在特洛伊战争中,要不是特洛依人多事将木马拖入城内,也不会造成木马屠城的惨剧;不过在Internet的时代,防火墙城门是不能紧闭的,在某些程度上甚至是欢迎大家光临的;控管只是要降低与外界的接触面,并不能完全阻隔。因此提供外界的连线存取是有必要的,而依赖防火墙的连线存取控管,是否就可以免于黑客入侵了呢?
答案是否定的。防火墙可以阻挡一些入侵行为,但是并不能完全抵挡。依连线控管级别来分析,采用Packet Filtering或Stateful Inspection控管机制的防火墙,可轻易被伪装成正常网络程序端口号的后门程序欺瞒!Application Layer Gateway能阻挡的入侵行为最多,包含防止身分伪冒、数据包调包以及确保协定内容的真实。但这些还是不够,因为即使传输内容合乎协定标准,但是数据包内容传递至远端系统后,系统的反应却不见得是正常的。
就如同上述的例子,A书店如果是儿童书店,而收到的杂志内容却是光怪陆离,或是色情暴力,这样对于书店读者来说反应是负面的,其实并不应该收下这些杂志的。但因为守卫并不负责书刊分级,他只管将东西传送到目的地,A书店还是照单全收,书店也只好自行处理这些垃圾;有时也可能收到一大堆的垃圾杂志,堵住整间书店,以致不能正常营业!
而在Internet的环境中,各Internet Service的问题通常还更严重,我们称之为“弱点(Vulnerability)”或“漏洞”,黑客可以利用Internet Service的正常传输指令,夹带的却是系统所不能接收的内容,来达到入侵系统有弱点的主机的目的。一旦入侵到内部系统后,就有机会再入侵到其他系统。
这就是一副网络木马屠城图:防火墙提供内部的Web与Mail供外界存取,Internet使用者使用标准的程序或指令来达到连线的目的;黑客却可以利用这些已开启的通道,对内部Web Server与E-Mail Server进行破坏,且一旦破坏成功后,又转而破坏其他Unix与NT主机。
常见的系统入侵行为
在防火墙的保护伞后面,仍然会遭受外部入侵的行为有: 1、妨碍系统正常运作(Denial of Service),以让所有网络连线中断为目的。 2、Buffer Overflow利用程序设计的疏失,异常中断程序运作。通常会伴随“root exploit”或“backdoor”的攻击。 3、截取超级使用者权限(root exploit)以控制系统,并据此攻击内部其他机器。 4、安装后门木马程序,供黑客随时进入系统用,同时自动收集相关信息传送给黑客。
特洛伊城之所以久攻不破,是它有一道坚固的城墙,不会因城墙溃败而引来全面性的杀机;在Internet上我们也需要一道坚实的防火墙,以确保防火墙不会因被击溃,而导致企业内部数十乃至数百台的电脑的入侵危机。但木马屠城却给我们另一层的启示:在外需要厚实的城墙抵挡,在内更须时时提高警觉,防止可疑份子的渗透破坏。
因此即使有了防火墙,也须要时时提防所有的连线是否隐藏破坏分子,也要审视系统是否脆弱地不堪黑客一击。同时更须设法提高系统的自卫能力。如此遇到木马时,也不至于被屠城了。
……