前言
在網路e世代有一句以前常用的話,應該隨時可以用來提醒網路用戶的「防止駭客、人人有責」。由於網路的應用已由原先Internet - Intranet進而建立 Extranet網網相連,寬頻與固網的建設更讓只要有求知慾望及通信需求的單位企業都急著上網,近來網路上的入侵破壞犯罪事件頻傳,也讓網路使用者與管理者必須注意到網路安全的議題,尤其是高度應用電腦資訊化的單位更是提高警覺,生怕下一個受害者就是自己。
我想在防止駭客入侵的防護工作,基本上也可對應到我們日常生活中的門戶防護,如果在沒有採取任何防衛就連上網路,就等於是完全曝露於 Internet,就好像是晚上在家睡覺而家門卻是開著,隨時有人可自由進出你的網路與電腦中。網路上入侵者的行為也是和日常的犯罪行為相仿的,犯罪誘因被引起後,再以掃描偵查軟體去試探,發現對方的弱點,進而偷窺。
假冒訪客等意圖的開始,就好像竊賊會觀察住戶出門或返家的作習時間再伺機而動,如果能有警覺性就很容易預警駭客入侵偵測系統的不良意圖,進而採取適當的防護措施。不過與智慧型網路罪犯鬥智,恐怕是要有相當完整的安全機制,再配合適當的安全系統才能有效阻止網路入侵行為,以下是強化網路安全的基本參考建議。
14個必要招式大公開
招式1.路由器是否更新密碼
許多公司都是使用知名C牌的路由器上網,工程師在認證考試時,也沒有關於如何更改預設密碼這一題(因為太簡單了)。為了將來維護方便,大部份的工程師裝好路由器後,都沒有更改預設的密碼,而用戶想到可以快速連線,就迫不及待上網Shopping,忽略了最重要的事項。
若君有空,不妨一試,就會發現不少路由器是可用預設密碼自由進出,駭客當然也樂於藉此當跳板,入侵他人的電腦或停掉網路連線。當然受過網路安全訓練的工程師也有可能會更改密碼後留下一手,再離職,所以你要記得要抄到密碼,最好自己也學會設定密碼後,才讓工程師離開。
招式2.裝置ICSA安全認證的防火牆系統
當安裝防火牆以後,內部網路與公開服務之網站即被保護,不受DoS (Denial of Service)癱瘓式攻擊(常見的攻擊模式有 Ping of Death、SYN Flood、IP Spoofing and LAND等)。通常為了要防止來自Internet對私人網路的資料竊取、破壞或竄改,防火牆會採用封包檢查的技術,只允許安全的內部網路使用者所主動建立的連線資料可由Internet進來,駭客或未授權的使用者將被防火牆擋在門外。防火牆也應採用至少三個Port,分別架設內外網路區段與DMZ(非軍事區),以便架設供開放存取服務之主機如Web、Mail Server,最重要是定期更新防火牆系統版本。
招式3.定期掃描防火牆弱點
應用網路漏洞掃描工具軟體,如SATAN、Internet Scan、CyberCop等。定期由外對內掃描並製作弱點分析報表,尤其是在更換、擴充或維修網路服務主機及任何軟體版本。對新發現的弱點應即時採取補救的應變處理,並須隨時更新掃描工具之已知安全漏洞資料庫,以免有漏網之魚。
招式4.裝設駭客入侵偵測辨識系統
通常防火牆會阻擋非正常連線之網路封包,但有許多的入侵行為卻是以合法掩護非法,例如以Http Service Port 80之正常連線封包來訪,卻實質要執行 Web主機上的入侵程序。市場上有多種網路型入侵偵測系統具有駭客辨識功能,如SessionWall-3、Real Secure、SonicWALL,也有多種單主機型偵測軟體如BlackICE、Desktop Firewall、Server Guard...等。有上百種可入侵攻擊開放服務主機之程序已被發覺利用,經由駭客入侵辨識系統資料庫,可輕易的偵測預警與記錄入侵攻擊者的來源、IP位址用來入侵的手法、時間與持續多久,藉以辨識入侵者的意圖與威脅等級,設定入侵或可疑網路活動預警通報,也可採取反查証主動連繫對方網路管理人員或 ISP協助處理,制敵於先。
招式5.嚴格管制非急迫所需之網路服務
網路上有許多既方便又省時省錢的軟體應用服務,例如大家常常應用遙控軟體 PC Anywhere以及即時交談連線軟體ICQ,這些都會產生網路被入侵或洩漏行跡的安全問題。通常為了能隨時以遙控模式連上遠端主機,主機被控端總是開啟,只剩下用密碼來作最後的防線,這個連線Port Number是很容易被掃描察覺,接下來就是猜密碼遊戲,通常已被連續猜了上百次,管理者卻完全不知道。ICQ 也會將上網者的IP位址、電子郵件信箱等基本資料送出,如果對方以e-mail 傳送特洛依病毒Back Orifice、NetBus後,他隨時可釘上你並以網路遠端遙控模式逛逛你的硬碟內容或查看你剛寄出的履歷表及情書。
招式6.定期查核網路存取統計報表
你可以設定在緊急事件發生時,採用入侵警告功能以立刻發e-mail通知你,這些事件包括攻擊、系統錯誤、禁止網站存取,並啟動防火牆之連線存取記錄功能。管理者可以選擇記錄各種不同的事件,這些記錄可以透過Web或E-mail的管理介面查詢詳細完整的Syslog。你最好選擇有提供網頁統計報表格式,如最常存取的網站、最佔用頻寬的使用者、最佔用頻寬的網路服務,像是HTTP、FTP、RealAudio等等,並支援圖文報表以產生管理工具軟體。
