- 相關(guān)推薦
淺談防火墻審計(jì)
防火墻的審計(jì)是近一、兩年在美國各和公立部分逐漸開始的一項(xiàng)安全業(yè)務(wù)。美國在二零零零年就基本上普及了防火墻。但由于缺乏經(jīng)驗(yàn)豐富的專業(yè)職員,以及治理上的疏忽與混亂,很多防火墻基本上形同虛設(shè),并沒有真正有效地發(fā)揮作用。進(jìn)侵的事件仍然頻頻發(fā)生。盡大多數(shù)公司對于網(wǎng)絡(luò)進(jìn)侵或者根本就沒有察覺,或者察覺后保持沉默,能瞞就瞞,盡量避免公司的形象。但是在暗地里,這些公司吃一塹長一智,重金聘請高手,查找安全漏洞。結(jié)果發(fā)現(xiàn)很多漏洞就來自于防火墻本身。事實(shí)使他們熟悉到,假如不好好治理防火墻,不但防不了“火”,有時(shí)甚至還會(huì)引火燒身。要解決這個(gè),有效的辦法之一就是對防火墻進(jìn)行定期的審計(jì),搶在題目發(fā)生之前往發(fā)現(xiàn)題目。這樣一來,一個(gè)新的安全業(yè)務(wù)-防火墻審計(jì),就在戰(zhàn)火中悄然誕生了。如今對防火墻審計(jì)已漸漸成為安全審計(jì)的一個(gè)重要的環(huán)節(jié)。本文力圖用有限的篇幅,對防火墻審計(jì)做一個(gè)簡單的先容。這里說的防火墻審計(jì),并不是簡單地指對防火墻日志的審計(jì),而是對整個(gè)防火墻的功能、設(shè)置、治理、環(huán)境、弱點(diǎn)、漏洞等進(jìn)行全面的審計(jì)。1.為什么要審計(jì)防火墻?
審計(jì)防火墻就是要查找防火墻的題目。導(dǎo)致防火墻出題目的因素很多。回結(jié)起來,主要有以下四個(gè)方面的因素:
第一,人為的疏忽。
智者千慮,必有一失。防火墻固然已有了十多年的,但直到今天,還沒有一個(gè)廠家可以向客戶提供簡單明了的治理界面。即使一個(gè)經(jīng)驗(yàn)豐富的防火墻治理員,面對幾十條上百條防火墻規(guī)則(FirewallRules),也有搞糊涂的時(shí)候。一個(gè)生手就更不必說了。有時(shí)規(guī)則之間互相沖突。有的洞開得太大,不能夠起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。有的規(guī)則根本就違反公司的安全政策(SecurityPolicy),就不該存在。有的單位讓多人擁有防火墻治理員的帳戶。誰興奮了就來設(shè)置一條新的規(guī)則,防火墻被搞得亂七八糟。防火墻是不會(huì)提醒操縱員這些題目的。這些題目使防火墻的有效性大打折扣。糾正這一類題目的辦法,就是靠定期的審計(jì)。
第二,治理的松懈。
這是最普遍的情況。對于一個(gè)小公司來說,也許有一座防火墻就足夠可以應(yīng)付守衛(wèi)網(wǎng)絡(luò)的需求。不過,這樣一個(gè)小公司,往往雇不起一個(gè)防火墻專家,就只好把這一職責(zé)外包。那個(gè)承接外包的安全公司,也許就只有那么兩、三個(gè)防火墻專家在唱空城計(jì)。他們每人至少要看管好幾十個(gè)公司的防火墻,職員經(jīng)常處于超負(fù)荷運(yùn)行狀態(tài)。為了盡力滿足客戶的需要,他們基本上是有求必應(yīng)。假如對客戶說“不”,以后的合同就不好拿到了。很多安全漏洞就出在這里。由于客戶們的安全知識有限,他們提出的要求有不少是違反安全原則的。隨便答應(yīng)了他們,就在防火墻留下了一個(gè)個(gè)安全隱患。有的公司連把防火墻外包的錢都不想花,就賭自己公司不會(huì)有霉運(yùn),隨便讓公司內(nèi)部某個(gè)未經(jīng)防火墻培訓(xùn)的網(wǎng)管兼任墻管的重任。錢是省了,可是,一場大禍,這省的錢就會(huì)加倍地賠出往。