下载掌阅APP,畅读海量书库
立即打开
上一回讲道,“莫里斯蠕虫”利用TCP/IP协议和UNIX操作系统的多个安全漏洞,在短短12小时内席卷全网,震惊了美国社会乃至整个世界。
调查发现,贝尔实验室
(见图5-1)的300多台计算机却幸免于难,而且这些计算机跟那些遭到入侵的计算机使用的操作系统完全一样。
图5-1 贝尔实验室
那么,是什么原因,让贝尔实验室的计算机幸运地躲过了“莫里斯蠕虫”的无差别攻击呢?
关键的原因是贝尔实验室的比尔·切斯维克和他的同事们。他们在1987年就考虑到了可能出现的网络攻击,并在贝尔实验室的内部网络与外部网络之间部署了一道防火墙。到1988年“莫里斯蠕虫”爆发的时候,防火墙正好派上了用场,把“莫里斯蠕虫”传播的数据包挡在外面,让内部网络得到了保护。
说起防火墙,你可能并不会觉得陌生,很多人一提到网络安全,首先想到的就是防火墙。
但是,在那个年代,防火墙是一种全新的概念。它的出现,代表着从围绕单台计算机进行安全防护的“主机安全模型”,到围绕多台计算机组成的网络进行安全防护的“外围安全模型”的转变。
这种转变意味着什么呢?意味着安全研究人员将工作的重心,从侧重于研究计算机操作系统的安全,转移到了研究为网络上所有的计算机构建可靠的外围防御。
这样一个巨大的转变是如何产生的呢?在防火墙出现之前,各单位的系统管理员又是如何开展安全防护的呢?
最初,当计算机从单人使用发展到多人使用的时候,计算机安全研究人员很自然地将计算机系统安全防护的主要关注点放在计算机存储、处理、传输信息过程中的“保密性”上。也就是说,安全防护的主要目标是防止计算机被非法用户使用,防止计算机上的信息被非法用户窃取。
所以,在那个时候,最常用的手段是访问控制。也就是说,要想访问任何资源或数据,都必须得到授权。这样一来,计算机以及计算机上信息的保密性就得到了保护。
在这个阶段,出现了一个指导性的计算机系统安全评估标准,即美国国防科学委员会在1970年提出的 Trusted Computer System Evaluation Criteria (可信计算机系统评估准则)。后来,美国国防部公开发布了这套评估准则,因为该准则的封面是橙色的,所以业界称之为“橙皮书”。
“橙皮书”将计算机操作系统的安全性从低到高分成了4个安全等级,即D、C、B、A。规定任何一个安全操作系统,必须通过测定的安全技术来控制对信息的访问,保证只有得到授权的用户或程序才能访问信息。
之后,有厂商按照“橙皮书”的A级标准,花了极大的代价,做出了通过国防部安全认证的操作系统,但由于售价太高,根本卖不动。而最为普及的UNIX操作系统,只能达到“橙皮书”的C级标准。
在现实世界中流行的计算机系统,很难通过添加安全功能来达到理论上更高的安全等级;按照理论上较高的安全等级,又无法制造出成本低廉、使用方便的操作系统。
换句话说就是,以“橙皮书”为代表的主机安全模型在现实中并不那么受欢迎,市面上到处都是不安全的UNIX操作系统,安装了这些不安全操作系统的计算机,自然很难防范那些蓄意侵犯并拥有强大耐心和灵活手段的攻击者。事实也证明了这一点。
在1979年到1983年期间,当时只有十几岁的凯文·米特尼克,通过冒充身份打电话查询、收集线索猜测密码等一些没什么技术含量的方式,就入侵了北美防空司令部,破译了太平洋电话公司的密码,非法进入了美国国防部五角大楼的内部网络。
一个没什么技术功底的少年,竟然能如此轻而易举地入侵这么多重要机构的计算机,这让美国政府和军方很没面子。
针对类似凯文·米特尼克的这种网络入侵活动造成的恶劣影响,美国政府于1984年开始制定 Computer Fraud and Abuse Act (计算机欺诈和滥用法,CFAA)。CFAA于1986年正式成为美国第一部针对计算机犯罪的联邦法律。
值得一提的是,制定这部法律,从开始酝酿,到开始制定,再到最终推出,前前后后花了7年多。之所以如此费劲,其中一个重要原因是受害者的态度非常消极。怎么会有如此奇怪的事情呢?难道被入侵的机构不希望尽快把攻击者绳之以法吗?