招式7.查核PC資源共享的設定
許多公司的主機管制非常嚴格,沒有存取權限是很難取得不相關的資料。但是,高階主管有時為求與秘書交換資料及工程師之圖,就會將PC資源共享功能啟動,甚至沒有設定密碼,網路上其他人員就可隨時存取該PC硬碟資料檔案。試想任何人都會存放業務相關之機密文件資料於私人硬碟中,其共享的後果就可想而知。
招式8.建立e-mail與FTP檔案病毒掃描偵測系統
建立e-mail檢視區,以掃瞄信件內容及其夾帶檔案之病毒。你可整合任何廠牌之防毒掃毒系統,阻絕病毒快速擴散,依屬性拒絕信件由Internet傳入/傳出,可制定信件收發安全規則,如安全信件放行、危險信件隔離、禁止傳送或刪除、信件夾帶大型檔案可延遲至自定的時間再傳送、可自動留下副本給特定人員。當違反安全規則時,可自動回覆寄件者,告知已違反的規則項目。管理者可依需求自行製定新報表 - 統計分析Internet e-mail使用量,如依時間、送信者、收信者、Domain及安全規則等。
招式9.檢查統計數據機之數量與用途
許多公司還沒採用專線上網前,總會依需求開放特定人員,以數據機撥連上網或與遠地人員傳送資料,在以專線上網後可能沒有回收與管制數據機的使用,使得用戶仍有機會用撥接方式對外取得連線,跳脫防火牆及連線記錄系統,如有洩密事件發生則死無對證,同時也浪費撥接連線通訊費用,實在是有必要查核電話交換機之通話記錄,發現超長時間之通話記錄,最好是直接換裝數位式話機,如此就無法以數據機對外撥接連線。
招式10.管制Remote Access Server開放權限與裝設
遠端使用者可以透過Modem撥接連線,經由登錄Remote Access Server的方式存取內部網路的資源,登錄時輸入使用者名稱和密碼,應經過RADIUS用戶認證系統確認身份,更嚴謹的做法是應發放用戶單次密碼產生器認證系統,遠端使用者若在超過設定的時間內沒有存取動作,即應被迫中斷連線。內部網路用戶應嚴禁私設Remote Access供遠端撥接連線功能,以防成為駭客入侵後門,而Remote Access Server應架設於防火牆外部才安全。
招式11.採用VPN通訊加密技術
採用IPSec標準168 bit 3DES與56 bit DES加密虛擬網路功能,建立企業、上下游廠商及分支機構網路與網路之間加密虛擬網路。外勤遠端撥接用戶亦可經由VPN Windows Client加密軟體,經由全球各地ISP上網,與公司進行安全資料傳輸,並支援IKE密鑰動態交換功能,可完全取代傳統Remote Access避免產生網路撥接後門的危險。
招式12.機密檔案加密再儲存或傳送
重要機密檔案應規於特定資料夾並嚴格控管,有許多檔案或硬碟加密軟體都可協助用戶以密件存檔保護,尤其在Internet上用e-mail或FTP傳送時,到處都會留下副本,那天傳到競爭對手手上也是不無可能。我就收到過競爭廠商傳送給另一個Jack的商業機密信件,因為通訊錄中同樣叫Jack的人實在太多了。
招式13.備援磁帶加上存取密碼
通常主機之資料備份都會轉為磁帶或光碟片,對於排程備份管理系統應能加上密碼保護功能,以防萬一遺失或遭竊時能延遲資料被解讀之時效性,舊有報廢磁帶也應有正確的處理方案,CD-RW光碟備份更應小心管制。
招式14.與網路安全專業廠商簽顧問服務合約
在自行制定安全機制後,仍然有許多隨時可能發生的網路危機事件發生,如何在最短的時間內採取正確的產品與應對措施,情報與資訊是高度電腦化之企業賴以生存的命邁。找一家能在網路安全服務並且定位明確的顧問服務公司,簽定技術諮詢服務與產品建議合約,在危機發生前能有定期建議,發生後可即時得到解決方案。
以下列出除防火牆外最常被列入採購清單的網路安全Network Security產品分類:
◎ 虛擬加密私人網路VPN
◎ 駭客入侵偵測掃描預警 Intrusion Detection
◎ 網路存取稽核管理系統 Network Monitor
◎ 身份認證系統 Authentication
◎ 加密處理系統 Encryption
◎ 存取控制系統 Access Control
◎ 防毒掃毒系統 Anti-Virus
後語
其實網路安全的預算再多都不夠的,選擇網路安全產品最基本的考量除了在價格預算上,還有幾點需要注意,如產品的安全認證、產品的功能是否符合需求、使用操作的便利性、管理維護的便捷性及年度維護管理成本等。
最重要的是制定一套完整的企業資訊安全政策,以採購的產品來落實執行安全政策,清楚定義開放與管制的網路存取服務、定期更改系統密碼、查核事件記錄與各種網路存取報表,並且要常常拿出來檢討修正。此外,還要考慮到內部管理人員接管後的教育訓練工作與功能更新服務。
網路安全是永無止境的,百密總會有一疏,以教育用戶配合強化安全共識,才能全面的防止網路危機發生,總之在有限的預算中選擇適用與多功能的產品,再配合完備的安全稽核政策,才能幫助網路安全主管守衛資訊的安全。(作者為富揚資訊負責人)