大點(diǎn)的公司,情況似乎好一些。防火墻有專人負(fù)責(zé)?墒,公司一大,防火墻的數(shù)目也隨著增長(筆者就職的公司有四百多座防火墻,還有很多嵌進(jìn)式防火墻裝在3G的微波塔內(nèi))。尤其是,公司內(nèi)部也互設(shè)防火墻,以達(dá)到分級保護(hù)的目的。這就使情況極為復(fù)雜。墻越多,治理的難度就越高。一個(gè)數(shù)據(jù)在公司內(nèi)部從網(wǎng)絡(luò)的一端走到另一端,可能要通過好幾道防火墻。如何讓各種數(shù)據(jù)暢通無阻又不在安全方面妥協(xié)退讓,就成為一個(gè)十分復(fù)雜的題目。當(dāng)然,最偷懶省事的辦法就是打開閘門,讓魚蝦螃蟹一律通過。這種情況尤其是在緊急狀態(tài)下常出現(xiàn)。很多臨時(shí)加上往的應(yīng)急策略往往變成永久策略。這就種下一個(gè)個(gè)禍根。防火墻一多,正確地做變更日志就困難得多。沒有精確地做好變更日志,加上職員的活動(dòng),久而久之整個(gè)防火墻系統(tǒng)就成為一團(tuán)理不清的亂線,該擋的不往擋,該放行的不放行。另外一個(gè)十分常見的防火墻治理方面的題目,就是忽略了對防火墻日志的定期審計(jì)。以至于墻內(nèi)外風(fēng)聲四起,雷叫電閃,防火墻治理員也照常睡大覺。對付以上這一類的題目,只有加強(qiáng)治理。和財(cái)務(wù)治理一樣,防火墻的治理不能沒有定期的審計(jì)。定期的審計(jì)可以協(xié)助防火墻治理職員理清亂線,發(fā)現(xiàn)潛伏的危機(jī),消除隱患。對于客戶來說,這是負(fù)責(zé)任的做法。
第三,防火墻自身存在的漏洞或缺陷。
一個(gè)防火墻今天是密不透風(fēng),如銅墻鐵壁,過些天就有可能是漏洞百出,有如一團(tuán)豆腐渣。這種情況是如何產(chǎn)生的呢?迄今為止,還沒有哪個(gè)廠家生產(chǎn)的防火墻不存在任何安全漏洞。只不過那些漏洞須經(jīng)時(shí)日才能被逐漸發(fā)現(xiàn)。每當(dāng)這種情況發(fā)生,生產(chǎn)廠家就要拿出修補(bǔ)的軟件包,供用戶安裝。有時(shí)甚至要推出新的版本才能堵住漏洞。題目在于,能懶就懶的防火墻治理員不勝枚舉。天永日久,欠的補(bǔ)釘太多了,題目就越來越大。有時(shí),防火墻本身并不存在什么大題目,但題目出在防火墻軟件基于的操縱系統(tǒng)軟件上。大部分在線的防火墻仍然是軟件防火墻。一般地說,每個(gè)防火墻至少有一個(gè)網(wǎng)絡(luò)界面可以進(jìn)進(jìn)防火墻的操縱系統(tǒng)操,還有一個(gè)界面可以用來治理防火墻。我們叫它治理界面(ManagementInte***ce)。它們應(yīng)該是被設(shè)置在特殊的孤立網(wǎng)絡(luò)環(huán)境里。但在現(xiàn)實(shí)中往往并不是這樣。通過攻擊防火墻操縱系統(tǒng)和治理界面的漏洞,可以一舉攻破防火墻,起到出其不意的效果。要堵住操縱系統(tǒng)的漏洞,也基本上是靠生產(chǎn)廠家提供修補(bǔ)程序。只要嚴(yán)格按照廠家的信息,及時(shí)修補(bǔ)操縱系統(tǒng)的漏洞,嚴(yán)格控制進(jìn)進(jìn)治理界面的渠道,這一題目就不會(huì)存在。還有的防火墻,由于價(jià)格過于低廉,功能太差,比如說不能檢測和阻擋拒盡服務(wù)類的攻擊,無法滿足日益增長的安全需要,就只好更新?lián)Q代。對防火墻的定期審計(jì),可以查出這一方面的題目,及時(shí)采取明智的措施。
第四,防火墻的運(yùn)行及環(huán)境狀況。
