網絡安全審計介紹與部署實施

一、網絡審計的概念

1.1 網絡審計的起源

審計起源于財務管理，用于審核企業經營行為是否合法，審計從財務入手，也就是審核賬務。把審計的概念引申到網絡中可以追溯到IDS（***檢測系統）研究的早期。最初是對主機日志的審計，發現***行為，后來發展成主機IDS技術【IDS技術可分為主機IDS和網絡IDS】。由于主機IDS只對主機的行為進行檢測，并且要占用主機的寶貴資源，隨著網絡規模的不斷擴大，安全廠商想到了通過網絡鏈路鏡像的方式直接收集網絡原始信息，就是目前廣泛使用的網絡IDS。

1.2 網絡審計的定義

網絡審計就是在網絡鏈路上將數據包鏡像到服務器（一般可以是IDS,審計設備），后期審計時在服務器上進行業務識別，將數據包還原分析進而還原某個用戶某個特定時間的上網行為。以此來判斷用戶上網行為是否合法、提供不法行為證據、業務是否合規、也可分析當前安全防御網絡系統中的漏洞安全隱患等。

注：審計行為不是針對外部***者的，而是針對網絡內部用戶的。畢竟網絡中的大多數安全問題都來自內部人員，其作用主要是安全威懾，后期調查取證。

二、網絡審計產品工作原理

2.1 產品設計架構

在產品的設計架構上分為控制中心、數據庫、控制臺、數據收集引擎幾個部分，采用分布式的部署方式。

2.2 信息獲取方式

1. 1、通過網絡鏈路鏡像方式

典型的方式就是網絡鏈路的端口鏡像(若是光鏈路也可以用分光設備)，就是把正常網絡的通訊信號(數據)復制一份給鏡像設備。圖中藍線是IDS的信息收集，紅線是審計的信息收集。多對一的鏡像也可以根據產品的部署情況采用單獨的數據收集引擎，根據流量采用一對一鏡像，或多對一鏡像。

1. 2、從主機上信息收集方式

在主機上收集信息一般要安裝Agent軟件，也可以通過Syslog、SNMP等通訊協議從主機中獲取。主機IDS技術的早期也是對系統的日志進行分析，后來發展到對主機的進程、狀態進行監控；主機的系統操作日志、安全日志，數據庫上的操作日志，也同樣是審計系統的數據來源。

2.3 業務識別技術

收集到的信息需要進一步處理，從網絡鏡像來的數據包，首先要還原成通訊協議，定位到具體的通訊連接，也就是我們常說的業務識別技術。IDS與審計的業務識別技術基本是相同的。

         無論是分析是否為***，還是要記錄用戶的行為過程，識別出用戶具體在做什么都是必然的。對于標準協議的識別與匹配相對是容易的，但是很多應用采用了加密，或隱藏在其他的通訊協議中，如P2P等，要識別起來就比較麻煩，在流量管理技術中識別一般采用特征匹配技術，但是應用的特征多，而且變化快，對于IDS設備來說，面對的***是未知的，可能是通過各種通訊手段的，所以對特征的識別要求較高一些；而對于審計產品來說，要審計的應用是已知的，系統不提供的服務也沒有必要進行審計，所以對特征識別需要簡單一些。

