欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

蜜罐技術(shù):消除防火墻局限和脆弱

 更新時(shí)間:2007年01月16日 00:00:00   作者:  
防火墻是網(wǎng)絡(luò)上使用最多的安全設(shè)備,是網(wǎng)絡(luò)安全的重要基石。防火墻廠商為了占領(lǐng)市場,對防火墻的宣傳越來越多,市場出現(xiàn)了很多錯誤的東西。其中一個(gè)典型的錯誤,是把防火墻萬能化。但2002年8月的《計(jì)算機(jī)安全》中指出,防火墻的攻破率已經(jīng)超過47%。正確認(rèn)識和使用防火墻,確保網(wǎng)絡(luò)的安全使用,研究防火墻的局限性和脆弱性已經(jīng)十分必要。  
防火墻十大局限性  
一、防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù),防火墻無法檢查。  

二、防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻可以設(shè)計(jì)為既防外也防內(nèi),誰都不可信,但絕大多數(shù)單位因?yàn)椴环奖?,不要求防火墻防?nèi)。  

三、防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。防火墻是一個(gè)被動的安全策略執(zhí)行設(shè)備,就像門衛(wèi)一樣,要根據(jù)政策規(guī)定來執(zhí)行安全,而不能自作主張。  

四、防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個(gè)安全設(shè)備,但防火墻本身必須存在于一個(gè)安全的地方。  

五、防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議,防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。  

六、防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊,防火墻不能防止。  

七、防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能,即使集成了第三方的防病毒的軟件,也沒有一種軟件可以查殺所有的病毒。  

八、防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí),可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。  

九、防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動泄密,防火墻是無能為力的。  

十、防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己,目前還沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護(hù)。  

防火墻十大脆弱性  

一、防火墻的操作系統(tǒng)不能保證沒有漏洞。目前還沒有一家防火墻廠商說,其防火墻沒有操作系統(tǒng)。有操作系統(tǒng)就不能絕對保證沒有安全漏洞。  

二、防火墻的硬件不能保證不失效。所有的硬件都有一個(gè)生命周期,都會老化,總有失效的一天。  

三、防火墻軟件不能保證沒有漏洞。防火墻軟件也是軟件,是軟件就會有漏洞。  

四、防火墻無法解決TCP/IP等協(xié)議的漏洞。防火墻本身就是基于TCP/IP等協(xié)議來實(shí)現(xiàn)的,就無法解決TCP/IP操作的漏洞。  

五、防火墻無法區(qū)分惡意命令還是善意命令。有很多命令對管理員而言,是一項(xiàng)合法命令,而在黑客手里就可能是一個(gè)危險(xiǎn)的命令。  

六、防火墻無法區(qū)分惡意流量和善意流量。一個(gè)用戶使用PING命令,用作網(wǎng)絡(luò)診斷和網(wǎng)絡(luò)攻擊,從流量上是沒有差異的。  

七、防火墻的安全性與多功能成反比。多功能與防火墻的安全原則是背道而馳的。因此,除非確信需要某些功能,否則,應(yīng)該功能最小化。  

八、防火墻的安全性和速度成反比。防火墻的安全性是建立在對數(shù)據(jù)的檢查之上,檢查越細(xì)越安全,但檢查越細(xì)速度越慢。  

九、防火墻的多功能與速度成反比。防火墻的功能越多,對CPU和內(nèi)存的消耗越大,功能越多,檢查的越多,速度越慢。  

十、防火墻無法保證準(zhǔn)許服務(wù)的安全性。防火墻準(zhǔn)許某項(xiàng)服務(wù),卻不能保證該服務(wù)的安全性。準(zhǔn)許服務(wù)的安全性問題必須由應(yīng)用安全來解決。  