對于很多企業(yè)來說,防火墻是數(shù)據(jù)進(jìn)出口的重要關(guān)卡。防火墻一旦停止運(yùn)行,或者出現(xiàn)阻滯的狀態(tài),企業(yè)的運(yùn)營就會(huì)受影響。一個(gè)正常情況下運(yùn)行的防火墻,應(yīng)該有足夠的內(nèi)存和外存空間來周轉(zhuǎn)和儲存數(shù)據(jù),在大多數(shù)的時(shí)間處理器不是處于滿負(fù)荷狀態(tài),防火墻有高質(zhì)量的穩(wěn)壓電源及斷電保護(hù),四周溫度和濕度有嚴(yán)格的控制,以及物理安全有保障。當(dāng)然,最好所有的防火墻都能夠有failover的設(shè)置。這樣在主墻倒塌的情況下,預(yù)備墻可以自動(dòng)接替。這些條件,并不是所有單位都有做到。這方面的題目,往往最輕易受到忽略。有的公司把防火墻與服務(wù)器,網(wǎng)絡(luò)開關(guān),路由器等同堆在一層架子上。網(wǎng)絡(luò)治理員一不小心就可將防火墻的電纜碰掉,造成網(wǎng)絡(luò)中斷。這一類的題目看起來并不難解決,但并不是所有單位都解決好了。審計(jì)防火墻,可以發(fā)現(xiàn)這方面的題目。
現(xiàn)在,我們對為什么要定期審計(jì)防火墻,以及主要從哪幾個(gè)方面往查題目,應(yīng)該有個(gè)較清楚的輪廓了。
2.由什么人來審計(jì)防火墻?
就像有財(cái)務(wù)知識和經(jīng)驗(yàn)的專業(yè)職員原則上都可以搞財(cái)務(wù)審計(jì)一樣,大凡精通網(wǎng)絡(luò)安全審計(jì)及防火墻治理的專業(yè)職員,原則上都可以審計(jì)防火墻。但是,這里還是有一些規(guī)矩的。
一般來說,防火墻治理員本人不應(yīng)被聘請來審計(jì)自己治理的防火墻。這和財(cái)務(wù)上把審計(jì)和財(cái)會(huì)職員職責(zé)分開有些類似。鮮有防火墻治理員會(huì)承認(rèn)自己治理的防火強(qiáng)存在重大題目。別人從另外一個(gè)角度來看題目,就比較輕易發(fā)現(xiàn)毛病之所在。當(dāng)然,有師徒關(guān)系的防火墻治理員最好也不要互查防火墻。尤其在國內(nèi),礙面子的話總說不出口。另外,假如一家單位是把防火墻治理工作外包的話,那么就最好不要請同一外包公司審計(jì)自己的防火墻。但是假如那家外包公司主動(dòng)經(jīng)常地審計(jì)客戶的防火墻,那倒是件好事。至公司可以讓不治理防火墻的網(wǎng)絡(luò)安全治理職員來審防火墻,或者干脆把這一工作外包。
有人會(huì)提出,既然審計(jì)防火墻有一定的規(guī)矩往遵循,為什么不寫一個(gè)軟件往把這項(xiàng)業(yè)務(wù)自動(dòng)化?到目前為止,審計(jì)防火墻日志的軟件倒是有不少,也有人寫出軟件來審計(jì)防火墻的規(guī)則。但對防火墻進(jìn)行全面的審計(jì),和財(cái)務(wù)審計(jì)那樣,牽涉到的因素太多,不能全用軟件來執(zhí)行。尤其是上市公司的安全審計(jì)結(jié)果會(huì)影響公司的聲譽(yù)及股票持有人的信心。稍一出錯(cuò)就有可能牽扯到訴訟。在這類情況下,人的經(jīng)驗(yàn)還是最可靠的。目前審計(jì)防火墻最快捷的辦法,就是事先開列具體的審計(jì)步驟,一步一個(gè)腳印地執(zhí)行,把審計(jì)結(jié)果逐一填寫在事先預(yù)備好的一堆()表格上(AuditChecklist)。表填滿了,剩下的任務(wù)就是t填表寫報(bào)告。
本文的作用,就是為審計(jì)防火墻的基本步驟提供一個(gè)大致的輪廓。有了這個(gè)輪廓后,根據(jù)各單位的具體情況搞出審計(jì)防火墻的具體步驟,應(yīng)該是輕而易舉的。
3.防火墻審計(jì)的基本和步驟
