攘外別忘「安內」 「內部網路安全」升級指南

Server端 v.s. Client端
以目前台灣地區而言，Client端大多數以MS-Windows為主，其便利方便的圖形化介面，使得操作更為容易，但是在便利的同時，圖形化介面背後隱藏執行的複雜指令卻鮮少受到使用者的關注，因此，攻擊者與入侵者往往利用這樣的特性，暗中夾雜惡意程式，偷偷地在圖形化介面背後執行。 面對這樣的情況，企業在網路安全方面可說腹背受敵，因此開始有人主張將Server與Client加以分割，利用實體網路區隔的方式，分別使用不同的安全防護機制來加以保護。簡單來說，就是將伺服器集中控管並與內部使用者網路區隔，為伺服器端網路制定及給予較嚴格的安全政策，Client端網路訂立適當的安全政策及防護技術的使用（如下圖一）。透過這樣的方式，不論外部或內部的使用者要存取伺服器都會受到Server farm的安全政策規範，有效區隔與保護Server端的安全。 接下來我們將焦點放在內部使用者網路的防護上，首先，Client端的數量比起Server端要來得多，加上Client存放的資料並非如Server中來得重要，因此在安全防護上也遠不及Server端的堅固，如果要做到如同Server端的安全水準，其成本相對會提高許多，恐怕不是所有的企業體所能負擔的；再加上Client端是由一般人員所操作使用，涉及操作人員的相關管理問題，不似Server由管理人員統一管理設定，因此，在Client端安全防護策略上應以管理策略為重，並佐以安全防護科技的使用，讓Client端更為安全，以增進企業內部網路整體的安全性。

Client端的安全政策
對於Client端的安全政策，應該以較多層次來考慮，從操作者、連接範圍到單機的防護都必須進行考量，最後還必須加上稽核的機制來驗證安全政策的落實，Client端的安全策略包含： 身分驗證及存取控制 不論Server端或Client端都必須要有身分驗證及存取控制的政策，許多時候，企業內部的Client端也可能扮演著Server的角色，例如：使用P2P軟體、IM等，因此有必要對於Client端的身分驗證及存取控制訂定相關的規範，讓Client的存取及使用都必須通過驗證才行。 使用或登入本機的行為，包含從Client 端電腦前面直接登入或是透過網路連線進入Client 端的電腦，必須設定適當的權限，最好不要給予一般的使用者Client 端電腦的管理者權限，以避免直接操作及破壞整個電腦系統，對於公用的Client 端電腦，最好能透過Server端的身分驗證及存取管控，再者，透過網路連接及存取Client 端電腦最好在企業內部網路能儘量規範及避免，因為這可能造成Client端的電腦變成伺服器主機，而卻無伺服器的防護，進而變成內部網路的漏洞。 最後，身分驗證及存取控制的政策還應包含密碼使用的規範，包含使用安全的密碼及定期更換等規定，以達到Client端系統使用時使用者的身分確認及權限管控。以Client端電腦佔有率最高的Windows作業系統來說，可以考慮使用Windows 2000 Professional 以上的平台，而避免使用Windows 9X/ME的平台，以利Client端身分驗證及存取控制的政策規範。 網路連接 網路連接的政策用以定義了何謂『適當的使用』，包含Client端的電腦連接及使用內部及外部的網路（例如：連接資料庫、和業務相關的研究、採購或是電子郵件等），政策也可能定義不當的使用，如：下載非法軟體、交換音樂檔案或寄發連鎖信等，當然網路連接政策中也應該聲明組織中或許會監控網路（不論內外）的使用，以提醒使用者適當地使用內、外部網路。 使用政策 使用政策應該規範出誰可以使用Client端系統、如何使用，並明白地定義所有權與使用權，避免模糊的空間，使用政策應該聲明Client端系統所有權屬於公司所有，只能在企業中使用這些設備並不得運用在工作以外的用途，或是禁止使用非組織所屬的設備來處理組織中的事物。常見的使用政策還有必須使用組織所提供的設備才能透過遠端存取內部的網路系統等。這些使用政策看起來或許像一般的常識，但是經由訂立公告後，則予Client端系統的使用有規則可循，同時，以規範使用者的濫用行為，避免內部的使用者趁隙作亂。 修補策略 最近的網路攻擊趨勢是攻擊者傾向以已知的系統安全漏洞來進行入侵或攻擊，然而，不論伺服器端或Client端所使用的系統或是應用軟體都可能存在著部分安全弱點，其中大部份是已經被發現並有相關的修補程式的弱點，以往可能只為伺服器進行修補工作，不過去年的MS-Blaster網蟲事件卻告訴我們，Client端系統的修補工作也是內部網路修補策略的工作重點，當數量較多的Client端系統被攻擊時，內部網路極可能會陷入中斷的危機。因此，對於Client端系統的修補策略是重要的，通常可以透過網管軟體來完成（如：IBM Tivoli、MS SMS等），或是透過其他較低成本的做法，例如：自行撰寫更新批次檔等，若是Client端使用Windows系統則可以透過微軟提供的SUS機制來達成，避免在安全弱點修補的空窗期，讓惡意的入侵者有機可趁。 防護策略 除了身分驗證及存取控制的政策外，Client端的系統還需要有防護的策略，以避免駭客只要進入內部網路即可以為所欲為。防護策略有兩個主要的方向：一為保護各Client系統免受侵擾，二為防護Client系統存在的內部網路運作的正常。這樣防護策略可能像是利用IDS(入侵偵測系統)來偵測內部網路的情況、利用實體設備分割網路區段，將部分風險較高的區域分開。例如：會議室可能會有外來人員使用資訊設備，無線網路只能視為外部網路而無法存取內部系統等，另外還可以為各Client端系統安裝簡易的個人防火牆或連線監控等。 稽核政策 有了相關的安全策略，當然就必須有一稽核驗證的措施，檢視及發現相關的政策漏洞或是疏失，以適時修正不合理或有疏漏的安全政策，以確保安全政策的有效性。另外，稽核政策也應包含教育使用者的計劃，讓使用者瞭解遵循安全策略的重要，體認使用Client端系統時的責任。在進行稽核時，最好能以鼓勵及相互競爭的方式來激勵各部門對於遵循安全政策的貢獻，而不要以懲處的方式，好讓使用者更容易接受。 事實上，內部網路的安全重心在於管理使用及操作這些Client端系統的「人」身上，再佐以一些安全的技術，因此我們必須透過政策或機制來管理及規範使用者的行為，並且逐步地改變他們對於使用電腦或網路的安全觀念，避免激烈的變革，招致抗拒反感而事倍功半。

