细数防火墙管理中常犯的失误
在我们的职业生涯中大都曾经有过一次这样的经历&&我是说你认为足以让你丢掉饭碗的失误。我的第一次重大失误是曾经重启了校园里的所有路由器，不是一个接一个的，而是所有一次完成。我写了一个脚本，为所有的路由器安装一个安全更新，然后依次重启这些路由器&&至少我是这样想的。事实上我的脚本有误，遗漏了路由器之间的等待时间。
当时我认为自己肯定要被解雇了，但是谢天谢地，我没有。有些重大的事故，最后往往都为我们的学习提供重要帮助。我们都或多或少的知道些危机管理，所有的东西都可以从在线备份中恢复过来，我的老板花了几个小时的时间教会我如何正确的检测网络是否正常运行。
好消息是大部分的时间，我们所犯的错误并没有这么严重，而坏消息是很多失误并不会当时就表现出来。也就是说，这种失误会一直遗留而不能被发现，有可能是几个星期，也有可能是几个月或者几年，直到有一天它们引发了严重的中断事故，或者被审计人员发现来传唤我们。在网络安全一线，管理是这样一个行当&&对规则和配置文件进行更改时，一个小小的错误可能给你带来巨大的后患。以下是一些常犯的失误：
一、创建毫无意义的防火墙组
一名防火墙管理员在把设备加入到网络中时，拥有超过一半的规则权限。后来这便用一个球星的名字来命名，我们称之为Joe_Montana.出论任何时候，管理员需要某台设备加入到网络中，他们就把这台设备的IP地址添加到他们常用的、拥有许多授权的规则当中去，添加到这样的组里。最后，这些规则库让审计员看起来可能是没问题的，因为这里面没有&任意&这样的规则，但是事实上却埋下了许多的防火墙漏洞。防火墙规则变得毫无意义，如果一旦被审计整改，清理这些规则库的活是费力不讨好的任务，需要很多个月的时间来解决规则库问题，以安全、适当地映射到业务需求。
二、从不升级你的防火墙软件
有数量惊人的组织使用过时的防火墙软件。当被问及原因时，得到的往往是非常类似的几个回复&我们要保持版本的稳定性&或者&防火墙不能撤下进行升级&&等等。事实上，防火墙厂商升级自己的软件是有原因的。你不需要安装最新发布的防火墙版本，但如果您正在运行一个已经过时15或20个版本的软件，或者已经7、8年没有更新版本，那么请立即停止抱怨，开始更新！
三、使用错误的技术
我们都听过的把方形钉砸进圆洞的说法，在防火墙行业里也有这么一说。一个网络安全管理员激烈的和他们的审计员争论，因为他们有一个防火墙布置在安全 WEB服务器的前面，这样就构成了一个双重身份验证：一个密码和一个防火墙。这家伙的创造力可以打A，但是防火墙（本身）不是一个双重身份验证解决方案。双重身份认证需要您的用户有一个令牌和密码。
四、意外宕机事件
我听过这样一个意外宕机事件，防火墙管理员正在收集一些防火墙数据。管理员无意中碰到桌子上的鼠标，而此时的鼠标正悬停在开始菜单上。如同命中注定一样，鼠标令人难以置信的激活了开始菜单，并且恰好悬停在&关闭&菜单项上。是的，就这样那个金融公司的人看着他们的防火墙就这样被关闭了。
五、创建糟糕的防火墙配置文档
你经常会听到有些防火墙管理员忙的焦头烂额，试图了解到底他们之前所做的防火墙规则是用来干什么的。图得一时省事（马虎创建防火墙文档）让自己以后变得繁忙，还是花时间来创建合理的防火墙文档？马虎对待防火墙文档等于给自己创建一个定时炸弹。调查一些参与管理防火墙的管理员，常常会听到这样的抱怨&现在我害怕调整我的防火墙，所有的高级管理人员已经离开，而我们不知道那些防火墙文档，里面那些大多数的名字的意思，或这些规则是用来做什么的。&
六、请勿使用路由作为您的安全策略
我见到很多这样的防火墙，他们的规则库在做出修正时，需要路由器相应做出改变，以适应新的防火墙规则。或许这是可以理解的&&当处在防火墙之内的网络，需要重新组建时，但事实往往是网络并没有发生变化，只是防火墙需要作出变化。有两种类似这种&绑架&路由器的错误，在工作中经常发生。
第一种情况，是防火墙没有默认路由。每条路由线路都被手动添加到防火墙，而且，往往使用最小的子网掩码，许多不在计划之内的设备，在将来如果不设置防火墙策略就会受到阻碍，无法通过路由。这听起来很棒，貌似更加安全，但它是完全不必要的&&如果你删除这条防火墙策略，那么该策略将会恢复成&忽略所有&。