。1)在開始審計(jì)防火墻前,要把防火墻的四周網(wǎng)絡(luò)環(huán)境,保護(hù)對象,安全要求搞清楚。還要搜集一些必要的資料為后面的步驟做準(zhǔn)保。至少要得到最新的以下方面的情報(bào):
防火墻四周區(qū)域網(wǎng)絡(luò)的流程圖(包括內(nèi)部和外部)
路由器的設(shè)置
防火墻及四周設(shè)備在網(wǎng)絡(luò)上的名字和IP地址
防火墻網(wǎng)絡(luò)連接情況(防火墻每個(gè)網(wǎng)絡(luò)界面的IP和鄰近設(shè)備)
有關(guān)防火墻的最基本信息,比如生產(chǎn)廠家,版本,質(zhì)量保障合同,治理員的姓名,24小時(shí)技術(shù)支持的電話號碼,等等。
防火墻使用單位的安全政策(SecurityPolicy)。在國內(nèi)還必須搞清楚國家政策和法律要求。
防火墻的治理制度(書面)。要仔細(xì)檢查責(zé)任制,變更控制過程(changecontrolprocess),維修和廠家銷后支持的途徑及過程,等等。
防火墻的安裝、使用、升級、維護(hù)、及日常治理記錄。
這一步實(shí)際上是為整個(gè)審計(jì)工作做預(yù)備。假如缺少以上任何一個(gè)方面的情報(bào),必須在審計(jì)報(bào)告中建議有關(guān)職員補(bǔ)上。最難補(bǔ)的是安全政策?墒且粋(gè)單位假如沒有一個(gè)哪怕是很簡單的安全政策,信息安全就只能是兒戲,充其量是某種權(quán)宜之計(jì)。假如缺失防火墻記錄,能補(bǔ)的盡量補(bǔ)上,補(bǔ)不上的就從現(xiàn)在開始嚴(yán)格地做記錄。根據(jù)筆者的經(jīng)驗(yàn),很多單位在這第一步就出題目。比如,根本沒有任何的防火墻治理制度或維護(hù)日志。即使有,也是基本空缺。防火墻的治理界面放到高危險(xiǎn)區(qū),防火墻的Internet端口接進(jìn)的網(wǎng)絡(luò)開關(guān)(NetworkSwitch)上接進(jìn)了幾個(gè)未登記的機(jī)器,等等。但假如這第一步?jīng)]有題目,后邊的題目也不會(huì)太多。
。2)下一步就是查看防火墻的配置、環(huán)境、和運(yùn)行情況。這其中包括邏輯的和物理的狀況 要調(diào)查的至少應(yīng)包括以下幾個(gè)方面:
防火墻的硬件設(shè)置(這主要是查處理器的數(shù)目及速度,硬件防火墻免查這一項(xiàng))。
防火墻的操縱系統(tǒng)及版本(硬件防火墻免查操縱系統(tǒng)及版本)。
防火墻的網(wǎng)卡設(shè)置速度。是不是halfduplex?是不是10Base-T?其速度跟網(wǎng)絡(luò)開關(guān)的速度是否嚴(yán)格匹配?
防火墻的日志是存在哪里的(存在自身的硬驅(qū)還是另一機(jī)的硬驅(qū))?假如存在另外一臺計(jì)算機(jī)上,那么是如何保護(hù)日志的(是否加密)?保存多長時(shí)間?有沒有把日志備份到磁帶上?
假如防火墻的日志是存到自己的硬驅(qū)里,那么硬驅(qū)總共有多大存儲空間?還剩多少存儲空間?假如只剩有很少的空間,那么要趕緊想辦法。
看一看防火墻的內(nèi)存(RAM)使用情況?纯词欠窠(jīng)常處于滿負(fù)荷狀態(tài)。假如是,就要在審計(jì)報(bào)告中建議考慮增加內(nèi)存。
看一看防火墻的中心處理器使用情況?纯词欠窠(jīng)常處于滿負(fù)荷狀態(tài)。假如是,就要在審計(jì)報(bào)告中建議更換機(jī)器。
對于軟件防火墻,是不是定期將所有數(shù)據(jù)(包括操縱系統(tǒng))備份到磁帶上?
防火墻有沒有failover設(shè)置?假如有,怎么測試它是否真的管用?
有沒有緊急情況應(yīng)急方案?對方案有沒有進(jìn)行定期的實(shí)戰(zhàn)練習(xí)?
