《网络安全体系结构》一1.8 不要通过隐匿来提高系统的安全性

1.8 不要通过隐匿来提高系统的安全性

网络安全体系结构
在翻阅介绍安全原则的出版物和报道时,你常常会听到有人认为“通过隐匿实现的安全并不安全”。由于这个说法非常有名,因此该说法常常遭到误解,并被当作各种安全问题的借口或理由。让我们考虑一个新的场景来更好理解这个公理。

纸币是我们许多日常交易的基础,伪造纸币是大家关心的问题。国家本可以通过对生产纸纤维和墨水成份等材料的工艺进行保密来防止伪造钞票,但是并没有国家这么做。实际上,政府采取了其他措施来增加了伪造货币的难度。这些方法包括水印、萤光油墨、能在紫外灯光下发光的聚合安全线和难以复制的缩微文字。在这个例子中,防止伪造的方式就不是依靠隐匿来实现的。不过,对于过两天就能在美国财政部网站上看到印制100美元的详细流程这一点,我也不抱什么希望。
对于聪明的攻击者来说,想要在公共网络中找到一样工具(例如www.insecure.org上的nmap)来对防火墙采样(fingerprinte)并以此摸清防火墙品牌并不难。因此,正确的安全心态不是保密这一信息,而是让防火墙正确地执行它的访问控制功能。进一步说,如果发现了针对防火墙产品的攻击时,必须迅速打上补丁。不要寄希望于也许没人知道防火墙品牌,或针对某种技术的特殊攻击方式不会奏效—这只是通过隐匿实现的安全。不过,倒也不用四处宣传你的防火墙品牌,不用完全放弃针对防火墙品牌型号的保密工作。
前面的例子着重介绍了是否要对你所部署的安全技术和安全产品品牌进行保密。下一个例子旨在讨论对你在网络中全面使用的某项安全技术进行保密所带来的价值。

在过去几年中,有相当多的方法旨在找到在网络中是否部署了NIDS。这样做的目的是如果发现了NIDS,攻击者可能会找到避免被扫描引擎探测到的方法。这种方法通常包括迫使NIDS状态表错误表示目标系统所处的实际状态,例如通过调整IP生存期(Time-to-Live)字段或故意对数据包进行分片来试图迷惑NIDS。知道你部署了NIDS的人有可能把这个消息透露出去,那部署NIDS就没有什么意义了,因此对于NIDS的具体配置及其位置,你还是应该保密。这时,你的所作所为并不是“通过隐匿来实现安全”,因为这种做法是基本的常识。
注意 下面地址有一篇关于欺骗NIDS的优秀论文: http://secinf.net/info/ids/idspaper/idspaper.html

网络地址转换(Network Address Translation,NAT)有时会被人错误地拔高为一种安全特性。实际上,它真正实现的功能是隐藏第3层的地址。当你在Internet网关上使用NAT时,仍然需要在这里配置访问控制。真正的状态化防火墙可以提供第3层和第4层上的访问控制,也能提供一些更复杂的功能,例如序列号验证、分片滥用检查和IP选项误用识别。虽然这些功能与NAT无关但还是应该使用,因为黑客有可能伪装转换后的地址。在进行多对一的转换时,也要考虑到类似的问题。详细内容参见第6章,了解为何不能信任NAT的安全功能。
警告 由于用户运行的应用程序会试图通过你放行的端口(例如TCP端口80)封装隧道,因此NAT(在一定程度上,也包括防火墙)会降低你整个网络的安全性,它会使流量分类更加困难。当然,大部分情形下防火墙的优点还是大于缺点,但在设计访问控制策略时要了解这些问题。

这些示例的目的旨在说明确保你的设计尽可能不被他人所知的重要性。以加密为例:在安全领域中,加密是一种得到了广泛应用的方式,它的做法是将算法公开给所有的人,同时确保自己的密钥足够强健,而不是寄希望于攻击者不了解加密采用的算法。

但这并不代表你可以公开一切。这里强调的是,隐匿的方式不值得依赖。如果对一些特性或设计元素进行保密不会造成管理负担,保密也不无裨益。但如果隐匿会加重管理负担,通常不值得为这点额外的利好而实施隐匿。

例如,对设备上的登录标识进行保密几乎不会造成管理困难,因此不妨这样去做。对你的系统设计和设备选型保密也是个不赖的选择。不过,让所有内部简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)服务器在TCP端口2525上运行而不是在TCP端口25运行,这样做就不值得提倡了。因为这种做法必须修改所有主机应用程序,才能让它们使用新的端口,这只会让你不断接到客户的求助电话,或者让你一次又一次拨通安全厂商的求助电话。

时间: 2024-09-14 10:30:34

《网络安全体系结构》一1.8 不要通过隐匿来提高系统的安全性的相关文章

《网络安全体系结构》一2.3 安全系统的开发与运行概述

2.3 安全系统的开发与运行概述 网络安全体系结构现在你已经对安全策略的概念,以及实施这些规则的方式有了基本的了解,在这一节中,我们会把这些知识放到安全系统的开发与运行的环境进行讨论.首先,我们可以看到对这个过程的概括.图2-1所示的是此过程及其各步骤之间相互关系的概述. 业务需求和风险分析是安全策略的主要来源.全部安全策略都是由三类不同的文档构成的. 策略-是安全策略的基本要素,一般不是某种特定的技术,而是一些与网络运行有关的更加宏观的因素.指导方针-组织机构的最佳做法.标准-是一套针对某项技

