适合做浏览器主页的网站,深圳实惠的专业建站公司,东莞市建设质量监督网站,嘉兴seo公司网站本节书摘来自异步社区《网络安全体系结构》一书中的第1章#xff0c;第1.4节#xff0c;作者【美】Sean Convery
1.4 一切皆为目标
网络安全体系结构 当前的大型网络存在着惊人的相互依赖性#xff0c;作为一名网络安全设计师#xff0c;对这一点必须心知肚明。Internet就…本节书摘来自异步社区《网络安全体系结构》一书中的第1章第1.4节作者【美】Sean Convery
1.4 一切皆为目标
网络安全体系结构 当前的大型网络存在着惊人的相互依赖性作为一名网络安全设计师对这一点必须心知肚明。Internet就是最好的例子而且每个组织机构内都的网络其实都是Internet的一个缩影。从攻击者的观点看它们之间的相互依赖性让攻击者能够以无穷无尽的方法来达到目的。
举例来说我们假设有一位攻击者想让你的Web站点停止服务那么他/她可以采取的方式有下面这些。
找到你系统中的应用程序或操作系统漏洞攻击它获得root权限随后轻松地让服务器脱机或修改服务器的内容。 向你的Web服务器发送某些类型的直接拒绝服务的攻击Denial of ServiceDoS比如旨在耗尽服务器资源使其无法响应的TCP SYN泛洪攻击。 向你的Internet连接发送旨在耗尽所有可用带宽的DDoS攻击以此阻止合法用户访问服务器。 向路由器或防火墙发送伪造的数据包以占据它们处理合法流量的资源来处理无用的数据。 设法控制你的域名系统Domain Name SystemDNS服务器或Internet服务提供商Internet Service ProviderISP的DNS服务器更改名称记录使其指向一台伪装的服务器。 设法控制一台与该Web服务器处于同一子网的服务器执行地址解析协议Address Resolution ProtocolARP欺骗攻击以拒绝所有Web请求服务或通过中间人man-in-the-middleMITM攻击在请求的数据前往目的主机时修改其内容。 设法控制该服务器连接的上游交换机并禁用相应的端口。 添加或修改该服务器的ISP的路由选择信息使对这台服务器的IP子网查询被定向到另一个位置。 攻击者能够采取的攻击方法可以无限地罗列下去。在前面的示例中攻击者有几个目标可供选择如下所示。
应用程序与操作系统的代码安全。 应用程序与操作系统的拒绝服务攻击。 Internet带宽。 路由器或其他第3层Layer 3L3设备。 DNS重定向。 TCP/IP协议集。 二层Layer 2L2设备。 路由选择协议。 你总结出一个包含了所有类型联网设备的列表这些设备有可能位于这个世界上的任何一个角落比如终端工作站、服务器、无线LAN接入点Wireless LAN Access PointWLAN AP、路由器、操作系统、交换机、防火墙、网络介质、应用程序、负载均衡器、个人数字助理Personal Digital AssistantPDA、蜂窝电话等。一切皆为目标。
在部署安全策略时人人往往过分关注对服务器的保护而没有把足够的精力花费在保护网络的其他部分上。虽然与Internet连接的服务器例如Web服务器的例子毫无疑问是最明显的目标之一但是只注重保护这些系统会让你的设计在其他许多地方存在漏洞。想想看下面哪种攻击对你的企业损害更大
1Web站点遭到了不良资料的丑化这事成了世界上的新闻头条。
2一位内部员工获得了你的CEO邮件随后他知晓了还没有公开的采购计划。通过闯入你的语音邮件系统获得进一步细节后员工从该信息中获利包括该员工的合作者你的公司在一个月后由于内部交易受到调查。
第2点明显对公司具有最大的影响。另外对服务器的如此担心说明你认为那是最关键的资源所在之处。但是在当今移动办公、便携式电脑大行其道的背景下这些设备也可以像服务器那样包含重要的组织机构信息。此外攻击者通常更容易控制便携式电脑。如果你能静下来仔细思考一下攻击者都能通过什么方式进入网络你一定会得到一个可怕的结论。然而作为一名安全设计师你必须考虑到保护组织机构中每个系统的方法因为攻击者只会设法寻找那些留有漏洞的地方。你会在第2章中看到好的安全策略可以让你把心思放在那些值得花费心思的地方。
网络安全学习路线
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。 特别声明 此教程为纯技术分享本教程的目的决不是为那些怀有不良动机的人提供及技术支持也不承担因为技术被滥用所产生的连带责任本教程的目的在于最大限度地唤醒大家对网络安全的重视并采取相应的安全措施从而减少由网络安全而带来的经济损失
