多年以來,信息安全專家一直把防火墻稱作安全的重要組成部分,無論是在大型企業還是在一臺家用電腦上都是如此。但是,位于圣地亞哥的超級計算機中心(SDSC)以出人意料的成功的方法向這個邏輯提出了挑戰
SDSC安全技術部門的計算機安全經理Abe Singer在6月1日舉行的2006年USENIX年度技術會議上介紹了該公司如何不使用防火墻保證牢固的安全的做法。他還制作了一個關于這個主題的演示文件。
Singer說,防火墻有一個“可怕的真相”:防火墻有性能問題、容易因為一連串的故障而受到攻擊、修改網絡一個地方的規則能夠在網絡的另一個地方造成安全漏洞。他說,IT專業人員做過一個例行性的防火墻試驗,發現有若干窗口是敞開的。但是,所有問題中最大的問題就是防火墻內部的人是不能信賴的。
Singer說,防火墻不能保護你防止你的公司內部的人做什么。如果我要偷竊一個銀行,我不會設法穿過它們的防火墻。我將在銀行的郵件中心找一個工作。
有些人會問,SDSC為什么不使用防火墻再增加一層安全防御。原因之一就是現有的安全基礎設施沒有防火墻已經工作得足夠好了。防火墻在一個需要開放的環境中引起的麻煩超過了它存在的價值。超級計算機資源是用來進行科學研究的,通常需要使用沒有封閉的端口。
允許通信從每一個端口通過的防火墻不能提供任何保護作用,而不允許通信經過某些端口的防火墻只能起到防御外部攻擊的作用,僅此而已。防火墻必須要允許一些通信經過,如果接收防火墻后面的通信的機器存在安全漏洞,這個機器也會被黑客攻破。
六年僅發生一次攻擊
SDSC在將近六年的時間里僅發生了一次安全事件。這對于一個擁有數千臺計算機和在全球范圍內有6000多用戶的一個機構來說是一個很好的記錄。在這6000多用戶中,只有大約300個用戶是在公司所在地辦公的,其余用戶都在全球各地的研究機構。
該公司最近發生的一次安全突破事件是在兩年前。當時,一位16歲的黑客使用一臺劫持的計算機中的軟件嗅探出口令和其它登錄數據。后來,這臺被劫持的計算機發現有人登錄SDSC網絡,這個黑客就可以跟著登錄了。
在記錄檢查中,他被發現了,這個黑客在網絡中到處尋找可以利用的計算機。他找到了幾臺要攻破的計算機。這些計算機使用了安全補丁,但是沒有重新啟動。這個事件是攻擊許多研究機構的一次大型攻擊活動的一部分。
Singer說,在這種攻擊中,有沒有防火墻是一樣的。入侵者是通過一個可信賴的用戶間來的,系統可以識別他們的身份。防火墻也不能阻止他們。他們一旦登錄之后,他們的入侵者的行為使我們發現了他們。
Singer介紹說,SDSC的安全方法減少了網絡被攻破之后的影響范圍,并且幫助該公司迅速恢復,比其它受到影響的機構恢復得快。
不用防火墻防御的關鍵
Singer認為縮小攻擊影響范圍的安全措施是基于主機的并且包括下列標準:
·知曉計算環境;
·有一個集中的設置管理環境;
·實施定期的或者經常的打補丁措施;
·保持嚴格的身份識別,包括嚴格禁止明文的口令。
大多數公開的攻擊活動,特別是蠕蟲,都是利用已經有了補丁的安全漏洞,有些補丁甚至已經發布好幾個月或者幾年了。積極地使用補丁可能解決大多數公司的90%的安全問題。
Singer說,在SDSC環境中禁止使用明文的口令是非常重要的。這個政策規定,禁止使用明文口令的身份識別協議,否則,被攔截和重復使用其它秘密的信息就會在SDSC的可信賴的網絡和其它網絡之間傳遞。
對于有權限的訪問,用戶必須解釋他們為什么需要訪問和簽署一個可接受的使用協議,他們的管理者也要簽署這個協議。根口令僅提供給絕對需要的地方,例如在安裝過程中需要登錄到系統控制臺的人。
使用明文口令的賬戶很容易被嗅探到口令的黑客攻破,例如兩年前攻破SDSC網絡的16歲少年。這個規定實際上可以減少壞蛋成功的機會。
不要上觀念的當
Singer知道,有很多安全專業人員認為他的沒有防火墻的方法是個難題。但是,他爭辯說,企業太依賴防火墻了,常常到了荒謬的程度了。“防火墻對于有效的網絡安全是必要的”這個觀點太流行了,以至于人們認為你沒有防火墻就是錯誤的。他補充說,問題是防火墻提供了一種錯誤的安全感。
Singer說,我幫助一個私營研究所制定了一個全面的安全計劃。這個安全計劃以基礎設施保護為重點。他們雇用了一個新的首席技術官。這位首席技術官通知我們說,他要一個防火墻,因為每當他與其它公司的對手討論安全問題時,他們都對他不使用防火墻的做法表示懷疑。他感到他的名譽因此受到了傷害。
在后來召開的員工會議上,Singer說,那位首席技術官宣布那個機構現在安全了,因為他們有了一個防火墻。但是,他們并沒有安全。一些工作人員就因為安全問題找過他。
防火墻什么時候是有用的
Singer表示,雖然SDSC沒有防火墻也過得很好,但是,他認為有些地方防火墻還是有用的。雖然大多數機構把90%的時間和金錢都用在了防火墻上面,但是,防火墻的作用可能還不到5%。
他說,假如你知道你要防御什么的話,防火墻能夠提供額外一層保護。有些人說,防火墻是為沒有自我保護能力的機器使用的,如打印機和Windows計算機。
Singer承認,SDSC在某些情況下也嘗試使用了防火墻,主要是用于允許出網通信,而不是入網通信的防火墻。他說,防火墻能夠減少某些暴露。它提供了一個扼制點以便監視和封鎖行為不軌的機器攻擊我們網絡中的其它機器。
但是,Singer最后認為,他并不認為用于基于主機安全的防火墻在過去的幾年里為SDSC提供了很好的服務。
