作業系統設計/網路演變:安全
當網路第一次開始時,計算機之間的連線是簡單的單向連結。然後,雙向連結被開發出來。然後,連線庫變得可能,等等。如今,數百萬臺計算機實際上連線到網際網路上的每臺計算機。在每次將網路擴充套件到大量受眾時,連線性引起的問題都增加了。
起初,擁有計算機機房的訪問控制就足夠了。然後,當計算機開始連線時,人們發現服務公司正在計算機機房中建立非法連結,以便在沒有訪問現場的情況下處理服務需求。這些後門連結最初被認為是一個好主意,但後來被發現是一個安全問題。撥號戰爭的發展使計算機的額外電話線成為安全漏洞。
起初,網路是內部的,人們認為可以信任自己計算機機房中的計算機,因為你擁有訪問控制。但大約在這個時候,分時開始出現,並且終端在大銀行中擴充套件到計算機機房之外。其中一些終端具有系統使用者功能,因此可以用來從計算機機房外部攻擊資料完整性。後來,計算機變得越來越普遍,似乎每個人都有一臺。為了讓人們可以在辦公室或家中連線自己的系統,建立了局域網的概念。
然後,網際網路開始出現,一個網路連線到另一個網路,等等。不滿意的員工可以超出其本地網路,並對建築物另一側的網路造成破壞。然後,網際網路開始發展,網際網路誕生了,世界各地的人都可以影響你的私人計算機。顯然,你需要對誰被允許進入你的計算機進行一些控制。
隨著網路的出現,出現了集線器的概念,其中多臺計算機連線到同一個網路段。人們發現,如果將網路卡置於混雜模式,它可以監聽透過其自身網路段的所有資料。只需要一個數據包嗅探器,你就可以從網路中直接讀取資料。
最終,資料速度變得足夠快,需要對網路段進行更多控制,因此用交換機代替了集線器。這被動地分離了資料,因此只有針對特定網路卡的資料才能透過交換機進入該網路段。但是,對於更大的網路,需要類似的東西來將更大的段連線在一起,因此設計了網際網路路由器。本質上,路由器是一種主動裝置,它將資料路由到連線到特定網路卡的網路段。逐漸地,越來越多的高階路由器成為可能,現在一些路由器會定期在不同的網路段之間切換資料,以便在整個網路中平衡負載。伊拉克戰爭的一個有趣方面是,他們有用於指揮和控制的網際網路路由器,只要士兵和指揮部之間存在部分連線,命令就可以繼續傳達給士兵。
隨著路由變得可能,經常在路由器上執行專門的程式來限制不合格使用者的訪問。這些稱為防火牆的程式應該限制安全漏洞。但是,隨著人們對防火牆工作原理的瞭解越來越多,安全性變得越來越困難,需要建立新的防火牆設計。
其中一個問題是,網際網路依賴於稱為守護程式的程式,這些程式在沒有操作員干預的情況下自動提供服務。這些守護程式監聽稱為套接字的傳輸通道以提供其資料。守護程式程式設計中的漏洞使得駭客可以入侵系統,而所有者不知情。一個簡單的程式可以掃描所有套接字,並報告哪些版本的哪些守護程式回答了連線請求,據此可以確定哪些套接字最容易受到攻擊。
為了抵消這一點,防火牆必須變得更加複雜,並關閉任何試圖掃描計算機套接字的嘗試。此外,掃描程式被公開發布,以便人們可以評估其防火牆並確定它們是否關閉了更易受攻擊的套接字。
限制訪問的一種方法是資料包過濾器的概念,它可以限制哪些型別的資料包被允許訪問網路段。這種型別防火牆的問題是它太安全了,以至於使用者經常抱怨沒有任何東西能夠透過。
非軍事區的概念由此發展而來。顯然,使用者想要訪問一些網際網路服務,但最安全計算機中的資料也需要保護,因此達成了妥協。將安裝兩種不同型別的防火牆,一種在使用者和網際網路之間,以保護他們免受駭客攻擊,另一種在使用者和安全檔案系統之間,只接受有效資料包。使用者區域被稱為非軍事區,因為儘管它受到保護,但最安全防火牆的全部火力並沒有提供給它。此外,可以在個人計算機上實現防火牆程式,該程式會限制透過提示使用者何時程式訪問網際網路來訪問套接字。
入侵檢測的想法是,當有人成功地滲透了你的安全系統時,你希望能夠快速注意到他們的滲透並能夠處理它。在第一個有據可查的入侵檢測案例中,一名美國學生被其大學僱用,以確定為什麼一個以前穩定的作業系統會計程式突然崩潰並損失了幾美分。在幾個月的時間裡,他首先開發了問題與特定使用者帳戶有關的想法,然後是該使用者帳戶被駭客入侵的想法,然後開發了一種方法來跟蹤和欺騙駭客以揭示其位置,最後設法關閉了基於駭客的德國間諜網。該學生寫了一本關於此的書,普及了入侵檢測的概念。
入侵檢測的開創性工作始於 1970 年代,由 James P. Andersion 於 1980 年首次發表。他制定了一些審計跟蹤的標準,這些標準使其足夠全面以檢測操作異常,但又不至於過於全面,以至於讓入侵者檢測到入侵檢測的存在,或過度混淆審計員。
1984 年至 1985 年,Dorthy Denning 和 Peter Neumann 進行了更多關於如何使用異常檢測和專家系統來檢測濫用可能性的開創性工作。名為 IDES 的系統能夠可靠地檢測濫用,因為異常檢測器可以適應使用方式的變化,而專家系統可以檢測濫用,並將其連結回特定行為。
到 1990 年,入侵檢測開始超越僅僅審計計算機系統,並開始監控網路連線。很快變得明顯的是,只有大約 1% 的入侵是透過早期手段檢測到的。開發了一個名為 DIDS 的系統,該系統能夠跟蹤從一臺計算機跳到另一臺計算機的入侵,以便對損壞進行適當的歸屬。從 1980 年代的這項最初工作開始,人們在開發跟蹤計算機的異常使用和安全威脅的能力方面做了大量工作,以便能夠對其進行管理。