原来,遭到入侵的受害者,通常都是一些非常注重声誉的大公司、大机构,这些大公司、大机构都不愿承认自己的计算机曾遭受过入侵,更不愿意提供遭受攻击的证据。
一旦这些大公司、大机构承认被人入侵的事实,那么公众就会知道,他们的系统有多么脆弱,以后再也不会放心使用他们的产品或服务了。
面对如此两难的情况,这些大公司、大机构不得不在另外一个方向上做出选择,也就是主动加强自身的计算机安全防护措施。
一家大公司或大机构可能拥有几百甚至上千台存在漏洞的计算机,如何保证所有计算机的安全呢?显然需要全新的安全防护思路,否则就会陷入一台台地修复计算机安全漏洞的泥潭。这时候,一些安全研究人员从建筑设计中的防火墙(见图5-2)得到了灵感。
图5-2 建筑设计中的防火墙
建筑设计师通过使用防火墙来阻止火势蔓延到易燃的房屋,从而保护房屋内的居民。类似地,在计算机安全领域中,也可以将防火墙放在内部网络和外部网络之间(见图5-3),为容易受到攻击的内部计算机提供安全防护。这样一来,部署了防火墙的公司就拥有了一个可靠的“外围”,不必去关注内部往来中每台计算机的安全了。不过,这样的话,一旦有防火墙被绕过或者被入侵,就失去了防护的效果,防火墙内的所有计算机就危险了。这就对网络管理员提出了很高的要求。
图5-3 防火墙的工作原理
网络管理员通常会要求出入内部网络的所有通信必须通过防火墙,并且只有网络管理员明确允许的网络流量才能通过防火墙。这种策略,我们叫做白名单策略,也就是,除非报备登记,否则一概拒绝。
还有一种叫做黑名单的策略,网络管理员会将他认为有风险的网络应用、网络传输地址、网络流量等添加到一个“禁止通行”的黑名单上,除黑名单外的网络流量一概予以放行。
那么,到底什么时候用白名单策略,什么时候用黑名单策略呢?这就需要根据不同的情况来作出选择了。
可想而知,为防火墙配置安全策略成了一项非常艰巨的任务:规则设置得太紧,会限制正常的网络访问;规则设置得太松,又可能造成风险。
网络应用千差万别,攻击手段更是千变万化,网络管理员必须时刻保持审慎而灵活的状态,不断对安全策略进行调整。实际上,要想把这件事做好,难度是非常大的。
在防火墙技术已经比较成熟的2004年,一项针对37个大型机构防火墙配置情况进行的调研发现,超过90%机构的防火墙配置存在错误。2010年的后续调研,再次发现很多机构的防火墙配置仍然存在很多问题。
尽管存在这样或那样的问题,防火墙的出现仍然是网络对抗发展历程中的一个非常重要的里程碑,它标志着网络对抗领域中防护力量的诞生。
“莫里斯蠕虫”事件后,贝尔实验室的防火墙一夜成名。而绝大多数没有防火墙的网络管理员在应对“莫里斯蠕虫”时手忙脚乱、焦头烂额。为了在类似事件再次发生时能够做出更加有效的应对,美国政府痛定思痛,决定出资在卡内基梅隆大学(Carnegie Mellon University)组建全球首个计算机应急响应小组(CERT),负责对安全事件进行处理、协调,以及提供技术支持。此后,世界各国陆续成立了类似CERT的机构。
在20世纪80年代末,以防火墙为代表的网络安全防护手段、以“橙皮书”为代表的安全评估规范、以《计算机欺诈和滥用法》为代表的法律,加上以CERT为代表的安全防护机构,共同撑起了“网络安全防护”的一片天。政府部门、科研机构、大公司和大企业,成为网络对抗中“主防”的一方。
“莫里斯蠕虫”事件在让公众了解网络攻击危害的同时,也在无形之中让一些本就心术不正的黑客“像鲨鱼闻到血腥味”一样,走上了作恶的道路。在“莫里斯蠕虫”爆发、源代码泄露之后,不断有人对“莫里斯蠕虫”的源代码进行修改,持续利用它进行恶意入侵,甚至进行敲诈勒索。
在公众的眼中,以罗伯特·塔潘·莫里斯被公开起诉定罪这件事为分水岭,“黑客”这个词进一步广为人知,但其内涵却发生了一些微妙的变化。黑客似乎是一种具有超能力的人,他们来无影去无踪,能用看不懂的“巫术”,在网络世界中达到自己的目的。这些各自为战的黑客,虽然是散兵游勇、善恶不分,但其能量不容小觑。他们成为网络对抗中“主攻”的一方。
有攻有防,乃成对抗。至此,网络对抗的格局就初步形成了。
(1)“橙皮书”将计算机操作系统的安全性从低到高分成了4个安全等级,即D、C、B、A,并且规定任何一个安全操作系统,必须通过测定的安全技术来控制对信息的访问,保证只有得到授权的用户或程序才能访问信息。
(2)美国政府于1984年开始制定《计算机欺诈和滥用法》,该法律于1986年正式签署,成为美国第一部针对计算机犯罪的联邦法律。
(3)在计算机安全领域中,防火墙被部署在内部网络和外部网络之间,为容易受到攻击的内部网络计算机提供安全防护。防火墙的出现,代表着从围绕单台计算机进行安全防护的“主机安全模型”到围绕多台计算机组成的网络进行安全防护的“外围安全模型”的转变。
(4)白名单策略指只有网络管理员明确允许的网络流量才能通过;黑名单策略指除黑名单外的所有网络流量一概予以放行。
[1]Cheswick Bill.The Design of a Secure Internet Gateway [R].New Jersey:AT&T Bell Laboratories,1990
[2]U.S.Department of Defense.Trusted Computer System Evaluation Criteria[R].Washington DC:U.S.Department of Defense,1985.
[3]徐原.国际网络安全应急响应体系介绍[J].中国信息安全,2020(3):32-35.
(1)防火墙技术原理。(CSDN)
(2)美国《计算机欺诈和滥用法》评述。(知乎)
1.单选题
防火墙代表了从主机安全模型到( )的范式转变。
(A)内生安全模型
(B)外围安全模型
(C)主动安全模型
(D)零信任安全模型
2.判断题
为了确保网络安全,系统设计人员会让防火墙尽可能配置更多策略。( )
3.判断题
只有管理员明确允许的网络流量才会被允许通过防火墙,这是一种“默认拒绝”的白名单方法。( )
4.单选题
为了确保计算机在存储、处理和传输信息过程中的“保密性”,最常用的防护手段是( )
(A)渗透测试
(B)入侵检测
(C)访问控制
(D)信息隐藏