市場需要新一代防火墻  

在計(jì)算機(jī)網(wǎng)絡(luò)日益普及的今天,市場需要新一代防火墻來改變目前的不安全局面。  

新一代防火墻定位于解決以下問題:1.協(xié)議的安全性問題;2.病毒產(chǎn)生的攻擊的問題;3.可信與不可信的問題;4.防火墻自身的安全性問題等。  

隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,像物理隔離網(wǎng)閘(GAP)、防泄密系統(tǒng)(Anti-Disclosure)、防病毒網(wǎng)關(guān)(Anti-Virus Gateway)、抗攻擊網(wǎng)關(guān)(Anti-DDOS Gateway)、入侵檢測防御(IDP)等技術(shù),大大彌補(bǔ)了防火墻技術(shù)的不足,從而構(gòu)成了更加安全的網(wǎng)絡(luò)防御體系。  

你是不是疲于防范黑客?現(xiàn)在你應(yīng)該采取攻勢了。至少這是所謂的蜜罐(honeypot)蘊(yùn)含的思想。蜜罐是指目的在于吸引攻擊者、然后記錄下一舉一動的計(jì)算機(jī)系統(tǒng)。  


蜜罐技術(shù)的實(shí)現(xiàn)  

蜜罐好比是情報(bào)收集系統(tǒng)。蜜罐好像是故意讓人攻擊的目標(biāo),引誘黑客前來攻擊。所以攻擊者入侵后,你就可以知道他是如何得逞的,隨時(shí)了解針對貴公司服務(wù)器發(fā)動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系,收集黑客所用的種種工具,并且掌握他們的社交網(wǎng)絡(luò)。  

設(shè)置蜜罐并不難,只要在外部因特網(wǎng)上有一臺計(jì)算機(jī)運(yùn)行沒有打上補(bǔ)丁的微軟Windows或者Red Hat Linux即行。因?yàn)楹诳涂赡軙O(shè)陷阱,以獲取計(jì)算機(jī)的日志和審查功能,你就要在計(jì)算機(jī)和因特網(wǎng)連接之間安置一套網(wǎng)絡(luò)監(jiān)控系統(tǒng),以便悄悄記錄下進(jìn)出計(jì)算機(jī)的所有流量。然后只要坐下來,等待攻擊者自投羅網(wǎng)。  

不過,設(shè)置蜜罐并不是說沒有風(fēng)險(xiǎn)。這是因?yàn)椋蟛糠职踩獾轿<暗南到y(tǒng)會被黑客用來攻擊其它系統(tǒng)。這就是下游責(zé)任(downstream liability),由此引出了蜜網(wǎng)(honeynet)這一話題。  

蜜網(wǎng)是指另外采用了技術(shù)的蜜罐,從而以合理方式記錄下黑客的行動,同時(shí)盡量減小或排除對因特網(wǎng)上其它系統(tǒng)造成的風(fēng)險(xiǎn)。建立在反向防火墻后面的蜜罐就是一個(gè)例子。防火墻的目的不是防止入站連接,而是防止蜜罐建立出站連接。不過,雖然這種方法使蜜罐不會破壞其它系統(tǒng),但同時(shí)很容易被黑客發(fā)現(xiàn)。  

數(shù)據(jù)收集是設(shè)置蜜罐的另一項(xiàng)技術(shù)挑戰(zhàn)。蜜罐監(jiān)控者只要記錄下進(jìn)出系統(tǒng)的每個(gè)數(shù)據(jù)包,就能夠?qū)诳偷乃魉鶠橐磺宥?。蜜罐本身上面的日志文件也是很好的?shù)據(jù)來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份。(務(wù)必同時(shí)監(jiān)控日志服務(wù)器。如果攻擊者用新手法闖入了服務(wù)器,那么蜜罐無疑會證明其價(jià)值。)  

近年來,由于黑帽子群體越來越多地使用加密技術(shù),數(shù)據(jù)收集任務(wù)的難度大大增強(qiáng)。如今,他們接受了眾多計(jì)算機(jī)安全專業(yè)人士的建議,改而采用SSH等密碼協(xié)議,確保網(wǎng)絡(luò)監(jiān)控對自己的通訊無能為力。蜜網(wǎng)對付密碼的計(jì)算就是修改目標(biāo)計(jì)算機(jī)的操作系統(tǒng),以便所有敲入的字符、傳輸?shù)奈募捌渌畔⒍加涗浀搅硪粋€(gè)監(jiān)控系統(tǒng)的日志里面。因?yàn)楣粽呖赡軙l(fā)現(xiàn)這類日志,蜜網(wǎng)計(jì)劃采用了一種隱蔽技術(shù)。譬如說,把敲入字符隱藏到NetBIOS廣播數(shù)據(jù)包里面。  


