超级会员免费看
端口敲门与单包授权:网络安全新策略
1. 增强防火墙的攻击检测能力
借助Snort社区的签名,fwsnort和psad项目能够将iptables防火墙转变为一个可检测并响应应用层攻击的系统。本质上,这让iptables成为一个基础的入侵防御系统,能阻止大量攻击与本地系统套接字绑定的进程,或者与通过该系统转发流量的远程客户端或服务器进行交互。
2. 改变传统网络安全模型
传统的网络访问和安全模型中,数据包过滤器配置为允许访问网络服务,应用程序安全则依赖应用本身以及基于签名的入侵检测系统(功能有限)。而采用iptables默认丢弃数据包的策略来保护一组服务,并仅允许能通过被动收集信息向iptables证明其身份的客户端访问,可为任意网络服务增加一层额外的安全防护。
3. 减少攻击面
使用默认丢弃数据包的过滤器保护的服务,除非重新配置过滤器,否则任意潜在客户端无法访问。这意味着只有经过授权的会话才能与这些服务建立连接,从而降低了针对这些服务的攻击率和误报率。对于基于TCP的服务尤为如此,因为大多数入侵检测系统会维护TCP会话状态,以过滤掉未建立TCP会话的网络欺骗攻击。
- 被此类入侵检测系统监控到的欺骗攻击不会产生误报。
- 由于默认丢弃数据包的过滤器,试图通过已建立的TCP会话进行真正攻击也会失败。
因此,端口敲门和单包授权(SPA)减少了对网络服务实施攻击的途径。iptables的功能使实现有效的端口敲门和SPA系统变得容易,为像SSHD这样的服务添加这一额外安全层,可能决定系统是被入侵还是保持安全。
4. 零日攻击问题
尽管过去几年在软件安全方面投
订阅专栏 解锁全文
扫一扫
46
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
