在整個資訊安全機制裡面,我們可以粗略的分為兩個部分:認證機制與系統安全,前者偏向於演算法的資料加密與解密機制(Encryption/ Decryption )與身分驗證(Authentication),透過CA認證中心,來作統一標準的認證單位,使採用同一演算法的使用單位,透過其唯一的識別證,藉以保護資料的隱密性,使未經授權的使用者,不能掌握資料內容,並確保在資訊化作業中使用者身份的不可否認性,在應用上包含網路傳輸的SSL及VPN加密通道機制、應用的PKI、PGP等,是較為國人所熟知的安全機制。
系統安全機制則是偏向實際運作的資訊系統本身的安全防護,就是一般資訊人員經常會觸及的網路、作業系統、應用系統及資料庫這四個部分的安全防護機制,包含網路規劃上使用的Router、Switch、防火牆,乃至於作業系統、應用程式、資料庫等的設計瑕疵或系統管理者的細部調整不足等,所暴露出來的安全弱點。
由於資訊系統的發展,一直以功能與應用面為焦點,所以,資訊系統所承擔的安全風險,反而相對被忽略,這也是大家致力於資料加密機制的同時,駭客入侵事件卻諷刺的接連發生的主因,而資訊安全的防治,除了透過安全弱點掃描軟體(Security Scanner,如ISS Internet Scanner)做好事前預防性措施外,當屬入侵即時偵測系統(Intrusion Detections,IDS)最能提供第一時間的緊急應變機制。
防火牆vs.入侵偵測系統
區隔內外網路的防火牆
在系統安全機制中,最廣為人知的,應屬防火牆機制,典型的防火牆機制的網路規劃區隔出所謂的非戰區(DMZ),以將內部網路(Intranet)與外部網路(Internet)予以區隔,並提供三種機制-封包過濾(Packet Filter)、應用服務匝道(Application Gateway)及網路位址代轉(Network Address Translation),茲分述如下:
封包過濾
對於進出防火牆之封包依據防火牆原則,進行IP位址與TCP/IP服務檢查,以判斷該封包是否得以放行,對於不符防火牆原則的封包予以捨棄,但並不進一步檢查封包之內容,所以,封包過濾可以對不開放使用的服務及IP位址予以把關,但對於開放使用的服務,卻無法進行進一步的安全偵測。
應用服務匝道
由防火牆擔任TCP/IP服務的代理者,代理轉送服務要求(Service request )給應用伺服器,並可以整合其他存取控制機制來進一步驗證存取權限,但對於要求(Request)之內容,仍無法進行偵測。
網路位址代轉(Network Address Translation)
提供IP位址的轉換,使對外使用的IP位址減少,除降低IP浪費外,更避免外部人員得以窺探網路架構,長驅直入企業網路。
簡單的說,防火牆有效的區隔出內部網路與外部網路,並過濾企業安全政策上所不提供的服務或拒絕服務的對象,且提供服務代轉的功能,但是對於政策允許的服務項目,卻無法管制或監控它的行為,這就好像銀行的櫃檯,雖然可以區隔出銀行行員的作業區及客戶活動的公共區,並且在櫃檯上依照服務項目不同,開放不同的服務窗口,但是卻無法判斷,站在櫃檯前的客戶,究竟是來提款,或者是來搶劫!所以在銀行的保全上,必須倚賴專屬的保全系統,像閉路電視、警察連線系統、警鈴及警衛等等,「入侵偵測系統(IDS)」,就是這樣的保全系統。由於企業在Internet上,網站服務及郵件服務是基本需要開啟的服務,即使架設防火牆,也無法避免不知名使用者的存取,因此入侵偵測系統可以在入侵事件發生時,予以立即處置,而顯得格外重要。
即時回應的入侵偵測系統
一般而言,入侵偵測系統,共由四部分元件組成:安全知識庫、記錄資料庫、即時回應機制及管理元件,其中安全知識庫與即時回應機制整合在偵測站上,而記錄資料庫及管理元件則在控制端上,茲分述如下:
1. 安全知識庫:儲存所有已知的入侵行為模式樣本,以提供偵測比對使用,在安全知識庫中,除了儲存攻擊性的封包樣本外,還有行為模式的比對設定,以判斷是否有違規存取的狀況發生。
