|
社区嘉宾
- 帖子:7232
- 注册:
2003-12-24
- 来自:
|
发表于:
2007-05-13 13:01
|
短消息
资料
| 引用: | 【tom2000的贴子】晶体测评小组
让我想到这点的其实是因为在 IKAKA和别人一次有关防火墙的争论引起的。
我想从入侵的角度来说说防火墙,我想一般的侵入都是从扫描器开始的流光和NMAP等,由使用者确定目标特征后开始扫面一个IP段。之后软件就会列出该IP段上可用目标,然后使用者就会侵入,提升权限,注入,运行,清理等等一系列动作。而且某些扫面器基本上会没有人为干预下自动完成。而软件防火墙此时只要可以抵御扫描软件即可。
我们再假设一个“攻击者”不借助任何工具软件全部手动进行攻击,那它面对是什么一切都是未知的他要面对各种情况,仅从软件防火墙来将他就要面对不同品牌进行针对的穿透,这需要攻击者要由多少知识储备要有多高的技术。而且就算它是侵入的速度完全取决自己敲击键盘的速度,那这种对目标不明确的攻击仅仅只是没有意义的简单的机械劳动,这对攻击者不是对任何人来说完全都是在浪费时间。
我再以ASP,反弹木马来说首先来说的这种木马要能突破被攻击自身安装的安全软件/杀毒软件的监视,即使是攻击者对木马进行修改封包甚至是使用了全新的木马,我暂且不说由多少人由这样的技术,就是这样的木马由多少是通过防火墙直接注入目标机器的呢?而多数木马基本还是通过网页下载进入目标机器之中的吧!
再这里我特别提醒大家注意我前面说的这句话“是通过网页也就是浏览器”因为这样无论的速度还是效果以及难度上都要远远好前者。这样的攻击和防火墙由什么关系呢?
我再说说防火墙关于蠕虫病毒的攻击,首先目前各个杀毒软件病毒库最大增长比例是木马不是病毒,而且恶性蠕虫病毒出现的条件是微软必须由可以利用的漏洞,并且相关代码泄露出来,并且编写病毒的作者再微软推出相关补丁前的一段时间内把病毒写好测试完再发布出去 ..... 如果不满足以上条件都不可能意为这样事件的发生,我当然不会天真认为以后不会有这样的事情的发生,但是问题的关键是用户的软件防火墙再其使用期间出现的概率是多少。
有关ARP攻击我仍然认为通过软件防火墙的引擎和规则包不可能完全有效抵御ARP攻击,即使是JeticoV2这样的墙也仅仅只是跟其它软件墙相比出色一些而已。因为面对大量的饱和攻击即使的引擎和规则再优秀那软件也回逐渐消耗系统资源直至没有响应。而且有多少用户会面对这样的攻击?非固定IP的用户可以即使面对这样的攻击转换IP后就可以解决为什么要把没有意义的寄托全放到软件防火墙上?以上对普通用户有意义吗?不要说用户不可能遇到这样的攻击,即使是遇到防火墙抵御主了并提示用户。那对于用户来说除了增加用户思想负担,“呀!有人攻击我”之外有什么意义?
而且真正成功的穿透防火墙是没有提示的,就象平常一样...没有危险的时候警惕,有危险的时候......对外防御上不是要一款一切全能的软件防火墙也没有这样的墙,其实我们要是只是一款够用的墙。用户关于防火墙有什么测试标准?看国外测试结果,自己去安全网站测试,用安全软件测试?看机构测试排名,没有一家是一样的因为方法不同针对也不同。自己去测试我想只要不是太垃圾墙都没有问题过吧 。
用安全软件测试用很简单但是你结果是什么。从专业的安全公司的报告来看目前所有我们知道的软件防火墙几乎再最关键安全构架都有问题,但是为什么我们还能看到那些溢美之词呢?因为有些东西对我们来说是没有意义的,就想过分的安全要求。最后说说测试你用过CPILSuite,LeakTest测试过自己的防火墙吗?结果怎么样?很多时候即使你安全COMODO这样一款我极力推荐的内部防火墙时,信息还是泄露了。因为防火墙提示有对外连接请求时你 放行,防火墙已经进到自己的职责了,但是我们自己放行了。
之所以说COMODO好是因为他可以较好的抵御内部信息的泄露,而且再有对外连接请求的时候,他会有较详细的提示说明该请求的危害性。如果这最关键的提示你不看的话那COMODO就是垃圾,不是说他对外防御不好,而是说他最关键的对内防御也不用或者说不会用!因为内防火墙的防止信息泄露对每个用户都用关键的意义。谁也不敢保证自己杀毒软件不会漏杀,但是漏杀的病毒再面对内防火墙时内防火墙就是你机器最后的防线,这因该关系每一个用户切身的隐私和经济利益了吧?
