作者:鍾慶豐 -08/30/2010
本文出自於資安人雜誌70 期 Jul/Aug 2010
網路攻擊存在於各種網路應用領域,不管是主動式攻擊或是被動式 攻擊,其次數、範圍與危害程度已逐漸達到令人難以忍受的地步,美國軍方甚至提議將網路攻擊視為一種軍事挑釁,建議以軍事行動加以回應,未來此類的衝突只會 越來越加白熱化。
網路攻擊之所亦如此猖獗,其中原因之一在於目前IP網路對攻擊者身分驗證仍有困難所致。此特點乃當時IP網路迅速普及的誘因之一,但現在這項優點卻也成為未來網路應用方面的致命缺點。不管未來大家對網 路攻擊事件的看法如何,如果真要反擊,那反擊的方式將是筆者所好奇的。
畢竟以目前機制而言,要能精準定位到分散式攻擊之攻擊者,實在 有諸多困難,更不要談反擊能力的有效實施。
雲端應用仍暴露在傳統安全威脅
新技術使舊威脅變得較難以實施,因此大家不斷推出新版本的作業 系統、應用程式、防毒軟體…等,以為自己的電腦系統安全盡一份心力。然新技術只會導致舊威脅的進化,因為新技術一旦沒有將舊威脅斬草除根,不管再怎樣升級 系統,都只是延緩被攻擊成功的時間而已。
就以目前大家耳熟能詳的雲端運算(cloud computing)技術來說,先不談其與叢集運算(cluster computing)或網格運算(grid computing)之異同,其所遭遇到的網路安全威脅依舊存在。雲端技術將網路的應用與電腦技術加以結合,而形成所謂的「雲端運算」。
客戶可以將資料移到雲端,而不用再擔心資料硬體的儲存管理問 題,舉凡Amazon的簡易儲存服務(S3, simple storage service)或其彈性運算雲端(EC2, elastic compute cloud)便是此類最好的例證。
這些線上服務提供大量的儲存空間與客制化的運算,但缺點是將客 戶本身的服務可用性與資料整合性委託給雲端服務提供者,其間是否具有信任與穩定性頗值探討。
雖然雲端安全的設定好像是設定內部安全一樣,你日常所適用的安 全工具一樣可以保護那些位在雲端的資料。這裡唯一的差異,乃是雲端環境屬多承租環境(MTE, multi-tenant environment),同時可能有多家公司承租而共享雲端服務。此外雲端環境所牽涉到的安全問題,雖然大多數都可以用 目前現有的安全工具加以定位,表面上客觀威脅性並未明顯增加,但人員道德威脅的主觀威脅性卻有所增加。
正如其他新興運算技術一樣,基於IT產業之原本特性,一旦有新技術被使用,在一定期間內他往往會發揮某種經濟上的使用價值,但這些價 值會隨著時間經過與更新技術的提出而改變,以持續提供企業的金融競爭力,雲端技術亦屬此類技術經濟價值。在其價值用盡之前,是否有值得攻擊的必要,往往必 需看雲端存放的資料隸屬何種資料而定。
不過假如各位選擇了一個有品質的雲端服務提供者,這個品質往往 也提供了相當的安全保證。一般而言,您所需要的安全等級,通常是依據您在雲端用戶端所可能遭遇之風險來決定。
但不可諱言的,傳統密碼學所能提供的資料保護,無法直接套用在 雲端運算中已非使用者能控制的資料上。因此要在沒有完整資料引導的情況下,去驗證雲端資料這便顯得有點困難。另外,使用者儲存在雲端的資料型態不盡相同, 其資料安全的保證亦難以統一。
此外,雲端運算並非只是協力廠商提供的資料倉儲,那些儲存在雲 端的資料,可能常被使用者更新或修改。因此如何在使用者動態操作中,仍能對資料的完整性予以確認,便顯的相當重要。另外,為使使用者資料整體性威脅降低, 其使用者資料往往經冗餘處理後被儲存在不同的實體位置,因此儲存資料使用的分佈協定(distributed protocols)所扮演的角色,對資料完整性來說便顯得非常重要。
以上這些影響雲端用戶資料安全的因素,都可進一步被發展成攻擊 雲端運算之武器。所以網路攻擊者要直接攻擊雲端運算服務提供者並非不可能之事,但要追蹤攻擊者卻不是件簡單的事情。因為追蹤的第一要務是必須在網路流量中先識別攻擊封包,這些攻擊封包可能來自攻擊跳躍環(stepping stone chain)中的反射電腦(reflector)或殭屍電腦。
此外這種IP追蹤技術無法協助我們預防或阻止(攔 截)攻擊者發動網路攻擊,其僅能提供被害電腦受攻擊時,可以去識別這些攻擊封包所在而重建攻擊者封包遞送可能路徑而已。
追蹤攻擊者IP十分困難
隨者網路攻擊案例的增加,許多人都想揪出幕後黑手。各先進國家 對IPTS(IP traceback system)亦已投入相當多的研究,而有關IPTS最近的研究目前也成為網路安全領 域一項很夯的議題,許多學者例如2005年RP. Laufer及P.B. Velloso等人的研究、2007年T. Korkmaz及C. Gong等人 的提議方法或2008年A.O. Castelucio及R.M. Salles等人的報告等等 均提出了IPTS相當不錯的看法,不過這些技術仍有很多待解決的問題,多數提議方法乃屬理論面之論述,實務上並未 完全被實作運用。換句話說,利用IP追蹤技術(IP traceback)或許可嘗試去鑑別 網路的IP封包,但要能追蹤到真正的攻擊者還需要很多努力。
