- 零信任網絡:在不可信網絡中構建安全系統
- (美)埃文·吉爾曼 道格·巴斯
- 2059字
- 2020-01-16 13:50:29
1.3 威脅形勢的演進
即使在互聯網出現之前,計算機系統之間的遠程通信也一直是人們追求的目標。那個時代的計算機遠程通信通常是通過公共電話系統來實現的。用戶和計算機系統可以撥入公共電話網絡,將數據編碼成音頻信號來傳輸,以連接到遠程計算機。因為物理上接觸到遠程計算機非常困難,所以公共電話網絡的撥號接口成了當時常見的攻擊向量。
在組織紛紛把主機服務器連接到互聯網之后,網絡攻擊的發起方式也從公共電話網絡轉移到了互聯網,互聯網引發了網絡攻擊態勢的變革。通過公共電話網絡發起攻擊會占用電話線路,這很容易被發現,而從IP網絡上發起的攻擊只是表現為TCP連接,這顯然要隱蔽得多,攻擊者可以長時間地進行漏洞利用和暴力破解嘗試之類的攻擊而不會引人懷疑。同時,這種轉變還產生了更有影響力的攻擊能力——利用惡意代碼監聽網絡流量。
20世紀90年代末,世界上第一個(軟件)特洛伊木馬問世,并開始在互聯網上傳播。特洛伊木馬欺騙用戶安裝惡意軟件,然后打開一個端口等待連接請求。攻擊者可以連接到這個開放的端口并遠程控制目標計算機。
人們很快就意識到,需要一種保護互聯網主機的方法,而設置硬件防火墻就是極好的選擇(那時候大多數操作系統還沒有基于主機的防火墻)。硬件防火墻能夠在網絡邊界處強制執行安全策略,確保只允許列入白名單的“安全”的互聯網流量進入內部網絡。如果管理員無意中安裝了向互聯網開放端口(就像特洛伊木馬一樣)的軟件,那么防火墻就可以阻斷訪問該端口的互聯網連接。只有顯式配置了允許訪問該端口的策略,防火墻才會放行相應的網絡連接。訪問互聯網主機的內部網絡流量也同樣可以進行控制,確保內部用戶訪問互聯網主機的網絡流量可以通過,但反過來則不行。這樣可以防止攻擊者利用被攻陷的隔離區的互聯網主機橫向移動進入內部網絡。
雖然對隔離區的入站和出站網絡流量都進行了嚴格的控制,從隔離區進入內部網絡的難度非常大,但由于可以從互聯網訪問到隔離區的主機,因此它們仍然是攻擊的主要目標。攻擊者首先必須攻陷被防火墻保護的主機,然后安裝用于隱蔽通信的軟件,以便于把數據偷取出來。如果攻擊者意圖獲得內部網絡的訪問權限,那么網絡的撥號接口仍然是最容易利用的攻擊入口。
事情發展到這里發生了有趣的變化,引入NAT原本的目的是使內部網絡中的計算機能夠訪問互聯網,現在它卻變成了安全控制設備。這在某種程度上歸功于NAT技術機制本身,而且也的確存在真實的安全需求。雖然內部網絡中的計算機希望自由地訪問互聯網資源,但出于安全的考慮,仍然需要嚴格控制入站流量。部署NAT設備的網絡和沒有部署NAT設備的網絡有一個重要的差別:前者放松了出站流量的安全控制策略。
這種網絡架構與應用模式極大地改變了網絡安全模型。位于可信內部網絡中的主機可以直接與不可信的互聯網主機通信,而互聯網中那些不可信的主機也有機會濫用與自己通信的、位于可信內部網絡中的計算機。更糟糕的是,惡意代碼可以從內部網絡向互聯網上的主機發送消息,這就是今天我們都已經了解的攻擊技術——回連(Phoning Home)。
回連技術是現代網絡攻擊技術的重要組成部分,其主要作用是從受保護的網絡中把數據慢慢地偷取出來,但更重要的是,由于TCP協議的雙向特性,使用回連技術也可以向受保護的網絡中注入數據。
典型的網絡攻擊涉及多個步驟,如圖1-6所示。首先,攻擊者需要攻陷內部網絡中的某一臺計算機。攻擊方法有很多種,可以在用戶使用瀏覽器訪問特定網頁時,利用瀏覽器的安全漏洞發起攻擊;也可以在給用戶發送的電子郵件附件中植入惡意代碼,利用內網計算機本地的安全漏洞發起攻擊,等等。這種漏洞的有效負載非常小,只要建立起與遠程互聯網主機的連接,能夠執行接收到的可執行代碼即可。這類惡意代碼通常被稱為撥號器(Dialer)。
圖1-6 客戶端發起與攻擊相關的連接,能夠輕松穿透出站安全策略配置不強的防火墻
撥號器下載并安裝真正用于攻擊的惡意軟件,然后惡意軟件嘗試與受攻擊者控制的遠程互聯網主機建立新的連接,攻擊者使用此連接向惡意軟件發送指令,偷取敏感數據,甚至建立一個交互式的會話連接。于是,攻擊者就可以把被攻陷的計算機當作跳板,在內部網絡中發起進一步攻擊。
出站安全
出站安全是一種非常有效的對抗撥號回連攻擊的方法,可以檢測并阻止撥號器回連的出站網絡連接。但是,撥號器軟件經常偽裝成常規的Web流量,或者其他看似無害的“正常”網絡流量。如果為了阻斷攻擊而配置過于嚴格的出站安全策略,則可能會影響Web的可用性及用戶體驗,組織的運維管理部門更關注這類現實的問題。
能夠從內部網絡中的某臺主機發起攻擊是一種非常強大的能力。這些主機擁有訪問相同安全域中其他主機的權限(橫向移動),甚至可能有權限與更高級別安全域內的主機通信。因此,攻擊者首先攻陷內部網絡中低級別安全域內的某臺計算機,然后在網絡中橫向移動,最終獲得更高級別安全域的訪問權限。
回顧前面描述的攻擊步驟,可以發現這類攻擊有效地突破了基于網絡邊界的安全模型。邊界安全模型的主要缺陷看起來有些微妙,但也是非常清晰的:基于網絡區域定義安全策略,僅在網絡邊界處強制執行,并且僅使用了源和目標信息進行安全決策。