探索中国CIO人才现状 | 第四季调研报告
没有防火墙,如何防御网络威胁?
2015-12-02  来源:techtarget

对任何IT部门来说,识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说,BYOD是常态,活跃用户数量一般在16,000到21,000之间,所以,既要保护网络安全,还要尊重学术自由,这使得工作更具挑战性。

有这么多的用户,尤其是有很多精通技术的用户,那么您认为目前面临的最大挑战是什么?

Sidney Pendelberry连接到网络上的设备数量不断激增。很多学生都是第一次踏入大学校园,就像我小时候黑白电视机换成彩电一样。

以前我们还可以控制计算机设备,所以所有的APP都很安全。而现在是在大学,BYOD是整个网络的心脏和灵魂。每个人都用自己的设备。我们有一个B级网络,需要管理65000个IP地址。而且没有防火墙,没有ISP提供任何保护。如果你的IP正好在B级网络的129.21,我们还能阻止一些不安全的操作,但是又不得不格外小心,因为得确定不会侵犯学术自由。

但是,网络威胁还是时常。很多新生第一次设置自己的网页,他们运行Apache,但是他们却从来都不设置防火墙,所以他们可能很快就遭到攻击,而我们要做的就是尽可能关闭那些可能威胁网络的网站。我们还要求学生做重要的事情时使用RIT自己的网络。每天上午,大约3%到4%的学生会就会占用到80%的带宽,所以我们还会做一些带宽管控。

另外,我们还一直在彻底清除XP系统登录网络。关于身份认证的问题也很让人头疼,因为有很多不同的系统,而且他们都有自己的独立密码。所以想找到最合适的总会需要NTLMv2,虽然很难,但是我们在尽力做。我们有很多的旧的实验室设备需要连接到网络上,比如一些旧的投影仪之类的设备,它们的安全很难保护。打印也很难防御。虽然我不知道具体是什么情况,但是我知道大的打印机厂商在提到安全防护的时候都会含糊其辞,无论是惠普、施乐还是其它的厂家。网络威胁一直都是个难题。因为没有防火墙,所以很多设备都采取端点保护方式。所以我们做很多用户安全意识教育以及网络扫描,来确保把安全漏洞降至最低。

用户安全意识培训和漏洞扫描,您认为哪种方式对于防御网络威胁更有效?

Sidney Pendelberry:这取决于是哪些用户。学生在安全意识方面就做的很好,尤其是在接受教育以后。同样,我们给员工和老师做同样的培训好几次,但是效果都不好。

几年前我们做过一个简单的统计:处理员工或教员遇到的网络钓鱼需要花费多少钱?结果证明,将近14,000美元。很多人收到网络钓鱼的邮件,通常都会打开看看。一旦这样就可以读取你的邮箱里的所有信息,即使你什么都不填。这时候,我们就不得不重置邮箱,确保个人信息不被窃取,这样就形成了报告问题。然后我们还要请求用户原谅,因为我们没能阻止网络钓鱼事件发生。如果不能确定攻击向量,有时我们也会做一些安全调查,当然不只是关于邮箱的。幸亏这种网络威胁随着时间的推移已经越来越少了,但是我们还是需要注意。

那么您现在在做哪些网络项目?

Sidney Pendelberry:最大的问题就是电源,我们有很多方法报告和控制电力消耗。但我们并不想监控个人用户。因为那会涉及到很多问题。毕竟我们没有权利管理个人用户的数据,如果我们给学生发个提醒说:‘我们一直在监控你的活动,你用了太多电。’学生们一定很害怕。我们是想保护他们,不想吓到他们。我们也没有坚持做日志,只做极少量必要的日志。当然,如果需要,我们会继续做,如果没必要,我们就不做。

我自己会做一些大数据。RIT想跟踪我们已经监控的环境和楼宇条件,比如温度、湿度、气流以及其它外部条件,调度数据和网络可利用数据,以给RIT的冷却和加热需求一个准确的需求模型。

具体来说,无线AP的累计会话数据可以帮我们判断实时使用情况,而不是温度传感器提供的潜在反应,这样用户进入或离开大楼时你能更好的监测。比如,你可以早上给大楼加热。但是随着人们陆续进入,会产生很多热量和湿度。而晚上的时候,就可以给大楼降温了。这样你可以更有效的控制大楼环境,用户连接到网络上的移动设备对于大楼使用情况来说,是个巨大的指标。像SDN这种新技术大大改变了这个领域。

作为RIT的辅导员,它对您的课程有什么影响吗?

Sidney Pendelberry:课程一直在变。这就是最难的,今天的东西拿到明天就不能用了,所以实验也需要不断的改。以前我很喜欢做未打补丁的Windows XP实验,可以演示密码破解的过程,但是现在不能做了。可能现在连这种系统都不能用了。

现在最重要的事情就是配置管理。我们会花费很多时间配置SCCM、Puppet或者Chef。活动目录数量非常大,所以需要LDAP。关于身份验证方法,Kerberos是最大的标准,而且已经普遍应用。但是随后我们又遇到像Shibboleth这种实施问题和一些以网络为中心的认证问题,它们都是在不断演变的。

软件定义网络非常重要。我们的网络环境已经应用了SDN。而且我们有一个非常稳固的云环境。我们做很多云内联网,事实证明值得做。我们还有很多边缘设备以及虚拟化的交换机和路由器。在一些实验中,学生们做的第一件事就是设置一个虚拟子网,不管是用pfSense还是Vyatta,基本上都有自己的虚拟网络。很多学生都是大三或者大四才做这种实验的。但是也有一些学生第二学年就开始选修这个课程,为他们实习打好基础。

您是怎么进入IT和专用网络领域的?

Sidney Pendelberry:这其实是个意外。1999年到2000年,我在施乐公司做系统工程师。后来有一个人和我都想创业,就成立了UniteU Technologies。当时他刚刚拿到罗切斯特大学西蒙商学院的MBA学位,我也刚考上RIT大学的系统工程师硕士。后来,我做技术,他做管理,我们一起创办了UniteU Technologies。这个公司现在还在,大约有三四十人,是一个POS集成公司。

我以前从来没有看见过路由器,所以我不得不买一个装上了。我们的业务发展起来以后我就离开了施乐公司,但是那段时间真的很难。我每天工作16个小时,我还放弃了原来丰厚的薪水。后来我妻子说我太傻了,所以我就又找了一份工作,就到了RIT。

最后一个问题:除了科技,您最大的爱好是什么?

Sidney Pendelberry:我是一个户外型的人。我经常徒步旅行。周末的时候,我会把手机放在家里,带着孩子和狗一起去徒步,我很享受那种状态。