有關(guān)防火墻的文件是不是胡亂堆在哪個(gè)桌子上任人翻看?防火墻是放在哪里的?機(jī)房溫度是否太高?防火墻的散熱風(fēng)扇是否在轉(zhuǎn)?摸摸防火墻是不是燙手?機(jī)房的門是不是大敞開歡迎各方游客?機(jī)房有沒有防火報(bào)警器?防火墻是不是隨便堆在另一臺計(jì)算機(jī)上面一碰就倒?所有的電纜是否用標(biāo)簽明確地說明網(wǎng)絡(luò)界面及IP?電纜是不是吊在空中一不小心就會(huì)把人絆倒?電源是不是穩(wěn)壓的?有沒有斷電保護(hù)?機(jī)房地面是不是防靜電的?機(jī)房的垃圾桶里面是不是有防火墻的示意圖、半截?zé)燁^、香蕉皮、色情圖文?一個(gè)隨便亂丟機(jī)密文件、在機(jī)房吸煙、飽開口福、想進(jìn)非非的防火墻治理員是難以勝任的。
上面除第一個(gè)環(huán)節(jié)外,其它任何一個(gè)環(huán)節(jié)出題目,都有可能導(dǎo)致嚴(yán)重的后果。像防火墻操縱系統(tǒng)的版本,假如還是SunSolaris2.6,就是個(gè)大題目。由于Sun(升陽公司)早就停止支持Solaris2.6,并不再為其寫任何補(bǔ)釘了。這就是說,假如某黑客發(fā)現(xiàn)了一個(gè)新的SunSolaris2.6的漏洞,SunSolaris2.6的用戶將毫無舉措。
。3)下一步就是了解防火墻的自身安全狀況。防火墻是用來保護(hù)網(wǎng)絡(luò)的,當(dāng)然首先要有能力保護(hù)自己。自身不保的防火墻即是是縱火墻。在這方面至少要把以下幾點(diǎn)搞清楚:
對于軟件防火墻,查看防火墻的操縱系統(tǒng)究竟有沒有按照生產(chǎn)廠家的規(guī)定,安裝足夠的安全補(bǔ)釘。假如沒有,那么將缺少的補(bǔ)釘逐一列出來。
查看防火墻本身的補(bǔ)釘–是否有按照生產(chǎn)廠家的規(guī)定,把安全補(bǔ)釘裝夠。假如沒有,那么將缺少的補(bǔ)釘逐一列出來。假如是硬件防火墻,那么就要查看防火墻的Firmware版本。然后核對生產(chǎn)廠家的最新版本。假如防火墻的Firmware確版本不是最新的,那么就要在審計(jì)報(bào)告中把這個(gè)寫上往。
有多少人被授權(quán)進(jìn)行防火墻的治理?他們是使用各自的用戶名進(jìn)進(jìn)防火墻治理界面,還是否共享一個(gè)用戶名?有沒有一張示意圖表明這些人的權(quán)限?他們是否被要求定期更換口令?是否答應(yīng)使用脆弱口令?防火墻日志是否記具體記錄每個(gè)治理員的進(jìn)進(jìn)系統(tǒng)的時(shí)間、輸錯(cuò)口令的次數(shù)、被拒盡進(jìn)進(jìn)的次數(shù),退出系統(tǒng)的時(shí)間,等等。
有沒有“后門”可以避開種種安全控制,進(jìn)進(jìn)防火墻。這是比較困難的。由于防火墻治理員一般不會(huì)說出這一類秘密。要做些,包括向生產(chǎn)廠家詢問。特別是要向生產(chǎn)廠家打聽系統(tǒng)安裝時(shí)第一個(gè)使用的用戶名及口令。然后看看那個(gè)用戶名和口令是不是在系統(tǒng)安裝好后已更改。
防火墻治理是從哪臺機(jī)進(jìn)行操縱的?那臺計(jì)算機(jī)是不是有屏幕保護(hù)以防止外人隨意操縱?是不是誰都可以躲在后面偷看一把?翻開鍵盤底下,是不是寫了一行口令?
