前言
網際網路發展至今,已經成長到成為許多企業所賴以為生的工具、也是眾家各型規模的企業所覬覦的新興市場。但是,它也同時成為各種智慧型犯罪最易發生的場所;包括電腦病毒、特洛依木馬程式及網路的入侵,都隨著網際網路的發展而顯現出越來越可怕的破壞力。也因此,一個數十K 的ILoveYou病毒可以迅速地流竄造成許多 Mail Server 癱瘓,並且快速產生多種變種。
網際網路風險
因此,擁抱網際網路,雖然可以擁抱此一廣大的新興市場,但是某種程度上也意味著擁抱著許多新危機。關心企業網路的安全問題已是許多大型企業的廣泛現象,對於想要從事電子商務的業者而言,更是未來不可輕忽的一個重要客題。特別是當一個電子商務業者發生安全問題時,其主要的損失往往不是當次安全事件所造成的損害,更嚴重的是此類事件對其商譽上的損失,一個單純的意外事件就可能導致客戶對一個公司的信任感完全破壞。
令人訝異的統計
雖然大多數的企業都承認或相信安全是網路發展一個重要的環節,尤其是類似電子商務、銀行、券商、高科技或軍方等對資訊安全具有高度敏感性的公司或單位, 都應該瞭解資訊安全的重要性,但是實際上一般企業對資訊安全的投資或是投資所產生的效果卻是令人驚訝的低:在ICSA對為數達61家大型機構的特定族群所作的研究中卻顯示,在三個月中總共發生了142件入侵事件;在另外一家Gordon & Glickson公司的調查中也發現,允許員工連接至網際網路的公司中,有不到50%的公司會作例行性的安全檢查,只有44%的公司有能力追蹤對敏感性資料的存取,而只有三分之一的公司會採用資料加密的防護,有六分之一的曾發生因員工不當使用網際網路而對公司有負面影響,有八分之一的公司曾因員工的行為而引發法律追訴事件;另一方面,當美國聯邦政府主計單位,被國會要求對有關美國國防部非機密電腦系統的現有漏洞作報告時,主計單位發現了二十五萬次對國防部的攻擊,並且驚訝地發現:其中有65%的成功率。
究竟是何種原因會導致預期的安全狀況與實際的安全狀況之間,以及對於安全的需求認知與實際實行的安全建置之間會有如此大的區別?究其原因,其實主要有以下幾點:
1.輕忽自己成為受害者的可能性:
許多公司會認為自己企業中並沒有重要資訊,應該不會成為被攻擊的對象,也不認為自己的網頁遭置換會是嚴重的問題。也因此並不願意投資在網路保護上面。事實上,置換網頁雖然是一般較為人熟知的攻擊行徑,但是,其背後的問題卻遠比表面上的結果更值得探討。企業形象,資訊外洩、資料被破壞以及被利用來攻擊他人,往往是更值得深思的問題。大多數的駭客都會透過類似散彈打鳥的方式,先行攻擊或佔據許多管理不善的網站,再利用這些網站攻擊他人,並設法避免被追蹤的可能性。
2.缺乏正確的安全政策及安全規劃,以及錯誤的設定:
大多數的安全專家都會承認,安全政策是整體安全機制是否會成功的重要的一環。事實上,許多公司會花費大把金錢購買昂貴的安全設備,卻並不清楚這些安全設備的實際用途,或是因為提供廠商的規劃能力不足,貪圖方便以及各種不同因素而導致這些安全設備無法正確發揮效用。舉例而言,一個公司可能購買防火牆產品,卻決定讓外界可以直接使用內部的 Telnet Server,或是希望外界可以存取內部的網路上的芳鄰。這類的設定基於安全的角度都是不合理的狀態,但是卻經常出現在許多公司的防火牆設定之中。
在接下來的文章中,筆者將針對電子商務及網際網路的安全性的幾個重點提出建議,以幫助管理者建置一個真正安全、零風險的電子商務網站,其他部分的安全性如備份機制、內部使用者認證等限於篇幅,在此不多作描述。
該選用何種安全設備?