《网络安全体系结构》一2.2 什么是安全策略

2.2 什么是安全策略 网络安全体系结构本节将提供安全策略的现行定义,并讨论作为安全系统设计人员应该考虑的关键策略.RFC(Request for Comment)2196"Site Security Handbook"所定义的安全策略如下: 安全策略是获准使用组织机构技术和信息资产的人员所必须遵守的准则的正规陈述. 这个定义与安全系统设计人员或操作人员必须履行的职责之间有何关联?如果一个人的职责是保障网络"安全",那么这个人应该是安全策略最坚定的提倡者之一.原因有

《网络安全体系结构》一第2章 安全策略与运行生命周期

第2章 安全策略与运行生命周期 网络安全体系结构"策略是一种易于变化的临时信条,必须以圣徒般的热情才能得到贯彻."-莫汉达斯 • K • 甘地(Mohandas K. Gandhi)于1922年3月8日致印度国大党总书记的信 "你执行政策.我来玩政治."-美国副总统丹 • 奎尔(1988-1992)对其助手说,摘录于国际先驱论坛报,巴黎,1992年1月13日 目前,许多安全领域的人士都将安全策略视为不可避免的麻烦.但是,关于安全策略,究竟是什么让我们(包括我自己)充

《网络安全体系结构》一第1章 网络安全公理

第1章 网络安全公理 网络安全体系结构出其所不趋,趋其所不意.--孙武,<孙子兵法> [美国军队必须]采取一种新的运作方式,一种强调"手段"的运作方式-也就是说我们不再着力寻找谁会对我们构成威胁,以及它们会在何处发动攻击:我们要把注意力放在我们会怎样遭到威胁,以及如何进行防御和威慑等方面.-美国前国防部长•唐纳德•拉姆斯菲尔德 <外交(Foreign Affairs)>(Volume 81, No. 3, May 2002) 第一次参与网络安全设计工作的人,在首

《网络安全体系结构》一1.1 网络安全是一个系统

1.1 网络安全是一个系统 网络安全体系结构网络安全是一个系统.它不是防火墙,不是入侵检测,不是虚拟专用网,也不是认证.授权以及审计(AAA).安全不是Cisco公司及其任何合作伙伴或竞争对手能够卖给你的任何东西.尽管这些产品与技术在其中扮演了重要角色,但是网络安全的概念更为宽泛.所有网络安全都起始于安全策略,这已经几乎成为了行业标准.此后,它还涵盖了必须遵循这些安全策略的人,以及必须实施这些策略的人.于是,它最终会使当前的网络基础设施发生变化. 我们来回忆一下始于2001年.并且没有任何减慢迹

《网络安全体系结构》一1.6 设法简化操作

1.6 设法简化操作 网络安全体系结构网络设计师们每天都要就操作的复杂性做出决定.虽然他们并不将这项工作直接称为操作简化,但是他们还是得不断考虑某项技术给管理员或用户操作带来的困难和负担.本节关乎网络安全系统中的一项核心观念:是否能够简化操作反映了你和安全系统之间的关系-你们俩到底究竟谁为谁服务. 衡量一个系统的硬.软指标包括: 需要聘请多少位信息安全工程师来维护这个系统?在你因为实际攻击而感到紧张时,你有多容易犯错?在寻找攻击细节时,你要筛选多少日志数据才能找到有关信息?在向法庭移交司法证据时

《网络安全体系结构》一1.11 参考资料

1.11 参考资料 网络安全体系结构Tippett.P."Defense-In-Breadth"Information Security Magazine(February 2002).http://www.infosecuritymag.com/2002/feb/columns_executive.shtml

《网络安全体系结构》一2.6 应用知识问题

2.6 应用知识问题 网络安全体系结构下列问题旨在测试你在网络安全实践方面的知识,其中有些问题涉及本书后面章节的知识.你也许会发现每个问题的解答都不单一.在附录B中提供答案的目的是为了帮助读者巩固那些可以应用到自己网络中的概念. 在本章中,问题1到4与本章所介绍知识有关.其余的问题是供读者在自己组织机构内进行练习.这些问题的正确答案都不唯一. (1)在确保员工们拥有最新版本病毒扫描软件方面,什么安全策略所推行的方法最为有效? (2)在自己组织内表述WLAN访问策略的最佳方式是什么?应该通过策略.

《网络安全体系结构》一1.7 良好的网络安全策略是具有预见性的

1.7 良好的网络安全策略是具有预见性的 网络安全体系结构现在是凌晨3点,而你可以像婴儿一般酣睡.那太好了,这要归功于你为保护新的电子商务站点而奋战的所有日日夜夜,你采用了能买到的最好的安全设备和软件来保护自己的站点.你拥有一对能处理OC-48的防火墙,拥有能够自定义复杂特征的NIDS,昂贵的报警和报告工具会在每天上午向你的老板提交报告,也会检查文件系统中最新的数据,日志分析器会对你的服务器进行分析.拥有这些最新的安全技术保障,哪怕你尚未深入了解它们的工作原理,你仍然可以通过配置防火墙使其过滤掉