總結(jié)：解讀九大網(wǎng)絡(luò)安全失誤

1、總結(jié)：解讀九大網(wǎng)絡(luò)安全失誤來源：開發(fā)界 在我們的職業(yè)生涯中大都曾經(jīng)有過一次這樣的經(jīng)歷我是說你認(rèn)為足以讓你丟掉飯碗的失誤。我的第一次重大失誤是曾經(jīng)重啟了校園里的所有路由器，不是一個接一個的，而是所有一次完成。我寫了一個腳本，為所有的路由器安裝一個安全更新，然后依次重啟這些路由器至少我是這樣想的。事實(shí)上我的腳本有誤，遺漏了路由器之間的等待時間。 當(dāng)時我認(rèn)為自己肯定要被解雇了，但是謝天謝地，我沒有。有些重大的事故，最后往往都為我們的學(xué)習(xí)提供重要幫助。我們都或多或少的知道些危機(jī)管理，所有的東西都可以從在線備份中恢復(fù)過來，我的老板花了幾個小時的時間教會我如何正確的檢測網(wǎng)絡(luò)是否正常運(yùn)行。 好消息是大部分的

2、時間，我們所犯的錯誤并沒有這么嚴(yán)重，而壞消息是很多失誤并不會當(dāng)時就表現(xiàn)出來。也就是說，這種失誤會一直遺留而不能被發(fā)現(xiàn)，有可能是幾個星期，也有可能是幾個月或者幾年，直到有一天它們引發(fā)了嚴(yán)重的中斷事故，或者被審計(jì)人員發(fā)現(xiàn)來傳喚我們。在網(wǎng)絡(luò)安全一線，防火墻管理是這樣一個行當(dāng)對規(guī)則和配置文件進(jìn)行更改時，一個小小的錯誤可能給你帶來巨大的后患。以下是一些常犯的失誤： 一、創(chuàng)建毫無意義的防火墻組 一名防火墻管理員在把設(shè)備加入到網(wǎng)絡(luò)中時，擁有超過一半的規(guī)則權(quán)限。后來這便用一個球星的名字來命名，我們稱之為Joe_Montana。出論任何時候，管理員需要某臺設(shè)備加入到網(wǎng)絡(luò)中，他們就把這臺設(shè)備的IP地址添加到他們常

3、用的、擁有許多授權(quán)的規(guī)則當(dāng)中去，添加到這樣的組里。最后，這些規(guī)則庫讓審計(jì)員看起來可能是沒問題的，因?yàn)檫@里面沒有“任意”這樣的規(guī)則，但是事實(shí)上卻埋下了許多的防火墻漏洞。防火墻規(guī)則變得毫無意義，如果一旦被審計(jì)整改，清理這些規(guī)則庫的活是費(fèi)力不討好的任務(wù)，需要很多個月的時間來解決規(guī)則庫問題,以安全、適當(dāng)?shù)赜成涞綐I(yè)務(wù)需求。 二、從不升級你的防火墻軟件 有數(shù)量驚人的組織使用過時的防火墻軟件。當(dāng)被問及原因時,得到的往往是非常類似的幾個回復(fù)“我們要保持版本的穩(wěn)定性”或者“防火墻不能撤下進(jìn)行升級”等等。事實(shí)上,防火墻廠商升級自己的軟件是有原因的。你不需要安裝最新發(fā)布的防火墻版本，但如果您正在運(yùn)行一個已經(jīng)過時15

4、或20個版本的軟件，或者已經(jīng)7、8年沒有更新版本,那么請立即停止抱怨,開始更新! 三、使用錯誤的技術(shù) 我們都聽過的把方形釘砸進(jìn)圓洞的說法,在防火墻行業(yè)里也有這么一說。一個網(wǎng)絡(luò)安全管理員激烈的和他們的審計(jì)員爭論,因?yàn)樗麄冇幸粋€防火墻布置在安全WEB服務(wù)器的前面,這樣就構(gòu)成了一個雙重身份驗(yàn)證：一個密碼和一個防火墻。這家伙的創(chuàng)造力可以打A,但是防火墻(本身)不是一個雙重身份驗(yàn)證解決方案。雙重身份認(rèn)證需要您的用戶有一個令牌和密碼。 四、意外宕機(jī)事件 我聽過這樣一個意外宕機(jī)事件,防火墻管理員正在收集一些防火墻數(shù)據(jù)。管理員無意中碰到桌子上的鼠標(biāo),而此時的鼠標(biāo)正懸停在開始菜單上。如同命中注定一樣,鼠標(biāo)令人難

5、以置信的激活了開始菜單,并且恰好懸停在“關(guān)閉”菜單項(xiàng)上。是的,就這樣那個金融公司的人看著他們的防火墻就這樣被關(guān)閉了。 五、創(chuàng)建糟糕的防火墻配置文檔 你經(jīng)常會聽到有些防火墻管理員忙的焦頭爛額，試圖了解到底他們之前所做的防火墻規(guī)則是用來干什么的。圖得一時省事(馬虎創(chuàng)建防火墻文檔)讓自己以后變得繁忙，還是花時間來創(chuàng)建合理的防火墻文檔？馬虎對待防火墻文檔等于給自己創(chuàng)建一個定時炸彈。調(diào)查一些參與管理防火墻的管理員，常常會聽到這樣的抱怨“現(xiàn)在我害怕調(diào)整我的防火墻,所有的高級管理人員已經(jīng)離開,而我們不知道那些防火墻文檔，里面那些大多數(shù)的名字的意思，或這些規(guī)則是用來做什么的?！?六、使用過度授權(quán)和過多忽略 通

