zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

想大家推荐一篇国外的文章，关于VoIP安全威胁的总结。相关内容参加我的英文博客。

在我的英文博客上，贴上了两篇评论，分别是：

关于使用Skype作为家庭视频监控系统
以及Skypekiller的评论

欢迎批评讨论。

我相信不少安全经理们都琢磨过如何使用安全代理来加强互联网出口的安全控制。总结来看，主要的安全威胁，我个人认为，是病毒及其衍生威胁，以及内部的滥用和误用。前者是从基础设施的角度来看，后者是从应用和数据的角度来看。那病毒的威胁又从哪里来呢？病从口入 ！ 互联网绝对是一个不容忽视的威胁来源。控制用户下载文件、使用MSN/QQ/其它P2P/IM软件交换文件、被钓鱼等，更进一步安全经理还想将互联网的访问定位到每个用户，以便计费或者审计。这些都需要强有力的安全代理的支持。可是，代理如何选择呢？ Jason向我推荐了一个网页，我觉得讨论的非常精彩。Thomas Shinder和网友AntiShinder各舒己见，分别为微软ISA软件方案和BlueCoat硬件方案进行了很有说服力的论证。

论战起源于BlueCoat的一个白皮书，总结了BlueCoat的5大优势：

• The ISA firewall cannot be as secure as Blue Coat proxies because it runs on a general purpose server that has ongoing security vulnerabilities
• The ISA firewall is unable to inspect traffic inside an SSL tunnel
• The ISA firewall is unable to inspect and manage peer-to-peer, instant messaging and multimedia connections
• The ISA firewall has limited support for granular access control
• The ISA firewall’s network performance is inferior to Blue Coat’s proxy performance

• 对于喜欢硬件方案的朋友来说，BlueCoat清一色的盒子，安装运行维护都简单，看着清爽，感觉上性能也不错。
• 喜欢软件方案的朋友，觉得可以按照自己企业的Server标准进行按需升级，完全纳入企业的Server运行维护，成本较低，性能可控。

这两年使用短信欺骗的报导和宣传已经很多，我们不妨管它叫 Sishing, S 代表SMS。比它科技含量高些的是 Phishing, 发出一个群组邮件，然后静候某些邮件接收者点击其中的链接，在那个链接那里有一个提示界面，为了恢复您的信用卡，请输入您的卡号和密码，再往后面的步骤就很简单了。大家都知道这是Phishing攻击，现在有很多厂商已经提出了各种解决方案，已防止用户被欺骗。这里也包括IE7和Firefox2.0的努力奉献。这里，各种社会媒体和宣传力量也在贡献自己的力量来培养大众的自我保护意识，避免被轻易欺骗：

• 不要轻易点击不明邮件中的链接
• 任何银行、信用卡公司、电信公司都不会通过任何方式向用户索取密码
  

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

在最新的SANS TOP20发布中，VoIP首次被列入重要攻击目标，标号是N1。表明VoIP的安全问题正在受到越来越多的关注，SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视，从而改善VoIP的安全状况：

Operating Systems
    W1. Internet Explorer
    W2. Windows Libraries
    W3. Microsoft Office
    W4. Windows Services
    W5. Windows Configuration Weaknesses
    M1. Mac OS X
    U1. UNIX Configuration Weaknesses
Cross-Platform Applications
    C1 Web Applications
    C2. Database Software
    C3. P2P File Sharing Applications
    C4 Instant Messaging
    C5. Media Players
    C6. DNS Servers
    C7. Backup Software
    C8. Security, Enterprise, and Directory Management Servers
Network Devices
    N1. VoIP Servers and Phones
    N2. Network and Other Devices Common Configuration Weaknesses
Security Policy and Personnel
    H1. Excessive User Rights and Unauthorized Devices
    H2. Users (Phishing/Spear Phishing)
Special Section
    Z1. Zero Day Attacks and Prevention Strategies

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

大家都在思索，5年不是一个很短的时间，可以发生很多事情。从2000年至今，阳光之下，我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来，写过一些按需安全的文字，但是后来终究也没有让它们露面。但是现在却有了一个冲动，Security 2.0，Let's Go !

