網路防護的措施為何?

網路防護的措施包括所有為了保護儲存中或傳輸中的資料、語音及視訊而添加至網路的工具和技術,例如:防火牆及入侵防護 (IPS)。

網路防護的措施

網路防護的措施是您為了保障機密性、一致性與可用性而添加至網路的資安控管。這類控管目前仍在演進,不過已經累積了大量的基礎知識。想要遏止駭客進入您的網路,您必須採取一些措施。防火牆、代理器 (Proxy)、閘道都有助於達成這項目標。

不過,若您以為有了這些裝置就能杜絕駭客進入您的網路,將是個危險的想法,駭客終究會找到方法進入。一位知名駭客 Kevin Mitnick 就表示他的成功率是 100%,他專門接受企業聘僱,藉由滲透測試來幫企業測試他們的網路防護

駭客永遠有方法可以駭入企業,資安團隊需要不斷努力地學習、調整,並搶先駭客一步。還有很重要的一點是,必須事先擬定事件應變計畫,並成立事件應變團隊,才能在駭客真的進入時立即因應。

防火牆

防火牆可以攔截流量或者讓流量通行,可通行的流量,必須根據企業需要用到的通訊類型設定在防火牆的組態設定中。防火牆最重要的一項最佳實務原則,就是預設攔截所有的流量,然後在組態設定當中只開放已知服務的流量。 防火牆的組態設定非常重要,因此防火牆管理員務必具備相關的知識。

防火牆的運作橫跨了國際標準化組織開放系統互聯 (ISO OSI) 網路模型的多個網路層。一般所謂的防火牆大多在第 2 至 5 層上運作。如果某個防火牆宣稱是在第 7 層上運作,那它通常是指代理器 (Proxy) 或閘道。有個例外是網站應用程式防火牆 (WAF),它雖然也稱為防火牆,但其實是在第 7 層。防火牆會分析它所運作的 OSI 網路層上的資訊。

以下是一些防火牆在不同網路層上運作的範例:

  • 第 2 層 – 資料連結 – 它可根據訊框內的網路卡實體位址 (MAC) 來決定是否要攔截或繼續傳送流量。
  • 第 3 層 – 網路 – 它可根據封包內的 IP 位址來決定是否要攔截或繼續傳送流量。
  • 第 4 層 – 傳輸 – 它可根據資料包 (datagram) 中的 TCP 連接埠編號來決定是否要攔截或繼續傳送流量。
  • 第 5 層 – 連線階段 – 它可根據 RTP 資訊來決定是否要攔截或繼續傳送流量。
  • 第 7 層 – 資料 – 它可根據應用程式或應用程式服務來決定是否要攔截或繼續傳送流量。

 

防火牆的組態設定內含一份規則清單,這些規則有時亦稱為政策。防火牆會利用這份規則清單來判斷該如何處理它所收到的流量。這些規則在套用時,是依照從上到下的順序。

當防火牆收到訊框或封包時,會從清單中的第一條規則開始比對。如果符合該條規則所指定的流量類型,就執行該條規則對應的動作,例如允許流量通行,或者攔截並拋棄流量。

若訊框或封包與第一條規則指不符,那就繼續比對第二條規則,依此類推。如果流量與所有設定的流量都不符,那防火牆就會執行最後的一條規則,這條規則通常是將流量拋棄。

代理器 (Proxy)

代理器防火牆是在 OSI 模型的第 7 層上運作。當代理器收到流量時,會逐層往上去掉訊框或封包。例如,在第 2 層去掉訊框,在第 3 層去掉封包標頭等等,一路往上到直到資料所在的第 7 層。

由於傳輸層加密 (TLS) 連線位於第 4 層,所以處理到這一層之後,資料在代理器中是以明碼的方式處理。接著,代理器會分析被傳輸的資料,這動作在這一層之下是無法處理的,因為資料處於加密狀態。所以,代理器可分析的資料遠比一般標準的防火牆更多。因此也會比一般防火牆花費更多的時間或運算效能,但卻更能掌控使用者的流量。

閘道

閘道一詞的意義,可能會因您討論的對象不同而有不同解釋。傳統上,閘道是指介於兩個網路之間的一台硬體裝置。今日的閘道基本上都具備防火牆功能。例如,Microsoft Azure 的閘道即內建了 WAF 網站應用程式防火牆功能。所以,現在的閘道也可稱是一種防火牆。

入侵偵測及防護

接下來要解決的問題是採用入侵偵測 (IDS) 來偵測網路入侵的情況。這類裝置採被動方式運作,它們會監視網路進出的流量然後將可疑流量記錄下來。IDS 可以是網路裝置或終端裝置,其所在位置不同,名稱就不同,分別為:網路式 IDS (NIDS) 或主機式 IDS (HIDS)。

NIDS 通常是連接到一個 TAP 裝置或交換器的 SPAN 埠。這表示流量可以正常傳送至目的地而不受任何干擾,流量會自動複製到 NIDS 的 SPAN 埠來執行分析。若是 HIDS,則通常會安裝在筆電、平板、伺服器等等裝置上。大多數的 HIDS 都不能即時分析流量,而是在事後進行記錄檔分析。

當這些裝置發展到某個階段時,廠商又將它推升到另一個層次。既然能夠偵測攻擊,那何不乾脆直接將惡意的訊框或封包丟掉,而不光只是通報而已。這就是入侵防護 (IPS) 的由來。IPS 同樣也可分成:網路式 (NIPS) 和主機式 (HIPS) 兩種。

