當(dāng)時(shí)我認(rèn)為自己肯定要被解雇了,但是謝天謝地,我沒有。有些重大的事故,最后往往都為我們的學(xué)習(xí)提供重要幫助。我們都或多或少的知道些危機(jī)管理,所有的東西都可以從在線備份中恢復(fù)過來,我的老板花了幾個小時(shí)的時(shí)間教會我如何正確的檢測網(wǎng)絡(luò)是否正常運(yùn)行。
好消息是大部分的時(shí)間,我們所犯的錯誤并沒有這么嚴(yán)重,而壞消息是很多失誤并不會當(dāng)時(shí)就表現(xiàn)出來。也就是說,這種失誤會一直遺留而不能被發(fā)現(xiàn),有可能是幾個星期,也有可能是幾個月或者幾年,直到有一天它們引發(fā)了嚴(yán)重的中斷事故,或者被審計(jì)人員發(fā)現(xiàn)來傳喚我們。在網(wǎng)絡(luò)安全一線,防火墻管理是這樣一個行當(dāng)——對規(guī)則和配置文件進(jìn)行更改時(shí),一個小小的錯誤可能給你帶來巨大的后患。以下是一些常犯的失誤:
一、創(chuàng)建毫無意義的防火墻組
一名防火墻管理員在把設(shè)備加入到網(wǎng)絡(luò)中時(shí),擁有超過一半的規(guī)則權(quán)限。后來這便用一個球星的名字來命名,我們稱之為Joe_Montana.出論任何時(shí)候,管理員需要某臺設(shè)備加入到網(wǎng)絡(luò)中,他們就把這臺設(shè)備的IP地址添加到他們常用的、擁有許多授權(quán)的規(guī)則當(dāng)中去,添加到這樣的組里。最后,這些規(guī)則庫讓審計(jì)員看起來可能是沒問題的,因?yàn)檫@里面沒有“任意”這樣的規(guī)則,但是事實(shí)上卻埋下了許多的防火墻漏洞。防火墻規(guī)則變得毫無意義,如果一旦被審計(jì)整改,清理這些規(guī)則庫的活是費(fèi)力不討好的任務(wù),需要很多個月的時(shí)間來解決規(guī)則庫問題,以安全、適當(dāng)?shù)赜成涞綐I(yè)務(wù)需求。
二、從不升級你的防火墻軟件
有數(shù)量驚人的組織使用過時(shí)的防火墻軟件。當(dāng)被問及原因時(shí),得到的往往是非常類似的幾個回復(fù)“我們要保持版本的穩(wěn)定性”或者“防火墻不能撤下進(jìn)行升級”…等等。事實(shí)上,防火墻廠商升級自己的軟件是有原因的。你不需要安裝最新發(fā)布的防火墻版本,但如果您正在運(yùn)行一個已經(jīng)過時(shí)15或20個版本的軟件,或者已經(jīng)7、8年沒有更新版本,那么請立即停止抱怨,開始更新!