三、網絡審計產品的主要功能

• 記錄使用者的操作行為（可能是內部也可能是外部）。何時登錄，何時下線，做了什么事…

• 識別使用者的身份信息，識別使用者使用的主機IP。（一般審計系統都會與網絡身份認證系統相連接，便于用戶身份信息識別）

• 利用鏡像到服務器上的流量可以還原使用者的操作過程。

• 審計記錄的數據是不可修改的。

• 網絡行為審計

審計網絡使用者在網絡上的“行為”，根據網絡的不同區域，安全關注的重點不同，分為不同專項審計產品。其信息獲取的方式分為：網絡鏡像方式與主機安裝代理方式。

4.1.1 網絡行為審計：

通過端口鏡像取得原始數據包，并還原成連接，恢復到相應的通訊協議，如：FTP、Http、Telnet、SNMP等，進而重現通過該鏈路的網絡行為。

目的：審計該鏈路上所有用戶在網絡上的“公共行為”，一般放在網絡的主干道上。

重點街區安裝的攝像機，對公共區域的公共安全進行記錄。

缺點：識別技術很關鍵，產品要識別的應用協議太多，對安全廠家來說是考驗。

關心主要流量的應用協議解析。但該方法對于應用加密時就失去了審計的能力。

4.1.2 主機審計：

若網絡是街道，主機就是各個單位的內部。在服務器上安裝審計代理，審計主機使用者的各種行為，把主機的系統、安全等日志記錄下來相當于針對主機上運行的所有業務系統的安全審計。主機審計在終端安全上的發展最主要的代表性的是非法外聯審計，防止涉密信息通過終端外泄。

目的：審計主機使用者的行為，或進入該主機(服務器)的使用者的行為

缺點：主機審計需要安裝代理軟件，對主機的性能有一定的影響。另外審計代理的防卸載與防中斷運行的能力是必需的，否則產生的審計“天窗”是致命的安全漏洞。

4.1.3 數據庫審計：

鏡像數據庫服務器前的鏈路，審計數據庫使用行為，可以重現到數據庫的操作命令級別，如SELECT、UPDATA等。

 目的：數據庫一般是應用系統的核心，對數據庫的操作行為記錄一般能記錄用戶的不法行為過程，并且審計的操作記錄，也可以為數據庫恢復提供依據，對系統的破壞損失也可以減小。

主機審計：也可以在數據庫服務器上直接安裝審計終端，對數據庫進行審計，或者可以利用數據庫系統自身的一些操作日志信息作為審計分析的數據的源。但不同的是數據庫系統的日志可以刪除，審計系統的審計日志不可以刪除。

缺點：數據庫的流量很大，審計記錄的存儲容量相當可觀。

4.1.4 互聯網審計：

針對員工上互聯網的行為的專向審計，主要識別的是Http、SMTP、FTP等協議，同時對互聯網的常用應用如QQ、MSN、BT等也需要識別。互聯網審計一般是對內部員工的上網進行規范。

目的：互聯網出口往往是一個企業網絡的“安全綜合地帶”，是企業與外界聯系的必然出口，設置互聯網的專項審計也是很多企業的管理需求。

 缺點：互聯網應用升級較快，對審計中的識別技術要求高，對于日漸增多的加密應用，如Skype、MSN等，對于審計來說都是極大的挑戰。

4.2 運維審計：

網絡的運維人員是網絡的“特殊”使用團隊，一般具有系統的高級權限，對運維人員的行為審計日漸成為安全管理的必備部分，尤其是目前很多企業為了降低網絡與系統的維護成本，采用租用網絡或者運維外包的方式，由企業外部人員管理網絡，由外部維護人員產生的安全案例已經逐漸在上升的趨勢。

目的：運維人員具有“特殊”的權限，又往往是各種業務審計關注不到的地方，網絡行為審計可以審計運維人員經過網絡進行的工作行為，但對設備的直接操作管理，比如Console方式就沒有記錄。

審計方式：運維審計的方式不同于其他審計，尤其是運維人員為了安全的要求，開始大量采用加密方式，如RDP、SSL等，加密口令在連接建立的時候動態生成，通過鏈路鏡像方式是無法審計的。所以運維審計是一種“制度+技術”的強行審計。一般是運維人員必須先登錄身份認證的“堡壘機”(或通過路由設置方式把運維的管理連接全部轉向運維審計服務器)，所有運維工作通過該堡壘機進行，這樣就可以記錄全部的運維行為。由于堡壘機是運維的必然通道，在處理RDP等加密協議時，可以由堡壘機作為加密通道的中間代理，從而獲取通訊中生成的密鑰，也就可以對加密管理協議信息進行審計。

缺點：采用單點運維通道是為了處理可以加密協議，但對運維效率有一定影響。并且網絡上產品種類多，業務管理軟件五花八門，管理方式也多種多樣，采用單一的運維通道未必都能達到效果。最重要的是運維審計方案一定要與安全管理制度相配合，要運維人員不“接觸”設備是不可能的。

