鬼故事 - 不可能，我家防火墙天下无敌

Credit: rick and morty
灵感来源：UCCU Hacker 梗图主编

故事开始

故事回到网管小新的身上，小新公司花钱做了红队测试，
小新超级紧张，在测试的那几天都是每天加班而且通知全开，
想说要在第一时间抓到对方，但可惜无功而返，
甚至是被摸进去的第二天才发现对方。

而听红队测试做结案报告，
红队：「我们这次测试是从官方网站的服务器进入然後进入内网」
IT前辈老K：「不可能！我们防火墙设定的很好，不可能进入」
红队：「就让我来解释一下我们如何进入的」
红队：「首先我们透过主机上面留存的纪录发现内网 IP」
红队：「经过网路扫描，发现可以主动连线到部分 RD 的开发主机，所以我们认为防火墙没设定好」
(以下沟通过程省略)

资安探讨

其实 DMZ 没有切乾净这件事在不论大大小小的企业都屡见不鲜，
最常见的几项设定，笔者认为影响 DMZ 的安全性：

• DMZ 区可以主动发起连线对 OA 网段虽然不是全部主机，但其实这样就已经让 DMZ 安全性不再
• RD 自己打 SSH tunnel，魔高一尺道高一丈，常常是 RD 或是 service owner 这样把自己把 DMZ 与内网连线打开
• 专线直通 DMZ，笔者其实觉得这是一种妥协方式，但专线必须是另外一个隔离网段，这主要方便人不用进机房但可以做部分 TroubleShooting

我们常常以为自己资安做得很好，但实际上没有经过测试/盘点，
人脑还是会常常遗漏一些部份，而骇客不需要帮你盘点那麽清楚为什麽这存在，
他们只要找到一个点可以利用就好，这也是大家常说的木桶理论，
在大家买一堆补丁补木桶之前，先把自己木桶有那些缺漏搞清楚也是很重要的。