IPS 是個不錯的點子,但卻有個缺點,IPS 必須知道什麼是不好的流量,這可透過特徵檔或自我學習來達成。

虛擬私人網路 (VPN)

下一個要解決的問題是如何保護網路所傳輸的資料、語音及視訊,以防止在傳輸過程中遭人竊聽,包括在企業或家用網路的內部及外部,例如在經過網際網路或服務供應商的網路時。

此問題可藉由加密來解決,讓資料在沒有金鑰的情況下無法讀取。針對資料的傳輸,有幾種加密方式可選,包括:

  • Secure Socket Layer (SSL)/Transport Layer Security (TLS)
  • Secure Shell (SSH)
  • Internet Protocol Security (IPsec)

SSL/TLS

SSL/TLS 自 1995 年開始便是瀏覽器所使用的連線加密方式。SSL 是由 Netscape 所發明,其 2.0 與 3.0 版一直受到廣泛使用,直到 Internet Engineering Task Force (IETF) 接手後才將它改名,也就是 1999 年 America Online (AOL) 併購 Netscape 時。目前的最新版本是 TLS 1.3 (RFC 8446)。TLS 並非瀏覽器專用的加密方式,它也用於使用者與企業辦公室的 VPN 連線。

SSL/TLS 是一種傳輸層加密協定,應用於瀏覽器連線時使用的是 TCP 連接埠 443。

SSH

SSH 是遠端登入常用的一種加密方法,網路系統管理員會透過 SSH 來遠端登入及管理網路裝置,例如路由器和交換器。SSH 通常被用來取代 Telnet (一種在第 7 層上運作的非加密式遠端登入協定),但也可用於 VPN 連線。SSH 的規格定義在 IETF RFC 4253 當中,使用 TCP 連接埠 22。

IPsec

IPsec 是一種網路層協定,可為任何連線類型提供加密與一致性檢查功能。IPsec 的規格分散在多個不同的 IETF RFC 文件中。RFC 6071 提供了一份概要來說明這些文件之間的彼此關聯。

IPsec 提供了兩種安全協定:Authentication Header (AH) 與 Encapsulating Security Payload (ESP)。

  • AH 用於提供資料的源頭認證與一致性。IPsec 實作不一定需要支援 AH,AH 負責將 IP 封包的標頭加密。
  • 所有 IPsec 實作都必須支援 ESP 來提供資料的源頭認證、一致性與機密性。ESP 會將 IP 封包內的資料加密。

資料外洩防護與數位版權管理

智慧財產 (IP) 的保護依然是個棘手的問題,所謂的智慧財產包括:手冊、流程、設計文件、研發資料等等。其主要問題有兩個:第一是如何確保機密資訊不外流;第二是如何確保資訊只有具備權限的人才能看到。做好資料控管的方法有很多,資料分類與存取控管就是其中兩種方法。

要避免資料遭到不當外流,企業可導入資料外洩防護 (DLP) 技術。它會監視機敏資訊的流動,例如經由電子郵件或檔案傳輸等方式。

當 DLP 軟體偵測到機敏資訊 (如信用卡卡號) 時,就會加以攔截或中止傳輸。此外,必要時還可將機敏資訊加密,一切取決於企業希望管控哪些資料,以及當 DLP 軟體偵測到機密資料時,網路該如何因應。

數位版權管理 (DRM) 可透過技術來管控智慧財產的使用。若您有用過 Kindle、iTunes、Spotify、Netflix 或 Amazon Prime Video,那您已經使用過 DRM 軟體。這類軟體可讓您享用您所購買的內容:觀賞影片、閱讀書籍、聆聽音樂等等。一個在商業領域的應用案例就是 Cisco 利用 DRM 來允許已購買課程的客戶使用課程手冊。

還有另外兩個企業可用來管控內容流通的 DRM 技術是 Javelin 與 LockLizard。DRM 技術利用存取控管來管制內容的使用對象和期限、是否可以列印、是否可以分享等等,這些設定條件完全看 IP 擁有者的想法而定。

記錄檔、監控與 SIEM

企業最迫切需要建置的防護措施,應該是資安問題偵測及矯正。這一切要先從記錄檔著手,幾乎所有網路上或連接到網路的系統都會產生記錄檔。

企業要決定哪些東西要寫入記錄檔,可能包括:嘗試登入、網路流量、封包、已採取的行動,甚至是使用者的每一個按鍵輸入。至於哪些東西該寫入記錄檔,應該要根據企業對風險的擔心程度、資產的機敏程度,以及系統的漏洞而定。

以下所有系統應該都會產生記錄檔:

網路上的系統

  • 路由器與交換器
  • IDS 與 IPS
  • 防火牆


連接至網路的系統

  • 伺服器
  • 筆記型電腦
  • 攝影機
  • 桌上型電腦與手機
  • 資料庫
  • 所有物聯網 (IoT) 裝置

 

這麼多的裝置所記錄的事件數量加起來相當可觀,而且如果要從這麼多的資料當中理出頭緒,就必須將這些記錄檔 (同時也是稽核記錄) 傳送至一個集中地點,例如:Syslog 伺服器。當記錄檔集中到 Syslog 伺服器後,就能利用一套資安事件管理 (SIEM) 系統來加以分析。

SIEM 是一種用來對所有系統的記錄檔進行分析並交叉關聯的工具。它可用來搜尋入侵指標 (IoC),一個 IoC 並不一定能當成某個真實事件的證據,這一點必須交由人工來分析。所以就需要一個資安營運中心 (SOC) 與事件應變團隊 (IRT) 來決定接下來的動作。

相關文章