超级会员免费看
端口敲门与单包授权:网络安全新策略
1. 增强防火墙的攻击检测能力
借助Snort社区提供的有效攻击检测特征,fwsnort和psad项目能够将iptables防火墙转变为一个可检测和响应应用层攻击的系统。这实际上让iptables成为一个基本的入侵预防系统,有能力阻止大量攻击与本地系统套接字进程,或与通过该系统转发流量的远程客户端或服务器进行交互。
2. 传统安全模型的突破
以往,数据包过滤器通常配置为允许对网络服务的访问,而应用程序的安全性主要依赖于应用程序自身以及基于特征的入侵检测系统的有限帮助。现在,我们可以采用默认丢弃策略配置的iptables来保护一组服务,同时仅允许能够通过被动收集的信息向iptables证明其身份的客户端访问,为任意网络服务增添额外的安全层。
3. 缩小攻击面
使用默认丢弃数据包过滤器保护的服务,除非重新配置过滤器以允许访问,否则任意潜在客户端根本无法访问。这意味着只有经过授权的会话才能与这些服务建立连接,从而降低了针对这些服务的攻击率和误报率。对于基于TCP的服务尤其如此,因为大多数现代入侵检测系统会维护TCP会话状态,以过滤掉未建立TCP会话的网络欺骗攻击。
- 被入侵检测系统监控到的欺骗攻击不会产生误报。
- 由于默认丢弃过滤器的存在,试图通过已建立的TCP会话进行真正攻击的尝试将失败,因为无法建立会话。
因此,端口敲门和单包授权(SPA)减少了针对网络服务实施攻击的途径。iptables的功能使得实现有效的端口敲门和SPA系统变得容易。为像SSHD这样的服务添加这层额外的安全保障,可能决定系统是被攻破还是保持安全。
订阅专栏 解锁全文
扫一扫
46
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