每一個企業或網站因為需求、應用、預算以及對安全的要求程度不同,可能會需要單一或多種不同的安全機制,以下先針對現行市場上較為廣泛應用的安全機制作介紹,後續再描述其實際應用。基本上,以下的安全機制各有其保護對象及應用範圍,可以單獨使用也可以合作並行。
網路防火牆
雖然防火牆早已經是個經過廣泛討論並且在功能上有些過分渲染的名詞,但是以現今所有的網路安全機制而言,網路防火牆仍是針對來自網際網路的安全威脅的一個最有效而且技術最為成熟的產品。這種安全機制通常是指在兩個網路之間實行存取控管的一個系統或一組系統,它也可以定義為一個用來保護信任網路免於遭受來自非信任網路不當干擾的一個機制。事實上,許多機構已不再懷疑防火牆的必要性,而是對如何選擇防火牆、如何建置防火牆以及如何確認防火牆的設定與運作正確無誤有所疑問。
防火牆可能提供諸如 VPN、遠端存取、網站過濾以及使用者認證等不同的功能模組,在本文後半段實際描述規劃建議事項時,比者會較深入介紹各種功能及其應用環境。
電腦病毒防護設備
電腦病毒的問題早在 Internet 盛行之前就已是資訊安全的重要客題,Internet的盛行讓病毒的傳輸有了更方便的管道,許多木馬程式 (Trojan Horse) 也開始以病毒的方式散播。病毒的防範方式可以在使用者的使用平台,或是公用的檔案伺服器上安裝掃描軟體進行病毒掃瞄。針對 Internet 的來源則可以搭配防火牆對 Email、Web 及 FTP 等常見的檔案傳輸管道進行線上即時安全掃瞄。
安全掃瞄及評估軟體
安全掃瞄及評估軟體(Network Assessment)通常內建數以百計甚至上千個的各式作業系統或應用程式的安全漏洞資料庫,透過其資料庫以模擬駭客手法的方式測試欲檢查的系統是否有已知的安全漏洞,或是錯誤之設定。此類軟體可以將檢查結果產生安全報告,報告內容通常涵蓋問題點、這些問題對系統的危害程度,如何解決這些問題以及一些統計報表。管理者若使用這類工具檢查自己的系統可能會嚇一大跳,一個剛安裝好的 Windows NT Server 加上最新的 Service Pack 之後,可能還是可以檢查出十餘種甚至數十種不同危險程度的安全問題。
安全掃瞄及評估軟體的檢查結果報告對已經對系統安全有一定認識的管理人員而言會有相當的幫助,但是對於原本就不熟悉這個領域的人員而言,想要解讀這些報告或許會有些吃力。另外,檢查程式也常有誤判的可能。因此,有的公司乾脆直接提供安全檢查服務,為客戶解說問題發生原因並以其專業知識,進行手動檢查以排除誤判狀況。
入侵偵測與網路監督
入侵偵測軟體正如其名主要在偵測出可疑的入侵或攻擊或誤用動作,其偵測方式可分為監督網路運作與監督系統運作兩種。
監督網路運作的入侵偵測軟體基本上是一種網路監聽程式,它會接受所有經過其監聽設備的網路通訊,分析其中資料的內容:如來源、目的、使用的網路應用、以及實際傳輸內容。並由這些內容中判讀出可疑的攻擊動作或是誤用情形。其判讀能力的主要關鍵在於其內建的攻擊特徵資料庫 (Attack Signature),市面上的入侵偵測軟體可判讀的攻擊特徵差異極大,最多的號稱可以判讀九百餘種,有的則只能判讀數十種,有的可以提供自訂攻擊特徵的能力,有的則不行,有的產品可以輕易的監督並即時觀看使用者使用網路的狀況,如流覽那些網頁或是有那些 Email 附件等,有的則必須經過特別處理才能顯示出網路上的傳輸內容。
監督系統運作型式的入侵偵測軟體則採用監督對系統上的重要檔案的存取、是否有監聽程式在執行、系統程式是否被更動、每一個使用者的使用習慣以及那些程式有透過網路傳送資料出去等方式判斷其監督的系統上是否有可疑的入侵者。每一個系統入侵偵測軟體只能監視自己所在系統,但軟體廠商可提供集中管理工具接受各個系統上監督程式傳回之結果。
零風險電子商務網站基本建議架構
理論上,每一個企業或網站因為需求不同,應該會有不同的規劃建議,在此筆者僅能針對一般的狀況而言,提出一個適合一般環境的網路安全架構建議,此一架構先以防火牆的功能為主體,後續章節再針對各個安全環節提出可以加強防火牆安全性的輔助方案。
網路架構規劃
(圖一)是一般常見之安全網路架構規劃圖,防火牆必須將內部網路及 Internet 間完全區隔開來,除了防火牆以外,不應存在任何其他的通道。因此,針對所有的 Internet 出口都應該有防火牆建置,更不該在內部網路或SSN上架構任何RAS遠端存取設備。
Web 及內部資訊系統運作