三、使用錯誤的技術(shù)
我們都聽過的把方形釘砸進(jìn)圓洞的說法,在防火墻行業(yè)里也有這么一說。一個網(wǎng)絡(luò)安全管理員激烈的和他們的審計(jì)員爭論,因?yàn)樗麄冇幸粋€防火墻布置在安全 WEB服務(wù)器的前面,這樣就構(gòu)成了一個雙重身份驗(yàn)證:一個密碼和一個防火墻。這家伙的創(chuàng)造力可以打A,但是防火墻(本身)不是一個雙重身份驗(yàn)證解決方案。雙重身份認(rèn)證需要您的用戶有一個令牌和密碼。
四、意外宕機(jī)事件
我聽過這樣一個意外宕機(jī)事件,防火墻管理員正在收集一些防火墻數(shù)據(jù)。管理員無意中碰到桌子上的鼠標(biāo),而此時(shí)的鼠標(biāo)正懸停在開始菜單上。如同命中注定一樣,鼠標(biāo)令人難以置信的激活了開始菜單,并且恰好懸停在“關(guān)閉”菜單項(xiàng)上。是的,就這樣那個金融公司的人看著他們的防火墻就這樣被關(guān)閉了。
五、創(chuàng)建糟糕的防火墻配置文檔
你經(jīng)常會聽到有些防火墻管理員忙的焦頭爛額,試圖了解到底他們之前所做的防火墻規(guī)則是用來干什么的。圖得一時(shí)省事(馬虎創(chuàng)建防火墻文檔)讓自己以后變得繁忙,還是花時(shí)間來創(chuàng)建合理的防火墻文檔?馬虎對待防火墻文檔等于給自己創(chuàng)建一個定時(shí)炸彈。調(diào)查一些參與管理防火墻的管理員,常常會聽到這樣的抱怨“現(xiàn)在我害怕調(diào)整我的防火墻,所有的高級管理人員已經(jīng)離開,而我們不知道那些防火墻文檔,里面那些大多數(shù)的名字的意思,或這些規(guī)則是用來做什么的。”
六、請勿使用路由作為您的安全策略
我見到很多這樣的防火墻,他們的規(guī)則庫在做出修正時(shí),需要路由器相應(yīng)做出改變,以適應(yīng)新的防火墻規(guī)則。或許這是可以理解的——當(dāng)處在防火墻之內(nèi)的網(wǎng)絡(luò),需要重新組建時(shí),但事實(shí)往往是網(wǎng)絡(luò)并沒有發(fā)生變化,只是防火墻需要作出變化。有兩種類似這種“綁架”路由器的錯誤,在工作中經(jīng)常發(fā)生。
第一種情況,是防火墻沒有默認(rèn)路由。每條路由線路都被手動添加到防火墻,而且,往往使用最小的子網(wǎng)掩碼,許多不在計(jì)劃之內(nèi)的設(shè)備,在將來如果不設(shè)置防火墻策略就會受到阻礙,無法通過路由。這聽起來很棒,貌似更加安全,但它是完全不必要的——如果你刪除這條防火墻策略,那么該策略將會恢復(fù)成“忽略所有”。
這個設(shè)計(jì)將會使防火墻變得難以管理,之后的防火墻團(tuán)隊(duì)將會害怕做出改變,因?yàn)檫@將會牽扯到很多東西。每個策略更改都需要一個工程師來檢查路由,因此每一個防火墻策略更改花費(fèi)的時(shí)間太長,大大影響了網(wǎng)絡(luò)維修任務(wù),所以,這是沒有實(shí)際價(jià)值的增加安全性。
這種錯誤看法還有一種情況,在思科設(shè)備管理員群體中最常出現(xiàn),比方說管理員需要建立一個訪問控制列表,這個控制列表包括兩個設(shè)備之間的任何源地址或目標(biāo)地址。他們的本意實(shí)際上是指兩個設(shè)備之間中的所有地址,而并非在任何的時(shí)候。但是管理員太懶了,他們不想花力氣輸入地址。這樣,只有知道連接防火墻的路由表,才能知道這條防火墻策略實(shí)際的內(nèi)涵。這些是需要管理員記在腦子里的,對一個初級防火墻管理員來說,這太難接管這個防火墻了。
七、使用路由器DNS對象作為防火墻策略對象
很多防火墻提供這么一個功能選項(xiàng),允許管理員插入一個DNS對象作為源或目標(biāo)地址,比方說www.google.com.這聽起來不錯,因?yàn)?google.com可以作用于這么多的IP地址,這樣即使google.com的ip地址發(fā)生改變的時(shí)候,我的防火墻,也還是可以作用于該域名下的地址。這種錯誤做法,會導(dǎo)致許多風(fēng)險(xiǎn),大多數(shù)組織應(yīng)該考慮不要使用這種做法。
首先防火墻現(xiàn)在很容易受到拒絕服務(wù)攻擊,你能想象防火墻不能解析google.com域名時(shí)會發(fā)生什么嗎?第二個,在為所有的數(shù)據(jù)包做DNS解析時(shí),防火墻需要查找每個數(shù)據(jù)包,以試圖決定該數(shù)據(jù)包是否屬于google.com時(shí),會極大的浪費(fèi)CPU、內(nèi)存和網(wǎng)絡(luò)IO.第三,如果你的DNS服務(wù)器中毒,你的防火墻將允許所有的僵尸網(wǎng)絡(luò)命令通過,并記錄它作為正常域名。
