鬼故事 - 不可能，我家防火牆天下無敵

Credit: rick and morty
靈感來源：UCCU Hacker 梗圖主編

故事開始

故事回到網管小新的身上，小新公司花錢做了紅隊測試，
小新超級緊張，在測試的那幾天都是每天加班而且通知全開，
想說要在第一時間抓到對方，但可惜無功而返，
甚至是被摸進去的第二天才發現對方。

而聽紅隊測試做結案報告，
紅隊：「我們這次測試是從官方網站的伺服器進入然後進入內網」
IT前輩老K：「不可能！我們防火牆設定的很好，不可能進入」
紅隊：「就讓我來解釋一下我們如何進入的」
紅隊：「首先我們透過主機上面留存的紀錄發現內網 IP」
紅隊：「經過網路掃描，發現可以主動連線到部分 RD 的開發主機，所以我們認為防火牆沒設定好」
(以下溝通過程省略)

資安探討

其實 DMZ 沒有切乾淨這件事在不論大大小小的企業都屢見不鮮，
最常見的幾項設定，筆者認為影響 DMZ 的安全性：

• DMZ 區可以主動發起連線對 OA 網段雖然不是全部主機，但其實這樣就已經讓 DMZ 安全性不再
• RD 自己打 SSH tunnel，魔高一尺道高一丈，常常是 RD 或是 service owner 這樣把自己把 DMZ 與內網連線打開
• 專線直通 DMZ，筆者其實覺得這是一種妥協方式，但專線必須是另外一個隔離網段，這主要方便人不用進機房但可以做部分 TroubleShooting

我們常常以為自己資安做得很好，但實際上沒有經過測試/盤點，
人腦還是會常常遺漏一些部份，而駭客不需要幫你盤點那麼清楚為什麼這存在，
他們只要找到一個點可以利用就好，這也是大家常說的木桶理論，
在大家買一堆補丁補木桶之前，先把自己木桶有那些缺漏搞清楚也是很重要的。