我也承认内防火墙可能不会面对更新型的渗透但是这需要木马编写者是一个天才因为他要有足够的能力去戏耍全世界的安全公司......而面对外部攻击那飘忽的无数个不确定,那个更有分量,而且我早就说了 火墙没有内外之分只是侧重不同,内外都是我自己冠名进行区分,更重要的是没有任何报告和证据说明内防火墙的对防御就是差!请你打开你的防火墙看看设置中的那些对外连接请求,看看你能确定绝对安全的有几个?就像我一直说的:
在别人嘴里在垃圾的防火墙你会用就是最好的墙,在别人眼里在好的墙你不会用就是垃圾!
前面我已经在防火墙中提示大家注意浏览器,因为他是很多防火墙无法解决问题的根源。而这些问题在杀毒软件中也是无法解决。而且目前任何一款安全产品基本都是在系统已经感染的情况下进行处置的,而这些矛头又集中到浏览器上。我以前已经发了有关浏览器防御的帖子,真的希望大家看看。因为关于个人桌面安全我们真的走错了。要是这样走下去我们用户要成为系统安全专家,杀毒软件专家,防火墙专家.....一个全方位的安全专家这样现时吗?我们假象用户会面对任何安全威胁,但是我们用户的实际面对情况呢?就算可以我们的产品有能力解决任何问题,但是用户会使用吗?个人安全我们真的走错了路!
……………… |
你的思维终究还是太 局限了,因为在你的眼里 攻击还是在02年,而防火墙依旧是单纯的防火墙
流光的没落,已经说明单纯的扫描器已经根本无效了,黑客的机子的带宽和硬件系统都是有限的扫描器效率的低下,你应该清楚以220.184.0.0-220.184.255.255 扫描这个网段 就要消耗好多小时了,但是收获呢? 几乎没有,因为只要开起了windows XP SP2的 自带墙这类 扫描就丝毫没有效果.所以从 03年开始,扫描网段的事情黑客已经早就不做了.
黑客也不会单纯地 用手工去突破单机(和你有仇除外)因为效率太低下.
那么 黑客要肉鸡,黑客要盗号/窃密.什么办法最好?
随便举两个例子好了
方法1
网页挂马
网页挂马分做两种
第一种 已知漏洞
只要访问者没有补丁,也没有有效的防火墙.其结果就1个-----中招
在没有补丁的前提下,要想不中招,就得依靠防火墙,我指的防火墙需要是特征过滤的防火墙,因为特征过滤的防火墙能够有效阻断 脚本病毒利用 漏洞下载木马
第二种
未知漏洞
确切说未知漏洞太多了,各式各样的0day 每天公布的至少不少于10组.那仅仅是公开的,掌握黑客内部的用于卖钱的更多
通过此类 方式传播的,补丁是别想了.所以这个完全是考验你的防火墙.
优秀的特征过滤防火墙在以往的行为特征演算中,应该推算出此类漏洞的行为特征,那么就可以阻断此类挂马方式. 但是强调一点 推算也会有漏算的情况,很正常的.至于前几天和人家讨论的 特征趋势自我学习 涉及人工智能的方面,目前的程序无法做到必要的精度,这里也就提一下.所以特征趋势分析这块依旧是要手工完成,这考验的是一个安全人员的能力,并不是大家都能做,所消耗的精力也是相当大.
方法2
通过P2P 的方式
基本上有两点
1 通过P2P 蠕虫.P2P 用的范围很广,此类蠕虫无需人员干预,投放到网络就行了,也没有什么补丁去防范他,只有通过 防火墙对P2P数据进行特征过滤
2 HASH伪造,从王小云教授 提出的MD5 碰撞理论,有些人说HASH校验依旧安全,实际上形式并不乐观,由此推出的 MD5值伪造,黑客完全可以利用这一点使你通过P2P 下载的程序被 绑马.
预防方式 同上
3 软件捆绑
软件捆绑 很简单,捆绑机 捆绑探测器 反捆绑探测器,这类软件黑客站上面多的是.
这里软件防火墙要做的事情有两点
1 和杀软联动 阻止木马进入内存
2 防止木马将信息回传给黑客.防止泄密和受控.
这里有用户谈到的leaktest 的几个程序.我强调一点就是
1 此类程序和木马的泄密方式并不完全一样.
2 厂商对此类程序处理方式不一样,有的不予处理 有的把其加入特征库,有的干脆把测试指向IP给屏蔽了,有的禁止其文件生成.方式多种多样.如果相信这个测试程序,只会误导你.
正确的测试方法
比如找到灰鸽子生成器 配置生成服务端 植入你要测试的机子,从另外的机子用主控端控制,看看是否成功.如果控制成功 那就说明墙被突破了
这才是真正的leaktest
对于普通用户 变成安全专家有这个可能,所有的专家也是这么一步步走出来的.但是绝大部分的用户是很难成为安全专家,兴趣 环境 专业知识的方向 天分 决定了这一切.
作为普通用户而言,能够正确选择安全产品,理解安全产品的运行原理,以及养成安全习惯和树立正确的安全观念,就做的很好了.不要求深入.
对于安全人员,必须跟的上网络安全/威胁的变化,在木马/蠕虫/病毒一体化和木马全端口化的今天,如果用旧的观点去解决现有的网络威胁,只能是 误人误己!
|