一般地說,防火墻的治理是遠(yuǎn)程操縱的。那么,我們要了解這一遠(yuǎn)程操縱過程是否自始至終加密?梢栽囋囉肨elnet遠(yuǎn)程登錄。還要搞清楚是不是任何IP都可以答應(yīng)進(jìn)行遠(yuǎn)程治理。假如是,一定要在審計(jì)報(bào)告中要求對IP加嚴(yán)格的限制。
對于軟件防火墻,還要仔細(xì)檢查操縱系統(tǒng)的設(shè)置。是不是有任何多余的系統(tǒng)過程(services)在運(yùn)行?各用戶口令是否定期改變?是否答應(yīng)使用脆弱口令?是否有完備的操縱系統(tǒng)安全日志?等等。
。4)現(xiàn)在我們要進(jìn)進(jìn)審計(jì)的核心部分:檢查防火墻的規(guī)則(ruleset)。這是防火墻審計(jì)過程中最困難、最復(fù)雜,最費(fèi)時(shí)的一步。
每一條防火墻的規(guī)則的產(chǎn)生或更改,都需要有具體的注釋,寫清楚是誰要求添加和修改的,原因何在,添加或更改的日期,以及時(shí)限等。我們首先要把全部的規(guī)則從防火墻調(diào)出(幾乎所有品牌的防火墻都有這項(xiàng)功能),然后打印出來。下面就要一條一條地往查看是否有注釋……假如任何一條規(guī)則后面沒有加注釋,那么就要在審計(jì)報(bào)告中建議防火墻治理員補(bǔ)上。
然后,我們要檢查防火墻的第一條規(guī)則。防火墻的第一條規(guī)則就是拒盡一切數(shù)據(jù)流進(jìn)進(jìn)(“blockall”)。這一步極少出題目。
下面的工作,就是要把所有時(shí)限并過期了的規(guī)則列在一起。這一步的目的就是防止那些應(yīng)急策略變成永久策略。假如防火墻治理員對于每一條規(guī)則都做了具體的注釋,這一步就很快可以完成。完成這一步可以為下一步減少很多工作量。找出了所有的過期了的規(guī)則后,終極目的是要把它們刪除,或者把它們變成永久性的(在不違反安全政策的條件下)。假如防火墻治理員不能提供很好的注釋,這一步就無法完成。下一步就要多一些工作量。要把這個(gè)題目寫在審計(jì)報(bào)告上,以防再次出現(xiàn)。
然后我們要一條一條地往核實(shí)防火墻規(guī)則的有效性。所謂有效性,是指兩個(gè)方面。其一是指每一條規(guī)則是否需要存在。最簡單的做法,就是核實(shí)每一條規(guī)則的出發(fā)點(diǎn)和終點(diǎn)是否還存在。比如說一條規(guī)則要從內(nèi)部IP192.168.24.20到外部IP201.30.33.11打開TCP端口3105,使公司某人可以參加某個(gè)網(wǎng)上會(huì)議。但是仔細(xì)一檢查,IP201.30.33.11已封閉多時(shí)。也就是說這一條規(guī)則無效,必須刪除,或者改到正確的IP上。有效性又是指每一條規(guī)則是否能夠做要做的事情。還以上面的例子,假如兩個(gè)IP都處于工作狀態(tài),但是公司里這個(gè)參加網(wǎng)上會(huì)議的人總是抱怨不能觀看對方的實(shí)況樣品電視解說。只可以看靜態(tài)的圖象。檢查原因,TCP端口3105是打開了,但是對方的系統(tǒng)要求把UDP端口也打開,才能看到電視。這條規(guī)則須經(jīng)修改,加開UDP端口3105.
