网络安全防护:端口敲门与单包授权技术解析
1. 增强防火墙功能
借助 Snort 社区提供的有效攻击检测特征,fwsnort 和 psad 项目能够将 iptables 防火墙转变为一个可检测并响应应用层攻击的系统。本质上,这使 iptables 成为一个基础的入侵预防系统,具备阻止大量攻击与本地系统套接字绑定进程,或与通过该系统转发流量的远程客户端或服务器进行交互的能力。
2. 减少攻击面
传统的网络访问和安全模型中,数据包过滤器配置为允许访问网络服务,而应用程序的安全性则依赖于应用程序自身以及基于特征的入侵检测系统的有限帮助。但通过将 iptables 配置为对一组受保护服务采用默认丢弃策略,并仅允许能够通过被动收集的信息向 iptables 证明其身份的客户端访问,可为任意网络服务增加一层额外的安全防护。
使用默认丢弃数据包过滤器保护的服务,除非重新配置过滤器以允许访问,否则任意潜在客户端根本无法访问。这意味着与这些服务建立的会话只能是经过授权的,进而降低了针对这些服务的攻击率和误报率。对于基于 TCP 的服务而言,这一点尤为明显,因为如今大多数入侵检测系统会维护 TCP 会话状态,以过滤掉在未建立 TCP 会话的情况下通过网络伪造的虚假攻击。
例如,被此类入侵检测系统监控到的伪造攻击不会产生误报,而试图通过已建立的 TCP 会话发动真实攻击也会失败,因为默认丢弃数据包过滤器会阻止会话的建立。所以,端口敲门和单包授权(SPA)技术能够减少针对网络服务实施攻击的途径。
3. 零日攻击问题
尽管过去几年在软件安全方面投入了大量精力,特别是像 OpenBSD 和 OpenSSH 这样的开源项目,但新发现的软件