追蹤技術實作需要考量因素有很多,如:記憶體需求、ISP業者的參與程 度、局部部署能力、要完成IP追蹤所需要的攻擊封包數、頻寬消耗成本、處理成本與該策略之保護能力等。
A. Rabkin(2008年)歸納了 最後幾個IP追蹤技術有待解決的干擾問題,包含:攻擊者可以產生各種型式的攻擊封包、攻擊的產生可經由多位攻 擊者協同為之、攻擊者非常瞭解攻擊機制與防禦方法、封包會遺失或重新排序、攻擊者可產生偽造封包、路由器必須是穩固耐用的、路由器的CPU與記憶體有 限、每個網路路由器並非都是相同的等問題。
目前IP網路位置追蹤技術的策略可概分為四種 類別,分別是:末端主機倉儲(end-host storage)、封包紀錄(packet logging)、特定路由(specialized routing)及網路推演狀態(state of the network inference)等四種。
使用末端主機倉儲技術者,有機率式封包標記(PPM, probabilistic packet marking)及iTrace(ICMP traceback);使用封包記錄者,有赫序式IP追蹤(hash-based IP traceback);使用特定路由方式者,有IPSec的IP追蹤技術與涵蓋網 路(overlay network)技術;使用網路推演狀態者,有控制流量(controlled flooding)方式。在此不另做詳述(註)。
另外,以目前許多IP追蹤技術來說,絕大多數乃以IPv4的IP網路環境研究為基 礎,而有關IPv6封包追蹤技術的研究則較少探討。不過令人遺憾的是,一些威脅IPv4的網路攻擊技術,在某些方面,一樣可以威嚇IPv6網路的使用,但是可用在IPv4網路的防禦 技術卻不見得可適用在IPv6裡面,正因為追蹤技術的實作不易,這使得許多網路攻擊者得更無顧忌的進行瘋狂的網路掃瞄或攻擊。
4G無線 網路的安全威脅
看過上面簡要的敘述,我們心裡都有底,要定位一位網路攻擊者通 常非一般使用者能力所及。然在未來大量使用網際網路技術之同時,這方面的威脅也逐漸開始引起多數人關心。
以4G無線網路而言,自從3GPP會議(3rd generation partnership project consortium)建議3G IP網路多媒體子系統環境(IMS, IP multimedia subsystem)將SIP選為多媒體管理協定以來,SIP的重要性顯然有所提升。3GPP之所以選用SIP作為多媒體管理協定的原因之一,乃在於SIP除 了可以輕易的支援多域環境,並符合未來網路環境服務參與者多樣化趨勢。
另外在4G無線網路環境 中,資料的傳送與分享使用的是有線IP網路技術,其同樣涉及多域環境(multidomain environment)的安全問題。例如,在IMS控制架構中,呼叫區段控制功能(CSCF, call session control function)主要利用的是SIP發訊(SIP signaling)功能,此由數種型態的SIP伺 服器組成。不過最常見之SIP主機有三種,分別是質問主機(interrogating-CSCF)── 負責SIP訊號進入點;服務主機(serving-CSCF)── 管理所有的區段控制;與代理主機(proxy-CSCF)──最前線的認證機器,具有控制認證功 能。
當時發展第四代無線網路的考量之一,是為了與現有有線IP網路資源的接口方 便,所以全面採IP-based的設計。但當IMS嘗試簡化網路的核心設計時,其同時也造成網路管理與監控較以往更複雜。這之間主要原因還是因為IMS的設計使然,因為其基礎建設需要對網路流量作即時的安全監控,結果造成IMS網路需要更多安全的考量資訊可供參考,以杜絕可疑活動,例如:分散式阻絕服務攻擊、冒充呼叫者ID(caller ID spoofing), 潛在的SS7網 路侵害(potential SS7 network breaches)…等。
因此,未來如何對外部 無線網域進來的SIP-based區段訊息進行身分確認、整合性檢查與強化認證的程序將是非常重要 的。可惜的是大多數的SIP裝置並無強力的安全機制,欠缺足夠的安全保護,如同手機的SIM卡一樣,只用簡單的安全機制便算交差了事,這在未來或許會成為一個重要的安全問題。
雖然網路安全的問題重 重,一般民眾要抓到網路犯罪者常有某種困難,但也不是沒有明哲保身的方法。一般只需要注意幾項原則,通常就會幫您降低很多網路安全方面的威脅,例如:不利 用不信任的網路傳送機密資料、養成使用編碼訊息的習慣、不瀏覽或下載不明網站或資料、不使用不明軟體、安裝防毒軟體與定期掃瞄、注意更新系統版本…等諸如 此類,相信可以讓安全威脅對生活的不便降到最低才是。
註:這些技術的探討可參考A. Belenky及N. Ansari於2003年所發表的IP traceback研究報告或2007年X.H. Dang, E. Albright等人發表之Performance analysis of probabilistic packet marking in IPv6資料。
本文作者為自由作家, 數位多媒體暨網路安全顧問
0 意見: