《網路安全體系結構》一1.4一切皆為目標

本節書摘來自非同步社群《網路安全體系結構》一書中的第1章，第1.4節，作者【美】Sean Convery，更多章節內容可以訪問雲棲社群“非同步社群”公眾號檢視

1.4 一切皆為目標

網路安全體系結構
當前的大型網路存在著驚人的相互依賴性，作為一名網路安全設計師，對這一點必須心知肚明。Internet就是最好的例子，而且每個組織機構內都的網路其實都是Internet的一個縮影。從攻擊者的觀點看，它們之間的相互依賴性讓攻擊者能夠以無窮無盡的方法來達到目的。

舉例來說，我們假設有一位攻擊者想讓你的Web站點停止服務，那麼他/她可以採取的方式有下面這些。

找到你係統中的應用程式或作業系統漏洞，攻擊它獲得root許可權，隨後輕鬆地讓伺服器離線或修改伺服器的內容。
向你的Web伺服器傳送某些型別的直接拒絕服務的攻擊（Denial of Service，DoS），比如旨在耗盡伺服器資源使其無法響應的TCP SYN泛洪攻擊。
向你的Internet連線傳送旨在耗盡所有可用頻寬的DDoS攻擊，以此阻止合法使用者訪問伺服器。
向路由器或防火牆傳送偽造的資料包，以佔據它們處理合法流量的資源來處理無用的資料。
設法控制你的域名系統（Domain Name System，DNS）伺服器或Internet服務提供商（Internet Service Provider，ISP）的DNS伺服器，更改名稱記錄使其指向一臺偽裝的伺服器。
設法控制一臺與該Web伺服器處於同一子網的伺服器，執行地址解析協議（Address Resolution Protocol，ARP）欺騙攻擊，以拒絕所有Web請求服務或通過中間人（man-in-the-middle，MITM）攻擊在請求的資料前往目的主機時修改其內容。
設法控制該伺服器連線的上游交換機，並禁用相應的埠。
新增或修改該伺服器的ISP的路由選擇資訊，使對這臺伺服器的IP子網查詢被定向到另一個位置。
攻擊者能夠採取的攻擊方法可以無限地羅列下去。在前面的示例中，攻擊者有幾個目標可供選擇，如下所示。

應用程式與作業系統的程式碼安全。
應用程式與作業系統的拒絕服務攻擊。
Internet頻寬。
路由器或其他第3層（Layer 3，L3）裝置。
DNS重定向。
TCP/IP協議集。
二層（Layer 2，L2）裝置。
路由選擇協議。
你總結出一個包含了所有型別聯網裝置的列表，這些裝置有可能位於這個世界上的任何一個角落，比如：終端工作站、伺服器、無線LAN接入點（Wireless LAN Access Point，WLAN AP）、路由器、作業系統、交換機、防火牆、網路介質、應用程式、負載均衡器、個人數字助理（Personal Digital Assistant，PDA）、蜂窩電話等。一切皆為目標。

在部署安全策略時，人人往往過分關注對伺服器的保護，而沒有把足夠的精力花費在保護網路的其他部分上。雖然與Internet連線的伺服器（例如Web伺服器的例子）毫無疑問是最明顯的目標之一，但是隻注重保護這些系統會讓你的設計在其他許多地方存在漏洞。想想看，下面哪種攻擊對你的企業損害更大？

（1）Web站點遭到了不良資料的醜化，這事成了世界上的新聞頭條。

（2）一位內部員工獲得了你的CEO郵件，隨後他知曉了還沒有公開的採購計劃。通過闖入你的語音郵件系統獲得進一步細節後，員工從該資訊中獲利（包括該員工的合作者），你的公司在一個月後由於內部交易受到調查。

第2點明顯對公司具有最大的影響。另外，對伺服器的如此擔心說明你認為那是最關鍵的資源所在之處。但是在當今移動辦公、行動式電腦大行其道的背景下，這些裝置也可以像伺服器那樣包含重要的組織機構資訊。此外，攻擊者通常更容易控制行動式電腦。如果你能靜下來，仔細思考一下攻擊者都能通過什麼方式進入網路，你一定會得到一個可怕的結論。然而，作為一名安全設計師，你必須考慮到保護組織機構中每個系統的方法，因為攻擊者只會設法尋找那些留有漏洞的地方。你會在第2章中看到，好的安全策略可以讓你把心思放在那些值得花費心思的地方。