这个设计将会使防火墙变得难以管理，之后的防火墙团队将会害怕做出改变，因为这将会牵扯到很多东西。每个策略更改都需要一个工程师来检查路由，因此每一个防火墙策略更改花费的时间太长，大大影响了网络维修任务，所以，这是没有实际价值的增加安全性。
这种错误看法还有一种情况，在思科设备管理员群体中最常出现，比方说管理员需要建立一个访问控制列表，这个控制列表包括两个设备之间的任何源地址或目标地址。他们的本意实际上是指两个设备之间中的所有地址，而并非在任何的时候。但是管理员太懒了，他们不想花力气输入地址。这样，只有知道连接防火墙的路由表，才能知道这条防火墙策略实际的内涵。这些是需要管理员记在脑子里的，对一个初级防火墙管理员来说，这太难接管这个防火墙了。
七、使用路由器DNS对象作为防火墙策略对象
很多防火墙提供这么一个功能选项，允许管理员插入一个DNS对象作为源或目标地址，比方说.这听起来不错，因为 可以作用于这么多的IP地址，这样即使的ip地址发生改变的时候，我的防火墙，也还是可以作用于该域名下的地址。这种错误做法，会导致许多风险，大多数组织应该考虑不要使用这种做法。
首先防火墙现在很容易受到拒绝服务攻击，你能想象防火墙不能解析域名时会发生什么吗？第二个，在为所有的数据包做DNS解析时，防火墙需要查找每个数据包，以试图决定该数据包是否属于时，会极大的浪费CPU、内存和网络IO.第三，如果你的DNS服务器中毒，你的防火墙将允许所有的僵尸网络命令通过，并记录它作为正常域名。
顶一下(1) 踩一下(0)
热门标签：中国领先的IT技术网站
51CTO旗下网站
【深度分析】不安全的IOT设备是如何导致Twitter、PayPal等网站宕机的？
日 11:10 UTC(北京时间19:10左右)恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDOS攻击，从而导致许多网站在美国东海岸地区宕机。
作者：姚熙来源：| 10:53
日前，一场大规模的互联网瘫痪席卷了美国，日 11:10
UTC(北京时间19:10左右)恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDOS攻击，从而导致许多网站在美国东海岸地区宕机。以下是来自青莲云对感染IOT设备的恶意软件Mirai的分析。
本文您将看到：
1、攻击事件回顾
2、恶意软件Mirai是什么
3、Mirai如何感染IOT设备的
4、Mirai如何控制IOT设备发起攻击
5、Mirai的另一种攻击思路
6、如何防止智能设备被恶意利用
附录：《感染IOT设备的恶意软件Mirai源代码分析》
攻击事件回顾
日前，一场大规模的互联网瘫痪席卷了美国，日 11:10
UTC(北京时间19:10左右)恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDOS攻击，从而导致许多网站在美国东海岸地区宕机。
你可能没有听说Dyn，但你一定知道这些网站，如GitHub、Twitter、PayPal等。Dyn为这些著名网站提供基础的DNS服务，当其受到攻击时，用户无法通过域名访问这些站点。
恶意软件Mirai是什么
安全研究人员表示，造成此次网络宕机事件的罪魁祸首，可能是大量的物联网设备&&包括联网的摄像头和数字录像机，这些设备可能因遭到黑客劫持而被利用。
据悉，控制这些设备的恶意软件名为Mirai。Mirai恶意软件的源代码由匿名人士开发，并于10月公开。Mirai软件能够感染各类存在漏洞的物联网设备，其中包括安保摄像头、DVR以及互联网路由器等。通过恶意感染，这些物联网装置将成为僵尸网络中的肉鸡设备，并被用于实施大规模DDoS攻击。
Mirai如何感染IOT设备的
1、网络扫描存在telnet服务
2、61组用户名密码组合暴力破解存在弱密码和出厂密码的iot设备
3、登陆telnet成功以后，远程执行命令获取iot设备指纹信息
4、远程下载iot设备架构对应的恶意可执行程序并执行
5、恶意程序执行以后，在局域网内扫描存在该漏洞的其他设备