6、常,當(dāng)我們在匆忙中,經(jīng)常創(chuàng)建一些授權(quán)過度的防火墻規(guī)則,并在規(guī)則中忽略那些我們不需要的訪問。我們這樣做是因?yàn)槲覀儾幌牖〞r間去研究如何編寫正確的防火墻規(guī)則。例如:“允許所有因特網(wǎng)設(shè)備訪問DMZ設(shè)備的請求”，然后再來一個該規(guī)則的補(bǔ)充“安全網(wǎng)絡(luò)設(shè)備忽略所有DMZ設(shè)備”。這兩個規(guī)則看起來還行,但實(shí)際上它是一個非常蹩腳的方法，因?yàn)槲覀儧]有寫出來業(yè)務(wù)需求的首要規(guī)則。隨著時間的推移，當(dāng)我們這種不負(fù)責(zé)的規(guī)則增多，我們的規(guī)則庫就會出現(xiàn)很多互相抵觸的規(guī)則，重新排序或編輯規(guī)則庫有可能會暴露更多的風(fēng)險甚至于阻止必要網(wǎng)絡(luò)需求。不管怎樣,我們已經(jīng)把防火墻弄得一團(tuán)糟,到某種程度，可能必須重寫這些規(guī)則。 七、請勿使用路由作為您

7、的安全策略 我見到很多這樣的防火墻，他們的規(guī)則庫在做出修正時，需要路由器相應(yīng)做出改變，以適應(yīng)新的防火墻規(guī)則。或許這是可以理解的當(dāng)處在防火墻之內(nèi)的網(wǎng)絡(luò)，需要重新組建時，但事實(shí)往往是網(wǎng)絡(luò)并沒有發(fā)生變化，只是防火墻需要作出變化。有兩種類似這種“綁架”路由器的錯誤,在工作中經(jīng)常發(fā)生。 第一種情況，是防火墻沒有默認(rèn)路由。每條路由線路都被手動添加到防火墻,而且，往往使用最小的子網(wǎng)掩碼，許多不在計(jì)劃之內(nèi)的設(shè)備，在將來如果不設(shè)置防火墻策略就會受到阻礙，無法通過路由。這聽起來很棒,貌似更加安全，但它是完全不必要的如果你刪除這條防火墻策略，那么該策略將會恢復(fù)成“忽略所有”。 這個設(shè)計(jì)將會使防火墻變得難以管理，之后

8、的防火墻團(tuán)隊(duì)將會害怕做出改變，因?yàn)檫@將會牽扯到很多東西。每個策略更改都需要一個工程師來檢查路由,因此每一個防火墻策略更改花費(fèi)的時間太長,大大影響了網(wǎng)絡(luò)維修任務(wù)，所以，這是沒有實(shí)際價值的增加安全性。 這種錯誤看法還有一種情況，在思科設(shè)備管理員群體中最常出現(xiàn)，比方說管理員需要建立一個訪問控制列表,這個控制列表包括兩個設(shè)備之間的任何源地址或目標(biāo)地址。他們的本意實(shí)際上是指兩個設(shè)備之間中的所有地址,而并非在任何的時候。但是管理員太懶了，他們不想花力氣輸入地址。這樣，只有知道連接防火墻的路由表，才能知道這條防火墻策略實(shí)際的內(nèi)涵。這些是需要管理員記在腦子里的，對一個初級防火墻管理員來說，這太難接管這個防火墻

9、了。 八、使用路由器DNS對象作為防火墻策略對象 很多防火墻提供這么一個功能選項(xiàng)，允許管理員插入一個DNS對象作為源或目標(biāo)地址，比方說。這聽起來不錯,因?yàn)榭梢宰饔糜谶@么多的IP地址,這樣即使的ip地址發(fā)生改變的時候，我的防火墻,也還是可以作用于該域名下的地址。這種錯誤做法，會導(dǎo)致許多風(fēng)險，大多數(shù)組織應(yīng)該考慮不要使用這種做法。 首先防火墻現(xiàn)在很容易受到拒絕服務(wù)攻擊，你能想象防火墻不能解析域名時會發(fā)生什么嗎？第二個，在為所有的數(shù)據(jù)包做DNS解析時，防火墻需要查找每個數(shù)據(jù)包，以試圖決定該數(shù)據(jù)包是否屬于時，會極大的浪費(fèi)CPU、內(nèi)存和網(wǎng)絡(luò)IO。第三,如果你的DNS服務(wù)器中毒，你的防火墻將允許所有的僵尸網(wǎng)絡(luò)命令通過，并記錄它作為正常域名。 九、在危急時刻盲目修改設(shè)備配置 假設(shè)某些東西出錯，或者你的RAID磁盤中有壞磁盤。你替換掉故障磁盤重新組建RAID，但是RAID服務(wù)效率還是下降,而你沒有意識問題出在RAID本身。而此時,你的客戶40小時都不能得到服務(wù),每一分鐘你都在損失大把大把的錢,更不用說客戶會離開你的網(wǎng)站，轉(zhuǎn)投到對手網(wǎng)站那里尋找服務(wù)。 你為此而焦慮并開始改變配置:交換機(jī)、路由器、負(fù)載平衡器和防火墻任何可能會引起問題的設(shè)備都在你的懷疑之列。24小時后,又經(jīng)過另一個無眠之夜和許多小時昂貴的咨詢,你終于找出問題的真正原因。現(xiàn)在你想要恢復(fù)所有你所做的更改，包括交換機(jī)、路由器、負(fù)載平衡器,