強化Client端網路系統安全的技術
對於許多的使用者及操作者，Client端系統只是用以輔佐工作的工具之一，因此對於Client端系統的安全防護應儘量簡單有效，切莫要求使用者運用難度較高的資訊技術及工具。在維護及強化Client端網路系統安全的技術上，我們的建議有二：一為防毒機制，另一項為使用個人防火牆，原因是此兩類技術不需要經由使用者自行設定太多東西，而又能有效地增進Client端系統的安全性，說明如下： 防毒機制 病毒與惡意程式（如：後門、木馬程式等），是最常見的網路威脅之一，許多的病毒近年來也結合後門或網蟲的特性用來散播及感染網路上相連的其他系統，並藉由木馬程式敞開系統大門，任由駭客自由進出。再者，病毒網蟲利用感染的主機系統發送大量的封包感染其他系統，然後一傳十、十傳百，直到網路癱瘓，與駭客入侵比起來，這些病毒網蟲的破壞力更強，而且攻擊範圍更為廣大。透過防毒機制來保護Client端系統免受電腦病毒的侵害，可以有效地降低內部網路所受到的衝擊，將電腦病毒加以控制。透過防毒機制在背景執行監控可疑的病毒活動，適時的警告使用者，讓使用者可以專心其電腦作業的進行，免於病毒的侵擾。 不過，防毒機制也必須規劃完善，最好能對於整體的內部網路進行完整的規劃，包含電腦病毒所能感染的途徑，如：網路閘道、郵件伺服主機、檔案伺服器等，再配合Client端的防毒，才能夠有效地杜絕電腦病毒的侵擾。防毒機制規劃中最重要的為病毒碼及掃毒引擎的更新策略，還好目前防毒軟體廠商都提供全自動的的更新及派送功能，只要設定妥當，即能發揮作用。 個人防火牆 由於資安意識抬頭，企業紛紛對於伺服器的防護加以重兵部署，導致入侵者略過不易入侵的伺服器端，進而轉向較無防護的廣大Client端系統，反正入侵後再以Client端主機為跳板，循正常的管道入侵伺服器，一樣得到他所想要的資訊。所以本文強調，除了伺服器的安全防護外，Client端的防護亦同樣重要，只是，您不禁會問，如果Client端系統也使用與伺服器相同的防護系統，成本太高了，所以是否有更有效且較低成本的方式？ 答案是有的，可以使用兩種方式達成，一為修改既有的網路架構，更改成如圖一的方式，並嚴格地限制內部網路中Client端的存取，但這樣只能避免外部惡意者，卻無法避免來自內部惡意者的攻擊與入侵。另一種方式是在Client端系統上安裝個人防火牆的功能，利用安全政策限制什麼是該通過的、什麼是不該通過的。這樣的個人防火牆可以簡單到使用作業系統本身提供的封包過濾，或甚至許多freeware的簡易式防火牆，只要事先加以設定好，並透過使用者登入網路的相關規則設定及管理，可以有效地阻擋許多惡意的入侵連線，現在許多的防毒軟體也合併提供防火牆的功能，如果能搭配此類軟體使用，即能簡單地將內、外部的惡意攻擊者阻絕在系統之外。