6、感染周边的设备
Mirai如何控制IOT设备发起攻击
Mirai恶意程序有很强的自我保护性，会隐身，有反GDB调试能力，有防止watchdog重启设备能力;同时mirai有很一定的排它能力，能后杀死其他恶意程序或者僵尸网络远程控制。
Mirai一旦感染设备以后，获得设备的绝对控制权，会自动加载DDoS攻击模块，当有新的攻击指令下发的时候，就会发起DDoS攻击。
Mirai的另一种攻击思路
Mirai感染设备后，拥有绝对控制权，除了把设备当成攻击的发起者来进行DDoS攻击以外，还能够对设备本身的系统、业务、数据造成严重危害，比如能够篡改数据、窃取数据、修改系统配置、删除系统文件、杀死业务服务等等。
如何防止智能设备被恶意利用
1、提高安全意识，杜绝使用初始密码以和弱密码，提供密码安全等级
2、关闭多余的系统功能以及命令
3、限制busybox使用权限
4、关闭48101端口
5、添加监控，防止恶意程序的运行
附录：《感染IOT设备的恶意软件Mirai源代码分析》
一、源码结构树
二、源码主要包含了三大块功能
三、loader功能
四、bot模块
五、CnC command and control模块
1 源码结构树
整个源码量不大，一个较小的工程，总共48个定义、实现文件。文件结构如下图
2 源码主要包含了三大块功能
攻击程序加载器，用于将实际攻击程序加载到目标IOT设备上。
用于实施恶意攻击的程序模块，该模块为被控制端。
控制端模块，用于管理bot以及命令的应答和处理。
3 loader功能
由于线程处理逻辑相对其他来说，比较复杂，这里摘除不容易理解部分分析说明一下。
handle_event函数负责处理server与目标肉鸡telnet连接上交互的数据。
处理主要分为三个大部分，每个大部分又有很多小的步骤来组成。为了区分每个步骤的处理逻辑，handle_event中维护了简单的状态机，定义如下：
TELNET_CLOSED, // 0
TELNET_CLEANUP // 19
这部分在查看代码的时候会发现，大量用到ECCHI命令。
主要有两个方面的考虑：
筛选目标telnet肉鸡系统，防止目标是比较完整的linux机器，甚至能够识别出一些蜜罐系统比如cowrie。因为这些无关的系统在执行busybox
ECCHI命令后，会提出一些helper信息，而不是简单的&ECCHI: applet not found&
起标签作用，攻击者在很多命令后面都会添加上&/bin/busyboxECCHI&，在返回处理结果的数据中，可以找&ECCHI: applet not
found&的位置，来区分获取想要得到的数据。
bot模块，用于实施攻击的程序，包含自身保护机制、扫描、域名解析、各种DDoS攻击等。
攻击模块加载初始化，添加udp、tcp、dns、vse、syn等多种攻击模块，具体每种攻击实现都可以在attack_xx.c文件中找到。
5 CnC command and control模块
攻击主控端模块，主要创建两个服务，分别监听在23/101端口上。分别提供主要提供bot相关的管理;命令的应答处理。
关于青莲云
青莲云核心团队来自奇虎360、梆梆安全等物联网和安全企业巨头，具有10年以上企业级安全产品和云平台研发及服务经验，并拥有多项技术发明专利。
青莲云是国内首个物联网安全接入整体解决方案，为智能硬件企业及个人开发者提供强安全的独立设备密钥、双向消息推送、实时长连接、设备联动、大数据可视化分析等必备云端功能，高效解决智能硬件安全联网和后端重复开发问题。
青莲云是ARM孵化器安创空间第一期孵化的明星企业，也是阿里云物联网解决方案官方推荐伙伴，并同物联网生态系统深度合作，助力中国社会和产业的智能化转型。
【责任编辑： TEL：（010）】
大家都在看猜你喜欢
专题原创原创原创原创
24H热文一周话题本月最赞
讲师：5人学习过
讲师：8人学习过
讲师：9人学习过
精选博文论坛热帖下载排行
信息安全风险评估理论研究日趋成熟，相关资料比较充分，但有关评估实际工作的参考资料很少。本书以信息安全风险评估实践为基础，围绕评估工...