防火墻規(guī)則安全性的涵義較廣。接受過專門培訓(xùn)的防火墻治理員一般是知道如何避免使用不安全的規(guī)則。但是現(xiàn)實(shí)中有很多復(fù)雜的情況,稍不留心就會(huì)使一條規(guī)則成為一個(gè)安全隱患。安全性方面大多數(shù)題目都是把“洞”開得太大,或開在不該開的地方。舉個(gè)例子,假設(shè)在DMZ上有幾十臺互聯(lián)網(wǎng)服務(wù)器(WebServer)在晝夜運(yùn)行。日常治理和監(jiān)視這些服務(wù)器是通過一臺設(shè)在內(nèi)部網(wǎng)的Tivoli服務(wù)器來執(zhí)行的?墒荰ivoli服務(wù)器和DMZ上的幾十臺互聯(lián)網(wǎng)服務(wù)器之間有一層防火墻擋著。根據(jù)IBM的技術(shù),這就要在這一層防火墻開很多端口才行。有些還必須是雙向的(bi-directional)。假如真聽了IBM的話,那防火墻的安全性就大打折扣。由于攻破DMZ是相對來說較輕易的事。攻破了DMZ,又有這么多端口大門敞開,攻進(jìn)內(nèi)部就不太費(fèi)事了。解決這個(gè)題目的辦法,是關(guān)掉這些端口,在DMZ上安裝一個(gè)Tivoli數(shù)據(jù)中轉(zhuǎn)服務(wù)器,然后只要在防火墻上開兩個(gè)單向端口就行了。安全性還反映在是否執(zhí)行單位的安全政策方面。比如說,某單位的安全政策規(guī)定不準(zhǔn)隨便安裝SMTP服務(wù)器。但是某部分異想天開,要試驗(yàn)一下讓客戶能夠自己開啟用自己注冊域名的Email帳戶發(fā)送郵件的可行性。由于大家深知SMTP的危險(xiǎn)性,就決定把它裝在DMZ上,內(nèi)外各有一層防火墻作屏障?墒怯捎赟MTP端口在防火墻上已打開,而且由于是試驗(yàn)的緣故,對四面八方的郵件轉(zhuǎn)發(fā)(MailRelay)的申請一概不拒。這一端口一開,立即被世界上眾多的垃圾郵件發(fā)送裝置自動(dòng)掃描到。幾小時(shí)后成千上萬的垃圾郵件就潮水般地涌過來,尋找免費(fèi)服務(wù)?墒悄莻(gè)防火墻后面的SMTP服務(wù)器卻說不行,由于你們都不能通過我的身份鑒別。但那成千上萬的垃圾郵件發(fā)送裝置不管這一套。這個(gè)失敗了,那個(gè)又來碰碰運(yùn)氣。這樣一來,這臺SMTP服務(wù)器一天到晚在被狂轟濫炸。炸幾下并不會(huì)導(dǎo)致任何嚴(yán)重后果。題目是網(wǎng)絡(luò)被阻塞。事實(shí)上,這個(gè)題目在國內(nèi)比較嚴(yán)重。很多SMTP服務(wù)器根本沒有任何防范垃圾郵件功能。它們深受國際垃圾郵件大佬們的青睞。解決這個(gè)題目很簡單:在審計(jì)報(bào)告中建議:嚴(yán)格按照單位的安全政策辦事,取消這類的不安全的SMTP服務(wù)器。的具體國情是,國家有嚴(yán)格規(guī)定阻擋特定的IP流通。那么這也是要查的一項(xiàng)。
最后,我們要確保防火墻規(guī)則的公道性。公道的防火墻規(guī)則應(yīng)沒有重復(fù),沒有交疊,它們之間也不互相沖突。這方面的題目在多人治理的防火墻上較多。要把重復(fù)的,相互交疊的,還有互相沖突的規(guī)則列出來,在審計(jì)報(bào)告中建議修改它們。
上面幾件事做好了,防火墻的一團(tuán)亂線就理清了,人為造成的漏洞堵住了。在美國很多單位有人僅憑做好這件事情,就會(huì)得到上面的嘉獎(jiǎng)。由于它解決了很多實(shí)際題目。
(5)上面幾個(gè)環(huán)節(jié),都是由經(jīng)驗(yàn)豐富的人往做的。現(xiàn)在我們可以輕松一點(diǎn)了:讓傻瓜機(jī)器往幫點(diǎn)忙。這就是對防火墻進(jìn)行漏洞掃描(VulnerabilityScan)。這一類時(shí)髦的安全軟件工具市場上至少已有一打。有些確實(shí)很好。要留意的是,對防火墻的每一個(gè)網(wǎng)絡(luò)界面都要掃描一番,不要遺漏任何一個(gè)。假如你有更時(shí)髦的穿透試驗(yàn)(PenetrationTest)軟件,當(dāng)然也無妨拿過來用用。你手中的百般武藝盡可以拿來大顯身手。筆者還建議,對用來做防火墻治理的計(jì)算機(jī)也不妨掃描一番,比如說看看是否有人已送了一個(gè)特洛伊木馬往常駐。假如把存放防火墻日志的那臺計(jì)算機(jī)也掃描一番,也不算過分。把所有掃描結(jié)果寫到審計(jì)報(bào)告上。有一點(diǎn)要留意的是,不管你用何種對防火墻進(jìn)行掃描,一定要把時(shí)間,掃描工具或人使用的IP都正確地記下來。在下一步的審計(jì)防火墻的日志時(shí),一定要看看防火墻日志有沒有把受到的攻擊如實(shí)記錄下來。有的防火墻設(shè)置有警報(bào)。要看看警報(bào)系統(tǒng)是否正常工作。