Web 本身是必須開放給 Internet 上的普羅大眾存取且不能設限的服務,為確保安全,應該透過防火牆在內部及外部網路之外,另外建置一個獨立的網路,這個獨立的第三個網路一般稱為DMZ(DeMilitarized Zone)或SSN(Secure Server Network)。並設定外界只能存取到 Web 所在主機之 Web 這個 Service,並且阻檔對其他服務的存取。公司之內部資訊系統若僅供內部使用,應放置在內部網路,並且阻擋所有由 SSN 對內部網路之存取。
若 Web 有需求對公司之內部資訊系統進行動態之查詢,最佳狀態是在SSN 上設置一內部資訊系統之分身,並且阻擋所有由 SSN 對內部網路之存取,僅將與 Web 查詢相關之欄位複製至此一分身。若無法複製此一分身,則可以考慮開放來自 Web Server 對內部資訊系統查詢所使用到之網路服務,所有來自 SSN 網路對內部網路之其他網路存取仍應阻隔。
DNS 及 Mail 之運作
當防火牆使用 IP 位址轉換時,就有必要建立雙重 DNS Server,以處理內外部 IP 不一致的問題,有的防火牆上內建 Dual DNS,可以直接處理,有的防火牆上可以安裝一個 DNS Server,內部必須另外架設一 DNS Server,硬體防火牆則通常無法提供 DNS Server 必須另外架設兩個 DNS Server。
由防火牆上提供 Mail Server 可以作為內外部網路間的信件轉傳閘道,由於 Mail Server 是經常發現安全問題6的服務之一,避免讓外界有機會直接接觸到內部的 Mail Server 對內部網路的保護可以有效的提昇。不過,必須考慮防火牆自身的 Mail Server 的安全問題,必須對 Mail Server 進行額外的安全強化,最好防火牆軟體就能提供一個經過安全強化的 Mail Server。
遠端存取策略
在架設防火牆之後,外出員工、協力廠商、分公司等使用者可能需要對內部網路進行存取的動作,一旦有這種需要,就必須特別考慮安全問題,理論上越開放則越容易產生安全問題。透過適當的規劃及附加在防火牆上的安全機制將可以有效的控制存取並且減少風險。
當外部對內部的遠端存取是來自於單一使用者時,若此一使用者可以信任,如外出之員工,可以讓使用者不受限制的存取內部網路,此時可以透過在用戶端安裝 IPSec VPN 軟體,讓此用戶端可以與防火牆建立 VPN 加解密及認證通道,透通地存取內部網路。但若認定使用者並不足以完全信任,如協力廠商,想要開放這些使用者特定權限,但不允許完全存取內部網路之其他部份,則防火牆上的 VPN 功能必須提供特別的存取控制能力,方能進行此一細部控制。能夠提供此類功能的防火牆產品並不多,BorderWare Firewall Server 上的 SmartGate 功能是少數的特例。
當遠端想要對內部網路的存取的是一整個網路時,通常是分公司對總公司的存取,可以在總公司及分公司各架設一具 IPSec VPN 功能之防火牆,讓兩個防火牆間建立一個加解密及資料認證的通道,此時兩個防火牆在邏輯上會透過 Internet 模擬成一個虛擬的 TCP/IP 路由器,兩端則模擬成虛擬的企業網路,可以不受限制的存取對方的 TCP/IP 網路,這也正是命名為 VPN (Virtual Private Network) 的原因,請見(圖二)。
安全政策
安全政策是決定防火牆是否能有效保護內部網路安全的一個重要因素,若選擇了一個具有最安全的作業系統以及最安全的控制機制的防火牆,但是卻決定讓所有的服務都通過防火牆,則安裝這樣的防火牆之後和沒有安裝一點區別都沒有。
防火牆的安全政策制定一般有兩種方向可以遵循:
● 除非特別限制某種服務,否則所有的服務都是允許的
● 除非特別開放某種服務,否則所有的服務都是不允許的
雖然兩種方式都有人使用,但是基於安全考慮,筆者仍建議採用後者。在制定防火牆的安全政策時,可以先將各種不同的存取方向列出,以一個具有兩個網路界面的防火牆為例就有:內部網路存取外部網路、外部網路存取內部網路、內部網路存取防火牆以及外部網路存取防火牆四種方向。再搭配將所有可能用到的服務列出一個存取列表,在表中將需要開放的服務列出。最後再設定應該開放那些使用者使用那些服務。
雖然一般人認為防火牆能夠支援越多的服務越好,但是支不支援是一回事,真正要決定那些服務通過防火牆時還是必須要慎重考慮,開放越多的服務往往也代表了越多可能被攻擊者利用的管道。以下是一些具危險性的協定,作為設計安全政策的參考,無論防火牆是否支援這些協定,若要開放這些協定還是小心為妙:
