由於Internet的發展,使全世界各地的人都可經由電腦互相通訊,然而就在人們與網路愈來愈密不可分的同時,駭客入侵事件與網路安全問題卻時有所聞,這使得企業甚至個人都必須對網路安全有進一步的認識和防護。
從駭客談起
什麼是駭客呢?駭客又稱黑客,是Hacker或Cracker的中譯,而這二個英文有什麼區別呢?在以往而言,所謂的Hacker是指那些默默奉獻,深入鑽研別人所不熟悉的系統內部,負責修補與改進它們的效能。Cracker,相反的,則是那些只是為樂趣或利益去侵害他人電腦的危險分子。
而駭客和防火牆和入侵偵測系統的關係又如何呢?其實,在網路上如果人人守法並有道德良知,也就不需要防火牆和入侵偵測系統了,當然也不會有駭客了,然而事實則不然,如同你家的門窗可能不上鎖嗎?即使路人不偷東西,但跑去你家逛逛又出來,相信也沒有人可以接受吧?因此,企業為了防止駭客,就必須建制防火牆及入侵偵測系統。而他們的關係,簡單地來說,就像就一個住家,為了防止外人﹙駭客﹚進入,必須要有堅固的門窗﹙防火牆﹚建置,而為了使其更安全則又加裝了24小時的保全系統﹙入侵偵測系統﹚一樣。接下來我們就來探討防火牆及入侵偵測系統。
防火牆的功能及建置
防火牆已成為企業必備的設備,因為它是企業防守的第一道門。一般防火牆的建置可分為三大區域,分別為內部網路、外部網路、及DMZ﹙非戰區或周圍網路﹚,所謂的外部網路指的是企業防火牆以外的區域,而內部網路指的則是企業內部各部門的網路,而DMZ,則可放置企業對外提供服務的伺服主機,如Web Server、Mail Server、FTP Server……等。
防火牆的功能主要是負責外來者身份的稽查,避免非授權者闖入。其最主要的作法可分為「封包過濾」﹙Packet Filtering﹚及「應用層閘道」﹙Application gateway﹚兩種,其中「封包過濾」是針對封包的標頭﹙header﹚加以檢查封包的來源、目的地及埠址﹙port﹚作判斷,以防止不正常的封包進入;「應用層閘道」則提供各種不同應用程式服務代理,如HTTP、FTP、SMTP、POP3等Proxy之功能,讓企業的使用者經由防火牆的Proxy服務來存取資料。「應用層閘道」因為處理的是通訊協定中最上層的資料,因此在處理效能上會比「封包過濾」費時,但在安全性上則較好,現在的防火牆產品也有將這二種功能動態整合以達到效能及安全上的彈性。
在選購防火牆時,可從幾點去著手,首要為安全,其次分別為效能、管理、和價格。一個好的防火牆必須擁有好的防護能力、高度的效能、正確的組態設定、及完善的管理。往往問題點是出現在組態的設定及管理,這使得駭客們更輕易地入侵,因此在組態設定方面,網管人員一定要作好符合企業安全政策的設定,確實讓防火牆發揮功能;管理上面,則必須支援遠端管理、存取控制和日誌記錄。首先,遠端管理就是說當駭客企圖闖入防火牆時,防火牆要能以電子郵件或手機等方式通知網管人員,進而由遠端重新設定組態,甚至關閉介面,並且防火牆和遠端的通訊都必須加密。
在存取控制方面,可利用時間及使用者認證來淮許通過防火牆,認證則可配合一些專門作認證的伺服器,如RADIUS Server。第三為安全日誌,檢查安全日誌是非常重要的,因為它可以協助追蹤駭客,但必須監視日誌檔是否填滿,及日誌檔填滿後的動作,例如,重新寫回到日誌檔最舊的記錄或讓防火牆繼續運作但不記錄日誌等,以避免防火牆的服務終止。由上知,防火牆只是一個網路安全的控管系統,必須由「人」確切的管理才能發揮其最大的功用。
入侵偵測系統﹙IDS﹚功能與建置
很多人都會問,為什麼有了防火牆之後,我還需要入侵偵測系統呢?什麼又是入侵偵測系統﹙以下簡稱IDS﹚?就如同前述的,即使您有了一道很堅固的門,但還是無法確保你房子的安全,這時您可能就會請24小時的保全,這就是IDS。
網路安全事件不斷傳出,難道這些單位和企業都沒有設置防火牆嗎?基本上,入侵偵測系統和防火牆是互補的,因為有一些駭客會以「合法存取來掩飾非法存取」,如公司有Web 的Service或者Mail的Service,只要是這類的封包都可通過防火牆的安全政策,即使防火牆是「應用層閘道」式的防火牆,也不會一一對應用層資料的內容作詳細的檢查,這時駭客則利用一些系統的弱點﹙bug﹚入侵系統。
這時IDS可以幫您作什麼呢?一般來說,IDS分成二種,稱為偵測器﹙Sensor﹚及掃描器( Scanner ):
1. 偵測器﹙Sensor﹚:
利用在網路傳輸的封包或者系統中的稽核檔﹙audit logs﹚當作判斷駭客入侵的依據,進而即時的阻斷駭客的攻擊。而偵測器依其部署的位置及功能可分為網路型( Network-Base )、主機型( Host-Base )及混合型( Hybrid-Base)。
2. 掃描器﹙Scanner﹚:
掃描網路設備、作業系統及資料庫上的漏洞( bug ),產生其弱點評估的報表,並產生正確的修護步驟,是掃描器最主要的功能。依掃描器其部署的位置及功能可分為網路型掃瞄器,系統型掃描器及資料庫( 應用程式 )掃描器。
由此可以知道,偵測器及掃描器各有其所長,並且可以相互搭配,達成即時的防護及反制,以免網站被人入侵幾個月但卻不自知。
(圖一)我們可以看出偵測器的部署方式。
小結
網際網路和人愈來愈不可分離,網路的安全必然會受到重視,防火牆和入侵偵測系統都是防止駭客的工具,但一切的根本還是在於「人」的管理,必須建置好防火牆和入侵偵測系統,並作好安全政策的設定及事件發生的處理狀況,才可以真正落實網路安全。