21.4 Defense Against Network Attack
659
Which is better? Well, it depends. Factors to consider when designing
a network security architecture are simplicity, usability, maintainability,
deperimeterisation, underblocking versus overblocking, and incentives.
First, since firewalls do only a small number of things, it’s possible to make
them very simple and remove many of the complex components from the
underlying operating system, removing a lot of sources of vulnerability and
error. If your organization has a large heterogeneous population of machines,
then loading as much of the security management task as possible on a small
number of simple boxes makes sense. On the other hand, if you’re running
something like a call centre, with a thousand identically-configured PCs, it
makes sense to put your effort into keeping this configuration tight.
Second, elaborate central installations not only impose greater operational
costs, but can get in the way so much that people install back doors, such as
cable modems that bypass your firewall, to get their work done. In the 1990s,
UK diplomats got fed up waiting for a ‘secure’ email system from government
suppliers; they needed access to email so they could talk to people who
preferred to use it. Some of them simply bought PCs from local stores and
got accounts on AOL, thus exposing sensitive data to anyone who tapped the
network or indeed guessed an AOL password. In fact, the diplomats of over
a hundred countries had webmail accounts compromised when they were
foolish enough to rely on Tor for message confidentiality, and got attacked
by a malicious Tor exit node (an incident I’ll discuss in section 23.4.2.) So a
prudent system administrator will ensure that he knows the actual network
configuration rather than just the one stated by ‘policy’.
Third, firewalls (like other filtering products) tend only to work for a while
until people find ways round them. Early firewalls tended to let only mail
and web traffic through; so writers of applications from computer games
to anonymity proxies redesigned their protocols to make the client-server
traffic look as much like normal web traffic as possible. Now, of course, in
the world of Web 2.0, more and more applications are actually web-based;
so we can expect the same games to be played out again in the web proxy.
There are particular issues with software products that insist on calling home.
For example, the first time you use Windows Media Player, it tells you you
need a ‘security upgrade’. What’s actually happening is that it ‘individualizes’
itself by generating a public-private keypair and sending the public key to
Microsoft. If your firewall doesn’t allow this, then WMP won’t play protected
content. Microsoft suggests you use their ISA firewall product, which will
pass WMP traffic automatically. Quite a few issues of trust, transparency and
competition may be raised by this!
Next, there’s deperimiterization — the latest buzzword. Progress is making it
steadily harder to put all the protection at the perimeter. The very technical
ability to maintain a perimeter is undermined by the proliferation of memory
sticks, of laptops, of PDAs being used for functions that used to be done on

Download 499.36 Kb.

Do'stlaringiz bilan baham: