多年以來(lái),信息安全專(zhuān)家一直把防火墻稱(chēng)作安全的重要組成部分,無(wú)論是在大型企業(yè)還是在一臺(tái)家用電腦上都是如此。但是,位于圣地亞哥的超級(jí)計(jì)算機(jī)中心(SDSC)以出人意料的成功的方法向這個(gè)邏輯提出了挑戰(zhàn)
SDSC安全技術(shù)部門(mén)的計(jì)算機(jī)安全經(jīng)理Abe Singer在6月1日舉行的2006年USENIX年度技術(shù)會(huì)議上介紹了該公司如何不使用防火墻保證牢固的安全的做法。他還制作了一個(gè)關(guān)于這個(gè)主題的演示文件。
Singer說(shuō),防火墻有一個(gè)“可怕的真相”:防火墻有性能問(wèn)題、容易因?yàn)橐贿B串的故障而受到攻擊、修改網(wǎng)絡(luò)一個(gè)地方的規(guī)則能夠在網(wǎng)絡(luò)的另一個(gè)地方造成安全漏洞。他說(shuō),IT專(zhuān)業(yè)人員做過(guò)一個(gè)例行性的防火墻試驗(yàn),發(fā)現(xiàn)有若干窗口是敞開(kāi)的。但是,所有問(wèn)題中最大的問(wèn)題就是防火墻內(nèi)部的人是不能信賴的。
Singer說(shuō),防火墻不能保護(hù)你防止你的公司內(nèi)部的人做什么。如果我要偷竊一個(gè)銀行,我不會(huì)設(shè)法穿過(guò)它們的防火墻。我將在銀行的郵件中心找一個(gè)工作。
有些人會(huì)問(wèn),SDSC為什么不使用防火墻再增加一層安全防御。原因之一就是現(xiàn)有的安全基礎(chǔ)設(shè)施沒(méi)有防火墻已經(jīng)工作得足夠好了。防火墻在一個(gè)需要開(kāi)放的環(huán)境中引起的麻煩超過(guò)了它存在的價(jià)值。超級(jí)計(jì)算機(jī)資源是用來(lái)進(jìn)行科學(xué)研究的,通常需要使用沒(méi)有封閉的端口。
允許通信從每一個(gè)端口通過(guò)的防火墻不能提供任何保護(hù)作用,而不允許通信經(jīng)過(guò)某些端口的防火墻只能起到防御外部攻擊的作用,僅此而已。防火墻必須要允許一些通信經(jīng)過(guò),如果接收防火墻后面的通信的機(jī)器存在安全漏洞,這個(gè)機(jī)器也會(huì)被黑客攻破。
六年僅發(fā)生一次攻擊
SDSC在將近六年的時(shí)間里僅發(fā)生了一次安全事件。這對(duì)于一個(gè)擁有數(shù)千臺(tái)計(jì)算機(jī)和在全球范圍內(nèi)有6000多用戶的一個(gè)機(jī)構(gòu)來(lái)說(shuō)是一個(gè)很好的記錄。在這6000多用戶中,只有大約300個(gè)用戶是在公司所在地辦公的,其余用戶都在全球各地的研究機(jī)構(gòu)。
該公司最近發(fā)生的一次安全突破事件是在兩年前。當(dāng)時(shí),一位16歲的黑客使用一臺(tái)劫持的計(jì)算機(jī)中的軟件嗅探出口令和其它登錄數(shù)據(jù)。后來(lái),這臺(tái)被劫持的計(jì)算機(jī)發(fā)現(xiàn)有人登錄SDSC網(wǎng)絡(luò),這個(gè)黑客就可以跟著登錄了。
在記錄檢查中,他被發(fā)現(xiàn)了,這個(gè)黑客在網(wǎng)絡(luò)中到處尋找可以利用的計(jì)算機(jī)。他找到了幾臺(tái)要攻破的計(jì)算機(jī)。這些計(jì)算機(jī)使用了安全補(bǔ)丁,但是沒(méi)有重新啟動(dòng)。這個(gè)事件是攻擊許多研究機(jī)構(gòu)的一次大型攻擊活動(dòng)的一部分。
Singer說(shuō),在這種攻擊中,有沒(méi)有防火墻是一樣的。入侵者是通過(guò)一個(gè)可信賴的用戶間來(lái)的,系統(tǒng)可以識(shí)別他們的身份。防火墻也不能阻止他們。他們一旦登錄之后,他們的入侵者的行為使我們發(fā)現(xiàn)了他們。
Singer介紹說(shuō),SDSC的安全方法減少了網(wǎng)絡(luò)被攻破之后的影響范圍,并且?guī)椭摴狙杆倩謴?fù),比其它受到影響的機(jī)構(gòu)恢復(fù)得快。
不用防火墻防御的關(guān)鍵
