端口敲门与单包授权:网络安全新策略
1. 增强防火墙功能
借助 Snort 社区的签名,fwsnort 和 psad 项目能将 iptables 防火墙转变为可检测和响应应用层攻击的系统。本质上,这让 iptables 成为一个基础的入侵预防系统,能够阻止大量攻击与本地系统套接字绑定的进程,或与通过该系统转发流量的远程客户端或服务器进行交互。
2. 改变传统网络安全模型
传统的网络访问和安全模型中,数据包过滤器配置为允许访问网络服务,应用程序的安全性则留给应用程序本身,以及基于签名的入侵检测系统提供的有限帮助。而通过采用 iptables 对一组受保护的服务采取默认丢弃策略,并同时仅允许能够通过被动收集的信息向 iptables 证明其身份的客户端访问,我们可以为任意网络服务增加一层额外的安全保障。
3. 减少攻击面
任何由默认丢弃数据包过滤器保护的服务,除非重新配置数据包过滤器以允许访问,否则从任意潜在客户端的角度来看,基本上是无法访问的。这意味着与这些服务建立的唯一会话是那些已获授权的会话,进而降低了针对这些服务的攻击率和误报率。对于基于 TCP 的服务来说尤其如此,因为如今大多数入侵检测系统都维护着 TCP 会话状态的概念,以过滤掉在未建立 TCP 会话的情况下通过网络伪造的虚假攻击。
例如,一个被此类入侵检测系统监控的伪造攻击不会产生误报,而试图通过已建立的 TCP 会话进行真正攻击的尝试将失败,因为由于默认丢弃数据包过滤器,会话无法建立。因此,端口敲门和单包授权(SPA)减少了对网络服务实施攻击的手段。
4. 零日攻击问题
尽管过去几年在软件安全方面付出了很多
