前言
由於網際網路的普及,使得各企業均不得不朝e-Business發展,此種大環境的轉變,對於一般企業內部的資訊安全所帶來的衝擊尤其嚴重。
在一般中大型企業裡,往往有為數眾多的異質平台電腦系統,從Server級的各種UNIX、Windows NT Server、NetWare、AS400與IBM OS390,到一般的Windows 95/98/NT Workstation桌上型PC以及可隨身攜帶的NoteBook,它們都透過網路互相連結,共享各種資訊。若要執行e-Business的業務,無論是B2B或B2C,甚至是最單純的電子郵件服務,都面臨著將企業內部重要資訊暴露在Internet之上的風險,因此企業在執行e-Business之前,對於自身企業網路安全的評估與保護就變成非常重要的課題。
伺服器端安全政策
企業在面對網路安全時,可以以(圖一)的Matrix來做為評估的參考依據:
由圖一可以發現,我們將網路安全分成4個階段,Assessment(評估),Protect(保護),Intrusion Detection(入侵偵測)與Manage(管理),每一階段都必須從Host與Network的角度來考慮,由此衍生出企業本身的網路安全與保護政策。首先來看Host端的安全政策制定,對於Host端的安全政策應考慮下列幾點,如(表一)所示:
例如密碼長度,我們可以限定在制定密碼時,其長度至少要6個字,其中不能含有個人出生年月日,不能是英文名字的反寫,開頭不能是公司名稱縮寫等,一旦企業限制了密碼設定方式,它就成為主機上安全政策中的一項,並適用於全公司所有不同平台的機器,而系統管理者就必須要定期檢查這主機有無違反公司安全政策的情況,並改正錯誤。
但不幸的,這些檢查是一項非常困難且耗時的工作,例如:當您想要檢查各種平台主機上各檔案權限設定有無被更動過就幾乎是不可能的事,因此我們必須利用tool來協助,如Axent的Enterprise Security Manager(ESM)。ESM是Manager-Agent的架構,系統管理者可以將公司的安全政策輸入至ESM Manager中,ESM Manager會定時Trigger各個被控管的主機做自我檢查與評估,並將結果回報給Manager,系統管理者只要在ESM Manager上就可以了解企業內部所有不同平台的主機有誰違反了企業安全政策。
加強主機的安全
經由上述的步驟,我們已將主機本身的安全保護措施做好初步的鞏固了,但這些保護均利用作業系統本身的功能來達成,無論其安全等級為何,都還不夠完備,因此第二階段是要加強主機的安全。現在一般業者所提出的Intrusion Detection System(IDS)解決方案,如ISS、Axent ITA或Anti-Hacker等皆可即時監控主機安全,我們在選擇時必須考慮IDS消秏主機資源與網路頻寬的程度、Log的備份方式,與遭受入侵時的處置方式,例如:Web Server的中的網頁內容被更動時,設定IDS自動修復網頁,當有人用root帳號做可疑動作時,它必須切斷這個使用者的連線。此外,IDS必須能夠跨平台並集中控管所有伺服器,如此系統管理者便可以在一台console上了解其運作狀況。
第三階段,我們要利用防火牆將主機與一般使用者區隔開來,有關防火牆的重要性與功能,本文就不再贅述,這裡要提醒使用者的是在防火牆上規則的設定,基本上須先假設所有的rule都禁止通過,再針對各主機user需求逐一開放rule,如www、ftp、smtp等service port,此外防火牆須能以「Best-Fit」的演算法來解譯使用者rule的設定,防止因人為疏忽而造成的安全漏洞,例如:當使用者做以下的設定時:
allow 10.10.10.1 to 10.10.10.10. telnet
deny 10.10.10.5 to 10.10.10.10. telnet
試問10.10.10.5究竟是否允許telnet呢?答案是否,若防火牆採用「First-Fit」而非「Best-Fit」的演算法,而使用者又忘記將第一條rule刪除,將造成10.10.10.5允許telnet,
