2012年5月26日 星期六

防火牆該滾蛋了 為什麼我們不再需要它


防火牆該滾蛋了 為什麼我們不再需要它

誠然,我們確信防火牆對各種攻擊是非常有效的。但是,現在它們所帶來的麻煩要比它們所帶來的價值更大,再者,它們為用戶創造了一種虛假的安全感,防火牆不過是一種心理安慰。
防火牆該滾蛋了!我說的都是現在大家心知肚明的事情。需不需要防火牆一直是一個值得討論的話題,但是今天來看,根本沒有任何理由去使用這種東西。
從1980年代以來,電腦防火牆一直陪伴我們至今。坦白的說,早期的防火牆很顯然沒有起到實質性的作用。如果它們果真能做什麼有用的事情的話,在很久以前,我們就可以打敗惡意駭客和惡意軟體了。但是至少在從前還是有相當的理由去使用防火牆的。
曾幾何時,遠程緩衝區溢位攻擊是一種可怕的工具,在駭客的常用“兵器庫”裡面。只要你找到一個運行著很脆弱並且易於攻擊的、開放的埠,然後,注入你的惡意程式碼,就這樣,你就通過緩衝區溢位獲取了所有的系統許可權。
但是那已經成為過去了,真正的遠端緩衝區溢位,那種可以讓你監聽到開放服務埠並發動攻擊的工具,比如SQL Slammer和MS-Blaster,現在已經幾乎絕跡了。
坦白地說,現在已經很難發動任何形式的緩衝區溢位破壞了,更不用說遠程緩衝區溢位。微軟和其他的廠商都顯著的提高了自身產品程式碼的品質,還提供優秀的、前瞻性的存儲區保護機制,比方說DEP、ASLR,還有晶片級的NX/XD硬體保護機制。即便你找到一個可以共計的緩衝區溢位漏洞,它們大部分都不是運行在本地或者以系統管理員模式運行。
防火牆傾向於“變態”的管理模式,差不多沒人能夠去認真的去讀監控日誌或者對已報告的事件做出回應,我能去怪誰呢?幾乎所有的防火牆產品每個小時發出成千上萬的警報資訊,誰可以找到有價值的、可以控制的資訊在這一大堆的垃圾資訊裡面?我沒那個能力,迄今為止,我也沒見過任何人可以做到。
更糟糕的是,當我去評測防火牆的時候,幾乎所有的產品都有可惡的規則設置。我發現許許多多的防火牆使用“任意、任意”規則去除防護屏障。我不確定我是否應該歸咎於那些可憐的、被誤導的那些制定規則的人,防火牆還經常阻止正常的進程,這些都是那些規則造成的直接後果。
我經歷過很多這樣的事情,“打開防火牆讓我們看看是否會帶來麻煩,但是,沒有什麼事情發生,一切工作正常。好的,我們需要運行那個程式,然後再打開防火牆。”這在我作為網路系統管理員的職業生涯中遇到過不止一次兩次,這些天來,我為安全評測、補丁和其他常規的網路管理等辛苦工作,只為了解決防火牆的問題。(CBSi中國•ZOL 作者:王憲閣)

轉載自《游俠安全網