操作系统设计/网络演变:安全
当网络第一次开始时,计算机之间的连接是简单的单向链接。然后,双向链接被开发出来。然后,连接库变得可能,等等。如今,数百万台计算机实际上连接到互联网上的每台计算机。在每次将网络扩展到大量受众时,连接性引起的问题都增加了。
起初,拥有计算机机房的访问控制就足够了。然后,当计算机开始连接时,人们发现服务公司正在计算机机房中建立非法链接,以便在没有访问现场的情况下处理服务需求。这些后门链接最初被认为是一个好主意,但后来被发现是一个安全问题。拨号战争的发展使计算机的额外电话线成为安全漏洞。
起初,网络是内部的,人们认为可以信任自己计算机机房中的计算机,因为你拥有访问控制。但大约在这个时候,分时开始出现,并且终端在大银行中扩展到计算机机房之外。其中一些终端具有系统用户功能,因此可以用来从计算机机房外部攻击数据完整性。后来,计算机变得越来越普遍,似乎每个人都有一台。为了让人们可以在办公室或家中连接自己的系统,创建了局域网的概念。
然后,互联网开始出现,一个网络连接到另一个网络,等等。不满意的员工可以超出其本地网络,并对建筑物另一侧的网络造成破坏。然后,互联网开始发展,互联网诞生了,世界各地的人都可以影响你的私人计算机。显然,你需要对谁被允许进入你的计算机进行一些控制。
随着网络的出现,出现了集线器的概念,其中多台计算机连接到同一个网络段。人们发现,如果将网络卡置于混杂模式,它可以监听通过其自身网络段的所有数据。只需要一个数据包嗅探器,你就可以从网络中直接读取数据。
最终,数据速度变得足够快,需要对网络段进行更多控制,因此用交换机代替了集线器。这被动地分离了数据,因此只有针对特定网络卡的数据才能通过交换机进入该网络段。但是,对于更大的网络,需要类似的东西来将更大的段连接在一起,因此设计了互联网路由器。本质上,路由器是一种主动设备,它将数据路由到连接到特定网络卡的网络段。逐渐地,越来越多的高级路由器成为可能,现在一些路由器会定期在不同的网络段之间切换数据,以便在整个网络中平衡负载。伊拉克战争的一个有趣方面是,他们有用于指挥和控制的互联网路由器,只要士兵和指挥部之间存在部分连接,命令就可以继续传达给士兵。
随着路由变得可能,经常在路由器上运行专门的程序来限制不合格用户的访问。这些称为防火墙的程序应该限制安全漏洞。但是,随着人们对防火墙工作原理的了解越来越多,安全性变得越来越困难,需要创建新的防火墙设计。
其中一个问题是,互联网依赖于称为守护程序的程序,这些程序在没有操作员干预的情况下自动提供服务。这些守护程序监听称为套接字的传输通道以提供其数据。守护程序编程中的漏洞使得黑客可以入侵系统,而所有者不知情。一个简单的程序可以扫描所有套接字,并报告哪些版本的哪些守护程序回答了连接请求,据此可以确定哪些套接字最容易受到攻击。
为了抵消这一点,防火墙必须变得更加复杂,并关闭任何试图扫描计算机套接字的尝试。此外,扫描程序被公开发布,以便人们可以评估其防火墙并确定它们是否关闭了更易受攻击的套接字。
限制访问的一种方法是数据包过滤器的概念,它可以限制哪些类型的数据包被允许访问网络段。这种类型防火墙的问题是它太安全了,以至于用户经常抱怨没有任何东西能够通过。
非军事区的概念由此发展而来。显然,用户想要访问一些互联网服务,但最安全计算机中的数据也需要保护,因此达成了妥协。将安装两种不同类型的防火墙,一种在用户和互联网之间,以保护他们免受黑客攻击,另一种在用户和安全文件系统之间,只接受有效数据包。用户区域被称为非军事区,因为尽管它受到保护,但最安全防火墙的全部火力并没有提供给它。此外,可以在个人计算机上实现防火墙程序,该程序会限制通过提示用户何时程序访问互联网来访问套接字。
入侵检测的想法是,当有人成功地渗透了你的安全系统时,你希望能够快速注意到他们的渗透并能够处理它。在第一个有据可查的入侵检测案例中,一名美国学生被其大学雇用,以确定为什么一个以前稳定的操作系统会计程序突然崩溃并损失了几美分。在几个月的时间里,他首先开发了问题与特定用户帐户有关的想法,然后是该用户帐户被黑客入侵的想法,然后开发了一种方法来跟踪和欺骗黑客以揭示其位置,最后设法关闭了基于黑客的德国间谍网。该学生写了一本关于此的书,普及了入侵检测的概念。
入侵检测的开创性工作始于 1970 年代,由 James P. Andersion 于 1980 年首次发表。他制定了一些审计跟踪的标准,这些标准使其足够全面以检测操作异常,但又不至于过于全面,以至于让入侵者检测到入侵检测的存在,或过度混淆审计员。
1984 年至 1985 年,Dorthy Denning 和 Peter Neumann 进行了更多关于如何使用异常检测和专家系统来检测滥用可能性的开创性工作。名为 IDES 的系统能够可靠地检测滥用,因为异常检测器可以适应使用方式的变化,而专家系统可以检测滥用,并将其链接回特定行为。
到 1990 年,入侵检测开始超越仅仅审计计算机系统,并开始监控网络连接。很快变得明显的是,只有大约 1% 的入侵是通过早期手段检测到的。开发了一个名为 DIDS 的系统,该系统能够跟踪从一台计算机跳到另一台计算机的入侵,以便对损坏进行适当的归属。从 1980 年代的这项最初工作开始,人们在开发跟踪计算机的异常使用和安全威胁的能力方面做了大量工作,以便能够对其进行管理。