推荐阅读:摘要:利用所有终端设备存取网络时皆会发出DNS 查询封包的特性,建置DNS Proxy 来负责对DNS 查询封包的响应,当不符合企业信息安全政策的终端设备发出DNS 查询封包时,DNS Proxy 会回应特殊的IP,告知上网控制发生的原因;该设计最大的特点在于内网的存取同
摘要:利用所有终端设备存取网络时皆会发出DNS 查询封包的特性,建置DNS Proxy 来负责对DNS 查询封包的响应,当不符合企业信息安全政策的终端设备发出DNS 查询封包时,DNS Proxy 会回应特殊的IP,告知上网控制发生的原因;该设计最大的特点在于内网的存取同样可受控制,建置成本相对Proxy 之下显得更符合经济效益,反应时间更为迅速,能告知使用者更精确的信息;基于上述理由提出以DNS 封包为基础的自动化上网控制机制。
关键词: 网络存取控制;防火墙;代理服务器;DNS 代理服务器;黑白名单产生器;政策服务器;入侵防御系统
Abstract:All will be issued when all terminal devices use DNS query packet access network features, build DNS Proxy responsible response to a DNS query packet, when not in line with corporate information security policy of the terminal device sends a DNS query packets, DNS Proxy will respond special's IP, inform occurs because Internet control; the biggest feature of this design is that the intranet access the same may be controlled, under Proxy implementation costs appear relatively more economical, faster response time, can inform the user more precise information; For these reasons we propose to DNS packet-based automated access control mechanisms.
Key words:NAC; firewall; proxy; DNS Proxy; generator; policy server; IPS
1 前言
在黑客攻击事件愈来愈多的今天,凡是拥有能连上因特网计算机设备的企业,大多逐渐意识到信息安全的重要性;计算机虽然带给企业很大的方便、提升企业经营的效率、甚或带进更大的获益营收;但若疏于管理,让有信息安全疑虑上的计算机连上网络,企业就很可能成为受攻击的标的,鉴于今日黑客的诸多手段及战术,一旦有计算机设备被入侵,将可能带给企业难以衡量的损失。
在今日信息安全的领域上,一台计算机的信息安全性指数通常是指有关信息安全方面的项目有无正确被设定或被实施,诸如账户有无适当保护、系统有无启动适当稽核机制、有无安装防病毒软件及更新病毒特征等等都是可纳入考虑的范围;当然基于企业特性的差异,个别企业通常都会制定一套自己要施行的信息安全规范,而若想要落实定期查核的工作,一只可植入计算机的代理程序也就成为必需的工具,毕竟当计算机数量超过某一范围时,想利用人工完成这些事情并不实际。
针对已拥有可收集信息安全相关信息的代理程序(Agent)的企业,探讨可以采取何种部署架构或运作机制来协助达成一个特定的管理上目标,当有计算机设备不符合企业自定的信息安全规范时,为了信息安全上的考虑或者惩罚性的因素,企业能以何种方式来达成自动化上网控制的目的。
2 上网控制的发展历史
本文着重于自动化上网控制,此处简单介绍从代理程序(Agent)出现后的相关发展;代理程序在前端负责收集计算机相关信息,后端对应的是储存终端设备信息的资料库和名单列表产生器,此列表产生器的主要功用就是定时产出允许存取网络或者拒绝存取网络的名单,定时将其送至存取因特网的网关上。
最先的上网控制方式,应是选择防火墙或者代理服务器来实作,因为它原先的设计就包含有名单的概念,所以将名单列表产生器定时产出的名单列表传输至这些设备,就形成了比较早期的控制机制。
另一方面,因为有代理程序的存在,有些架构的设计就希望能直接扩充代理程序的功能,让它不只是单纯收集信息,还能接受来自政策服务器的指令,由代理程序本身直接进行计算机存取网络行为的控制,无须建置或维护名单列表产生器,这也是是上网控制发展历史中曾被提出的解决方案;但该法须时常更新所有终端设备的控制政策,容易有反应时间过长的疑虑。
