面对外部攻击,校园网如何做好优化防护?
随着网络安全形势日趋严峻,来自校园网外部的攻击与日俱增,无疑给学校网络安全防护工作提出了更高的要求。
为了应对来自学校外部网络的攻击,网络安全运维团队通常会在校园网边界防火墙设置拦截策略,阻断具有攻击行为的IP地址,甚至会采用严格的限制策略来阻止源自高风险区域的访问。
在拦截外部攻击的过程中,难免会遇到误判漏判,进而导致防护效果降低的情况。本文分析了同济大学校园网外部攻击防护措施中存在的问题,并在实践中总结了在校园网环境下外部攻击防护的优化策略。
外部攻击防护现状分析
通过落实《网络安全法》、网络安全等级保护等法律和制度的规定和要求,同济大学构建了体系化的网络安全防御纵深。
同济大学校园网部署了不同层次的安全设备:
在校园网出口部署了边界防火墙,提供网络地址转换(NAT)和网络拦截功能;
在主干网部署了下一代防火墙、上网行为管理、IPS入侵防御系统,提供深度网络流量检测与深层次的防护;
在数据中心出口和内部部署了Web应用防火墙(WAF)、漏洞扫描、蜜罐、数据库防火墙等不同功能的安全设备,如图1所示。
图1 校园网络架构示意
这些层层部署的网络安全设备发挥着各自的作用,能够有效地检测和拦截来自外网的入侵行为,提升了校园网安全防护能力。
然而,近几年学校信息系统被入侵、正常访问被误报和误拦的情况仍时有发生,因此需要分析如何进一步提升当前校园网安全防护能力。
尽管有着多年的网络安全建设和实践经验,同济大学仍然面临着不少常态化的网络安全问题和挑战。当前同济大学校园网外部攻击防护措施中存在的主要问题有如下几项:
误拦对信息系统的访问
边界防火墙作为网络中的安全屏障,通过控制、限制或阻断经过的网络流量,能够降低网络安全风险。
然而如果拦截策略配置不合理,就容易造成正常访问被误拦,进而导致相应的信息系统无法被访问,比如邮件系统、在线学习、健康填报、迎新网等,不仅增加了运维团队排查故障的难度,还影响了学校业务的正常开展。
以邮件系统为例,邮件系统是学校行政管理、学术交流与对外合作的重要途径。邮箱的访问和邮件的收发依赖于网络的畅通,误拦对邮件系统的正常访问不仅影响用户的使用体验,还会导致邮件收发异常,严重时还会影响学生申请留学或师生开展国际会议等活动的正常进行。
经同济大学汇和运维团队统计,2021年上半年同济大学IT服务台受理的关于邮件系统无法接收国外邮件且邮箱后台没有查到相关日志的工单数量突增,高达28次,而过往三年均不超过2次。此类问题往往较难排查,其原因如下:
首先,与国外邮件的往来会受到国内外复杂的网络环境影响,当邮箱后台没有查到对应的日志时,说明邮件投递经过的网络不通畅,需要全面排查网络连通和安全拦截的情况;
其次,检查校园安全设备是否误拦发件服务器的过程比较复杂,需要对邮件投递经过的所有安全设备仔细排查,而且在国外邮箱的SPF记录配置不当或者较为复杂的情况下,排查的复杂度和难度大大增加;
最后,很难与国外邮箱管理员取得联系,尤其对于自动发送注册邮件、无人值守的网站,无法与对方管理员联合排查发件方引起的发件失败的原因,比如无法解析同济大学邮箱地址、收件邮箱有误、发件进程出错等。
同济大学(图源学校官博)
权威DNS防护策略配置不当
许多对校外开放的信息服务依赖于DNS记录的正常解析。权威DNS服务器保存着学校域名解析的权威信息,对校园网外部提供学校域名的外部IP地址解析。
权威DNS的访问请求大多是来源于为服务器或终端解析域名的递归DNS服务器,当误拦了对权威DNS的正常访问时,递归DNS将无法获取学校的域名解析,最终导致用户无法访问校园网对外开放的服务。
图2 递归DNS解析过程
如图2递归DNS解析过程所示,当校外的递归DNS缓存中不存在用户请求的域名解析记录时,递归DNS将执行迭代解析的过程[1](图2中的请求Q2-Q5,响应A1-A4),最终从学校的权威DNS获取域名解析记录,并返回给用户。
以邮件系统接收邮件的过程为例,当校外邮箱请求的递归DNS无法访问学校的权威DNS时,图2中请求Q5和响应A4的步骤不成功,也就无法获取学校邮件系统的MX记录,最终导致校外邮箱发件失败。
图3 发件服务器无法解析DNS错误
这种情况下,校外发件邮箱会收到类似图3显示的错误。此时学校运维团队观察到的故障现象为:学校邮箱用户收不到邮件,学校邮箱后台查不到相关日志,校园网安全设备也没有拦截校外发件服务器的记录。
