年来的经验和体会。

----Internet安全问题的产生,首先是由于在Internet研究、设计、实现与运营管理的各个阶段，人们没有把安全作为一个主要的因素考虑在内。 Internet最早的用户是少量的研究人员，彼此之间基本都是相互信任的。比如，有关TCP/IP 协议的大多数RFC总是以“本备忘录中不讨论安全问题”（Security issues are not discussed in this memo）的说明为结尾。

----另一方面的原因在于，网络协议的开放性、系统的通用性以及攻击工具的易用性,使得通过Internet互连的系统都是可访问的，与地理位置和软硬件平台无关。系统的通用性使得系统的行为是可预知的，某一系统的缺陷很有可能在另外一个系统中重现。另外，各种攻击工具在网络中广泛散发，使得即使是网络的入门者也可能对网络造成很大的威胁。

----Internet 没有一个集中的管理权威和统一的安全政策，也是安全问题的重要因素之一。各管理域虽然基于一定的信任与合作关系，但仍然各自为政。各管理域有不同的安全需求、安全策略，也有不同强度的安全保护措施，一个管理域中被认为合法的行为可能给另一个管理域造成很大的危害。

----1988年，在Internet上自我复制和传播的Morris蠕虫程序导致当时Internet上10%的主机瘫痪，成为网络安全史上的具有里程碑性质的案例，也直接导致了计算机网络应急服务组织的诞生。Morris事件一方面使人们意识到基于TCP/IP 的Internet竟然如此脆弱；另一方面，人们也感到Internet上的安全事件不再局限于某一站点和局域网，然而人们在这种事件面前缺乏快速响应和协调一致的能力。

----1.国外的历史和现状

----在Morris事件之后的一个星期之内，美国国防部（DoD）在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心（CERT/CC），以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划（Networked Systems Survivability Program）的一部分，下设三个部门：事件处理、缺陷（Vulnerability）处理、计算机应急事件响应组（CSIRT）。在CERT/CC 成立之后的12 年里，共处理了28万多份电子邮件，18300个热线电话，帮助了80多个应急响应组织的建设和运行，其中美国联邦政府的应急响应组织FedCIRC的服务就是CERT/CC直接提供的。

----就在CERT/CC成立后不久，随着Internet的飞速发展，美国和世界各地都成立了大量的CSIRT组织，面向不同的用户群体，性质也各不相同。如地区性的、特定厂商产品的、商业性的、学术性的等等，这些组织一般统称为IRT或CSIRT。在这种情况下，NIST联合CERT/CC、CIAC、 NASA，以及其他IRT组织一起，成立了事件响应与安全组论坛（FIRST）。

----FIRST是IRT组织、厂商、安全学术组织与其他相关团体的集合，现有成员组织80多个，覆盖18个国家和地区。FIRST通过促进多个IRT组织及厂商间的通信与协作，提高计算机的安全性，为IRT组织和其他安全专家提供一个讨论安全缺陷的论坛，共同寻找一个可接受的方案。其他共享信息还包括入侵者使用的方法和技巧，以及建议的草稿等。FIRST的大量工作都是由来自各成员组织的志愿者完成的，从FIRST 中获益的比例与IRT愿意提供的贡献成比例。一个IRT要成为FIRST的会员，需要接受两个正式成员一年以上的考察。

----2.国内背景和现状

----我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和千年虫问题的解决，但是关于网络安全事件响应工作起步较晚。1999 年5月，在CERNET建成5周年之际，清华大学信息网络工程研究中心成立了中国第一个专门从事网络安全应急响应的组织—中国教育和科研计算机网络安全应急响应组CCERT。1999 年10月,东南大学网络中心成立了CERNET华东（北）地区安全事件响应组NJCERT。另外， ChinaNet等许多部门也在组建类似的组织从事安全事件的应急处理工作，一些专业的网络安全公司，如启明星辰、新泰网安、东方博远等公司也在开展商业性的安全咨询和救援服务。

----在这种情况下，国家计算机网络与信息安全管理中心（简称国信安办）成立了中国计算机安全应急响应组协调中心（CN-CERT/CC），为各行业、部门和公司的应急响应组协调和交流提供便利条件，同时为政府等重要部门提供应急响应服务。在CN-CERT/CC的协调与支持下，国内应急响应组织之间已经展开了一些内部的协调活动，并开始参与国际交流。