接下來則是需要考慮主機端的管理,系統管理者最需考慮使用者帳號的管理與資源的分配,首先是root帳號,在UNIX環境下,root擁有最高的權利,偏偏在大多數UNIX系統下我們無法將root重新命名(NT允許rename administrator帳戶),但在維護系統時,又往往需要部份root的權利,因此最常遇到的情況是到最後有很多人都知道root的密碼。所以對root權限的控管是企業所必須考慮的。其次是使用者在使用企業中不同平台的主機資源時,需要重複輸入user id與password,不但造成使用者的不方便,也容易讓有心人士增加取帳戶與密碼資訊的機會,更重要的是增加系統管理者控管的複雜度,因此可利用Single-SignOn與網管工具如Tivoli、TNG與PassGo等幫助系統管理者集中控管主機資源,方便設定如密碼強度,帳號權限,並分配使用資源,減少安全管理上的漏洞。
網路端安全政策
前面所討論的企業網路安全政策,皆由Host端為出發點,強調單點的安全防禦,本段將以網路面、從企業整體來看網路安全。
模擬攻擊與安全評估工具
一旦企業經由Internet連接至全世界,其遭受攻擊的可能途徑不外乎兩種:從Internet上執行的攻擊與從企業內部的攻擊。通常一般企業對其資訊的防護政策在Internet user與Intranet user是不同的,所以評估的方式也不同。以往國外知名企業在評估網路安全時,常是花大錢請一些駭客團體至公司進行「模擬攻擊」服務,不過現在已有如NetRecon等智慧型的網路安全評估工具,可以幫助企業得知網路安全漏洞所在,您只要利用一台PC並將其放置在各網路節點,就可以評估網路是否強固,該系統最後會提出完整的報表,指明漏洞在什麼地方,要如何改進。例如:它會嘗試用「字典法」去Login不同的主機,或者從某台NT取得user id與password,再去另一台UNIX主機執行登入動作,這些評估工具內建駭客攻擊網路的方法,因此可以快速有效地找出漏洞所在。
可疑條件的比對
另外,我們通常會利用防火牆將重要的主機與使用者區隔開來。試考慮以下情形:如果系統管理者設定某個user可以telnet至某台主機,則駭客就可以利用此漏洞利用Brute Force攻擊方式登入主機,而防火牆完全無法防禦。有鑑於此,我們可以利用「網路行為分析器」如NetProwler監控每一個user或connection在網路上的活動,由於其內建駭客攻擊網路行為模式資料庫,因此它會將所有封包加以分析比對,藉以查覺有無異常狀況,倘若某人在一定時間內不斷嘗試登入的動作,這就已經構成可疑的條件,因此NetProwler會發出警訊並執行對應動作。
VPN與one-time Password
通常中大型企業在各地都擁有許多的分公司,彼此藉著Internet相互串聯共享資訊,或者您常有員工利用PC或NoteBook從外面經由Internet或者是Dial-in至公司主機,這時要如何防止企業資料在Internet上傳遞時不會被他人竊取(Sniffer)?再者,您要如何確認這些連上網路的使用者身份呢?
筆者建議利用VPN的方式讓您的各個分公司或mobile user連接至企業內部網路,由於VPN會將封包利用各種加密方法如:IPSEC、DES或RC2等,將資料加以壓縮與加密,形成在Internet上的一條虛擬通道,因此不用擔心有心人竊取(Sniffer)網路上資料。至於user的認證,現在已有利用token形式的one-time Password認證方式,使用者只要攜帶一個如提款卡大小般的token產生response藉以回應主機的challenge,由於此response每次皆不同,因此就算當中被人看到也無所謂。請參見(圖二)。
結語
以上筆者分別從Host與Network的角度討論了企業網路安全的評估、保護、入侵偵測與管理,希望能提供企業在進入e-Business的領域時,對自身的資訊安全有更完整周詳的思考。當然企業對於資訊安全的考量還必須加上人為的因素、例如:門禁管制、離職員工的問題,以及企業員工配合公司安全政策的意願等。所以企業經理人必須針對自身的企業特性、在您對安全防護的投資與效益取得一平衡點、進而訂定出一套適合自己的網路安全政策。
相關時事單元
相關作者
相關產業類別
相關關鍵字
相關組織
相關產品類別
相關網站單元