Physical vulnerabilities, such as fire, earthquake, or tornado
在系统的设计缺陷
由系统应用在协议(一个或多个)的弱点
Weaknesses in the code executed by a system
Suboptimal configuration of system parameters
Malicious software (for example, a virus)
人类的脆弱性(无论是有意还是无意)
例如,考虑人的安全漏洞。由于对信息系统的大多数攻击都是由人发起了“内部”的控制应设置防止信息系统的有意或无意的误操作。
社会工程是无意的误操作的一个例子。为了说明这个概念,考虑在外部攻击者调用一个接待员的情况。攻击者伪装成该公司的IT部门的一员,他说服了接待员告诉他她的用户名和密码。然后,攻击者可以使用这些凭据登录到网络。
为了防止单个用户里面意外或故意发动攻击,某些组织需要两个用户输入他们的凭据,然后特定的行为就可以进行,很像被要求两个键发射导弹。
此外,许多员工关心的是完成特定的任务。如果严格的安全程序似乎在他们的方式站立,员工可能环游任何保障措施来,在他们的心目中,更富有成效。因此,用户教育是任何组织安全策略的一个重要组成部分。
潜在的攻击者
捍卫你的数据的另一个要素是识别谁可能想窃取或操纵数据潜在的攻击者。例如,一个公司可能需要保护它的数据从企业的竞争对手,恐怖分子,员工和黑客,仅举几例。
The term “hacker” is often used very generically to describe attackers. However, not all hackers have malicious intent.
表1-5列出了不同类型的“黑客”。
表1-5 Types of Hackers |
|
“黑客”的类型 |
描述 |
白帽黑客 |
白帽黑客有能力闯入计算机系统和做的损害。然而,他用他的技能来帮助企业。例如,一个白帽黑客可能为公司合作,以测试其网络的安全性。 |
Black hat hacker |
黑帽黑客,也被称为“饼干”,用他的技能不道德的原因(例如,盗取资金)。 |
灰帽子黑客 |
灰帽子黑客就可以被认为是一个白帽黑客谁偶尔流浪和不道德的行为。例如,灰帽子黑客可能被用作合法的网络安全测试仪。然而,在他的道德职责的过程中,他发现个人利益的机会和不道德的行为,以获取个人利益。 |
Phreaker |
A phreaker is a hacker of a telecommunications system. For example, a phreaker known as “Captain Crunch” used a toy whistle he found in a box of Captain Crunch cereal (which generated a 2600-Hz tone) to trick phone systems into letting him place free long distance calls. Convincing a telecommunications carrier to permit free long distance calls in this manner is an example of “phreaking.” |
脚本KIDDY |
脚本KIDDY是谁缺乏典型的黑客技能的用户。相反,他下载盗号实用程序和使用这些工具来发动攻击,而不是写他自己的节目。 |
黑客行动主义 |
一个黑客行动主义是有政治动机,比如有人谁污损政治候选人的网站黑客。 |
计算机安全黑客 |
计算机安全黑客了解计算机和网络安全系统的技术方面。例如,此人可能试图通过在将由IPS未被发现的方式分段恶意流量攻击通过IPS保护的系统。 |
学术黑客 |
学术黑客通常是在高等教育机构雇员或学生。学术黑客使用该机构的计算资源,以写“聪明”的节目。通常情况下,这些黑客使用自己的真实姓名(与经常使用的计算机安全黑客假名),他们往往把重点放在开放式基于标准的软件和操作系统(例如Linux)。 |
业余爱好黑客 |
A hobby hacker tends to focus on home computing. He might modify existing hardware or software to, for example, use software without a legitimate license. For example, code that “unlocks” an Apple iPhone might be the work of a hobby hacker. |
As shown in Table 1-5, “hackers” come in many flavors, which leads to the question, “What motivates a hacker?” Some hackers might work for governments to try to gather intelligence from other governments. Some attackers seek financial gain through their attacks. Other hackers simply enjoy the challenge of compromising a protected information system.
这本书详细介绍,攻击者可以推出几款特定攻击。然而,在这一点上,你应该熟悉五大类的攻击:
被动: A passive attack is difficult to detect, because the attacker isn’t actively sending traffic (malicious or otherwise). An example of a passive attack is an attacker capturing packets from the network and attempting to decrypt them (if the traffic was encrypted originally).
Active: An active attack is easier to detect, because the attacker is actively sending traffic that can be detected. An attacker might launch an active attack in an attempt to access classified information or to modify data on a system.
