防火墙不防火??
http://www.mos.org.tw/id...edge.asp#2005.03
【中央社纽约2004/04/24】全球最大防毒软体研发厂商赛门铁克(Symantec),稍早坦言「诺顿个人防火墙」与「企业客户防火墙」两款产品,已遭骇客发现漏洞。公司已经紧急释出修复档案,希望用户尽快使用LiveUpdate功能安装该档案。
【CNET Taiwan 2004/05/02】知名防火墙Checkpoint产品被发现有漏洞,可能给骇客窃取公司网路上机密资讯的机会。Checkpoint产品NG是全球市占率最高的防火墙。这项产品被发现有漏洞,而CheckPoin也于今(5)日公布Firewall-1 HTTP Security Server安全漏洞修补程式供客户下载。
看到以上这样的报导,使用者有何看法?有何担心的问题呢?或是有新的启发呢?
防火墙的最主要功能是存取控管,控制进出流量的允许或禁止,其设定选项可包含流量来源、流量目的、网路服务、通讯协定…..等等条件。但今天若连防火墙的作业系统都隐藏着漏洞的话,防火墙该如何正确的维护存取控管机制呢?防火墙该如何提供给企业内部安全的防护呢?
假如防火墙的作业系统没有漏洞的话,网路防火墙就如铜墙铁壁,无坚不摧了吗?答案可能不是大家想像的一样,因为正确的答案是『不』。至从日本筑波大学学生登大游开发SoftEther以后,这样的议题才开始被大家重视及广泛的讨论。我们先来看看,为何SoftEther会引起大家广泛的讨论呢?
SoftEther 以软体的方式模拟实体网路卡,将Internet上的电脑,透过SoftEther的软体连在一起。SoftEther 是一套 Client / Server 架构的软体,Server端模拟成一各虚拟的Hub,Client 端可以使用 SoftEther Protocol让虚拟的网路卡与虚拟Hub连接,如此就利用虚拟的方式将远端的电脑连接在一起,型成一各虚拟的实体网路。每一个连上虚拟Hub的Client端皆可透过这一个虚拟的网路,来传送任何的档案或是执行任何的程式。而且SoftEther可以将自己的通讯协定转换成SSL Session后,可穿越防火墙。或许这样听起来大家感觉很正常,那我举各例子来说明:
一、一个员工在家里的电脑装上了 SoftEther 的软体,并定义为一个虚拟的Hub后,并将家里的电脑连上Internet
二、第二天员工进到办公室,将办公室的电脑也安装SoftEther 软体
四、当天下班后,员工仍然继续让办公室电脑连接至家里电脑建立的虚拟Hub,且未关闭办公室的电脑
五、员工回到家里,就可以透过家里电脑连接至办公室的电脑,并可存取办公室电脑的资料
六、若该员工若想要存取企业内部网路资源,只需将办公室电脑的虚拟网卡与实体网卡Bridge起来即可
各位现在应该可以构思出这样一个情景了吧,企业原本架设防火墙的目的,就是希望可以保护企业内部资料的安全,并限制非授权使用者的存取。但经使用者架设SoftEther的软体后,防火墙的保护措施就失效了。这对企业的资讯安全不是一各重大的威胁吗?
可穿越现有防火墙的软体并不是只有SoftEther一种,另外还包含NC、Hopster、HttpTunnel……等等的软体。这些软体皆可利用 Tunnel或 Proxy 的方式穿越防火墙,突破防火墙的限制。如此说来防火墙不就没有建置的必要了吗?其实防火墙在整各网路环境中仍扮演着重大的角色,因为网路上的恶意行为约六成可以透过传统防火墙的来做有效的防御。但如何让企业网路运作的更安全,个人有以下几项建议:
一、订定企业内部安全政策:企业为维持正常运作,可订定相关的资讯安全政策,以确保企业内部资讯安全及运作顺畅。例如规定企业内部可以使用之软体… 等。
二、详细审核防火墙的政策:防火墙建置并非只要第一次设定后,就可高枕无忧。管理人员应该随时检查防火墙的安全政策是否符合现在要求,并做适当的修改。另外,也不要贪图一时的方便,而随意开起让内部服务可以由外部存取。
三、不要轻忽内部使用者:企业内部使用者的使用习性往往很难规范,例如员工随意上网以致于电脑中毒或是被安装后门程式。而这一些威胁防火墙并无法管制而造成内部的蔓延。对于内部重要的网路区域或许可以安装内部防火墙,以作区隔。
四、随时检视纪录档:防火墙记录档会老老实实的纪录网路流量状况,也是安全稽核的一各重要的依据。所以网管人员应该随时检视纪录档内是否有异常,早日由纪录党内发现异常,就有机会可以避免资安事件的发生。
参考资料
http://taiwan.cnet.com/news/softwar...20087355,00.htmhttp://tw.stock.yahoo.com/n.../c/317.htmlhttp://www.softe...om/jp作者:郭宏国
通过 EC-Council 之 CEH 认证
本文章刊登于 资安人杂志 2005年3月号 NO 17, P116