。6)然后,我們來審計(jì)防火墻的日志。國內(nèi)對這方面已有不少先容。這里就不打算重復(fù)了。這方面的軟件也不少。我想提醒兩點(diǎn):第一,對于軟件防火墻,別忘了也審計(jì)防火墻操縱系統(tǒng)的日志。假如一臺防火墻也用來做VPN,那么也要留意有關(guān)VPN上各項(xiàng)活動(dòng)的日志(一般來說這類VPN沒有獨(dú)立的日志)。假如一臺防火墻也用來做代理服務(wù)器(Proxy),那么也要審計(jì)代理服務(wù)器的日志。審計(jì)代理服務(wù)器的日志耗費(fèi)時(shí)間,用軟件工具可以大大進(jìn)步效率。第二,審計(jì)防火墻的日志,并不單單是一個(gè)技術(shù)題目,有時(shí)也可能會(huì)引出人事,,隱私等題目。它在某種程度上可以監(jiān)視跟蹤員工上班時(shí)的網(wǎng)上行為。它可能導(dǎo)致員工丟飯碗,也可能暴露員工的工作效率,嗜好,情緒,乃至性傾向。筆者在1996年某次查看防火墻員工瀏攬互聯(lián)網(wǎng)日志,發(fā)現(xiàn)某部分的一個(gè)挺不錯(cuò)的員工的“性”趣全是同性。在跟同事聊天時(shí)不慎說漏了嘴,很快這消息就長了翅膀。不久那個(gè)員工就在風(fēng)言風(fēng)雨中辭職了。這是筆者的一個(gè)永遠(yuǎn)的沉痛教訓(xùn)。審計(jì)防火墻的日志,最好由兩人查看同一日志,以防任何一人隱瞞任何題目。但對于審計(jì)的結(jié)果,要嚴(yán)加保密。假如審計(jì)兵結(jié)果牽涉到人事、法律方面的題目,要把原始證據(jù)妥善保存好,以便復(fù)核。只有原始日志才能用于法律證據(jù)。在防火墻的審計(jì)報(bào)告中要隱往涉嫌人名。
(7)最后的一步,就是對防火墻實(shí)施攻擊測驗(yàn)(PenetrationTesting),以測驗(yàn)防火墻的真實(shí)安全性。這需要最謹(jǐn)慎從事。這是只有專家才能做的事情。不同的專家由于經(jīng)驗(yàn)和手段不同,會(huì)得出不同的結(jié)果。稱職的這類專家人數(shù)極少。假如沒有條件,這一步可以省略。
對防火墻的審計(jì)工作本身,大致就是這些步驟。但要把工作善始善終,還有一件大事要做,這就是要把審計(jì)報(bào)告寫出來。這是可以自動(dòng)化的。把上述講的所有結(jié)果列在一張表格上。然后給每一方面進(jìn)行打分。打好分后把分?jǐn)?shù)最低和最高的那幾條寫到里往。對需要改正的地方,提出相對的建議。然后再把幾個(gè)大方面的結(jié)果畫幾張五顏六色的大餅圖。最后再搞幾個(gè)附錄之類的。報(bào)告就做出來了。國內(nèi)有些有關(guān)網(wǎng)絡(luò)安全的文章,寫的布滿玄機(jī),深不可測,把簡單的事情搞復(fù)雜了。但是防火墻的審計(jì)報(bào)告,卻要以簡單明了的方式和格式,讓客戶看得懂,知道怎樣往改正錯(cuò)誤,避免再出錯(cuò)誤。這就要把復(fù)雜的事情弄簡單一些。
【淺談防火墻審計(jì)】相關(guān)文章:
淺談經(jīng)營失敗審計(jì)失敗與審計(jì)風(fēng)險(xiǎn)05-10
淺談內(nèi)部審計(jì)人員的職業(yè)道德05-24
淺談基層開展專項(xiàng)審計(jì)調(diào)查的思考06-19
淺談中外內(nèi)部審計(jì)準(zhǔn)則比較研究05-03
淺談內(nèi)部審計(jì)風(fēng)險(xiǎn)控制(精選7篇)04-26
淺談企業(yè)內(nèi)部管理審計(jì)的論文08-27
淺談如何利用內(nèi)部審計(jì)創(chuàng)造價(jià)值論文(通用7篇)08-21
淺談注冊會(huì)計(jì)師審計(jì)風(fēng)險(xiǎn)及其規(guī)避措施論文08-06
淺談生命的可貴06-08