2. 記錄資料庫:將所偵測的結果儲存在紀錄資料庫(Log Database ),以進一步提供追蹤舉證,製作分析報表。
3. 即時回應機制:在偵測到入侵行為時,提供第一時間的回應機制,包含及時中斷連線等,以降低入侵損失。
4. 管理元件:用來管理所有偵測站,包含制定偵測原則(Detect Policy),維護紀錄資料庫及接收警訊等。
其運作流程如(圖一),當封包經過偵測站所在的網段時,偵測站接收其封包,並依據偵測原則進行比對,判斷是否有不符合偵測原則的封包,若為合法封包,則予以捨棄,一旦發現違規封包或攻擊封包,則啟動即時回應元件,將警訊傳送至管理站,並對來源主機進行連線中斷或其他回應措施。以業界普遍採用的ISS RealSecure而言,甚至可以與CheckPoint 防火牆作整合,直接調整防火牆設定,阻斷攻擊主機的任何連線。
在入侵事件中,另一項重要的機制則是蒐證,在入侵事件的法律訴訟中,最難認定的部分在於舉證的困難,好的入侵偵測系統,可以提供交談錄製的功能,也就是將主機連線期間,所有交談的過程錄製下來,以確定入侵的時間、主機的IP位址、所做的動作、取得的資料檔名等予以錄製後重播。
由於入侵偵測系統分為控制站與偵測站兩個部分,所以當偵測站發現異常的封包,會將這些紀錄彙整到控制端的資料庫,以方便管理者製作,這樣的資訊風險的評估報表。這樣分散式的機制,即使在大型的網路下,也可以保持規劃上的靈活度,就像實體保全上,我們會在重要的定點裝設感應器,而統一由監控中心來管理一樣。
由於入侵的手法各有不同,單純從網路上偵測,仍不足以完整偵測違規的存取,舉例來說,使用者的帳戶密碼,網路上偵測會判定這是正常的現象,然而唯有在認證主機上,才能發覺同一帳戶在一分鐘內,被嘗試超過一百次的密碼,而判定是一種字典檔攻擊,所以,完整的入侵偵測系統,除了網路基礎(Network-base)的偵測站外,還要能提供重要主機的主機端安全偵測(Host-base),例如網頁竄改牽涉到檔案權限的問題,就可以由主機端入侵偵測系統,提供較完整安全防護。
群組聯合防衛
由於入侵偵測系統具備即時監控、即時回應的特性,於是在97年就有人提出所謂「群組聯合防衛」的模組,以提供區域連防的機制。群組聯合防衛共分兩種模組,第一種模組是「群組信任」,就是所有聯合防衛的成員互相信任,一旦其中一位成員網域遭受攻擊,即透過回應系統通知其他成員攻擊者的位址(IP Address)及攻擊的服務,使其他成員得以封鎖該攻擊者位址的服務請求,藉以避免災害擴大。
第二種模組是「信任中心」,由一個單位擔任信任中心,取得所有成員的信任,當其中一個網域成員遭受攻擊時,會將訊息通知信任中心,由信任中心直接對其他成員網域進行封鎖該攻擊者位址的服務請求,藉以避免災害擴大。
這樣的機制立意頗佳,但大家一定奇怪,為何遲遲未能實踐?首先,駭客入侵的手法中,有一種叫做IP Spoofing,也就是以假的IP位址攻擊對目的主機進行攻擊,在第一種模組中,由於彼此信任,一旦駭客以假IP(0.0.0.0-255.255 .255.254)對其中一個成員網域進行假攻擊時,所有成員網域的主機將會把自己封閉,而無法與外界聯繫。第二種模組中,一旦信任中心成立,在擒賊先擒王的戰略下,信任中心無疑成為攻擊的第一目標,一旦信任中心被攻破,其他成員網域,由於對信任中心的授權,將造成整個信任群組同時罹難。尤其DDOS的方式風行以後,一旦主要的ISP組成群組聯合防衛而被攻破,無疑助長DDOS所需具備的頻寬要素,而更強化其傷害力,造成不可想像的災害!
安全的落實
安全的落實,「人」才是最主要的關鍵所在,安全政策的制定必須大家共同的確切執行,方能達到更安全的目的,不管在對外或者對內都是同樣的重要。資訊風險管理不應也不只是一股風潮!資訊決策的安全,可以有效控制資訊資產投資的風險;資訊安全的決策,可以彌補資訊決策的風險。一個是防患未然,一個是亡羊補牢,都可以趨近一個風險平衡,差異在於所需投注的成本,大不相同!睿智的決策者,會支持資訊安全的決策;聰明的經理人,會參予資訊決策的安全!
(作者任職於鈺松國際技術服務部)