是便利與安全的翹翹板,對於重要的
資源與資產,建議您在安全這一邊放
重一點。
五、該不該開
ICMP ANY
這個問題的環境是,
Internet
DMZ
ANY
主機,該不該開放
ICMP
讓所有
Internet
的設備都能夠
Ping
得到。
1.
贊成開放
贊成開放
Internet
能夠
Ping
得到
DMZ
區所有主機的管理者認
為,這是一個無傷大雅的作法。第一
個原因是認為
Ping
這個動作本身是
不具傷害性的,能夠
Ping
到這台主
機不代表駭客能夠打下這台設備;基
於第一個沒有安全疑慮的原因,產生
了第二個也可能是最重要的原因,認
為這是一個能夠幫助釐清網路問題
還是系統問題的
Policy
當系統團
隊從家裡打電話質問主機怎麼不能
連時,只需要請他們
Ping
看看,就
能解決問題。
2.
不贊成開放
根據研究數據顯示,攻擊者花
費70%的時間蒐集攻擊目標相關
資訊、30%時間花在實際攻擊,而
且實際的攻擊時間應該更少,因為攻
擊人員必須在被發現之前抽身。不
贊成開放
ICMP
的管理者認為當在
Firewall
開放所有主機能夠
Ping
之後,攻擊只要以
ICMP Scan
次網段範圍,所有主機就全然現形,
而且主機所運作的作業系統可透過
ICMP
的回應時間推知一二,不再需
要使用任何更進階的
PingTool
找主機與推測作業系統,這實在是相
當不值得的作法。
站 在
Firewall
管 理 的 角 度,
建議管理者關閉此
Policy
讓駭
客不那麼輕易取得想要的資訊。至
於系統團隊的問題查找,可開啟
臨時
Policy
且於測試結束關閉此
Policy
在決策
Firewall
管理時,
安全與方便的抉擇,安全永遠是您該
下的決定。
六、我的
Firewall
安全嗎?
就像全副武裝上戰場時腦中出
現的問題:〝子彈來時我的鋼盔擋得
住嗎?〞這一直是管理者放在心中深
處的問題,這個問題的答案其實只要
試看看就知道了,而且保證沒有生命
安全問題。
您可以透過滲透測試、弱點掃描
等服務,以駭客的角度來了解環境狀
況,假如沒有預算可以請廠商協助,
也可以透過工具從
Internet
進行自
我檢測,表一提供可自我檢測網路環
境的工具:
安全檢測必須是排程的,不是
檢測一次就安全了。可以資訊安全
管理系統的
Plan
Do
Check
Action
循環為基準,排定定期檢
測 計 畫(
Plan
)、
定 期 執 行 檢 測
Do
)、
檢查修正結果(
Check
)、
依檢測結果修正
Policy
Action
),
成為一個好的循環系統。
202
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用