#########

如果我们按照安全历史的发展，做下面的定义： 

• 将“安全就是反病毒”定为 安全 Security 0.1，
• 将 “安全就是PDR，where P是防火墙、D是IDS、R是安全应急服务”定为安全 Security 1.0

的话，现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代（这里请允许我借用一下Web2.0），其代表性的特点feature 如下：

• 关注点从简单的防止攻击和入侵，发展到应用和数据安全，以及内部控制
• 安全体系从“老三样”发展到基于IAM（或者AAA，或者AAAA）的综合防御体系，强调安全管理的“内功”
• 安全管理和技术更加强调信息交互、以及相关、挖掘和展现，强调信息的易用性，强调“用户”的感受和使用效果

换句话说，Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性，而2.0则偏重关注自身体系的建设以及安全信息的使用，并且将信息上升为知识和行动指南，反馈到安全体系的优化中去。我认为，在这里2.0并没有替代1.0的意思，而在建立在1.0的基础之上。失去了1.0，2.0就成为空中楼阁、无源之水。

2.0的产生和提出，有其背后的驱动力。我们知道，在10年前，我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找，这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大，管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前，随着互联网攻击的泛滥，当时业界提出了PDR模型，引入到中国则形成了若干个PDR的变种，但总体的思潮是“动态”防御－尽快发现入侵和攻击者。在这个阶段，IDS技术也发展到了协议分析、异常发现等多种引擎的融合，曾被寄予很大的希望来一劳永逸地解决安全攻防问题。

但是，近两年来Zero-Day式攻击的出现和快速增长，极大的增加了管理员对于IDS的怀疑，一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了，IDS厂家不再有时间去提取样本，编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力！ 怎么办？  AAA ！AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平，还大大增加了安全策略的内涵和落地能力。

并且，随着各种单点安全产品（1.0）的成熟和大量部署，安全信息从“无”到“泛滥”，信息不再是信息，反而成了管理员望而生畏的“噪声”。【信噪比】 ！ 最早的SIM/SEM产品就这样诞生了！

数据 － 信息 － 知识 － 行动， 这是我们常用的4进阶的信息处理模型，每个进阶中的信息“质量”都不断获得提升。从这个模型里，我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息，而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量，但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”？资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到，早期的SIM/SEM是就安全事件关联安全事件，而最新的安全模型则开始事件的业务和IT环境。

昨天和今天连着开了两个大会，昨天是中计报和CCClub举办的第七届中国信息安全大会，今天则是通信运维专委会和CNNOG举办的CNNOG3。我有幸在今天作为Speaker发言，下面今天发言的讲义，主题是“ 转型中的电信运维和安全运营体系”。

Symantec今年一月份收购IMLogic后，IM/P2P安全市场更加群情激愤，斗志昂扬。Facetime新近推出最新版本的IMAuditor Enterprise Editor 7.0，并且获得SC Awards2006大奖。这是一款大概机架式式服务器，支持当前大多数的IM/P2P应用，这里的支持包括了用户识别、认证、访问控制（文件共享、网络聊天、视频等），在支持的应用列表中大家可以找到炙手可热的Skype，也有我们中国占通知地位的QQ。下面是其 Datasheet中的截图：

中文 Skype  BBS:  http://www.skypebbs.com/

下面这篇文章摘自LightReading，AT&T, Verizon, Qwest等大牌电信运营商老总谈P2P应用和业务对电信网的影响。AT&T讲网络业务应该分为Managed和Unmanaged两种...Qwest认为P2P对网络的冲击并没有媒体所描述的那样厉害...

RBOCs Wait & See on P2P

AT&T Inc. (NYSE: T - message board), Verizon Communications Inc. (NYSE: VZ - message board), and Qwest Communications International Inc. (NYSE: Q - message board) don’t have hard, fast policies in place to deal with consumer peer-to-peer traffic. Despite the hype about P2P traffic volumes on carrier networks, these phone companies say they're fine to watch and wait for now.

One network operator CTO is even skeptical that P2P really causes as much congestion in networks as has been hyped. (See P2P Fuels Global Bandwidth Binge.) 

