这是一位安全顾问在进行安全测试过程中的真实经历。
在过去五年里,我作为一名顾问,参加了管理网络安全漏洞评估和突破测试(penetration)的工作。根据这几年的工作经历,我发现了一些从网络安全角度来看,令人难以置信的情况。下面是两种主要的情况。这些情况也会在你的公司内部发生吗?
只要能用就行!
在对于一家小型专业公司的办公网络进行安全漏洞评估时,我发现有一个网络连接配线“错误”却碰巧能够让外部和内容电子邮件工作的更有效。该办公室经理雇佣了一家当地的网络配线供应商来设计、安装并配置办公室的网络,这个网络里包含了服务器、工作站、打印机、无线接入点和其他各种各样的设备。该供应商提供并安装了一个硬件防火墙,以此在内部网络和公司的互联网接入之间提供安全保障。
该公司最初只允许公司管理层和员工之间的内部邮件。但是随着时间的推移,想要通过互联网、利用电子邮件和外部世界联系的需求却越来越强,于是该公司的办公室经理就要求网络配线供应商来为公司提供外部电子邮件,并表示只要能用就行。该供应商就按照要求安装并配置了电子邮件服务器。这样,管理层和员工就能够利用计算机和网络同互联网上的任何一个人进行交流,对此,大家都非常高兴。
进行网络安全漏洞评估的第一步就是要检查并了解对象网络的拓扑架构或结构。结果显示一台服务器终止于核心交换机而另一台则在防火墙之外。我们要求网络配线供应商说明为什么这样配置。他们答复说,因为他们不知道如何配置防火墙,以使SMTP通信能够穿过它,所以这是他们能够让外部电子邮件到达邮件服务器的唯一方法。邮件服务器的双网卡使得它有效地绕过了防火墙,也就躲开了防火墙所提供的种种无用保护的限制。
当我们分析数据时,我们发现这台服务器有安全隐患,而且还危及到该公司的敏感信息。我们决定设立另一台服务器作为访问互联网的中转。当该公司了解到他们曾经因为草率的外部电子邮件解决方案遭受安全威胁,不用说,他们感到非常震惊。
这个故事告诉大家,应该选择高质量的顾问服务来进行网络中的任何结构或功能的改变,然后还要注意不要让这些改变威胁到网络的完整性和安全。
拨号连接,谁在乎?
星期一早晨,一家医疗公司的CIO打进电话求助。“你能不能帮帮我弄清楚发生了什么?”他问道。我们回答,“你能不能把你的情况描述得更具体一点?”这名CIO就告诉我们,自从上个星期五连接到他的ISP的T-1线路几乎被向外的流量占满了,而他的员工对于这些通信的来源却有些不能确定。该医疗公司对于互联网连接非常依赖,它需要通过互联网同客户沟通、传递保险文件、销售、以及完成其他一些商务功能。事实上,如果互联网连接瘫痪的话,它的员工就几乎不能做任何事情了。所以互联网连接出了问题对它无论从财务上还是从运作上都有非常严重的影响。
很快事情就弄清楚了。这家公司采用了防火墙,并只对所承载的商业功能进行的防护。系统管理员有能力建设防火墙、核心交换机和服务器。但是该公司还没有转成VPN,而且非常依赖同远程使用者的拨号连接。当我们分析远程连接服务器(RAS)的时候,我们发现那里的授权帐号比员工数要多,而且不管哪些员工需要远程拨号访问。
分析表明一个外部黑客获得了通过RAS帐号获得了对内部网络的访问权限,RAS的设置还是缺省值。一旦进入了网络,他就获得了对文件/打印服务器和防火墙的访问权。他建立了一条通过防火墙的途径,然后在文件/打印服务器上下载了一个视频文件,而来源则被标志成互联网世界的“阴暗角落”。
所以在周末,多个向外的视频文件下载就耗尽了该公司几乎所有的T-1互联网连接带宽。这几乎让这家公司在几天里停止运作。
|