当无法和对方邮箱管理员取得联系,做更进一步的排查时,仅靠学校邮箱管理员单方面努力是很难查明此类误拦问题的。
安全管理运维成本高
当前组成同济大学网络安全防御体系的安全设备多品牌混用,分工明确,功能定位清晰,总体攻击成本较高,安全性较好,但这也给网络安全管理工作带来了异构性和复杂性等问题。
首先,这些安全设备之间缺乏协同机制,各自为政。而安全设备策略设置的有效性不仅仅只依靠单台安全设备,还依赖于不同安全设备之间的相互影响,以及用户与防护对象之间的访问关系。在复杂的网络与安全架构里,仅通过人工方式很难实现全局掌控校园网络安全的配置策略。
其次,人工方式维护安全策略占用大量人力,精细化管理工作难以落地。当前同济大学网络安全设备的防御规则和对象有成千上万条,且均需要人工方式进行维护。
此外,随着信息化的发展,信息系统数量增多,功能持续迭代,系统架构愈发复杂,导致攻击面越来越大。然而学校运维人员较为紧缺,许多基础工作比如攻击面管理与控制并没有完全落实,导致网络安全中攻守双方不平衡的问题更加严重。
最后,被动、僵化的防御策略对付“脚本小子”绰绰有余,但是不足以应对抱有政治或经济目的的专业黑客发起的APT攻击。由于公有云的发展和域名、证书等其它合法资源的使用成本降低,黑客可以很容易就创建发起攻击的服务器、加密攻击请求和伪装成合法流量。
当攻击被检测并拦截后,黑客又可以很容易地变更IP、域名、证书等基础设施资源。因此当安全防护规则没有及时地被优化和清理时,很容易造成误报和漏报的情况。
外部攻击防护优化分析与策略
为了解决当前同济大学校园网环境下外部攻击防护存在的问题,我们在实践中分析并总结了以下几点优化对策,力图提升校园网络外部攻击防御质量:
防火墙拦截策略宜细不宜粗
同济大学系统运维部与汇和运维团队复盘了海外邮件接收异常报障突增的问题,定位到2021年1月份边界防火墙增加了大量的国外IP地址段拦截策略。这些被拦截的IP地址段大多为C类地址段,甚至有B类地址段,这是导致2021年上半年海外邮件接收报障突增的主要原因。
聚合高风险地区的IP地址并封锁这些地址段对学校信息系统的访问,很容易导致正常的访问请求被误拦。
首先,IP地址的个体行为并不代表整个IP地址段的整体行为。黑客可以随时利用公有云的环境发起攻击[2],也可以在NAT的掩盖下发起攻击,但是不能简单认为相邻的公有云或者NAT的IP地址也存在攻击行为。
其次,不排除恶意攻击的源IP地址通过技术手段被篡改的可能性[3]。当前互联网体系结构里,网络中的分组转发只基于目的地址,对于源地址基本不做检查,这使得伪造源地址攻击轻易而频繁。
最后,跨国盗用IP地址进行网络攻击是黑客惯用手法[4],想定位真正的幕后操纵者十分困难。因此,在防御具有匿名性、欺骗性和跨国性等特点的黑客攻击时,如果“一刀切”地将这些IP地址段列入黑名单,很容易误拦来自学校外部的正常访问。
为了尽可能减小IP地址被误拦的概率,同济大学运维团队调整了黑名单地址段的设置,由16位、24位等掩码改为32位掩码。
同时,考虑到黑客攻击始终在数量、类型、时间或空间维度上有所变换,定期释放已经拦截过的IP地址也能有效降低误拦的概率。
边界防火墙的拦截策略对同济大学邮箱接收、对校外开放的服务访问有直接影响,在调整了拦截策略后,误拦的现象基本消失。
合理规划权威DNS的防护策略
从图2中DNS的解析过程可以看到,防火墙拦截对权威DNS服务器的访问会间接导致学校对外开放的服务访问异常。
图2 递归DNS解析过程
然而,据相关权威机构的安全报道,DNS不仅仅是黑客攻击的目标,也是黑客实施攻击的重要手段[5],因此也不能将权威DNS直接暴露在互联网上。具体需要做到以下几点:
第一,减少权威DNS的管理权限被盗用的可能性。权威DNS对校外仅开放53号端口,杜绝校外黑客通过非必要开放的服务攻击和获取域名管理账户进而造成的域名劫持。
同时,将DNS管理模块和DNS解析模块分离部署。DNS解析模块的配置仅允许通过指定的DNS管理模块进行管理,DNS管理模块则通过访问控制列表限制,仅允许专用运维电脑访问,基本杜绝了权威DNS被盗用的可能。
第二,在限制权威DNS开放端口的基础上,将权威DNS的IP地址加入传统(状态)防火墙的白名单。防火墙放行对权威DNS的解析请求,能避免防火墙拦截策略配置不当导致的服务访问异常,同时也极大降低了因DNS解析问题引发的访问故障的排查难度。
第三,使用下一代防火墙进行更有效和更智能的防护[6]。传统防火墙仅根据端口和IP地址进行识别和判断,在安全防护实践中效果有限。
