Post view

在雙層防火牆架構下,企圖攻擊、入侵內部LAN網路的駭客

很久以前我公佈了我們網站上的「雙層防火牆」網路架構,請參考這篇:

安全加倍的「雙層防火牆」- insoler與BNW網站系統架構圖

 

 

「雙層防火牆」是我在與駭客奮戰多年以後的心得。但如果你在Goolge搜尋「雙層防火牆」的話,可能會找到許多錯誤的負面觀念,那些認為內部裝個100道鎖也沒用的網友,我猜想大概是根本不了解駭客、不了解網路,甚至也不了解「防火牆」是什麼! >:)

如果你隨意聽信那些網路上的看似頭頭是道的錯誤資訊、錯誤謠言,當然是很糟糕的事。網路發達以後,正確的知識並沒有因此更為流通,反倒是一堆的錯誤資訊淹沒了正確的觀念。 8-o

「第一層防火牆」

先不要管「雙層防火牆」是什麼?能做什麼?讓我們先來瞧瞧今天防火牆上的記錄。
你可以看到紅色的字,都是一些攻擊行為,但黑色的字也要特別留意,因為那些是躲過了「防火牆」的攻擊偵測,直接企圖入侵BNW內部網路! :shock:



請特別留意這筆資料:

2009-04-06 05:49:13 Firewall default policy: UDP (W1 to L) 123.110.230.5:4555 192.168.109.3:22675

防火牆的Logs日誌時間是採用24小時制,也因此清晨5:49am這個時間,我可以確定BNW內部絕對沒人在上網,所有內部的主機不是關機就是睡眠中。
換句話說,來自「123.110.230.5」這個駭客企圖直接入侵BNW內部主機的「192.168.109.3」! :-x



企圖入侵BNW內部主機,目的位址是「192.168.109.3」的傢伙,當然不會只有一位駭客,想也知道是每天都有不同的駭客,企圖攻擊或入侵位於「LAN區域網路的BNW內部電腦」! :-x

「第二層防火牆」

接下來讓我們瞧瞧「第二層防火牆」的Logs記錄,到底有哪些技術高明的駭客,在沒有「內神通外鬼」內部電腦被植入木馬的情況下,能穿越第一道防火牆抵達「第二層防火牆」? >:)
位於192.168.240.101才是BNW真正的內部電腦主機!你可以看到,即便有「雙層防火牆」仍舊有極少數的駭客能到達「第二層防火牆」,但仍舊被「第二層防火牆」給擋下來,該記錄執行的動作,最後是「ACCESS DROPPED」扔掉存取的網路封包! >:)



簡單的說,更高明的駭客穿越了「雙層防火牆」的「第一層防火牆」,但入侵行動仍舊被「第二層防火牆」擋下來! >:)
既然駭客能穿越「第一層防火牆」,有沒有可能在「雙層防火牆」都沒有發現的情況下入侵BNW內部電腦?這是有可能的!畢竟你在上面看到的是被「雙層防火牆」抓到的記錄,但沒有抓到的入侵網路封包當然就不會記錄下來,雖然「雙層防火牆」並非100%絕對安全,但起碼已經安全得多。 :-)

比較遜的駭客,就只會企圖攻擊、入侵位於「192.168.109.3」這個主機,你可以看到「第二層防火牆」上有好幾筆關於192.168.109.3這個IP數字。 >:)



事實上「192.168.109.3」只是「第二層防火牆」的WAN端的IP位址,駭客辛苦的攻擊、入侵一部防火牆當然是完全沒用的! >:)



為什麼你家也需要「雙層防火牆」?

其實最早期的「雙層防火牆」我是用兩部普通的廉價「IP分享器」來架設,後來另外買了一台比較好一點的ZyWALL 5入門防火牆以後,把原本擔任第一層的Vigor 2900G降為第二道防火牆。現在則是把用了多年的Vigor 2900G淘汰掉,用性能更好的ZyWALL 70擔任第一層防火牆,ZyWALL 5擔任第二層防火牆。 :-)

事實上「雙層防火牆」並不意味著你要用兩台百萬級的防火牆,事實上相同款式的百萬級防火牆架設兩台也沒太大的意義,但如果是不同品牌、機種,倒是有可能可以互相彌補一下技術上的缺點,讓真正的內部網路更加安全。

也因此「家用網路」也可以用兩台「IP分享器」來架設一個簡單的「雙層防火牆」,用來提高住家電腦的安全性,以免常常被駭客入侵竊取你上網購物的帳號、密碼等資料,再用來詐騙你... :-P

