您可以在多大程度上过滤/防火墙来阻止可疑流量或锁定系统?如果您已将所有内容更新且安全,您可以做些什么来防范 0 day?我认为 IDS 可能会有所帮助,例如,它可以将试图生成 shell 的数据包识别为异常并阻止它们。
那么这样就够了吗?或者可以绕过 IDS 吗?如果可以,怎么做?封装?
系统本身呢?tripwire 之类的实用程序可以帮助您了解已修改的内容,但据我所知,这无法阻止网站被破坏或文件被获取?如果有人获得了 root 权限,Tripwire 之类的实用程序是否可以被禁用?(我知道应该将其输出到另一台服务器,但假设它没有输出到另一台服务器,或者假设它也被破解了)
在最坏的情况下您还可以采取哪些其他预防措施?
我在学习和思考这些不同的技术时提出了一些具体问题。提前感谢您的回答。
答案1
完全安全的系统是与攻击者零接触的系统。当与攻击者接触或攻击者未知时,情况就会变得复杂。
不久前,我在一篇题为“如何寻找前任IT人员的后门?这就是您所说的“最坏情况”。一个值得信赖的内部人员表明他们不值得信任(即系统管理员在关系不好的情况下离开,并且可能在道德上受到挑战)。这个大项目符号列表显示了网络防御必须考虑的所有领域。
有完美的安全吗?是的,就是我刚才提到的完全隔离的系统。但你不可能用完全隔离的系统创建一个 Facebook。有没有可能既有完美的安全,又有一个连通的系统?理论上可以。但实际上不可能。
为了获得完全安全、连接的系统,您必须具备:
- 所有可能的输入均已映射。
- 处理逻辑经过验证,可以安全地处理所有可能的输入,包括错误情况。
- 每条逻辑路径都经过验证,运行顺利,没有未处理的错误。
- 未处理的异常,可能需要引入一些未映射的输入来导致它们,被验证为安全失败。
这种事情不会发生在任何地方,除了在思维实验室中,或者在某些修补匠的“从头开始构建整台计算机”的测试用例中。
你可以接近完美,但达到完美所需的成本相当高。我们最接近的可能是航空电子软件,它的输入基础相当有限,而且非常知名。
对于现代计算机和网络安全而言,问题非常复杂且多种多样。具体策略因组织而异,但方法上有一些共同点。组织的规定将定义系统是否需要文件级更改跟踪,或者补丁日志是否足够;诸如此类。
如果你对这个域名感兴趣,我推荐我们的姊妹网站,https://security.stackexchange.com/致力于整体 IT 安全。
答案2
完全保护一个系统是不可能的,这一点可能已经得到证实。这就是为什么强化系统(并保持其强化)只是成功的一半——您还需要密切观察系统以检测任何安全漏洞。
IDS 可以尝试阻止看起来可疑的数据包,但您如何确定数据包是否可疑?攻击者不断想出新方法来混淆他们的意图,因此 IDS 仅对以前见过的攻击和一些未来的攻击真正有效,有人肯定会想出一种与另一台计算机交互而不被 IDS 发现的方法。这可能是一种新颖的封装方法,可能是没有人想到的非常棘手的事情。就文件系统监控而言,这是一个好主意,但它对只读访问没有多大作用(尽管文件访问审计系统可以)。但肯定会有一种方法可以禁用或绕过此类系统,有人会找到它。
基本上,安全领域发展非常迅速,所以没有什么是 100% 安全的。现在有些坏人已经想到了安全研究人员尚未想到的攻击,而且将来还会有更多。
您能做的就是保持警惕。实施目前可用的最佳安全技术。确保一切都保持升级。阅读安全新闻并采取行动保护自己免受发现的每个新威胁。像鹰一样监视您的系统和网络是否有任何异常行为。您可以阻止使用旧技术的攻击者,这很好,因为大多数攻击者都在使用旧技术。您无法阻止使用真正新技术的攻击者,但您可以尽力找出他们何时进入并切断它。
答案3
所以这听起来像是一个家庭作业式的问题。在现实世界中,我们都知道,除了关闭并拔掉网络电缆的系统之外,没有安全的系统。
这就是纵深防御的目的。让事情变得更加麻烦,超出其价值。
防火墙主要可以降低您的攻击面。IDS 是基于签名的,因此如果它没有攻击的签名,它就不会标记它。一些基于主机的 IDS 具有基本的启发式方法,可以检测到某个进程正在做一些奇怪的事情并阻止它。
有一些软件旨在尝试防止数据泄露,但绊网并不是完成这项工作的合适工具。
只要拥有正确的访问级别,任何东西都可以被禁用。对流氓管理员的通常反应是职责分离,这样一个人就无法破坏整个基础设施。还有日志记录。我曾经读到过关于 Solaris 的一些东西,我认为它要求 2 名管理员输入他们的密码才能执行某些高权限操作。
足够好,是一个成本效益分析的问题。