----3.应急响应组织（IRT）的分类、服务和特点

----国内外现有安全事件应急响应组织大概可以分5 类：第一类是网络服务提供商的IRT组织，如CERNET的CCERT，主要为CERNET的接入用户提供增值的服务；第二类为企业或政府组织的IRT组织，如美国联邦的FedCIRC、美国银行的BACIRT（Bank of America CIRT）等；第三类是厂商IRT，如Sun、Cisco等公司的响应组，主要为本公司产品的安全问题提供响应和支持；第四类为商业化的IRT，面向全社会提供商业化的安全救援服务；第五类是一些国内或国际间的协调组织如FIRST、CN-CERT/CC等。有些IRT既是协调组织，同时又提供服务，如CERT/CC。

----IRT组织都不仅仅坐等安全事件发生以后才去补救，未雨绸缪、防患于未然也是IRT组织的重要服务内容，所以一般还提供安全公告、安全咨询、风险评估、入侵检测、安全技术的教育与培训、入侵追踪等多种服务。就应急响应服务本身而言，由于它具有以下特点使得这一服务非常困难：

----（1）技术的复杂性与专业性；

----（2）知识和经验的依赖性；

----（3）事件的突发性强；

----（4）需要广泛的协调与合作。

----1. CCERT在网络安全应急响应中的优势

----CCERT依托于CERNET，CERNET开展安全事件的应急响应服务有其必然的优势，主要体现在以下几个方面：

----（1）高速、大规模、免费的网络实验环境；

----（2）活跃的参与者，主要是对网络安全具有浓厚兴趣的在校大学生、研究生和专业技术人员；

----（3）可控的网络基础设施。对国际出口、国内链路、路由、IP地址、域名等资源的控制，使CCERT能够为CERNET范围内的安全事件作出快速反应；

----（4）作为网络服务提供者，直接了解用户的需求；

----（5）作为教育和科研机构，便于开展国际交流。

----2. CCERT 所处理的安全事件统计与分析

----然而，与国外类似的组织如CERT/CC相比，CCERT 目前没有得到来自国家相关部门的资助。在人力与物力投入都严重不足的条件下，CCERT经过一年的摸爬滚打，完成了大量的工作。最初CCERT把客户群定位在CERNET，由于中国的许多IP地址无法逆向解析到相应的域名，因此CCERT也对来自或有关CERNET以外的报告和投诉提供尽可能的服务。目前主要开展以下几个方面的服务和研究：

----（1）事件响应，包括入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理；

----（2）给站点管理员提供增强系统安全性的配置建议；

----（3）提供安全信息公告和安全资源，包括反垃圾邮件和禁止扫描的公告、操作系统补丁、增强网络安全性的工具软件等；

----（4）网络安全领域的研究，包括安全管理、入侵检测、安全体系结构、公钥基础设施PKI。

----截止到2000年6月，CCERT共处理2000多份安全事件的报告，其中包括以下三类：

----（1）1800多起垃圾邮件和邮件炸弹；

----（2）110多起扫描与拒绝服务（DoS）攻击；

----（3）50起系统入侵报告。

----在所处理的事件报告中，90%左右的安全事件跟垃圾邮件相关，有来自国外的投诉，也有国内用户的报告。国内大量单位的电子邮件服务器使用缺省配置，为其他组织的用户中转邮件，其中包括大量的商业广告、政治宣传等垃圾邮件。转发垃圾邮件的直接危害是服务器所有者流量费用的增加，另外有可能被受害者拒绝访问，导致去往某些网络的邮件无法发送。针对这一情况，CCERT对CERNET的主要邮件服务器做了中转测试，向中转邮件服务器的管理员给出了修改配置的建议。根据用户的报告，CCERT 也对国外转发垃圾邮件的站点发出了一些警告，并封锁情节严重的站点。经过努力，近期 CERNET关于垃圾邮件的投诉和报告已经明显减少。

----其次是关于扫描的报告。CERNET环境中的扫描事件可分为两类：一类是关于服务发现的端口扫描，如proxy hunter程序；另一类是试图寻找系统缺陷的恶意扫描，主要包括pop3、sun RPC、Netbios、imap、SOCKS等缺陷的扫描，这种扫描一般是系统入侵的前兆。针对逐渐增多的恶意扫描，CCERT通过各种渠道发布了关于禁止恶意扫描的公告，对于增强用户的安全意识和规范用户的行为，都起到了积极的作用。

