《網路安全體系結構》一1.4一切皆為目標
本節書摘來自非同步社群《網路安全體系結構》一書中的第1章,第1.4節,作者【美】Sean Convery,更多章節內容可以訪問雲棲社群“非同步社群”公眾號檢視
1.4 一切皆為目標
網路安全體系結構
當前的大型網路存在著驚人的相互依賴性,作為一名網路安全設計師,對這一點必須心知肚明。Internet就是最好的例子,而且每個組織機構內都的網路其實都是Internet的一個縮影。從攻擊者的觀點看,它們之間的相互依賴性讓攻擊者能夠以無窮無盡的方法來達到目的。
舉例來說,我們假設有一位攻擊者想讓你的Web站點停止服務,那麼他/她可以採取的方式有下面這些。
找到你係統中的應用程式或作業系統漏洞,攻擊它獲得root許可權,隨後輕鬆地讓伺服器離線或修改伺服器的內容。
向你的Web伺服器傳送某些型別的直接拒絕服務的攻擊(Denial of Service,DoS),比如旨在耗盡伺服器資源使其無法響應的TCP SYN泛洪攻擊。
向你的Internet連線傳送旨在耗盡所有可用頻寬的DDoS攻擊,以此阻止合法使用者訪問伺服器。
向路由器或防火牆傳送偽造的資料包,以佔據它們處理合法流量的資源來處理無用的資料。
設法控制你的域名系統(Domain Name System,DNS)伺服器或Internet服務提供商(Internet Service Provider,ISP)的DNS伺服器,更改名稱記錄使其指向一臺偽裝的伺服器。
設法控制一臺與該Web伺服器處於同一子網的伺服器,執行地址解析協議(Address Resolution Protocol,ARP)欺騙攻擊,以拒絕所有Web請求服務或通過中間人(man-in-the-middle,MITM)攻擊在請求的資料前往目的主機時修改其內容。
設法控制該伺服器連線的上游交換機,並禁用相應的埠。
新增或修改該伺服器的ISP的路由選擇資訊,使對這臺伺服器的IP子網查詢被定向到另一個位置。
攻擊者能夠採取的攻擊方法可以無限地羅列下去。在前面的示例中,攻擊者有幾個目標可供選擇,如下所示。
應用程式與作業系統的程式碼安全。
應用程式與作業系統的拒絕服務攻擊。
Internet頻寬。
路由器或其他第3層(Layer 3,L3)裝置。
DNS重定向。
TCP/IP協議集。
二層(Layer 2,L2)裝置。
路由選擇協議。
你總結出一個包含了所有型別聯網裝置的列表,這些裝置有可能位於這個世界上的任何一個角落,比如:終端工作站、伺服器、無線LAN接入點(Wireless LAN Access Point,WLAN AP)、路由器、作業系統、交換機、防火牆、網路介質、應用程式、負載均衡器、個人數字助理(Personal Digital Assistant,PDA)、蜂窩電話等。一切皆為目標。
在部署安全策略時,人人往往過分關注對伺服器的保護,而沒有把足夠的精力花費在保護網路的其他部分上。雖然與Internet連線的伺服器(例如Web伺服器的例子)毫無疑問是最明顯的目標之一,但是隻注重保護這些系統會讓你的設計在其他許多地方存在漏洞。想想看,下面哪種攻擊對你的企業損害更大?
(1)Web站點遭到了不良資料的醜化,這事成了世界上的新聞頭條。
(2)一位內部員工獲得了你的CEO郵件,隨後他知曉了還沒有公開的採購計劃。通過闖入你的語音郵件系統獲得進一步細節後,員工從該資訊中獲利(包括該員工的合作者),你的公司在一個月後由於內部交易受到調查。
第2點明顯對公司具有最大的影響。另外,對伺服器的如此擔心說明你認為那是最關鍵的資源所在之處。但是在當今移動辦公、行動式電腦大行其道的背景下,這些裝置也可以像伺服器那樣包含重要的組織機構資訊。此外,攻擊者通常更容易控制行動式電腦。如果你能靜下來,仔細思考一下攻擊者都能通過什麼方式進入網路,你一定會得到一個可怕的結論。然而,作為一名安全設計師,你必須考慮到保護組織機構中每個系統的方法,因為攻擊者只會設法尋找那些留有漏洞的地方。你會在第2章中看到,好的安全策略可以讓你把心思放在那些值得花費心思的地方。
相關文章
- 《網路安全體系結構》一1.5一切皆為武器
- 一切皆為 JavaScriptJavaScript
- 《網路安全體系結構》一2.1網路安全千金難買
- 《網路安全原理與實踐》一1.8網路安全體系結構的部署
- 《網路安全體系結構》一2.5參考資料
- 數學體系 『一切知識皆為歷史』 MIT 強人解說數學體系MIT
- 網路管理體系結構
- 《網路安全體系結構》一1.12應用知識問題
- python:一切皆物件Python物件
- 《網路安全體系結構》一1.8不要通過隱匿來提高系統的安全性
- 一切皆按值傳遞
- 什麼是網路安全?網路安全體系分為哪些層次?
- 計算機網路體系結構計算機網路
- 『網際網路架構』軟體架構-mybatis體系結構(14)架構MyBatis
- 網路安全體系
- 制定網路安全計劃目標,比方說先……
- Android技能樹 — 網路小結(1)之網路體系結構Android
- 一切領先皆為序章,看AI產業融合新浪潮AI產業
- 408-計算機網路-網路體系結構計算機網路
- [譯] 在 UNIX 中,一切皆檔案
- 智慧安全3.0引領,構建工業網際網路安全保障體系
- 計算機網路體系結構劃分計算機網路
- SQL 程式設計思想:一切皆關係SQL程式設計
- 網路安全標準體系啟動個人資訊保護等標準先行
- 新一代IP為網路安全設定高標杆
- Ajax ext 的根目錄體系結構
- 架構之路(一):目標架構
- 網際網路大會為構建全球網路治理體系提供契機
- 指標體系與樹型結構指標
- Python學習筆記5——一切皆物件Python筆記物件
- 王恩東:智慧未來,一切皆計算
- MySQL 一 體系結構MySql
- [Virtualization]ESXi體系結構與記憶體管理(一)體系結構記憶體
- 新基建時代,如何構建工業網際網路資料安全體系?
- 網路安全漏洞百出你會成為黑客敲詐的目標嗎?黑客
- OSI網路體系結構及其各層主要協議協議
- 系統目錄結構
- 一切皆元件的Flutter,安能辨我是雄雌元件Flutter