3 防火墙或者Proxy 可能遭遇的瓶颈
防火墙和 Proxy 的上网控制方式可概分为三种,第一种于参数中表列所有黑白名单,第二种利用内建的程序模块去读取特定格式的黑白名单列表,第三种则是呼叫外部程序来进行黑白名单判别的工作;此处黑白名单通常代表拒绝的名单及允许的名单。这三种方式各有其局限性,第一种以参数中列表方式执行,不适合储存大量的黑白名单,因为此举可能会造成参数变得相当庞大,不利于定期重新编辑或重载;第二种或第三种以呼叫程序判别,但其响应只能是对或错,无法响应特定代码以区分不同的错误信息,而且当很多使用者同时发出需求时,单一程序须一直被重复呼叫并启动,故须考虑其承受能力或者反应时间等等。
至于利用建置多台设备的方式来分散其工作量,须考虑建置成本的问题,因防火墙设备或者代理服务器设备通常价格较高,或者管理者也可选择自行建置,但须顾虑效率、稳定度等的因素,故通常等级较高的硬件才能符合需求;而且也必须考虑适用性问题,也就是考虑这些设备原先设计的目的为何。防火墙主要功用在于管制某些来源地址对某些目的地址的协议及服务,扮演类似于大门守门员的脚色,Proxy 主要功用则是帮助设定它为代理服务器的终端设备先行存取特定信息,然后供利用它的用户来进行数据快取的动作,扮演类似于货物集中站的脚色。 考虑上述防火墙和Proxy 的特性,显然它们无法对企业内网(Intranet)的存取进行合适的管制,因而容易造成管理上的缺失;受到管制的名单,通常代表此终端设备的现况违反企业订定的信息安全规范,在有信息安全疑虑的状况下,若未管制对网络的存取,极容易造成信息安全上的漏洞。
利用防火墙或者 Proxy 进行控制也有它合适施行的情况。例如,当需管制的终端设备数量较少时,代表须储存的黑白名单数量也较少,重新编辑或重载参数造成的负担也就比较合理,或者呼叫程序模块判别时也能得到迅速的反应,在此情况防火墙或者Proxy 也不失为能满足需求的解决方案。
4 提出已DNS 封包为基础的管制架构
考虑建置成本及反应时间这两大因素,提出另一种控制机制;利用所有终端设备存取网络时皆会发出DNS 查询封包的特性,建置DNS Proxy 来拦截此类型封包,然后依据其来源地址来决定回复DNS 查询的内容;
如果它属于合法名单,就回复它正确的 DNS 解答,如果它属于非法名单,可依据它为何位于非法名单的原因,回复它不同的DNS 解答,当使用者打开浏览器时,不同的DNS 解答代表能被转不同的网页,进而告知使用者不同的警示信息,让使用者能更清楚自己被控制的原因,方便使用者对自己设备的状况进行后续的处置,以期能符合企业订定的信息安全规范。
此架构具有几项优势,首先,它同时可以管制内外网的存取,因为只要不符合企业信息安全规范,被归属于黑名单,因此回给它的DNS 解答可以是自定的虚假IP;第二,它只是扮演类似DNS 中介者的角色,无须负担DNS 的解析功能,所以对硬件等级的要求不高,在建置成本上花费较少;第三,由于建置成本较低,可弹性部署多台来扮演DNS 中介者的角色,而且每一台DNS 中介者虽然只有一只程序模块来担任业务窗口,但它可以以服务的形式存在,并且只是负责输出入的转手,它所衍生的诸多线程才是真正负责产生响应的地方,所以他的反应速度能够非常迅速。
由表1可知,藉由代理程序本身实施上网控制似乎也是一个不错的选择,但它除了需要投入花费巨大的平台开发及功能测试外,其所具有的控制功能也容易和计算机设备本身所拥有的防火墙功能相互抵触或引发冲突,导致非预期的管理风险产生,这是导入此架构需谨慎考虑之处。
6 上网控制发展的趋势
随着信息安全被日益重视的今天,信息厂商也提出了许多更新或更完整的解决方案,希望能提供更全面、更主动的防御机制,例如与IPS 的整合,透过IPS 的监测,找出违反公司信息安全政策的端点,对其进行管制的动作。
另有解决方案是与具备802.1X 能力的设备结合,让设备存取网络前一定需经过身分认证的程序;或者建置DHCP 服务器,当不符合信息安全规范的设备存取网络时,给予一个特殊的IP 让其无法存取网络;或者与分散于各地,但与终端设备最接近的交换器整合,让管理员能将有问题的计算机限制在最小的存取区域,但此法也代表须更新众多网络设备才能达到这样的功能,建置的成本成为考虑的重点。
以上总趋势或发展,都是希望能早一步将有问题的计算机隔离于正常的企业网络之外,避免对企业的信息安全造成伤害。
7 结论
在上网控制(NAC)逐渐成为重要议题的今天,信息安全厂商也纷纷提出许多新的架构或者发展新的设备;但其实NAC 并无一定的标准,规定必须达到那些功能才算是符合NAC的标准。
所以当规划导入NAC 时,决策分析者应该要能熟悉整个网络的建置架构、了解许多网络设备的特性及兼容性、现阶段想要或可达成的控制目标、须异动或配合的事项甚至企业愿意为它投入的成本都须一并纳入考虑,才能提供较好的解决方案,达到强化企业信息安全的目标。