一个网络工程师认为确保网络计算机系统安全的唯一方法是在计算机与网络之间保持一英寸的缝隙,即只有与网络分离的计算机对网络攻击才是彻底安全的。尽管这是一个戏剧性的结论,但在提供功能与引入脆弱性之间的确存在一个平衡问题。
对系统进行的有组织进攻将试图损害你提供网络的任意一个软件设备,像FTP或Web服务器。例如,允许电子邮件从Internet跨越你的内部组织网络意味着防火墙必须具有这样一种网络设备,如在一个专有的、throw-away主机上运行的sendmail,监听SMTP端口(TCP/25)并随时进入SMTP协议与Internet上的任何人交流。如果协议中存在不足,守护程序的设计有问题或存在不正确的配置问题,你的系统与网络就可能是脆弱的。即使是一个Internet服务,像NCSA的httpd web服务器,今天被认为是可靠、安全的,其新版本也还有可能存在脆弱性。例如,ftpd新版本中SITE EXEC命令的引入导致了一个安全脆弱性问题。管理员必须警惕地拒绝关于“任何一个一nternet服务长期安全”的假定。随着新脆弱性的发现,管理员可以在SATAN中增加扫描仪以搜索这些脆弱性。
网络协议本身做得安全,但必须使用实现修改协议的新服务器。一个协议和服务仅在具有ITL 0级别脆弱性时才被认为“足够安全”的,本文后面将给予解释。像FTP、Telnet这样的协议,目前在网络上显式发送口令,可以用加密口令方法进行修改。像sendmail、fingerd等网络守护程序,可以通过销售商对代码检查与修补做得更安全。然而,错误配置问题(像netgroups的不适当说明)将导致脆弱性。另外,组织策略难于实施,例如,即使一个组织的IT部门可以用SATAN来强化组织策略,它可以定期用SATAN扫描组织中的的有主机。
很少能见到完全控制基计算机网络的组织,只有最小的组织可以轻易地声称每天对其计算机系统有良好的控制。在一个大的组织中,策略与IT组可以并应该努力给系统设立指导,像不允许未受限制的NFS访问等。但网络固有的分布性使这种控制不易实现。
许多小组与个人可在网络上天天做配置修改,并且一台主机上的脆弱性将威胁到整个网络。例如,美国国防部的MILNET网上有500台计算机,在1005年初由于一台未授权的互连网网关偶然出现了一个脆弱点而遭受了攻击(Leopold,1995)在这样一个动态、分布环境中,频繁自动检验是一个很好的控制工具。一个IT组织可以通过使用SATAN而获得这样的控制。