下一代防火墙不仅能够分析流量包中是否包含恶意攻击,对DNS进行更高层次的防护,还可以通过流量限制策略来防御针对DNS的DDoS攻击,尤其是反射放大攻击。
威胁情报库助力防护自动化
威胁情报指已经存在或正在形成的潜在威胁的信息,基于这些信息可以建立安全预警机制,能够更准确预测或快速应对即将来临的攻击,以缓解攻防信息不对称的问题[7],参见表1。
表1 威胁情报采集项
刚起步的威胁情报库可以仅收集恶意IP地址,内容包括C2服务器、“肉鸡”等,后期可以拓展为恶意域名、恶意证书、恶意软件指纹、漏洞等。恶意IP可以从国外开源威胁情报中收集,比如AlienVault等,也可以通过购买国内网络安全公司的服务来获取。
除了从威胁情报权威平台获取恶意IP外,还可以从校内的安全设备或信息系统中获取恶意IP。下一代防火墙、IDS、WAF等安全设备可以检测到大量来自互联网的扫描和攻击,这些告警信息可以直接作为威胁情报库的信息来源。
也可以在对校外开放服务的信息系统中收集恶意IP地址,然而信息系统通常无法自动识别恶意攻击,因此需要对原始信息做进一步的分析与处理。
图4 从邮件系统日志中提取恶意IP地址
图4显示了从同济大学邮件系统中分析和收集到的尝试暴力破解重点关注账户密码的恶意IP地址,这些重点关注账户主要有邮箱系统管理邮箱、各单位或部门公共邮箱、各部门领导或重要办事人邮箱三类。
当前同济大学已经能够自动采集部分威胁情报,并联动数据中心防火墙等网络安全设备,实现外部攻击的自动化拦截,阻断端口扫描、路径遍历等渗透信息收集阶段的恶意尝试和后续的攻击行为。
联动安全设备进行防御不仅避免了人工误操作,提高了防护策略配置的准确性,还极大缩短了配置和维护防护策略的时间。为了提高阻断的实效性,情报库还定期自动移除长时间没有恶意行为的IP地址,同时移除其联动的防火墙等安全设备上相应的策略,避免过时的情报导致的误拦,也降低了安全设备的运行负载。
网络安全和信息化是一体之两翼、驱动之双轮。校园网络安全工作的整体目标是保障信息基础设施、信息系统和数据不因偶然或恶意的原因发生损毁、失效和丢失等情况,保障校园信息化系统的正常运行。
在开展网络安全工作的进程中,不可避免地会出现误判而影响正常业务开展的情况。在这种情况下,网络安全部门应当做好技术准备和解释工作。
本文针对同济大学外部攻击防护中存在的问题,细化了防火墙拦截策略,改进了DNS防护措施并通过威胁情报库实现了外部攻击拦截的自动化,改善了网络安全工作的质量,提高了信息系统使用的安全性和便捷性。
参考文献
[1] 孙光懿,宋立巍.基于Bind与PAT实现校园网域名的智能解析[J].首都师范大学学报(自然科学版),2021,42(2):10-16.DOI:10.19789/j.1004-9398.2021.02003.
[2] 国家互联网应急中心(CNCERT).2021年上半年我国互联网网络安全监测数据分析报告[R].2021年7月31日.
[3] 李丹,秦澜城,吴建平,等.基于边界路由动态同步的互联网地址域内真实源地址验证方法[J].电信科学,2020,36(10):21-28.DOI:10.11959/j.issn.1000-0801.2020289.
[4] 刘洋(环球网).韩研究称网络攻击IP地址大多来自印度等国[EB/OL],[2013-03-28].https://world.huanqiu.com/article/9CaKrnJzPWF.
[5] 安全牛.《2020年全球DNS威胁报告》:DNS攻击平均损失高达92万美元[EB/OL],[2020-06-12].https://world.huanqiu.com/article/9CaKrnJzPWF.
[6] 陈志忠.下一代防火墙(NGFW)特性浅析[J].网络安全技术与应用,2017(10):21-22DOI:10.3969/|‘.issn.1009-6833.2017.10.015.
[7] 王佳音.在企业内部基于开源威胁情报实现DNS域名请求分析[J].数字化用户,2018,24(15):218-219.DOI:10.3969/j.issn.1009-0843.2018.15.199.
作者:赵泽铭、陈晓波(同济大学教育技术与计算中心)
责编:高明
投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
为校园网防护“点赞”~