4.3 業務合規性審計：

網絡是業務的支撐系統，對業務本身是否“合法”，網絡層的審計技術一般很難判斷，所以業務合規性審計一般是與業務系統相關聯的組織開發的審計系統，通過業務系統中安裝代理的方式，或直接集成在業務系統中，獲取業務“流水”信息，在單獨的審計系統中完成后期審計，也可以定期對業務系統的業務流水日志信息進行審計。

目的：審計業務本身的“合法”性。

產品形式：一般有業務開發公司提供，而不是網絡安全公司提供，業務專業性非常強，一般為單獨的審計系統。

五、網絡審計產品部署

5.1 網絡審計產品部署位置

網絡審計產品的設計與網絡IDS一致，都采用了“旁路”的方式部署，而且關心的網絡鏈路大多也是相同的，所以當客戶分別部署監控與審計安全產品時，經常出現的一個現象是：一個端口要鏡像給兩個目標端口，分別到不同數據收集引擎，而且這兩個引擎的前期工作原理還非常接近。

在分布式的產品結構中，數據收集引擎與處理中心是分離的，我們可以把IDS與審計產品的數據收集引擎部分功能分離，進而合并兩個引擎為一個。這樣做的好處，其一是減少了業務鏈路鏡像出來的端口數。其二是減少了網絡上引擎設備的數量。其三是把鏡像分析的數據引擎通用化，可以減低產品的成本，也方便未來新鏡像系統的部署。

安全監控與審計是網絡安全建設中不可缺少的兩個方面，無論是公安部的信息系統等級保護要求，還是×××的涉密信息系統技術要求，監控與審計都是必選項，而且還有細顆粒度的要求。合理、有效地部署監控與審計系統，對于保護你網絡的安全是重要的，而且是必要的。

5.2網絡流量鏡像配置

5.5.1 CiscoNetFlow：

NetFlow是一種數據交換方式，NetFlow利用標準的交換模式處理數據流的第一個IP包數據，生成NetFlow 緩存，隨后同樣的數據基于緩存信息在同一個數據流中進行傳輸，不再匹配相關的訪問控制等策略，NetFlow緩存同時包含了隨后數據流的統計信息。針對路由器送出的NetFlow數據，可以利用NetFlow數據采集軟件存儲到服務器上，以便利用各種NetFlow數據分析工具進行進一步的處理。

在需要鏡像流量的設備上配置Netflow：

ip cef

flow-sampler-map TEST               //創建Netflow例圖

  mode random one-out-of 100   //設置例圖模式為100個包隨機取1個

ip flow-exportsource Loopback0

ip flow-exportversion 9

ip flow-exportdestination YY.YY.56.100 2222 sctp   //指向NetFlow采集器及端口

  backup destination YY.YY.56.254 2222    //設置備份Netflow采集器

  backup mode fail-over

interface G0/1

  ip flow ingress       //入方向開啟NetFlow

  ip flow egress       //出方向開啟NetFlow

  flow-sampler TEST        //入方向流量應用例圖采用

  flow-sampler TEST egress     //出方向流量應用例圖采樣

5.5.2 CiscoSPAN：  

SPAN技術主要是用來監控交換機上的數據流，大體分為兩種類型，本地SPAN（SPAN），基于VLAN的SPAN（VSPAN）和遠程SPAN（RSPAN）。利用SPAN技術我們可以把交換機上某些想要被監控端口（以下簡稱受控端口）的數據流COPY或MIRROR一份，發送給連接在監控端口上的流量分析儀，比如CISCO的IDS或是裝了SNIFFER工具的PC。被監控的流量類型分為三種，Receive (Rx) SPAN 受控端口的接收流量，Transmit (Tx) SPAN 受控端口的發送流量，Both 一個受控端口的接收和發送流量。

