谈网络防火墙和安全问题(2)

　　Internet防火墙的限制

　　Internet防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（图3）。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。

　　图3 绕过防火墙系统的连接

　　Internet防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上，并将其带出公司。防火墙也不能防范这样的攻击：伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。

　　Internet防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望Internet防火墙去对每一个文件进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。

　　最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。

　　黑客的工具箱

　　要描述一个典型的黑客的攻击是很，因为入侵者们的技术水平和经验差异很大，各自的动机也不尽相同。某些黑客只是为了挑战，有一些是为了给别人找麻烦，还有一些是以图利为目的而获取机密数据。

　　信息收集

　　一般来讲，突破的第一步是各种形式的信息收集。信息惧收集的目的是构造目标机构网络的数据库并收集驻留在网络上的各个主机的有关信息。黑客可以使用下面几种工具来收集这些信息：

　　· SNMP协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。

　　· TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。

　　· Whois协议是一种信息服务，能够提供有关所有DNS域和负责各个域的系统管理员数据。不过这些数据常常是过时的。

　　· DNS服务器可以访问主机的IP地址表和它们对应的主机名。

　　· Finger协议能够提供特定主机上用户们的详细信息（注册名、电话号码、最后一次注册的时间等）

　　· Ping实用程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以Ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机的清单。

　　安全弱点的探测系统

　　收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机：

　　· 由于已经知道的服务脆弱性较少，水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。

　　· 有几种公开的工具，如ISS(Internet Security Scanner, Internet安全扫描程序），SATAN(Security Analysis Tool for Auditing Networks，审计网络用的安全分析工具），可以对整个域或子网进行扫描并寻找安全上的漏洞。

　　这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁（Patches）进行升级。

　　访问受保护系统

　　入侵者使用主机探测的结果对目标系统进行攻击。获得对受保护系统的访问权后，黑客可以有多种选择：

　　· 入侵者可能试图毁掉攻击的痕迹，并在受损害的系统上建立一个新的安全漏洞或后门，以便在原始攻击被发现后可以继续访问这个系统。

　　· 入侵者可能会安全包探测器，其包括特洛伊马程序，用来窥探所在系统的活动，收集Telnet和FTP的帐户名和口令。黑客用这些信息可以将攻击扩展到其它机器。

　　· 入侵者可能会发现对受损系统有信任的主机。这样黑客就可以利用某个主机的这种弱点，并将攻击在整个机构网络上舱上展开。

　　· 如果黑客能够在受损系统上获得特权访问权限，他，或她就可以读取邮件，搜索私人文件，盗取私人文件，毁掉或毁坏重要数据。