自我防禦網路
記者 / iThome採購情報 2004-04-26
網路安全是近年來一直受人矚目的話題,也是許多資訊人員心中最大的傷痛,不論是紅色警戒(Code Red)或之前的疾風病毒,都讓許多企業內部網路因此癱瘓,甚至因此造成設備的損害。深究造成這些損失的原因,有許多都是因為使用者並沒有作好電腦安全防護...
網路防禦自動化,降低人為疏失的風險
網路安全是近年來一直受人矚目的話題,也是許多資訊人員心中最大的傷痛,不論是紅色警戒(Code Red)或之前的疾風病毒,都讓許多企業內部網路因此癱瘓,甚至因此造成設備的損害。深究造成這些損失的原因,有許多都是因為使用者並沒有作好電腦安全防護,甚至根本沒有這種概念,因而導致這些資訊慘劇的發生,這些都是非戰之罪。或許有人會認為,明明就已經架設好防火牆,所有遠端存取的權限及能使用的區域都有嚴格的認證、授權與控管,怎麼還會有問題發生呢?沒錯,這些作法的確可以有效地抵禦外來的駭客入侵,也能夠確保部分的資訊安全不受威脅,但是家賊難防,能夠直接連接內部網路甚至就是內部伺服器,才是可能造成這類莫大災害的元兇。
雖然可以將所有對外的確認機制移到內部網路且一體適用,但是這樣卻會造成使用上的諸多不便,並且以內部網路來說,能夠進入內部網路的應該都是已經通過實體的身分認證,理當不應該也不會造成危害,偏偏就是因為使用者習慣不良:未安裝防護軟體(防毒軟體或個人防火牆)、任意下載非法或不知名軟體、開啟不明來源的電子郵件等,這些看似不經意的動作,卻往往成為病毒不斷蔓延的原因。加上近來病毒不斷推陳出新,任何一種新病毒或是蠕蟲都有可能造成立即的危害,防毒軟體也不見得能夠在第一時間馬上解決,如果能夠將安全機制直接建置到交換器與路由器中,在有害封包經過的時候就直接隔離並丟棄,不但可以確保網路穩定性,也可以降低使用者的負擔,並提高網路的防禦能力,這種架構就是思科所提出的「自我防禦網路(Self-Defending Network)」。自我防禦網路包含三種階段:整合性安全、產業協同合作以及安全察覺。
整合多種設備建構出安全網路架構
思科在整合性安全的階段中透過各種不同設備,如路由器、交換器、網路通訊設備、無線網路設備及資訊安全設備,整合成多層級的安全防護措施,不論何種設備在任何時間都可以作好安全防護的功能,在這個項目中有三項要點:保全連線系統、威脅防禦系統及身分辨識與授信系統。透過安全的連線能力,可以保障每次交換資訊與通訊的過程當中,資訊都是受到保護的,遠端存取可以經由IPsec VPN或是SSL VPN保障連線安全,內部網路則可以由後端的RADIUS伺服器或是AD伺服器等身分認證機制藉以保障內部網路的連線是安全的。
對於威脅的防護措施則具有以下四種作法:網路基礎設備的安全防護、偵察網路邊緣、保護內部網路、以及防禦終端設備。網路基礎設備的安全防護主要是避免有心人透過顯露在外的網路線或是交換器、路由器等設備,切入內部網路中,並藉以竊聽所有流經的封包,甚至作為直接侵入的管道,因此所有的管線必須盡量使用暗管,並應該不定期巡察是否有遭受破壞,不但可以確保連線正常,也能夠避免潛在的危險;在與網際網路界接的地方,目前最常作的作法就是安裝相關的防火牆設備,以目前的產品趨勢來說,不單只是防火牆,另外也會加上入侵偵測/防禦設備加強安全性,避免遭受日新月異的駭客攻擊而無法招架;防禦終端設備則是較新的構想及架構規畫,在如個人電腦、伺服器等終端設備試圖連線到內部網路時,所送出的封包會先經由Cisco Trust Agent(CTA)檢查,當這些封包模式是混亂的,或是具有特定模式的,CTA就會丟棄這些封包,並且主動告知管理者處理,在中毒的狀況解除之前,該終端設備是無法連上內部網路的。
