SDSC安全技術(shù)部門(mén)的計(jì)算機(jī)安全經(jīng)理Abe Singer在6月1日舉行的2006年USENIX年度技術(shù)會(huì)議上介紹了該公司如何不使用防火墻保證牢固的安全的做法。他還制作了一個(gè)關(guān)于這個(gè)主題的演示文件。

Singer說(shuō)，防火墻有一個(gè)“可怕的真相”:防火墻有性能問(wèn)題、容易因?yàn)橐贿B串的故障而受到攻擊、修改網(wǎng)絡(luò)一個(gè)地方的規(guī)則能夠在網(wǎng)絡(luò)的另一個(gè)地方造成安全漏洞。他說(shuō)，IT專業(yè)人員做過(guò)一個(gè)例行性的防火墻試驗(yàn)，發(fā)現(xiàn)有若干窗口是敞開(kāi)的。但是，所有問(wèn)題中最大的問(wèn)題就是防火墻內(nèi)部的人是不能信賴的。

Singer說(shuō)，防火墻不能保護(hù)你防止你的公司內(nèi)部的人做什么。如果我要偷竊一個(gè)銀行，我不會(huì)設(shè)法穿過(guò)它們的防火墻。我將在銀行的郵件中心找一個(gè)工作。

有些人會(huì)問(wèn)，SDSC為什么不使用防火墻再增加一層安全防御。原因之一就是現(xiàn)有的安全基礎(chǔ)設(shè)施沒(méi)有防火墻已經(jīng)工作得足夠好了。防火墻在一個(gè)需要開(kāi)放的環(huán)境中引起的麻煩超過(guò)了它存在的價(jià)值。超級(jí)計(jì)算機(jī)資源是用來(lái)進(jìn)行科學(xué)研究的，通常需要使用沒(méi)有封閉的端口。

允許通信從每一個(gè)端口通過(guò)的防火墻不能提供任何保護(hù)作用，而不允許通信經(jīng)過(guò)某些端口的防火墻只能起到防御外部攻擊的作用，僅此而已。防火墻必須要允許一些通信經(jīng)過(guò)，如果接收防火墻后面的通信的機(jī)器存在安全漏洞，這個(gè)機(jī)器也會(huì)被黑客攻破。

六年僅發(fā)生一次攻擊

SDSC在將近六年的時(shí)間里僅發(fā)生了一次安全事件。這對(duì)于一個(gè)擁有數(shù)千臺(tái)計(jì)算機(jī)和在全球范圍內(nèi)有6000多用戶的一個(gè)機(jī)構(gòu)來(lái)說(shuō)是一個(gè)很好的記錄。在這6000多用戶中，只有大約300個(gè)用戶是在公司所在地辦公的，其余用戶都在全球各地的研究機(jī)構(gòu)。

該公司最近發(fā)生的一次安全突破事件是在兩年前。當(dāng)時(shí)，一位16歲的黑客使用一臺(tái)劫持的計(jì)算機(jī)中的軟件嗅探出口令和其它登錄數(shù)據(jù)。后來(lái)，這臺(tái)被劫持的計(jì)算機(jī)發(fā)現(xiàn)有人登錄SDSC網(wǎng)絡(luò)，這個(gè)黑客就可以跟著登錄了。

在記錄檢查中，他被發(fā)現(xiàn)了，這個(gè)黑客在網(wǎng)絡(luò)中到處尋找可以利用的計(jì)算機(jī)。他找到了幾臺(tái)要攻破的計(jì)算機(jī)。這些計(jì)算機(jī)使用了安全補(bǔ)丁，但是沒(méi)有重新啟動(dòng)。這個(gè)事件是攻擊許多研究機(jī)構(gòu)的一次大型攻擊活動(dòng)的一部分。

Singer說(shuō)，在這種攻擊中，有沒(méi)有防火墻是一樣的。入侵者是通過(guò)一個(gè)可信賴的用戶間來(lái)的，系統(tǒng)可以識(shí)別他們的身份。防火墻也不能阻止他們。他們一旦登錄之后，他們的入侵者的行為使我們發(fā)現(xiàn)了他們。

Singer介紹說(shuō)，SDSC的安全方法減少了網(wǎng)絡(luò)被攻破之后的影響范圍，并且?guī)椭摴狙杆倩謴?fù)，比其它受到影響的機(jī)構(gòu)恢復(fù)得快。

　　不用防火墻防御的關(guān)鍵

Singer認(rèn)為縮小攻擊影響范圍的安全措施是基于主機(jī)的并且包括下列標(biāo)準(zhǔn):

·知曉計(jì)算環(huán)境;