订阅51CTO邮刊安全设备:关于防火墙容易疏忽的几个要点_fall天堂吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：261贴子：
安全设备:关于防火墙容易疏忽的几个要点收藏
在我们的职业生涯中大都曾经有过一次这样的经历——我是说你认为足以让你丢掉饭碗的失误。我的第一次重大失误是曾经重启了校园里的所有路由器，不是一个接一个的，而是所有一次完成。我写了一个脚本，为所有的路由器安装一个安全更新，然后依次重启这些路由器——至少我是这样想的。事实上我的脚本有误，遗漏了路由器之间的等待时间。当时我认为自己肯定要被解雇了，但是谢天谢地，我没有。有些重大的事故，最后往往都为我们的学习提供重要帮助。我们都或多或少的知道些危机管理，所有的东西都可以从在线备份中恢复过来，我的老板花了几个小时的时间教会我如何正确的检测网络是否正常运行。好消息是大部分的时间，我们所犯的错误并没有这么严重，而坏消息是很多失误并不会当时就表现出来。也就是说，这种失误会一直遗留而不能被发现，有可能是几个星期，也有可能是几个月或者几年，直到有一天它们引发了严重的中断事故，或者被审计人员发现来传唤我们。在网络安全一线，防火墙管理是这样一个行当——对规则和配置文件进行更改时，一个小小的错误可能给你带来巨大的后患。以下是一些常犯的失误：一、创建毫无意义的防火墙组一名防火墙管理员在把设备加入到网络中时，拥有超过一半的规则权限。后来这便用一个球星的名字来命名，我们称之为Joe_Montana.出论任何时候，管理员需要某台设备加入到网络中，他们就把这台设备的IP地址添加到他们常用的、拥有许多授权的规则当中去，添加到这样的组里。最后，这些规则库让审计员看起来可能是没问题的，因为这里面没有“任意”这样的规则，但是事实上却埋下了许多的防火墙漏洞。防火墙规则变得毫无意义，如果一旦被审计整改，清理这些规则库的活是费力不讨好的任务，需要很多个月的时间来解决规则库问题，以安全、适当地映射到业务需求。二、从不升级你的防火墙软件有数量惊人的组织使用过时的防火墙软件。当被问及原因时，得到的往往是非常类似的几个回复“我们要保持版本的稳定性”或者“防火墙不能撤下进行升级”…等等。事实上，防火墙厂商升级自己的软件是有原因的。你不需要安装最新发布的防火墙版本，但如果您正在运行一个已经过时15或20个版本的软件，或者已经7、8年没有更新版本，那么请立即停止抱怨，开始更新！三、使用错误的技术我们都听过的把方形钉砸进圆洞的说法，在防火墙行业里也有这么一说。一个网络安全管理员激烈的和他们的审计员争论，因为他们有一个防火墙布置在安全 WEB服务器的前面，这样就构成了一个双重身份验证：一个密码和一个防火墙。这家伙的创造力可以打A，但是防火墙（本身）不是一个双重身份验证解决方案。双重身份认证需要您的用户有一个令牌和密码。四、意外宕机事件我听过这样一个意外宕机事件，防火墙管理员正在收集一些防火墙数据。管理员无意中碰到桌子上的鼠标，而此时的鼠标正悬停在开始菜单上。如同命中注定一样，鼠标令人难以置信的激活了开始菜单，并且恰好悬停在“关闭”菜单项上。是的，就这样那个金融公司的人看着他们的防火墙就这样被关闭了。五、创建糟糕的防火墙配置文档你经常会听到有些防火墙管理员忙的焦头烂额，试图了解到底他们之前所做的防火墙规则是用来干什么的。图得一时省事（马虎创建防火墙文档）让自己以后变得繁忙，还是花时间来创建合理的防火墙文档？马虎对待防火墙文档等于给自己创建一个定时炸弹。调查一些参与管理防火墙的管理员，常常会听到这样的抱怨“现在我害怕调整我的防火墙，所有的高级管理人员已经离开，而我们不知道那些防火墙文档，里面那些大多数的名字的意思，或这些规则是用来做什么的。”六、请勿使用路由作为您的安全策略我见到很多这样的防火墙，他们的规则库在做出修正时，需要路由器相应做出改变，以适应新的防火墙规则。或许这是可以理解的——当处在防火墙之内的网络，需要重新组建时，但事实往往是网络并没有发生变化，只是防火墙需要作出变化。有两种类似这种“绑架”路由器的错误，在工作中经常发生。