在我的「雙層防火牆」架構上,其實「第二層防火牆」就等同於扮演一部Proxy Server的角色。如果你沒聽過「代理伺服器」或是「快取伺服器」,可以參考底下的資料。

http://zh.wikipedia.org/wiki/代理服务器

簡體字、簡體用詞我看不下去,因此來看一下Hinet對於Proxy Server的說明:

什麼是網路快取服務

在這個分秒必爭的社會,時間就是金錢!想要在最短的時間內掌握第一手資訊嗎?讓HiNet 告訴您,透過HiNet Proxy扮演代理者與cache server (快取伺服器)的角色,它將透過proxy讀取的資料存一份在cache中。當有使用者提出需求時,它會先檢查自己的cache中是否有這份資料;若有,Proxy Server就可立即傳回這份資料;若沒有,再向外查詢,取得資料後存一份在cache並傳給使用者。因此在HiNet Proxy Server的大容量快取服務下,你想讀取的資料,都有可能在cache已經有了,便不需多花時間存取重複的資料。


事實上「快取網頁」只是Proxy Server的功能之一而已,最主要的功能其實是「用來區隔外部與內部網路」,甚至還可以提供更多的user上網資料收集、分析、內部網路防火牆... 等功能。

什麼是代理伺服器 Proxy Server

代理伺服器英文全稱是Proxy Server,其功能就是代理網路使用者去取得網路資訊。簡單的說:它是網路資訊的中轉站。

在一般情況下,我們使用網路流覽器直接去連接其他 Internet網站取得網路資訊時,須送出Request信號來得到回答,然後對方再把資訊以bit方式傳送回來。

代理伺服器是介於流覽器和Web服務 器之間的一台伺服器,有了它之後,流覽器不是直接到Web伺服器去取回網頁而是向代理伺服器發出請求,Request信號會先送到代理伺服器,由代理伺服器來取回流覽器所需要的資訊並傳送給你的流覽器。而且,大部分代理伺服器都具有緩衝的功能,就好像一個大的Cache,它有很大的存儲空間,它不斷將新取得資料儲存到它本機的記憶體上,如果流覽器所請求的資料在它本機的記憶體上已經存在而且是最新的,那麼它就不重新從Web伺服器取資料,而直接將記憶體上 的資料傳送給使用者的流覽器,這樣就能顯著提高流覽速度和效率。

並且Proxy伺服器還可以作為一個強悍的Net Firewall(網路防火牆),抵禦一切的埠掃描和漏洞攻擊,而且Web Proxy伺服器還可以根據自己的設定來過濾有威脅的惡意腳本(Spam Script)。


但一部Proxy Server顧名思義,只要看到Server這個字,想當然就是一台電腦。由於內部所有user要上網都要經過Proxy Server的檢查、快取,所以這台電腦主機必須比公司同事的電腦更早開機、更晚關機,甚至是24hr都不曾關機! >:)

由於BNW內部的人員不多,也絕對不會有人用Foxy亂抓檔案,因此我們不需要Proxy Server的「網頁快取」功能來節省對外的頻寬,也不需要用Proxy Server來記錄與管理user的上網行為。 :-P

請參考上面的那一段文字說明,當你把一台Proxy Server代理伺服器扣除「網頁快取」、「記錄與管理user上網行為」,那不就只剩下一台「防火牆」的基本功能? :lol:

也因此我們就乾脆用一部「防火牆」來當成一部必須24hr開機全年無休的「Proxy Server代理伺服器」來用。換句話說,原本應該是這樣常見的網路架構:

.ADSL/FTTB網路 ←→ 防火牆 ←→ Proxy Server代理伺服器 ←→ Switch集線器 ←→ 公司/住家內部的電腦主機

因為我們不需要「Proxy Server代理伺服器」的一些功能,所以就簡化成「防火牆」,變成這樣的網路架構:

.ADSL/FTTB網路 ←→ 防火牆 ←→ 防火牆 ←→ Switch集線器 ←→ 公司/住家內部的電腦主機

用一部較低階「防火牆」來取代一台用伺服器主機架設的Proxy Server,不但更加省電,而且安全性並不輸給軟體的Proxy Server。當然囉~如果你的預算夠好的話,「第二層防火牆」買好一點的設備,內部網路的安全性當然就更優。 :-)

蘇言霖 2012/10/20 1 4108
Comments
Order by: 
Per page:
 
  •  ayaka: 
     

    如果知道网络扩谱图后,就不会攻击二层防火墙,而尝试绕过它不是吗?话说不能在一层防火墙上把规则定义清楚吗?

     
     2012/10/20 
    0 points
     
Rate
0 votes
Post info
蘇言霖
「超級懶貓級」社群網站站長
2012/10/20 (4367 days ago)
Actions