憑證與身分的管理則是仰賴目前越來越重要的3A機制:認證(authentication)、授權(authorization)與會計(accouting),這種以辨識為主的網路架構,不單可以是用在內部網路環境中,也可以應用在遠端撥入的使用者、無線網路使用者及VPN通道使用者等。
透過這些安全控管機制,可以提供一個集中化的設定、監控與分析的平臺,透過該平臺,資訊人員可以很快地檢視整個網路環境,並且隨時修補系統漏洞,並排除危害源。
產業合作讓交換器也具備防毒功能
在思科這一階段的計畫中,與異業如Network Associate、賽門鐵克與趨勢科技等合作是相當重要的一環,透過產業的合作建置出「網路存取控制方案(Network Admission Control Program,NAC)」。當終端設備試圖登入內部網路時,交換器中的NAC就會先行透過安裝在終端設備中的CTA檢查系統資訊,並將系統資訊回報至後端的政策伺服器(Policy Server)確認終端設備的系統資訊是否正常。要檢查的系統資訊包含是否有安裝防毒軟體、病毒碼是否已經更新到最新版,如果檢查結果不符,就會將該終端設備轉向至隔離檢疫區,如果該設備已經中毒,就會透過矯正伺服器(Remediation Server)線上掃除病毒;如果是沒有安裝或是未更新到最新版本的病毒碼,校正伺服器中也有企業許可的防毒軟體及最新的病毒碼,會自動協助使用者更新至最新版,直到一切都合乎內部網路的政策設定之後才會放行。
這種作法可以讓受到感染的病毒在侵害到內部網路之前,就先行轉向到安全區域中,並且給予適當的處置,對於使用者來說並不會造成太大的不便,並且也能夠提供相當的保護。我們可以發現到大多數防毒軟體的企業版本都具有Server-Client架構的形式,不過在還沒有連線上企業內部的防毒伺服器前,未知的病毒或是攻擊可能就已經發生,因此在連線的第一道門戶上就先行阻隔是制敵機先的作法。
就目前為止,資訊安全防護的重點還是在抵禦外部攻擊,以及加強遠端連線的安全上,除了提升加密機制的安全性之外,同時也增加了相關的終端設備檢查機制,如同北電網絡在VPN解決方案中提供的TunnelGuard功能,就是能夠透過內建在終端設備中的檢查程式,核對設備是否已經安裝並執行政策中規定的軟體項目,如果不合乎規定就拒絕該次連線,直到改善到合乎標準為止。這有助於使用者辨別哪些設備是可能有危害,而哪些是可以安全使用的。
能夠自我防禦才能建置出整體網路安全
有關資訊安全的議題已經討論了相當多年,各類保護機制也從當初的點狀保護機制,如防火牆、VPN、IDS、身分認證設備等單點防禦設備,演進至整合性安全,如將安全機制整合入路由器、高階交換器、無線區域網路、網路通訊等架構,將安全防護機制推廣到整個解決方案上;再進一步則是將封包檢查機制導入到每臺交換器與路由器之中,只要封包經過,就隨時檢查,隨時防禦,進而達成自我防禦網路的願景。
最有可能潛藏病毒或是不當程式的設備幾乎都是使用者直接控制的個人電腦、筆記型電腦或是各類伺服器,而直接與這些終端裝置相連接的第一線網路設備就是交換器,在內部網路中往往會因為一時的疏忽造成整個網路癱瘓,因此能夠從第一線的交換器開始防禦是最好的作法,再搭配上相關的各種路由器、VPN設備以及各類網路服務設備,在使用者建立連線之後就不斷監控並即時回應,才能夠真正做到自我防禦的目標。文⊙羅健豪
fr.: http://shoppingguide.ithome.com.tw/special/special2004-04-26-001.html
0 Comments:
Post a Comment
<< Home