● 任何由外界對 SSN 或內部網路,或是來自SSN 對內部網路的存取服務,如 HTTP、FTP、Telnet、SMTP、POP、DNS、DataBase Query 等。
● 通過防火牆使用不安全的協定:如TFTP、X windows,諸如 NIS 及 NFS 等使用Remote Procedure Call(RPC) 之服務、Samba 或 Windows 系統之資源分享、RIP 以及 UUCP 等。
企業在決定安全政策時主要以企業體的需求為主,但是,應儘量把握住除非特別必要,否則不應開放來自外界存取內部網路的服務。來自外界的存取越多越容易產生安全問題。
強化基本建議架構
保護防火牆及作業系統
對於許多人而言這個要求看來或許有些弔詭,但是卻是真實且必須考慮的問題。當攻擊者想要攻擊內部網路而沒有直接通道時,防火牆往往成為攻擊目標,這時候,防火牆自身的安全問題就成為防火牆機制是否能夠成功防止攻擊的主要因素。防火牆若要能真正保護內部網路及自身安全,則防火牆自身必須有適當之安全防護。雖然許多防火牆廠商宣稱防火牆軟體本身已經對作業系統施行一些安全防護,但是每一家防火牆廠商的防護方式還是略有不同。
ICSA認證
在眾家防火牆廠商自說自話的狀態下,除了可以根據防火牆廠商所提供的說明瞭解防火牆廠商如何進行安全防護之外,由公正的第三者提供安全認證就是一個重要的參考指標。目前有三家私人機構針對各式防火牆產品提出各自的認證標準,其中較為人熟悉的是 ICSA,大多數防火牆都通過 ICSA 認證,另外兩個認證機構分別為 West Coast 的 CheckMark 以及英國的 NSS,通過這兩個認證的產品較少。上三者都屬於民間機構所提供之產品認證,目前也有官方性質的認證,其中最受重視的應屬 Common Criteria 的認證,這是一個國際性的 IT 產品安全等級評鑑標準,由美、英、加等六個工業先進國家的七個資訊安全相關機構共同制定而成,其安全等級由最低的 EAL1 到 最高的 EAL7。由於此種認證極為嚴苛,目前僅有少數防火牆產品可以通過 Common Criteria 的認證。目前市場上防火牆所通過的 Common Criteria 的最高安全等級為 EAL4,現在僅有一家。
筆者在此建議選擇對防火牆作業系統具有足夠安全防護之產品,但若讀者選擇的防火牆產品,並沒有此方面之安全機制,可以考慮在防火牆所在之作業系統上安裝監督系統運作的入侵偵測軟體以強化防火牆所在作業系統之安全性。並搭配安全掃瞄軟體,分別由外部網路、內部網路及 SSN/DMZ 上定期檢查防火牆所在作業系統的安全性,並根據檢查結果進行安全調整,以持續保持防火牆作業系統之安全性。
保護Web Server 以及內部資訊系統
在 Web Server 及內部資訊系統或其他任何內部主機中可以分別安裝監督系統運作的入侵偵測軟體以強化這些主機的作業系統安全性。並搭配安全掃瞄軟體,分別定期檢查作業系統的安全性,並根據檢查結果進行安全調整,以持續保持作業系統之安全性。若作業系統為 Windows 平台,也應安裝適當防毒軟體,以防止電腦病毒感染。
Email 防護
SMTP 可以透過防火牆上之 Mail Server 或專為保護內部 Mail Server 及提供安全的 POP 或 IMAP 遠端存取機制的 Mail Gateway 產品針對 Mail Server 進行安全保護,以避免 Mail Server 與外界直接接觸遭受攻擊。
建立防毒機制
用戶端應分別安裝防毒軟體,針對 Internet 常見的檔案流通管道,如 Mail、FTP 及 HTTP 等,可以搭配 Firewall 或是 Proxy 等機制建構病毒防火牆,在病毒進入防火牆前檢查出來並進行線上解毒。
監督網路
內部網路及 Internet 出口的主幹可以安裝監督網路運作的入侵偵測軟體以監督網路存取狀況,從中分析出可疑的攻擊事件,並設定自動採取適當措施或即時發出警告通知管理者。
總結及成本分析
根據網站需求及產品採購不同,每一個電子商務網站的架構可能都有非常大的差異,在成本上可能差距更大。在預算不足的狀況下可以考慮選擇一個真正安全的防火牆來保護整體網路及網站,或是單純使用監督系統的入侵偵測系統直接對 Web Server 進行安全防護。防火牆通常會依使用人數而在價格上有相當大之差距。在使用人數不多的狀況下,安裝防火牆與保護單一主機的入侵偵測軟體價格接近,但主機比使用人數多或是使用人民遠比主機數量多時,兩者價差可能多達數倍。讀者可以依自己需要參考。
(作者任職於飛雅高科技資訊安全事業部)