Singer認(rèn)為縮小攻擊影響范圍的安全措施是基于主機(jī)的并且包括下列標(biāo)準(zhǔn):
·知曉計(jì)算環(huán)境;
·有一個(gè)集中的設(shè)置管理環(huán)境;
·實(shí)施定期的或者經(jīng)常的打補(bǔ)丁措施;
·保持嚴(yán)格的身份識(shí)別,包括嚴(yán)格禁止明文的口令。
大多數(shù)公開(kāi)的攻擊活動(dòng),特別是蠕蟲(chóng),都是利用已經(jīng)有了補(bǔ)丁的安全漏洞,有些補(bǔ)丁甚至已經(jīng)發(fā)布好幾個(gè)月或者幾年了。積極地使用補(bǔ)丁可能解決大多數(shù)公司的90%的安全問(wèn)題。
Singer說(shuō),在SDSC環(huán)境中禁止使用明文的口令是非常重要的。這個(gè)政策規(guī)定,禁止使用明文口令的身份識(shí)別協(xié)議,否則,被攔截和重復(fù)使用其它秘密的信息就會(huì)在SDSC的可信賴的網(wǎng)絡(luò)和其它網(wǎng)絡(luò)之間傳遞。
對(duì)于有權(quán)限的訪問(wèn),用戶必須解釋他們?yōu)槭裁葱枰L問(wèn)和簽署一個(gè)可接受的使用協(xié)議,他們的管理者也要簽署這個(gè)協(xié)議。根口令僅提供給絕對(duì)需要的地方,例如在安裝過(guò)程中需要登錄到系統(tǒng)控制臺(tái)的人。
使用明文口令的賬戶很容易被嗅探到口令的黑客攻破,例如兩年前攻破SDSC網(wǎng)絡(luò)的16歲少年。這個(gè)規(guī)定實(shí)際上可以減少壞蛋成功的機(jī)會(huì)。
不要上觀念的當(dāng)
Singer知道,有很多安全專(zhuān)業(yè)人員認(rèn)為他的沒(méi)有防火墻的方法是個(gè)難題。但是,他爭(zhēng)辯說(shuō),企業(yè)太依賴防火墻了,常常到了荒謬的程度了?!胺阑饓?duì)于有效的網(wǎng)絡(luò)安全是必要的”這個(gè)觀點(diǎn)太流行了,以至于人們認(rèn)為你沒(méi)有防火墻就是錯(cuò)誤的。他補(bǔ)充說(shuō),問(wèn)題是防火墻提供了一種錯(cuò)誤的安全感。
Singer說(shuō),我?guī)椭粋€(gè)私營(yíng)研究所制定了一個(gè)全面的安全計(jì)劃。這個(gè)安全計(jì)劃以基礎(chǔ)設(shè)施保護(hù)為重點(diǎn)。他們雇用了一個(gè)新的首席技術(shù)官。這位首席技術(shù)官通知我們說(shuō),他要一個(gè)防火墻,因?yàn)槊慨?dāng)他與其它公司的對(duì)手討論安全問(wèn)題時(shí),他們都對(duì)他不使用防火墻的做法表示懷疑。他感到他的名譽(yù)因此受到了傷害。
在后來(lái)召開(kāi)的員工會(huì)議上,Singer說(shuō),那位首席技術(shù)官宣布那個(gè)機(jī)構(gòu)現(xiàn)在安全了,因?yàn)樗麄冇辛艘粋€(gè)防火墻。但是,他們并沒(méi)有安全。一些工作人員就因?yàn)榘踩珕?wèn)題找過(guò)他。
防火墻什么時(shí)候是有用的
Singer表示,雖然SDSC沒(méi)有防火墻也過(guò)得很好,但是,他認(rèn)為有些地方防火墻還是有用的。雖然大多數(shù)機(jī)構(gòu)把90%的時(shí)間和金錢(qián)都用在了防火墻上面,但是,防火墻的作用可能還不到5%。
他說(shuō),假如你知道你要防御什么的話,防火墻能夠提供額外一層保護(hù)。有些人說(shuō),防火墻是為沒(méi)有自我保護(hù)能力的機(jī)器使用的,如打印機(jī)和Windows計(jì)算機(jī)。
Singer承認(rèn),SDSC在某些情況下也嘗試使用了防火墻,主要是用于允許出網(wǎng)通信,而不是入網(wǎng)通信的防火墻。他說(shuō),防火墻能夠減少某些暴露。它提供了一個(gè)扼制點(diǎn)以便監(jiān)視和封鎖行為不軌的機(jī)器攻擊我們網(wǎng)絡(luò)中的其它機(jī)器。
但是,Singer最后認(rèn)為,他并不認(rèn)為用于基于主機(jī)安全的防火墻在過(guò)去的幾年里為SDSC提供了很好的服務(wù)。