----在CCERT所处理的50起系统入侵事件中，多数入侵是由于众所周知的系统缺陷所引起的，解决方法也是在网络中很容易获得的，比较典型的包括Sun rpc.statd、rpc.ttdbserver、Linux imapd、wu_ftpd、FreeBSD pop3d等。成功的入侵仅占少数，绝大多数入侵活动在缺陷扫描之后，发现没有漏洞可乘便终止了。黑客在成功入侵之后一般做以下几件事情：

----（1）替换某些系统程序，如/bin/login、/bin/ps 等，留下后门或特洛伊木马程序。

----（2）在隐蔽的位置安装口令窃听程序，如sniffit 等。

----（3）删除入侵活动相关的系统日志记录。

----拒绝服务（DoS）的攻击也是经常发生的安全事件，比系统入侵更为容易。常见的拒绝服务攻击包括利用系统和协议缺陷向目标发送一些特殊格式的包，导致系统崩溃，如teardrop、land、OOB等；另外一种是通过洪泛式的流量导致系统资源耗尽或负载过重而无法向合法用户提供有效的服务，如SYN Flood、Smurf、ICMP flood 等。另一类大规模的拒绝服务攻击DDoS（Distributed DoS）近期引起了广泛的关注，尽管还没有这类事件的报告，但是我们认为在中国目前的网络环境中，这一攻击的潜在可能是有的。DDoS的攻击者首先利用系统缺陷控制大量计算机，称为Agent，然后在这些Agent上安装DDoS的攻击工具（如Trin00、TFN/TFN2K、Stacheldraht）等。在攻击者的控制之下，成百上千台Agent同时向目标发起洪泛式的流量，导致系统负载过重而无法提供有效的服务。由于防火墙无法区分合法的还是非法的流量，因此无法过滤；另外，这些流量的源地址一般都是伪造的，无法跟踪；最后，攻击者和Agent之间的控制命令一般都是加密的，很难检测。因此，一旦成为DDoS的攻击目标，被攻击者可采取的防范措施很少。

----3. 常见的问题

----事实上，如果加强安全管理、增进管理域之间的协调与合作，安全问题并不像媒体宣传的那样可怕。许多网络安全事件是很容易通过加强管理、增强网络和系统配置来防范的。CCERT在对事件处理过程中发现网络运营者主要存在如下问题：

----（1）责任不清。许多部门没有一个完整的资产列表，没有一个明确的安全负责人，有些多用户系统有多个系统管理员，有些则找不到。

----（2）策略不明。很多部门没有明确哪些系统需要保护、需要怎样的保护。

----（3）管理员安全意识和安全知识不足。许多系统使用默认的安装方式、缺省系统配置，安装之后不打补丁，而且运行着许多不必要的网络服务。

----（4）多种服务安装在同一台计算机上，如 Web/FTP/EMAIL/DNS等。一种服务（如FTP）的缺陷导致黑客入侵常常引起所有的服务终止。

----CCERT和国外某些组织的实验表明，通过合理配置系统，并关闭不必要的网络服务，99%的利用系统缺陷的入侵是可以防范的。因此在系统和网络安装与运行维护过程中，增强系统的安全配置是最为有效的防范措施。基于此，我们给出常见的操作系统和网络设备的安全配置检查表（check list）以及相应的参考文档，参见 CERNET第七届年会上的报告。内容主要包括：

----（1） Unix、NT 等操作系统安装安全配置检查表；

----（2）路由器安全配置检查表；

----（3）利用路由器防止拒绝服务攻击；

----（4）怎样监测系统入侵；

----（5）怎样从入侵状态中恢复。

----网络安全涉及每一个人，网络整体的安全性依赖于所有用户和管理员的安全意识和安全技术的普及，以及各类组织特别是网络管理域之间的协调与合作。在公众网络上，我们既要保护用户不受攻击，又要规范用户的行为，同时不成为攻击行为的中转站。在这一领域，我们的工作还任重道远。

周报全文频道联系方式：010-68130909

【关于我们】【广告服务】【周报发行】【投稿指南】【投稿声明】【联系方式】【法律声明】
【媒体手册】【编读往来】

Copyright© ccw.com.cn,All rights reserved

中国计算机世界出版服务公司版权所有