網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 防火墻到底應該有多“厚”?(3) 木馬屠城重返Internet時代 在特洛伊戰爭中,要不是特洛依人多事將木馬拖入城內,也不會造成木馬屠城的慘劇;不過在Internet的時代,防火墻城門是不能緊閉的,在某些程度上甚至是歡迎大家光臨的;控管只是要降低與外界的接觸面,并不能完全阻隔。因此提供外界的連線存取是有必要的,而依賴防火墻的連線存取控管,是否就可以免于黑客入侵了呢? 答案是否定的。防火墻可以阻擋一些入侵行為,但是并不能完全抵擋。依連線控管級別來分析,采用Packet Filtering或Stateful Inspection控管機制的防火墻,可輕易被偽裝成正常網絡程序端口號的后門程序欺瞞!Application Layer Gateway能阻擋的入侵行為最多,包含防止身分偽冒、數據包調包以及確保協定內容的真實。但這些還是不夠,因為即使傳輸內容合乎協定標準,但是數據包內容傳遞至遠端系統后,系統的反應卻不見得是正常的。 就如同上述的例子,A書店如果是兒童書店,而收到的雜志內容卻是光怪陸離,或是色情暴力,這樣對于書店讀者來說反應是負面的,其實并不應該收下這些雜志的。但因為守衛并不負責書刊分級,他只管將東西傳送到目的地,A書店還是照單全收,書店也只好自行處理這些垃圾;有時也可能收到一大堆的垃圾雜志,堵住整間書店,以致不能正常營業! 而在Internet的環境中,各Internet Service的問題通常還更嚴重,我們稱之為“弱點(Vulnerability)”或“漏洞”,黑客可以利用Internet Service的正常傳輸指令,夾帶的卻是系統所不能接收的內容,來達到入侵系統有弱點的主機的目的。一旦入侵到內部系統后,就有機會再入侵到其他系統。 這就是一副網絡木馬屠城圖:防火墻提供內部的Web與Mail供外界存取,Internet使用者使用標準的程序或指令來達到連線的目的;黑客卻可以利用這些已開啟的通道,對內部Web Server與E-Mail Server進行破壞,且一旦破壞成功后,又轉而破壞其他Unix與NT主機。
在防火墻的保護傘后面,仍然會遭受外部入侵的行為有: 1、妨礙系統正常運作(Denial of Service),以讓所有網絡連線中斷為目的。 2、Buffer Overflow利用程序設計的疏失,異常中斷程序運作。通常會伴隨“root exploit”或“backdoor”的攻擊。 3、截取超級使用者權限(root exploit)以控制系統,并據此攻擊內部其他機器。 4、安裝后門木馬程序,供黑客隨時進入系統用,同時自動收集相關信息傳送給黑客。 特洛伊城之所以久攻不破,是它有一道堅固的城墻,不會因城墻潰敗而引來全面性的殺機;在Internet上我們也需要一道堅實的防火墻,以確保防火墻不會因被擊潰,而導致企業內部數十乃至數百臺的電腦的入侵危機。但木馬屠城卻給我們另一層的啟示:在外需要厚實的城墻抵擋,在內更須時時提高警覺,防止可疑份子的滲透破壞。 因此即使有了防火墻,也須要時時提防所有的連線是否隱藏破壞分子,也要審視系統是否脆弱地不堪黑客一擊。同時更須設法提高系統的自衛能力。如此遇到木馬時,也不至于被屠城了。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!