1.4 邊界安全模型的缺陷

當(dāng)前，邊界安全模型依然是最常見的網(wǎng)絡(luò)安全模型，但它存在的缺陷也日益明顯。那些部署了完善邊界防護(hù)的網(wǎng)絡(luò)，每天仍會(huì)遭受復(fù)雜且成功的攻擊，攻擊者手握無(wú)數(shù)種攻擊方法，可將遠(yuǎn)程訪問工具（RAT）注入網(wǎng)絡(luò)，獲取遠(yuǎn)程訪問權(quán)限，并開始在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)。邊界防火墻就像為防止間諜入侵而在城市周圍修建的城墻，效果甚微。

問題其實(shí)出在將網(wǎng)絡(luò)劃分為安全區(qū)域上。設(shè)想如下場(chǎng)景：一家小型電子商務(wù)公司雇用了一些員工，部署了處理薪酬、庫(kù)存等事務(wù)的內(nèi)部系統(tǒng)，還有一些運(yùn)行網(wǎng)站的服務(wù)器。面對(duì)這樣的場(chǎng)景，可能先需要對(duì)訪問情況進(jìn)行分類：?jiǎn)T工需要訪問內(nèi)部系統(tǒng)；Web服務(wù)器需要訪問數(shù)據(jù)庫(kù)服務(wù)器；數(shù)據(jù)庫(kù)服務(wù)器無(wú)須訪問互聯(lián)網(wǎng)，但員工需要。傳統(tǒng)的網(wǎng)絡(luò)安全模型將這些訪問類型組定義為區(qū)域，再確定各個(gè)區(qū)域的訪問權(quán)限，如圖1-7所示。當(dāng)然，制定安全策略后，還需要實(shí)際執(zhí)行它們：既然安全策略是基于區(qū)域定義的，那么合理的做法就是在需要將流量從一個(gè)區(qū)域路由到另一個(gè)區(qū)域的地方執(zhí)行安全策略。

圖1-7　企業(yè)辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間的交互

可以想見，對(duì)于這些通用的安全規(guī)則，總會(huì)存在例外，俗稱防火墻例外規(guī)則。通常，會(huì)盡可能嚴(yán)格限定這些例外規(guī)則的適用范圍，例如，Web開發(fā)人員可能需要能夠使用SSH訪問生產(chǎn)網(wǎng)絡(luò)中的Web服務(wù)器，而HR代理人可能需要訪問HR軟件的數(shù)據(jù)庫(kù)，以便完成審查工作。在這些情況下，一種可以接受的方法是，配置一條防火墻例外規(guī)則，允許來自相應(yīng)IP地址的流量進(jìn)入相應(yīng)的服務(wù)器。

現(xiàn)在假設(shè)前述電子商務(wù)公司的競(jìng)爭(zhēng)對(duì)手雇用了一個(gè)黑客團(tuán)隊(duì)，試圖獲取該公司的庫(kù)存和銷售數(shù)據(jù)。這些黑客在互聯(lián)網(wǎng)上查找該公司員工的電子郵件地址，向他們發(fā)送電子郵件，并將郵件內(nèi)容偽裝成他們辦公室附近一家餐館的優(yōu)惠券。不出所料，有員工單擊了電子郵件中的鏈接，讓攻擊者得以安裝惡意軟件。這款惡意軟件回連到攻擊者控制的主機(jī)，讓攻擊者得以建立一個(gè)與被攻陷計(jì)算機(jī)的會(huì)話。所幸這臺(tái)被攻陷的計(jì)算機(jī)由一個(gè)實(shí)習(xí)生使用，因此攻擊者獲得的訪問權(quán)限有限。

黑客開始在內(nèi)部網(wǎng)絡(luò)中四處搜索，最終發(fā)現(xiàn)公司在其網(wǎng)絡(luò)中使用了一款文件共享軟件，且在所有員工使用的計(jì)算機(jī)上安裝的都不是最新版本的軟件，無(wú)法抵御最近發(fā)布的一種攻擊。