            1.本地SPAN：

            受控端口和 監控端口可以在同一臺交換機上

swconfig)#monitorsession 1 source interface f0/1   //指定源端口，默認both

  ,    Specify another range of interfaces        //可選參數

  -    Specify a range of interfaces

  both Monitor received and transmitted traffic

  rx   Monitor received traffic only

  tx   Monitor transmitted traffic only

 sw(config)#monitorsession 1 destination interface fastEthernet 0/0  

//指定目的端口（默認只接收鏡像流量，屬于自身的一切流量被截斷）          

2.基于VLAN的VSPAN：

基于VLAN的SPAN只能監控VLAN中所有活動端口接收的流量(only received (Rx) traffic)，如果 

監控端口屬于此VLAN，則此端口不在監控范圍內，VSPAN只監控進入交換機的流量，不對VLAN接口上的路由數據做監控。

Catalyst 3550交換機上最多只能設置兩個SPANSession，缺省SPAN沒有使用，如果做了設置，缺省情況下，第一個被設為受控端口的接口進出流量都會受到監控，以后再追加的受控端口只會對接收的流量進行監控，監控端口的默認封裝類型為Native，也就是沒有打VLAN的標記。

Switch(config)#monitor session 2 source vlan 101 - 102 rx //指定受控端口所屬VLAN

Switch(config)#monitor session 2 destination interface fastethernet0/30  

3.遠程RSPAN：

RSPAN中要使用一個專用的VLAN來轉發流量，反射端口會使用這個專用VLAN將數據流通過TRUNK端口發送給其它的交換機，遠程交換機再通過此專用VLAN將數據流發送到監控端口上的分析儀。 關于RSPAN VLAN的創建，所有參與RSPAN的交換機應在同一個VTP域中，不能用VLAN 1，也不能用1002-1005，可以用2-1001的標準VLAN。

Reflector Port反射端口只在RSPAN中使用，與RSPAN中的受控端口在同一臺交換機上，是用來將本地的受控端口流量轉發到RSPAN中在另一臺交換機上的遠程監控端口的方法，反射端口也只能是一個實際的物理端口，它不屬于任何VLAN。反射端口最好是>=受控端口的帶寬，否則可能會出現丟包的情況。

RSPAN的Session分成RSPANSource Session和RSPAN Destination Session兩部分，所以相應的配置也要分別在Session的源和目的交換機上做。

Switch(config)#vlan 800          //為RSPAN創建專用的VLAN；源，中間及目的交換機都要配置該VLAN

Switch(config-vlan)#remote-span //可以使用sh vlan id 800查看RSPANVLAN狀態

在源交換機上配置Source Session：

Switch(config)#monitor session 1 source interface fastethernet0/10 - 13 

Switch(config)# monitorsession 1 source interface fastethernet0/15 rx 

Switch(config)#monitor session 1 destination remote vlan 800 reflector-portfastethernet0/20 

在目的交換機上配置Destination Session：

Switch(config)#monitor session 1 source remote vlan 800 

Switch(config)# monitorsession 1 destination interface fastethernet0/30      

5.5.3 華為SPAN：

端口鏡像原理，將鏡像端口的流量復制一份發送到觀察端口供觀察端口下連的流量分析設備（軟件）對復制來的鏡像端口的流量進行分析，在華為的SPAN端口鏡像中觀察端口仍然可以發送和接受數據（思科中觀察端口就會停止正常的數據收發，只能觀察從鏡像端口復制來的流量）。華為SPAN一般分為以下幾種：

1.端口鏡像

端口鏡像是基于端口的鏡像，分為本地端口鏡像、二層遠程端口鏡像、三層遠程端口鏡像，鏡像的流量可以是入向或者出向。

本地端口鏡像：

[Huawei]observe-port1 interface g0/0/1     //配置一個序列號為1的觀察端口g0/0/1

[Huawei]interfaceg0/0/2                       //配置鏡像端口

[Huawei-GigabitEthernet0/0/2]port-mirroringto observe-port 1 both       //配置一個鏡像端口，將雙向流量復制到序列號為1的觀察端口

二層遠程端口鏡像：

首先創建一個用于廣播鏡像流量的vlan，分別在lsw1與lsw2上創建vlan2，LSW1將鏡像端口G0/0/1的流量鏡像到G0/0/2口，通過G0/0/2口廣播到鏡像VLAN2中被處于VLAN2的Server1收到。