第一种情况，是防火墙没有默认路由。每条路由线路都被手动添加到防火墙，而且，往往使用最小的子网掩码，许多不在计划之内的设备，在将来如果不设置防火墙策略就会受到阻碍，无法通过路由。这听起来很棒，貌似更加安全，但它是完全不必要的——如果你删除这条防火墙策略，那么该策略将会恢复成“忽略所有”。这个设计将会使防火墙变得难以管理，之后的防火墙团队将会害怕做出改变，因为这将会牵扯到很多东西。每个策略更改都需要一个工程师来检查路由，因此每一个防火墙策略更改花费的时间太长，大大影响了网络维修任务，所以，这是没有实际价值的增加安全性。这种错误看法还有一种情况，在思科设备管理员群体中最常出现，比方说管理员需要建立一个访问控制列表，这个控制列表包括两个设备之间的任何源地址或目标地址。他们的本意实际上是指两个设备之间中的所有地址，而并非在任何的时候。但是管理员太懒了，他们不想花力气输入地址。这样，只有知道连接防火墙的路由表，才能知道这条防火墙策略实际的内涵。这些是需要管理员记在脑子里的，对一个初级防火墙管理员来说，这太难接管这个防火墙了。七、使用路由器DNS对象作为防火墙策略对象很多防火墙提供这么一个功能选项，允许管理员插入一个DNS对象作为源或目标地址，比方说这听起来不错，因为 可以作用于这么多的IP地址，这样即使的ip地址发生改变的时候，我的防火墙，也还是可以作用于该域名下的地址。这种错误做法，会导致许多风险，大多数组织应该考虑不要使用这种做法。首先防火墙现在很容易受到拒绝服务攻击，你能想象防火墙不能解析域名时会发生什么吗？第二个，在为所有的数据包做DNS解析时，防火墙需要查找每个数据包，以试图决定该数据包是否属于时，会极大的浪费CPU、内存和网络IO.第三，如果你的DNS服务器中毒，你的防火墙将允许所有的僵尸网络命令通过，并记录它作为正常域名（华夏那边的）
神牛摄影器材--为专业摄影者打造,你值得拥有!
星星，里面说的我不是你吧！
就是就是应该不是你吧
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或防火墙双机热备3.3配置案例_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
防火墙双机热备3.3配置案例
上传于|0|0|文档简介
&&天融信双机热备配置
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩37页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢查看: 1048|回复: 3
Aria2刚爽了没几天，今天宕机了，是不是防火墙的问题？
配置得好好的都没去动它，一开始几天好好的，今天打开yaaw一看任务卡着不动了，点“开始任务”无效。重启Aria2进程，这次干脆卡在metadata上了，连任务的主进度都进不去了。重启路由器也无效，到底怎么回事呢？我真的动都没动过路由器，除了昨晚因为一点事情把路由器电源线给压出一道痕来，但也不至于导致电路出问题吧？除了Aria2，其他都能用啊。
忘了先拿命令行（非-D）看下出错信息，不好意思。刚才命令行运行后，发现报错信息为【Failed to resolve the hostname 】，这个啥意思？是干嘛的，是aria2内置的tracker源？然后这个源挂了或者被电信给封了？
本帖最后由 随风而动4恩山 于
11:35 编辑
看了很多帖子，基本都把问题指向DNS，然后一个有效的方法是给aria2再加一个叫做async-dns=false的option（默认true），但是我用了以后没用。&/br&----------------------------
好吧，我发现奇葩的问题是：我的Aria2竟然提示async-dns这个选项是unknown！我的aria2是1.19的，总不至于连这个选项都不行吧，崩溃。
纠结了半天，终于找到了pandorabox的一个源，算是全网正式发布里面比较新的了，但是问题是这个包带不带BT模块？很伤脑筋。
Powered by