黑客逐個(gè)攻陷員工的計(jì)算機(jī)，并查找具有特權(quán)的計(jì)算機(jī)（如果黑客具備更高級(jí)的攻擊知識(shí)，這個(gè)過程將更有針對(duì)性）。最終，他們找到了Web開發(fā)人員的計(jì)算機(jī)，在其中安裝了按鍵記錄器，并獲取了登錄Web服務(wù)器的憑證。黑客使用所獲取的憑證通過SSH登錄到Web服務(wù)器，使用Web開發(fā)人員的sudo權(quán)限從磁盤讀取了數(shù)據(jù)庫(kù)密碼，并使用該密碼連接了數(shù)據(jù)庫(kù)。他們轉(zhuǎn)儲(chǔ)并下載該數(shù)據(jù)庫(kù)的內(nèi)容，再將所有的日志文件都刪除。如果這家公司足夠幸運(yùn)，可能會(huì)發(fā)現(xiàn)這次數(shù)據(jù)泄露事件，但無(wú)論如何，黑客都得逞了，整個(gè)攻擊過程如圖1-8所示。

圖1-8　攻擊者攻陷辦公網(wǎng)絡(luò)，進(jìn)而進(jìn)入生產(chǎn)網(wǎng)絡(luò)

黑客就這樣得逞了？如你所見，在很多層面都存在缺陷，這些缺陷導(dǎo)致了這次安全事故的發(fā)生。你可能認(rèn)為，這個(gè)案例的人為設(shè)計(jì)痕跡太過明顯，但類似這樣得逞的攻擊司空見慣。然而，其中最令人驚訝的部分卻常常被人忽略：各種網(wǎng)絡(luò)安全措施為何形同虛設(shè)？精心地部署了防火墻，制定了安全策略，并嚴(yán)格地限定了例外規(guī)則的適用范圍，從網(wǎng)絡(luò)安全的角度看，這些都做得非常正確。那么究竟是什么原因?qū)е铝诉@樣的結(jié)果呢？

如果仔細(xì)研究，你將發(fā)現(xiàn)這種網(wǎng)絡(luò)安全模型顯然無(wú)法抵御這樣的攻擊。借助于回連的惡意軟件，可輕松地繞過邊界安全措施，部署在區(qū)域之間的防火墻只根據(jù)源地址和目標(biāo)地址來做出策略執(zhí)行決策。雖然邊界安全措施在確保網(wǎng)絡(luò)安全方面依然具有一定的價(jià)值，但是否要將其作為主要的網(wǎng)絡(luò)安全措施，這絕對(duì)是一個(gè)需要重新考慮的問題。

前述示例中的具體攻擊過程介紹如下。

1．使用釣魚郵件將公司員工作為攻擊目標(biāo)。

2．攻陷辦公網(wǎng)絡(luò)中的計(jì)算機(jī)，找到了突破口。

3．在辦公網(wǎng)絡(luò)中橫向移動(dòng)。

4．找到特權(quán)計(jì)算機(jī)。

5．在特權(quán)計(jì)算機(jī)上安裝按鍵記錄器，以達(dá)到提權(quán)的目的。

6．竊取開發(fā)人員的密碼。

7．以特權(quán)計(jì)算機(jī)為跳板攻陷生產(chǎn)網(wǎng)絡(luò)中的應(yīng)用服務(wù)器。

8．利用開發(fā)人員的密碼在生產(chǎn)網(wǎng)絡(luò)中的應(yīng)用服務(wù)器上提權(quán)。

9．從應(yīng)用中竊取數(shù)據(jù)庫(kù)登錄憑證。

10．以被攻陷的應(yīng)用服務(wù)器為跳板竊取數(shù)據(jù)庫(kù)內(nèi)容。

當(dāng)然，先要尋找現(xiàn)成的解決方案。邊界安全模型確實(shí)是被廣泛接受的確保網(wǎng)絡(luò)安全的方法，但這并不意味著沒有其他更好的選擇。就網(wǎng)絡(luò)安全而言，最糟糕的情形是什么呢？這個(gè)問題的關(guān)鍵點(diǎn)與信任相關(guān)，雖然這樣說有點(diǎn)兒絕對(duì)。