关-in:近距攻击,顾名思义,发生在攻击者在目标系统物理接近。例如,一些路由器,交换机和服务器上的攻击者可以绕过密码保护,如果他获得了对这些设备的物理访问。
内幕:当合法的网络用户利用其在恶意的方式他们的凭据和网络的知识发生的内线进攻。
分配:分发攻击故意在制造点引入“后门”,以硬件或软件系统。之后,这些系统已分发到各种各样的客户,攻击者可以利用他的植入后门的知识,例如,访问受保护的数据,处理数据,或使合法用户无法使用的目标系统。
思维定一个黑客
黑客可以利用各种工具和技术来“砍”到系统中(即,获得对系统的未经授权的访问)。虽然这些方法各不相同,下面的步骤说明了黑客的一个例子是用于侵入系统有条不紊过程:
Step 1 |
了解更多关于系统通过执行reconnaissance. In this step, also known as “footprinting,” the hacker learns all he can about the system. For example, he might learn the target company’s domain names and the range of IP addresses it uses. He might perform a port scan to see what ports are open on a target system. |
Step 2 |
识别系统中的应用,以及系统的操作系统。黑客可以利用各种工具试图连接到系统时,他们收到提示(例如,FTP登录提示或默认网页)可以提供洞察系统的操作系统。此外,前面提到的端口扫描可以帮助识别的系统上运行的应用程序。 |
Step 3 |
访问系统。社会工程是比较流行的方式获得登录凭据之一。例如,公共DNS记录提供的联系信息,公司的域名。黑客可能能够使用这些信息来说服域管理员透露有关系统的信息。例如,黑客可以假装是服务供应商或政府机构的代表。这种方法被称为pretexting。 |
第四步 |
登录与用户获得的证书和升级黑客的特权。例如,黑客可能会引入一个木马程序(一种软件,似乎是一个合法的应用程序,但也执行一些恶意看不见功能)升级他的特权。 |
第5步 |
收集更多的用户名和密码。有了相应的权限,黑客可以运行实用程序创建用户名和/或密码的报告。 |
第6步 |
Configure a “back door.” Accessing a system via a regular username/password might not be how a hacker wants to repeatedly gain access to a system. Passwords can expire, and logins can be logged. Therefore, hackers might install a back door, which is a method of gaining access to a system that bypasses normal security measures. |
第7步 |
Use the system. After a hacker gains control of a system, he might gather protected information from that system. Alternatively, he might manipulate the system’s data or use the system to launch attacks against other systems with which the system might have an established trust relationship. |
纵深防御
由于安全性的解决方案是只强最薄弱的环节,网络管理员面临的挑战是实现保护一个复杂的网络安全解决方案。其结果,而不是部署单个的安全解决方案,Cisco建议多个重叠的解决方案。这些重叠的解决方案的目标安全的不同方面,如确保对内部攻击,并确保对技术的攻击。这些解决方案也应受到例行测试和评估。安全解决方案还应该重叠,消除单故障点的方法。
纵深防御是实现这种分层的安全方法一种设计理念。目前的安全的深度防御部署的层应提供相互冗余,同时提供了多种防御策略,保护网络的多个方面。在安全解决方案单故障点应该被淘汰,并在安全解决方案薄弱环节亟待加强。
The Defense in Depth design philosophy includes recommendations such as the following:
在网络中防守多个攻击目标。
保护网络基础设施。
保护战略的计算资源,比如通过一个基于主机的入侵防御系统(HIPS)。
创建重叠的防御。例如,包括入侵检测系统(IDS)和IPS保护。
让受保护资源的价值决定了安全机制的强度。例如,部署更多的资源来保护网络边界,而不是部署到保护终端用户工作站的资源。
Use strong encryption technologies, such as AES (as opposed to DES) or Public Key Infrastructure (PKI) solutions.
Consider the sample Defense in Depth topology shown in图1-2。注意两个电子邮件服务器,外部和内部。外部电子邮件服务器充当电子邮件中继到内部电子邮件服务器。因此,攻击者试图利用电子邮件漏洞会对妥协两个电子邮件服务器来影响企业内部的电子邮件。
Also notice the use of a Network-based Intrusion Detection System (NIDS), a Network Intrusion Prevention System (NIPS), and a Host-based Intrusion Prevention System (HIPS). All three of these mitigation strategies look for malicious traffic and can alert or drop such traffic. However, these strategies are deployed at different locations in the network to protect different areas of the network. This overlapping yet diversified protection is an example of the Defense in Depth design philosophy.
但是,如果一个网络中的所有安全解决方案进行配置,并通过一个单一的管理工作站管理,这管理站可能是单一故障点。因此,如果攻击者妥协管理站,他能够击败其他安全措施。
纵深防御
In the “Potential Attackers” section you read about five classes of attacks; Table 1-6 provides examples of overlapping defenses for each of these classes.
表1-6 防御攻击的不同类 |
||
攻击类 |
Primary Layer of Defense |
国防部第二层 |
被动 |
加密 |
具有集成安全应用 |
Active |
防火墙在网络边缘 |
HIPS |
内幕 |
保护防止未经授权的物理访问 |
认证 |
关-in |
保护防止未经授权的物理访问 |
视频监控系统 |
分配 |
安全的软件分发系统 |
实时软件的完整性检查 |
了解IP欺骗
攻击者可以通过发起IP欺骗攻击发动各种攻击。一个IP欺骗攻击导致攻击者的IP地址似乎是可信的IP地址。例如,如果一个攻击者说服主,他是一个值得信赖的客户,他可能会获得对主机的特权访问。攻击者还可以捕获流量,其中可能包括凭据,如用户名和密码。再举一个例子,你可能熟悉的拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击。这种攻击的肇事者可能会使用IP欺骗,以帮助隐瞒自己的身份。
To understand how an IP spoofing attack is possible, consider the operation of IP and TCP. At Layer 3, the attacker can easily modify his packets to make the source IP address appear to be a “trusted” IP address. However, TCP, operating at Layer 4, can be more of a challenge.
从您的TCP的早期研究,你可能还记得,一个TCP会话使用三次握手建立的:
The originator sends a SYN segment to the destination, along with a sequence number.
目的地发送始发者的序列号的确认(一个ACK)与目的地的自身的序列号(一个SYN)沿。
发端发送一个ACK段来确认目的地的序列号,在此之后,TCP的通信信道是始发和目的地之间打开。
图1-3illustrates the TCP three-way handshake process.
TCP三方握手