蜜罐技術(shù)的優(yōu)勢  

蜜罐系統(tǒng)的優(yōu)點(diǎn)之一就是它們大大減少了所要分析的數(shù)據(jù)。對于通常的網(wǎng)站或郵件服務(wù)器,攻擊流量通常會被合法流量所淹沒。而蜜罐進(jìn)出的數(shù)據(jù)大部分是攻擊流量。因而,瀏覽數(shù)據(jù)、查明攻擊者的實(shí)際行為也就容易多了。  

自1999年啟動以來,蜜網(wǎng)計(jì)劃已經(jīng)收集到了大量信息,你可以在www.honeynet.org上找到。部分發(fā)現(xiàn)結(jié)果包括:攻擊率在過去一年增加了一倍;攻擊者越來越多地使用能夠堵住漏洞的自動點(diǎn)擊工具(如果發(fā)現(xiàn)新漏洞,工具很容易更新);盡管虛張聲勢,但很少有黑客采用新的攻擊手法。  

蜜罐主要是一種研究工具,但同樣有著真正的商業(yè)應(yīng)用。把蜜罐設(shè)置在與公司的Web或郵件服務(wù)器相鄰的IP地址上,你就可以了解它所遭受到的攻擊。  

當(dāng)然,蜜罐和蜜網(wǎng)不是什么“射后不理”(fire and forget)的安全設(shè)備。據(jù)蜜網(wǎng)計(jì)劃聲稱,要真正弄清楚攻擊者在短短30分鐘內(nèi)造成的破壞,通常需要分析30到40個(gè)小時(shí)。系統(tǒng)還需要認(rèn)真維護(hù)及測試。有了蜜罐,你要不斷與黑客斗智斗勇??梢赃@么說:你選擇的是戰(zhàn)場,而對手選擇的是較量時(shí)機(jī)。因而,你必須時(shí)時(shí)保持警惕。  

蜜罐領(lǐng)域最讓人興奮的發(fā)展成果之一就是出現(xiàn)了虛擬蜜網(wǎng)。虛擬計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行在使用VMware或User-Mode Linux等虛擬計(jì)算機(jī)系統(tǒng)的單一機(jī)器之上。虛擬系統(tǒng)使你可以在單一主機(jī)系統(tǒng)上運(yùn)行幾臺虛擬計(jì)算機(jī)(通常是4到10臺)。虛擬蜜網(wǎng)大大降低了成本、機(jī)器占用空間以及管理蜜罐的難度。此外,虛擬系統(tǒng)通常支持“懸掛”和“恢復(fù)”功能,這樣你就可以凍結(jié)安全受危及的計(jì)算機(jī),分析攻擊方法,然后打開TCP/IP連接及系統(tǒng)上面的其它服務(wù)。  

對大組織的首席安全官(CSO)來說,運(yùn)行蜜網(wǎng)最充分的理由之一就是可以發(fā)現(xiàn)內(nèi)部不懷好意的人。  
蜜罐技術(shù)的法律問題  
出乎意料的是,監(jiān)控蜜罐也要承擔(dān)相應(yīng)的法律后果,譬如說,有可能違反《反竊聽法》。雖然目前沒有判例法,但熟悉這方面法律的人士大多數(shù)認(rèn)為,雙方同意的標(biāo)語是出路所在。也就是說,給每個(gè)蜜罐打上這樣的標(biāo)語:“使用該系統(tǒng)的任何人同意自己的行為受到監(jiān)控,并透露給其他人,包括執(zhí)法人員。” 

相關(guān)文章

最新評論