开发者社区> 异步社区> 正文

《网络安全体系结构》一1.4 一切皆为目标

简介:
+关注继续查看

本节书摘来自异步社区《网络安全体系结构》一书中的第1章,第1.4节,作者【美】Sean Convery,更多章节内容可以访问云栖社区“异步社区”公众号查看

1.4 一切皆为目标

网络安全体系结构
当前的大型网络存在着惊人的相互依赖性,作为一名网络安全设计师,对这一点必须心知肚明。Internet就是最好的例子,而且每个组织机构内都的网络其实都是Internet的一个缩影。从攻击者的观点看,它们之间的相互依赖性让攻击者能够以无穷无尽的方法来达到目的。

举例来说,我们假设有一位攻击者想让你的Web站点停止服务,那么他/她可以采取的方式有下面这些。

找到你系统中的应用程序或操作系统漏洞,攻击它获得root权限,随后轻松地让服务器脱机或修改服务器的内容。
向你的Web服务器发送某些类型的直接拒绝服务的攻击(Denial of Service,DoS),比如旨在耗尽服务器资源使其无法响应的TCP SYN泛洪攻击。
向你的Internet连接发送旨在耗尽所有可用带宽的DDoS攻击,以此阻止合法用户访问服务器。
向路由器或防火墙发送伪造的数据包,以占据它们处理合法流量的资源来处理无用的数据。
设法控制你的域名系统(Domain Name System,DNS)服务器或Internet服务提供商(Internet Service Provider,ISP)的DNS服务器,更改名称记录使其指向一台伪装的服务器。
设法控制一台与该Web服务器处于同一子网的服务器,执行地址解析协议(Address Resolution Protocol,ARP)欺骗攻击,以拒绝所有Web请求服务或通过中间人(man-in-the-middle,MITM)攻击在请求的数据前往目的主机时修改其内容。
设法控制该服务器连接的上游交换机,并禁用相应的端口。
添加或修改该服务器的ISP的路由选择信息,使对这台服务器的IP子网查询被定向到另一个位置。
攻击者能够采取的攻击方法可以无限地罗列下去。在前面的示例中,攻击者有几个目标可供选择,如下所示。

应用程序与操作系统的代码安全。
应用程序与操作系统的拒绝服务攻击。
Internet带宽。
路由器或其他第3层(Layer 3,L3)设备。
DNS重定向。
TCP/IP协议集。
二层(Layer 2,L2)设备。
路由选择协议。
你总结出一个包含了所有类型联网设备的列表,这些设备有可能位于这个世界上的任何一个角落,比如:终端工作站、服务器、无线LAN接入点(Wireless LAN Access Point,WLAN AP)、路由器、操作系统、交换机、防火墙、网络介质、应用程序、负载均衡器、个人数字助理(Personal Digital Assistant,PDA)、蜂窝电话等。一切皆为目标。

在部署安全策略时,人人往往过分关注对服务器的保护,而没有把足够的精力花费在保护网络的其他部分上。虽然与Internet连接的服务器(例如Web服务器的例子)毫无疑问是最明显的目标之一,但是只注重保护这些系统会让你的设计在其他许多地方存在漏洞。想想看,下面哪种攻击对你的企业损害更大?

(1)Web站点遭到了不良资料的丑化,这事成了世界上的新闻头条。

(2)一位内部员工获得了你的CEO邮件,随后他知晓了还没有公开的采购计划。通过闯入你的语音邮件系统获得进一步细节后,员工从该信息中获利(包括该员工的合作者),你的公司在一个月后由于内部交易受到调查。

第2点明显对公司具有最大的影响。另外,对服务器的如此担心说明你认为那是最关键的资源所在之处。但是在当今移动办公、便携式电脑大行其道的背景下,这些设备也可以像服务器那样包含重要的组织机构信息。此外,攻击者通常更容易控制便携式电脑。如果你能静下来,仔细思考一下攻击者都能通过什么方式进入网络,你一定会得到一个可怕的结论。然而,作为一名安全设计师,你必须考虑到保护组织机构中每个系统的方法,因为攻击者只会设法寻找那些留有漏洞的地方。你会在第2章中看到,好的安全策略可以让你把心思放在那些值得花费心思的地方。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
19584 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
13743 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
24727 0
带你读《计算机网络原理》之二:网络体系结构
本书以层次化的网络体系结构为线索,针对通信子网功能详细地介绍了计算机网络的基本概念及数据通信的基本原理。
1080 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
14589 0
+关注
异步社区
异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区,也是国内领先的IT专业图书社区,致力于优质学习内容的出版和分享,实现了纸书电子书的同步上架,于2015年8月上线运营。公众号【异步图书】,每日赠送异步新书。
12049
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载