https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

千方百計要種菜 Tunnel突破封鎖讓後門大開

2010 / 04 / 29
林岳鋒
千方百計要種菜  Tunnel突破封鎖讓後門大開

2009年下半年最熱門的議題應該是開心農場的事件,這件事的爆紅相對也引來一些資安上的問題。

 

狡猾難測的Tunnelproxy

大陸早在好幾年前就開始用資訊長城來封鎖對外的資訊,在這樣的環境下也造就了不少為突破資訊長城而開發的Tunnel和代理伺服器(proxy)軟體,這些軟體之前在台灣並不盛行,原因是在台灣這邊的網路通常並不會大量去限制觀看網站,但當去年10月政府機關開始針對開心農場和壹週刊動新聞等網站做限制管控時,網路上便開始流傳教人如何突破這些被封鎖的文章與訊息。

 

的確,以目前政府機關使用防火牆管控的方式,對這些在大陸盛行多年的軟體來講要突破是輕而易舉,這類的Tunnel和代理伺服器都能突破這些封鎖,也因此這些文章也開始大量的被轉送、複製,且開始有包裝成套件,讓使用者很方便可以在被管制的環境下使用。另外甚至還出現鼓勵大家使用外掛Tunnel體,只要下載使用外掛軟體就可以獲得一些獎勵。

 

有些單位有使用資產管理軟體,但這些Tunnel和代理伺服器軟體,可以模擬成一般網頁瀏覽器,這些資產管理的軟體根本無法偵測到;而有些單位採取目錄服務(AD)的權限控管,但這些軟體很多都可以直接執行根本不需要安裝。

 

未知的Tunnelproxy 讓駭客有機可乘

 一般人在被管制的環境下,為了要突破封鎖,通常並不會對資安有太多的考慮,因此,這些人就會開始在網路上尋找類似的文章和軟體,這也讓駭客有機可乘,藉由這樣熱門的話題,便有可能很輕易的入侵到政府機關的內部。讓人擔憂的是,這些Tunnel和代理伺服器的軟體80%來自對岸,而且這種Tunnel和代理伺服的網路架構是必須透過第三方的伺服器去代理和傳送資訊,而這第三方的安全性,我們是不可確定的。Tunnel和代理伺服器的運作原理如圖1

 

當透過Tunnel和代理伺服器的網路流量都必需經由第三方來幫忙傳遞,而這第三方一般我們是無法確定是由誰提供的服務,這也就可能讓一些駭客經由這樣的伺服器來竊取資料。

 

選擇合適設備加上稽核政策雙管齊下

這些Tunnel和代理伺服器的運作原理有如P2P的技術,有些更加上加密的技術,版本時常的更新,伺服器位址經常變動,就今年下半年,這些軟體幾乎每個月都有新的版本。而這些軟體只要一更新,就有新的連線方式,讓一般IT和網管設備根本無法管制,而使用者很有可能在無意中洩漏了資訊,而IT網管人員也無法稽核控管。儘管這些企業組織,將所有防止資料外洩的安全機制都做了,這類的Tunnel和代理伺服器的軟體很有可能仍然成為資安的大漏洞。

 

之前政府機關對於Tunnel和代理伺服器的所面臨的問題並不大,但由於最近幾個熱門的事件,讓這些軟體大幅的被報導,而一般的使用者在這樣多的報導和文章資訊中(圖2),也無形中學會這些軟體的使用,相信不久的將來在Tunnel和第三方代理伺服器的資安事件將會不斷增加。

 

而要如何避免或減少這類的資安事件的產生,不外乎就是導入適當的設備和稽核政策來做稽核管控(圖3),能確實辨識Tunnel及proxy的應用程式封包。 此外人員使用網路安全的宣導也是必要的,讓使用者知道使用這類軟體存在著高度危險,及任意下載的後果。

 

本文作者為威播科技BSST網路安全研究中心協理