結論
想要保護及強化企業內部網路的安全，除了使用網路安全的技術及機制保護重要伺服器的安全外，Client端的安全也是必須加以嚴肅考慮的一環，由於Client端數量龐大，加上使用者並非全都是具資訊技術背景，想要要求他們配合使用相關的安全技術及工具實非易事，因此，較為有效的方式是利用管理策略佐以少許但有效的網路安全技術，管理策略讓使用者減少抗拒及配合安全政策的實行，資訊安全技術則讓使用者在不知不覺中受到保護，如此才能夠強化企業內部網路的安全，減少因資訊安全事件所造成的各項損失。

(本文作者現任職於台灣電腦網路危機處理暨協調中心（TWCERT/CC）)

威脅從何而來？
從2003年初的SQL Slammer到年中的MS-Blaster網蟲、從財金公司工程師盜賣金融資料案到替代役男入侵網路，及多起網路銀行的入侵案件等事件中，小至個人設備大至政府系統，許多的企業、單位或個人身受其害。隨著時有所聞的駭客入侵事件，許多的企業與組織紛紛架構起保護伺服器及網路安全的各種機制及設備，然而，想要讓網路安全達到滴水不漏的防護卻是困難的，許多的入侵、破壞事件仍時有聞。根據FBI&CSI 2003年針對500家公司的調查指出，雖然使用了這些資訊安全科技，但是2003年仍有約2.02億美元的財物損失，其中損失排名第一就是『資訊遭竊』。在這份調查報告中也指出這些入侵與破壞同時來自於組織的內部與外部，這些攻擊可能牽涉到駭客、商業間諜、競爭者、員工 (出於好奇或不滿的)、約聘的人員、安全警衛、打掃人員與不安全的無線網路等。我們可能在城堡周圍建構了堅固的圍牆，阻擋來自外部的攻擊，但卻無法終結來自內部的惡意破壞或入侵。 綜結以上，可以發現雖然我們使用了網路安全機制或科技，仍存在著下列威脅：
◆ 網路蠕蟲：透過網路的散播與攻擊，多半帶有癱瘓網路及夾帶後門等特性，為近年來破壞網路正常運作的頭號罪犯，光是今年年初到年中就已經發生兩件嚴重的網蟲事件，都阻斷網路的正常運作，稍微處理不當，整個網路立即中斷，無法提供原有正常的服務。
◆ 系統安全弱點：隨著許多的安全漏洞被發現，利用這些弱點來進行攻擊的程式也如雨後春筍般的出現，原本這些程式只是利用來測試系統是否存在著漏洞，但是現在卻成了惡意使用者的利器。企業或組織面對這些安全漏洞，雖然努力地進行防堵及修補，但卻往往面臨補了東牆、西牆又塌陷的困境。
◆ 內部惡意者的竊盜與破壞：根據我們分析，內部惡意者的竊盜與破壞是目前企業面臨最頭痛的網路安全問題。內部的使用者熟知內部網路的架構，而且擁有部分的系統使用權，只要內部的控管稍有漏洞或疏忽，內部惡意者就能趁虛而入。比起企業外部駭客的入侵者，內部惡意者更容易對於內部系統進行入侵及破壞的工作。
◆ 外部惡意者的竊盜與破壞：比起內部惡意者的竊盜與破壞，外部的駭客或入侵者還要通過一道企業所築起的安全防衛機制才能進入內部的網路中進行破壞，但這不表示外部的惡意者無法進入，仍有許多的案例顯示，外部的惡意者利用我們所建立安全機制的弱點長驅直入，直到事發了，我們才驚覺安全機制的脆弱。