[lsw1]vlan 2

[lsw1-vlan2]mac-address learning disable//必須在觀察vlan中關閉mac地址學習

[lsw1]observe-port1 interface g0/0/2 vlan 2     //指定觀察端口，并在vlan2中廣播復制的流量

[lsw1]interfaceg0/0/1

[lsw1-GigabitEthernet0/0/1]port-mirroringto observe-port 1 both     //指定鏡像端口，將流量復制到序列號為1的觀察端口

[lsw2]vlan 2

三層遠程端口鏡像配置：

  端口的三層遠程鏡像的原理是，通過在ip層建立一條GRE的tunnel隧道將鏡像端口的流量復制到觀察端口，觀察端口在通過GRE-tunnel隧道將流量發送到監控設備所在的端口上，進行流量的分析。在下面拓撲中LSW1上的鏡像端口將流量復制到觀察端口，由觀察端口通過GRE-tunle發送至server2監控服務器連接的lsw2的E0/0/2接口，供server2對鏡像端口的流量進行分析。

首先在AR1和AR2上分別配置路由網段及靜態路由，保證三層互通，然后在LSW1上配置鏡像端口及觀察端口的gre隧道。

在lsw1上配置：

[Huawei]observe-port1 interface e0/0/1 destination-ip 192.168.2.100 source-ip 192.168.1.100   //創建觀察端口及隧道

[Huawei]interfacee0/0/2

[Huawei-Ethernet0/0/1]port-mirroringto observe-port 1 both    //指定鏡像端口1

2.流鏡像

流鏡像是基于流的鏡像，是根據用戶配置的劉策略traffic-class匹配的流量進行鏡像，只支持（鏡像端口的）入方向，不支持出方向。流鏡像分為本地流鏡像、二層遠程流鏡像、三層遠程流鏡像。

3.VLAN鏡像

vlan鏡像是基于vlan的鏡像，是將制定的vlan內的所有活動接口的入方向的流量復制到觀察端口，不支持出方向。vlan鏡像分為本地vlan鏡像、二層遠程vlan鏡像，不支持三層遠程。

本地VLAN鏡像：

[Huawei]observe-port1 interface GigabitEthernet0/0/3     //指定觀察端口

[Huawei]vlan 2

[Huawei-vlan2]mirroringto observe-port 1 inbound   //鏡像vlan2中所有活動接口的入向流量

二層遠程VLAN鏡像：

二層遠程的配置與端口鏡像一致，只需要將鏡像端口改為vlan，不支持三層遠程。

4.MAC地址鏡像

基于mac地址的鏡像，將匹配源或目的的mac地址的入方向的流量復制到觀察關口，不支持出方向。mac地址鏡像支持本地mac地址鏡像、二層遠程mac地址鏡像。

5.5.4 華為Netstream:

NetStream是一種基于網絡流信息的統計與發布技術，可以對網絡中的通信量和資源使用情況進行分類和統計，基于各種業務和不同的QoS進行管理和計費。華為Netstream技術等同于Cisco NetFlow技術。

在需要鏡像流量的設備上配置Netstream：

1、配置交換機的流發送

[Huawei]ipnetstream timeout active 100         流活躍時間

[Huawei]ipnetstream timeout inactive 3          流老化時間

[Huawei]ipnetstream export version 9            netstream版本，只支持v9

[Huawei]ipnetstream export source x.x.x.x         發送流的交換機ip

[Huawei]ipnetstream export host a.a.a.a 11111    發送流的目的ip及目的端口號

2、配置交換機某個端口的netstream功能

[Huawei-Ethernet0/0/1]ipnetstream inbound            接口進方向的數據轉成流

[Huawei-Ethernet0/0/1]ipnetstream outbound          接口出方向的數據轉成流

[Huawei-Ethernet0/0/1]ipnetstream sampler fix-packets 1000 inbound設置采樣率

[Huawei-Ethernet0/0/1]ipnetstream sampler fix-packets 1000 outbound

配置完成后就可以把有netstream功能的接口的數據轉成流發送到指定設備的指定端口，dis netstream all查看當前交換機所有的netstream配置