扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:IT168 2009年1月9日
关键字: 代理服务器
一些安全专家认为,除非你在干坏事,否则匿名代理服务器没有必要;而另一些安全专家认为,匿名代理服务器是用于研究、渗透测试及类似工作的一种正当工具。那么,孰是孰非呢?
如果说在网络世界中善与恶之间的较量有一片灰色地带,匿名代理服务器就处于这片灰色地带。企业机构通常使用匿名代理服务器,把针对网站、文件及其他内容的请求转发到其他服务器。匿名代理服务器就是用来隐藏请求者的真实身份。
一些安全专家表示,除非某个人想掩饰恶意活动,否则没有必要隐藏真实身份。持这一观点的就包括Sunil James,他是亚马逊互联网服务部的高级产品经理,之前是安全分析监测公司iDEFENSE的安全漏洞研究主管。他说:“作为一名安全人员,我的第一反应自然是要问:如果某个人做的事情光明正大,为什么还要匿名呢?我完全认为匿名代理服务器在企业环境根本没有必要。”
另一些安全专家却认为,某几类安全研究和测试工作决定了匿名代理服务器很有必要;如果合理使用,这种服务器是非常安全的。
为了就这个问题达成共识,我们通过电话、电子邮件和LinkedIn等社交网络网站这些方式调查了几名业内专业人士。
让人惊讶的是,大多数调查对象觉得有必要使用匿名代理服务器,还举了众多正当用途的例子。但每个人都承认,匿名代理服务器很容易被不怀好意的人所利用;企业机构为此需要制订一套相应的安全程序。
罗得岛的网络工程师Ed Ziots说:“从安全的角度来看,通过匿名代理服务器隐藏你的真正位置,这绝对处于互联网浏览领域的灰色地带。我在研究最新的漏洞、漏洞代码或漏洞研究方面的最新趋势时,使用匿名代理服务器来查看来自不太可靠的系统的可疑内容,因为我不希望对方网站知道我的真实来源。”不过他能设想到这种比较危险的情况:坏人使用好几台匿名代理服务器,那样受害者就查不出遭到的一连串攻击来自何处。
监视或阻拦竞争对手
安全厂商Sophos公司的互联网安全产品管理副总裁Chris Kraft表示,匿名代理服务器常常用于监视竞争对手,或者阻拦竞争对手对自己进行监视。Kraft说:“使用这种服务器往往出于竞争的需要,网站经营者如果能确认竞争对手的IP地址段,就能防止对方浏览本公司的资产。匿名代理服务器可用于搜集有关竞争对手的情报;反过来,竞争对手也可以使用匿名代理服务器来阻止对方的这种刺探行为。”
安全顾问Larry Glassman在一家《财富》100强公司担任首席信息安全官期间,接到了市场营销部门希望建立一台匿名代理服务器的请求,那样该部门就能针对同一行业的竞争对手进行竞争性市场分析。
他说:“这个部门提出请求的起因是,竞争对手阻拦这家大公司的互联网注册IP地址段访问其网站。这就好比沃尔玛、山姆会员商店或仓储会员店的一名副总裁走访竞争对手好市多(Costco)在全国各地的商店,以便能够把自己的产品和服务与同一行业的另一个直接竞争对手进行比较。”
倡导言论自由
Richard Childers是位于加拿大渥太华的加拿大血液服务局的IT安全经理,他表示,公司企业使用匿名代理服务器通常是用于对出站互联网流量进行控制,而且常常结合缓存功能,以便更有效地利用有限的带宽。不过他也认为,在言论自由受到限制的国家地区,使用匿名代理服务器很正当。
他说:“虽然我相信大多数匿名代理服务器被用于隐藏谁在访问不被社会认可的网站(如色情网站),但有些匿名代理服务器可能在政治方面具有价值。原因在于,这样一来,专制政府就更难确认谁在访问官方禁止的信息网站。”
IOActive网络安全公司的渗透测试部门主管Dan Kaminsky曾发现了去年夏天媒体广泛报道的DNS漏洞;他表示,一个再简单不过的理由可以解释为什么其他国家的人在使用匿名代理服务器:许多人只希望能够访问互联网。
他说:“美国人很可能觉得使用这种服务器是不道德的,但那是由于人人可以访问互联网。要不是匿名代理服务器,有些国家无法实现真正访问互联网。”
Kaminsky 表示,如果你深入研究来自一台典型代理服务器的流量,十有八九会发现这些流量都来自国外的一个年轻人,他只想在YouTube上观看视频或者向朋友发送电子邮件。
对于有人认为匿名代理服务器用于恶意活动的说法,他表示:“真正的黑客利用僵尸网络、闯入桌面。他们并不使用代理服务器闯入别人的电脑。”
一把双刃剑
安全专家们经过分析后最终得出的结论是,匿名代理服务器好比如今其他任何的技术工具――它既可以被人用于正道,也可以被人用于歪道。
英国源讯公司的技术安全设计师Baba Akinjayeju表示,眼下,匿名代理服务器变得更流行起来,因为人们希望能够保留一份匿名性和自由度,而匿名性和自由度正是互联网赖以成名的两大特点。
Akinjayeju说:“反对匿名代理服务器的人一直认为‘既然你没有什么好隐藏的,干嘛还要匿名?’但生活并不是绝对的。话虽如此,我还是认为这个世界上有许多为非作歹的人,他们想借助匿名性来做各种各样的坏事。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者