1.4 邊界安全模型的缺陷

當前，邊界安全模型依然是最常見的網絡安全模型，但它存在的缺陷也日益明顯。那些部署了完善邊界防護的網絡，每天仍會遭受復雜且成功的攻擊，攻擊者手握無數種攻擊方法，可將遠程訪問工具（RAT）注入網絡，獲取遠程訪問權限，并開始在網絡內部橫向移動。邊界防火墻就像為防止間諜入侵而在城市周圍修建的城墻，效果甚微。

問題其實出在將網絡劃分為安全區域上。設想如下場景：一家小型電子商務公司雇用了一些員工，部署了處理薪酬、庫存等事務的內部系統，還有一些運行網站的服務器。面對這樣的場景，可能先需要對訪問情況進行分類：員工需要訪問內部系統；Web服務器需要訪問數據庫服務器；數據庫服務器無須訪問互聯網，但員工需要。傳統的網絡安全模型將這些訪問類型組定義為區域，再確定各個區域的訪問權限，如圖1-7所示。當然，制定安全策略后，還需要實際執行它們：既然安全策略是基于區域定義的，那么合理的做法就是在需要將流量從一個區域路由到另一個區域的地方執行安全策略。

圖1-7　企業辦公網絡與生產網絡之間的交互

可以想見，對于這些通用的安全規則，總會存在例外，俗稱防火墻例外規則。通常，會盡可能嚴格限定這些例外規則的適用范圍，例如，Web開發人員可能需要能夠使用SSH訪問生產網絡中的Web服務器，而HR代理人可能需要訪問HR軟件的數據庫，以便完成審查工作。在這些情況下，一種可以接受的方法是，配置一條防火墻例外規則，允許來自相應IP地址的流量進入相應的服務器。

現在假設前述電子商務公司的競爭對手雇用了一個黑客團隊，試圖獲取該公司的庫存和銷售數據。這些黑客在互聯網上查找該公司員工的電子郵件地址，向他們發送電子郵件，并將郵件內容偽裝成他們辦公室附近一家餐館的優惠券。不出所料，有員工單擊了電子郵件中的鏈接，讓攻擊者得以安裝惡意軟件。這款惡意軟件回連到攻擊者控制的主機，讓攻擊者得以建立一個與被攻陷計算機的會話。所幸這臺被攻陷的計算機由一個實習生使用，因此攻擊者獲得的訪問權限有限。

黑客開始在內部網絡中四處搜索，最終發現公司在其網絡中使用了一款文件共享軟件，且在所有員工使用的計算機上安裝的都不是最新版本的軟件，無法抵御最近發布的一種攻擊。

黑客逐個攻陷員工的計算機，并查找具有特權的計算機（如果黑客具備更高級的攻擊知識，這個過程將更有針對性）。最終，他們找到了Web開發人員的計算機，在其中安裝了按鍵記錄器，并獲取了登錄Web服務器的憑證。黑客使用所獲取的憑證通過SSH登錄到Web服務器，使用Web開發人員的sudo權限從磁盤讀取了數據庫密碼，并使用該密碼連接了數據庫。他們轉儲并下載該數據庫的內容，再將所有的日志文件都刪除。如果這家公司足夠幸運，可能會發現這次數據泄露事件，但無論如何，黑客都得逞了，整個攻擊過程如圖1-8所示。

圖1-8　攻擊者攻陷辦公網絡，進而進入生產網絡

黑客就這樣得逞了？如你所見，在很多層面都存在缺陷，這些缺陷導致了這次安全事故的發生。你可能認為，這個案例的人為設計痕跡太過明顯，但類似這樣得逞的攻擊司空見慣。然而，其中最令人驚訝的部分卻常常被人忽略：各種網絡安全措施為何形同虛設？精心地部署了防火墻，制定了安全策略，并嚴格地限定了例外規則的適用范圍，從網絡安全的角度看，這些都做得非常正確。那么究竟是什么原因導致了這樣的結果呢？

如果仔細研究，你將發現這種網絡安全模型顯然無法抵御這樣的攻擊。借助于回連的惡意軟件，可輕松地繞過邊界安全措施，部署在區域之間的防火墻只根據源地址和目標地址來做出策略執行決策。雖然邊界安全措施在確保網絡安全方面依然具有一定的價值，但是否要將其作為主要的網絡安全措施，這絕對是一個需要重新考慮的問題。

前述示例中的具體攻擊過程介紹如下。

1．使用釣魚郵件將公司員工作為攻擊目標。

2．攻陷辦公網絡中的計算機，找到了突破口。

3．在辦公網絡中橫向移動。

4．找到特權計算機。

5．在特權計算機上安裝按鍵記錄器，以達到提權的目的。

6．竊取開發人員的密碼。

7．以特權計算機為跳板攻陷生產網絡中的應用服務器。

8．利用開發人員的密碼在生產網絡中的應用服務器上提權。

9．從應用中竊取數據庫登錄憑證。

10．以被攻陷的應用服務器為跳板竊取數據庫內容。

當然，先要尋找現成的解決方案。邊界安全模型確實是被廣泛接受的確保網絡安全的方法，但這并不意味著沒有其他更好的選擇。就網絡安全而言，最糟糕的情形是什么呢？這個問題的關鍵點與信任相關，雖然這樣說有點兒絕對。