2006全球NGN高峰论坛上，刘韵洁院士提出软交换生不逢时，赶上电信发展的低潮，从而错过了自身发展的时机，现在PSTN依然健康的工作，IMS却已经风雨欲来，现在的运营商没有理由不去研究采用IMS的可行性。软交换可能在中国除了移动有规模商用外，可能就此打住。而网通首席科学家侯自强老师，作为国内最早跟踪研究P2P在电信行业影响的学者（网上流传的很早的一份P2P中文PPT就是侯老师的杰作），提出电信运营商不要全盘否定Skype等P2P应用，要看到它们带来的积极的一面，因势利导。P2P用户分类计费不太可行。下面转贴了侯老师讲话的 报导全文。

3月29日的NGN大会上，中国科学院声学研究所研究员侯自强致辞。(骆磊/摄)
http://www.sina.com.cn 2006年03月30日 00:55 新浪科技,金朝/文

  　新浪科技讯 3月29日，在“2006全球NGN高峰论坛上”，著名电信专家侯自强称，分离P2P用户单独收费很难实现，建议运营商开始思考如何用P2P技术改进服务。

　　电信运营商希望P2P可控

　　同时身兼网通首席科学家、中国科学院声学研究所研究员、信息产业部科技委委员的侯自强认为，Skyp的出现，就证明在互联网上可以做IP电话，而且能做得很好。

　　但是，目前，有关P2P的争论非常大，传言一些国内固网运营商想限制P2P。对此，侯自强分析说，主要是电信业认为IP电话一定要在可管理的IP网上，其思路是一定中央管理，才有质量、才能赚钱、才有安全性，比如收费等，而基于互联网的P2P和网络电话等都是开放的公共平台，电信运营商也收不到多少费用，这两者是有矛盾的。

　　他指出，P2P和传统语音电话是完全不同的理念，而电信运营商实际上希望P2P也可控。

　　P2P无法超过给其设定的带宽

　　侯自强说，今天运营商都很怕P2P，原因是什么？他们觉得P2P占了它的带宽，而它没有增加一些收入。但是，实际上，P2P技术也无法超过给其设定的带宽速率。

　　他举例说，比如一个客户用了电信网络，一个月交120元钱进行宽带接入，可享受的带宽是500K，实际上用了P2P技术也突破不了500K以上的速率，因为运营商会进行控制。现在的问题是，运营商考虑到不是每个用户都在同时上网，因此均摊到每个用户可能就只有100K、50K，而P2P把这个总容量进行重新分配，就造成上面的容量会很紧张。

　　他说，从运营商角度来讲，更应该着重疏导网速来满足客户的需求。

　　区分用户收费难实现

　　对于目前有说法称可能要考虑对不同用户采取不同的收费，侯自强称，这个问题不但中国有，在美国也有，美国的电信运营商觉得提供了这么多的服务，钱被互联网运营商赚去了，他们想能不能搞一个分类用户，就是对基本互联网服务收一些钱，对比基本互联网更好的服务多收一些钱。但是，这种提法出来以后，遭到社会上反对，所以现在美国的运营商正在游说国会通过《网络中立法》。

　　他同时认为，这种区分用户收费的方式在中国也比较难进行。他表示，P2P这种新东西对电信运营商利益有影响，但电信运营商现在要更多看到P2P技术本身的积极意义，运营商应该开始思考这个问题，那就是如何用P2P技术改进服务、提高服务质量和通达能力。

　　另外，他认为，从今天的技术来看，网络扩大容量的成本也不是很高。

Technorati Tags: 3G, p2p, skype, 电信

自从Google推出了Google Talk后，IM/VoIP市场风声鹤唳，草木皆兵，Skype全球扩张，用户量激增，大量发展合作伙伴；微软和Yahoo合作，用户互通；Google入股AOL，Gtalk与AIM互通，并且大力推进开放标准XMPP/Jingle，惊心动魄，一时间鹿死谁手，让人好生神往。

这些不算，Google推出Gtalk后，又再进一步，推出了Gmail嵌入版本的聊天工具Gmail Talk, Google拥有的数千万Gmail邮件用户自动成为其IM用户，不用安装客户端，不需要特别配置，访问邮件的地方，就可以IM聊天。厉害的市场策划！



不错，可能你总是无法看到这个图标，为什么吗？