·有一個(gè)集中的設(shè)置管理環(huán)境;

·實(shí)施定期的或者經(jīng)常的打補(bǔ)丁措施;

·保持嚴(yán)格的身份識(shí)別，包括嚴(yán)格禁止明文的口令。

大多數(shù)公開(kāi)的攻擊活動(dòng)，特別是蠕蟲(chóng)，都是利用已經(jīng)有了補(bǔ)丁的安全漏洞，有些補(bǔ)丁甚至已經(jīng)發(fā)布好幾個(gè)月或者幾年了。積極地使用補(bǔ)丁可能解決大多數(shù)公司的90%的安全問(wèn)題。

Singer說(shuō)，在SDSC環(huán)境中禁止使用明文的口令是非常重要的。這個(gè)政策規(guī)定，禁止使用明文口令的身份識(shí)別協(xié)議，否則，被攔截和重復(fù)使用其它秘密的信息就會(huì)在SDSC的可信賴的網(wǎng)絡(luò)和其它網(wǎng)絡(luò)之間傳遞。

對(duì)于有權(quán)限的訪問(wèn)，用戶必須解釋他們?yōu)槭裁葱枰L問(wèn)和簽署一個(gè)可接受的使用協(xié)議，他們的管理者也要簽署這個(gè)協(xié)議。根口令僅提供給絕對(duì)需要的地方，例如在安裝過(guò)程中需要登錄到系統(tǒng)控制臺(tái)的人。

使用明文口令的賬戶很容易被嗅探到口令的黑客攻破，例如兩年前攻破SDSC網(wǎng)絡(luò)的16歲少年。這個(gè)規(guī)定實(shí)際上可以減少壞蛋成功的機(jī)會(huì)。

不要上觀念的當(dāng)

Singer知道，有很多安全專業(yè)人員認(rèn)為他的沒(méi)有防火墻的方法是個(gè)難題。但是，他爭(zhēng)辯說(shuō)，企業(yè)太依賴防火墻了，常常到了荒謬的程度了。“防火墻對(duì)于有效的網(wǎng)絡(luò)安全是必要的”這個(gè)觀點(diǎn)太流行了，以至于人們認(rèn)為你沒(méi)有防火墻就是錯(cuò)誤的。他補(bǔ)充說(shuō)，問(wèn)題是防火墻提供了一種錯(cuò)誤的安全感。

Singer說(shuō)，我?guī)椭粋€(gè)私營(yíng)研究所制定了一個(gè)全面的安全計(jì)劃。這個(gè)安全計(jì)劃以基礎(chǔ)設(shè)施保護(hù)為重點(diǎn)。他們雇用了一個(gè)新的首席技術(shù)官。這位首席技術(shù)官通知我們說(shuō)，他要一個(gè)防火墻，因?yàn)槊慨?dāng)他與其它公司的對(duì)手討論安全問(wèn)題時(shí)，他們都對(duì)他不使用防火墻的做法表示懷疑。他感到他的名譽(yù)因此受到了傷害。

在后來(lái)召開(kāi)的員工會(huì)議上，Singer說(shuō)，那位首席技術(shù)官宣布那個(gè)機(jī)構(gòu)現(xiàn)在安全了，因?yàn)樗麄冇辛艘粋€(gè)防火墻。但是，他們并沒(méi)有安全。一些工作人員就因?yàn)榘踩珕?wèn)題找過(guò)他。

防火墻什么時(shí)候是有用的

Singer表示，雖然SDSC沒(méi)有防火墻也過(guò)得很好，但是，他認(rèn)為有些地方防火墻還是有用的。雖然大多數(shù)機(jī)構(gòu)把90%的時(shí)間和金錢(qián)都用在了防火墻上面，但是，防火墻的作用可能還不到5%。

他說(shuō)，假如你知道你要防御什么的話，防火墻能夠提供額外一層保護(hù)。有些人說(shuō)，防火墻是為沒(méi)有自我保護(hù)能力的機(jī)器使用的，如打印機(jī)和Windows計(jì)算機(jī)。

Singer承認(rèn)，SDSC在某些情況下也嘗試使用了防火墻，主要是用于允許出網(wǎng)通信，而不是入網(wǎng)通信的防火墻。他說(shuō)，防火墻能夠減少某些暴露。它提供了一個(gè)扼制點(diǎn)以便監(jiān)視和封鎖行為不軌的機(jī)器攻擊我們網(wǎng)絡(luò)中的其它機(jī)器。

但是，Singer最后認(rèn)為，他并不認(rèn)為用于基于主機(jī)安全的防火墻在過(guò)去的幾年里為SDSC提供了很好的服務(wù)。