根据 Wikipedia的注释,通过隐匿性来实现安全体现了安全性真正有争议的一个方面。您经常可以看到一些人遭到嘲笑,他们的努力被否定为“只是通过隐匿性来实现安全”。
简而言之,通过隐匿性来实现安全违反了 Kerckhoffs 原理,该原理认为应该靠系统的设计来确保系统安全性,而不是让攻击者无法知晓系统的设计来确保系统安全性。Kerckhoffs 原理的基本前提是秘密迟早会被揭开。
Windows NT® LAN Manager (NTLM) 身份验证协议就是一个很好的例子,该协议最初被认为是设计机密。为了对基于 UNIX 操作系统实施 Samba 互操作性产品,Samba 小组不得不对该协议进行反向工程。结果导致有关 NTLM 最完备的文档全部泄露,同时也发现了许多错误。由于加密产生了太多安全性问题,并且很多机密设计也被揭示,因此很多安全性实践人员都认为所有信息安全性都应遵循 Kerckhoffs 原理。
但通过隐匿性来实现安全总是有害吗?在这篇文章中,我们会解释什么是通过隐匿性来实现安全,阐述为什么许多人认为这是浪费时间(另外一些人则不以为然),并向您说明为什么答案总是比最初看起来要复杂得多。
通过隐匿性来实现安全简介
Steve Riley 的观点:不要更改默认设置
对于重命名问题,我的观点是“不要更改”。这实际上不是安全性问题,而是系统管理问题。随着我在研究系统管理空间上花费的时间越来越多(因为管理和安全性已成为一体),就越来越反对进行任何有可能增加系统易受攻击性的操作。更改默认设置就是这样一种肯定会增加易受攻击性的方法。人们更改默认设置的原因有两个:
●通过更改可以实现某种已知的功能。
●认为更改可以提高安全性。
如果您基于第一个理由需要更改默认名称,完全可以这样做。这类更改通常很少造成系统不稳定,因为它们先前已经过测试。
如果您是基于第二个理由更改默认设置,请三思而后行。这些类型的更改几乎从未经软件制造商测试过,因此制造商无法预测更改后系统会有什么反应。此外,一般来说,还有更佳的替代方案可以为您提供真正的安全性。
如果攻击者刚好知道帐户名称,那该怎么办呢?这时只能靠密码和密码强度来保护系统。极力把管理员和来宾等默认帐户名称更改为不易猜测的内容,实际上往往是想逃避使用强密码和密码短语。解决真正的问题(不安全的密码),才可以避免受到攻击(更改默认名称)。
这里讨论的通过隐匿性来实现安全,并不包括对缓解问题完全没有任何实质作用的措施。例如,如果某组织在边界路由器处禁用了网络新闻传输协议 (NNTP) 以防止员工阅读新闻组,但是却允许出站 Secure Shell (SSH),则不算是通过隐匿性来实现安全。因为 SSH 允许通过每个协议,所以问题很明显;实施的愚蠢缓解措施除了防止合法用户在不违反安全性策略的前提下完成合法任务外,没有任何意义。这样的措施不算是通过隐匿性来实现安全;它们只是愚蠢的做法,没有任何意义。
正如“通过隐匿性来实现安全”这种说法中的“安全性”所暗示的那样,您应该确实可以从这种措施中得到保护。然而,同时也暗示了实际上您并未采取任何措施来阻止对一个或多个平台的攻击,这也是问题所在。(攻击平台实质上是攻击者访问系统所采用的一种方法。)
例如,假定您有一个易受攻击的 Web 服务器,可以通过 TCP 端口 80 利用公开漏洞对此服务器进行攻击。要堵上这个漏洞,您可以修补 Web 服务器或者将其关闭;其中任一操作都将完全停止此平台。通过使用防火墙或 IPsec 来关闭除几台选定计算机之外的所有计算机的端口 80,可以在某种程度上停止攻击平台。此操作不能完全阻止攻击平台,但是可以极大地缓解问题。
另一方面,通过隐匿性来实现安全需要采取不停止攻击平台而只是隐藏它的措施。例如,您可以将 Web 服务器移动到端口 81 而不是端口 80,以便只有知道 Web 服务器所在位置的人才可以找到它。这也是争论焦点。实际上,将 Web 服务器移动到端口 81 只能停止一些攻击,主要还是给最终用户带来不便。强大的入侵者只需对大量端口运行端口扫描程序和 Web 标志获取程序即可发现位于非标准端口上的 Web 服务器。只要找到一个,就可以对服务器进行攻击,因为您实际上并未消除攻击平台,只是(临时)隐匿它而已。
这是否意味您根本不应该尝试?这要具体问题具体分析。与“信息安全性”领域的所有其他方面一样,全都与风险管理息息相关。为了理解要考虑的关键因素,我们将快速了解一下更多通过隐匿性来实现安全的措施,然后详细讨论其中一项 — 重命名管理员帐户。
【责编:Zenghui】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
2008-6-16
