經驗分享  
LanPolicy 安全防禦的最終防線
LANPoicy Express
AccessPolicy加強用戶端存取控制
NetPerf 了解網路健康度
MaclPer 存取控制毫無破綻
WinPerf 找出作業效能瓶頸
HostPing 掌握網路傳送品質
On-Line 委外線上網管
Flow Protocol 網路流量分析報表
目前位置:首頁 \ 經驗分享 >
如何保護企業內部網路不受透病毒攻擊

如何保護企業內部網路不受透病毒攻擊

說明

這份文章將會說明要保護企業內部網路不受到網路病毒與蠕蟲攻擊時,是否有相關機制可以保護與即時阻擋這些惡意破壞網路行為,在面對這些資安科技產品時候,是否還有哪些缺陷需要靠其他的產品互相支援方可做到最佳防禦方案。

這份文章共會分成兩大部分,首先,將會針對現在各企業正在使用傳統資安產品做檢視,了解到為什麼已經架設、安裝了這些傳統資安產品防禦工具後,卻還是會遭受到網路病毒和蠕蟲攻擊,導致整體網路癱瘓、甚至造成網路當機;第二部份會說明如何利用已經存在的網路設備存在網路管理功能,就可以做到主動式保護目的。

傳統資安設備檢視說明

在下面的章節中,將會說明應用企業網路上之傳統資安工具做分析比較與說明,探討這些已經應用在企業內部一段時間的傳統資安工具潛在那些我們之前所沒有想到的問題,為什麼沒有辦法徹底阻檔與保護內部網路安全。

防毒軟體

一般來說防毒軟體需要安裝本機電腦中,當有中毒檔案要寫入到本機磁碟或被讀入到記憶體中,就會被防毒軟體偵測出來,即時進行阻擋、刪除或隔離該中毒檔案動作,確保本機電腦不會被病毒軟體滲透感染問題。

但是若病毒的來源是來自於網路上,並且透過作業系統的漏洞將含有電腦病毒或蠕蟲塞入到使用者電腦中,如此這台電腦有可能變成另外一台會繼續感染其他電腦病毒傳送者。

理論上不論是透過外部媒體(磁片、CD)、電子郵件、網路存取、作業系統或應用系統漏洞,病毒都必須要將這些有毒檔案儲存在本機電腦中,這樣在下次電腦重新開機時,才可以繼續載入該有感染病毒檔案,使這台電腦繼續成為病毒帶原者,繼續進行破壞工作;但是為什麼電腦明明有安裝防毒軟體,卻一樣會中毒呢?因為防毒軟使用病毒碼定義檔案來進行比對每個寫入到磁碟中檔案,是否還有與病毒碼定義檔案中一樣的病毒碼,若是有,就會被視為該檔案受到感染而中毒了。問題就在於許多變種病毒、未知病毒是防毒軟體所無法偵測出來,因為病毒碼定義檔中找不到這些病毒的特徵。

圖表 1 防毒軟體在防禦病毒入侵說明圖

特色

l       需要在每台電腦上安裝防毒軟體。

l       各家產品價格與功能差異不大。

l       除了本機防毒外,可以選擇閘道式防毒與電子郵件防毒。

優點

l       可以即時偵測出有無病毒存在,並進行隔離動作。

l       可定時進行本機電腦全部檔案掃毒。

l       具有集中管理政策控管功能,可一次管理大量防毒軟體用戶端。

缺點

l       若電腦沒有安裝防毒軟體或者沒有更新病毒碼定義檔,一樣會有中毒機會。

l       對於作業系統漏洞沒有更新,會造成網路病毒有入侵的機會。

l       每年必須花錢購買病毒定義檔與掃毒引擎續用費用。

l       若病毒碼定義檔案沒有更新而有新病毒入侵或者遇到未知病毒攻擊,防毒軟體進行任何阻擋。

相關產品

l       趨勢科技、賽門鐵克、卡巴斯基 Kaspersky、CA eTrust Antivirus等。

Persona Firewall 個人防火牆

個人防火牆就像傳統防火牆一樣,每當有網路封包要進出或流出這台防火牆主機時候,防火牆就會根據事前所定義過濾規則,逐一檢查每個網路封包是否有權利要繼續傳送或者接收該網路封包,否則就將該網路封包丟棄或拒絕,如圖表 2 個人防火牆特色說明圖所示。

那為什麼我們要再自己的電腦上安裝一套個人防火牆呢?這是因為當電腦連結上網路之後,而又沒有安裝個人防火牆在這台電腦上,任何在網際網路上使用者都可以嘗試與這台電腦進行連線,這也包括在網際網路上已經中毒的電腦,也會對這台電腦進行作業系統或應用系統漏洞攻擊,想盡辦法讓這台電腦也中毒。所以,在這台電腦上啟用個人防火牆功能是非常需要的。

個人防火牆除了傳統的網路封包過濾之外,當有未經認證本機程式嘗試要建立網路連線,也會被個人防火牆發現,電腦使用者必須授權這支程式可以存取網路,否則就會拒絕這支程式執行;這些嘗試與外部連線程式有可能是後門或者是木馬程式正在嘗試要進行與遠端主機連線,此時便可以透過個人防火牆來進行阻止這樣的程式存取網路的權利。

 

圖表2 個人防火牆特色說明圖

特色

l       讓個人電腦具備有封包過濾的能力。

l       除非防火牆規則明確開放特定網路服務,否則無法透過網路來存取這台電腦。

優點

l       技術已經非常成熟與穩定,Windows XP作業系統有內建防火牆。

l       阻擋非法網路存取行為效果非常明顯。

l       可以阻擋本機程式要嘗試與外部不正常連線的行為。

缺點

l       無法針對應用層(Application)等級做更進階的過濾分析。

l       無法偵測網路流量中是否有電腦病毒存在。

l       若這台電腦中毒發動DoS攻擊,無法有效阻擋。

相關產品

l       Microsoft XP/2003內建防火牆、ZoneAlarm等。

IDS入侵偵測系統

面對網路上層出不窮攻擊、破壞事件,便有了IDS(Intrusion Detection System 入侵偵測系統)這樣工具產生,透過IDS可以分析網路中流量封包是否有夾帶惡意行為的封包或者是電腦病毒存在,一但發現到這樣網路封包,IDS便會發送警訊通知給IT管理人員,讓IT人員可以根據這些異常事件來採取相關的動作。

為了要能夠分析網路上是否有異常行為發生,必須要讓IDS能夠看到所有網路上所有網路流量封包,受到網路交換器限制,無法使用簡單方式直接看到所有網路流量,故必須透過 Port Mirror方式來將其他網路介面上流量複製一份到span port上,IDS會與span port連結,如此便可以看到其他網路介面上網路流量封包了,如圖表 3 IDS 入侵偵測系統架構說明圖所示。

在一台網路交換器上網路界面全部都是100MB頻寬,若要如下圖將五個網路介面的網路流量封包全部都導入到這個span port,則會有因為這五個網路介面總共有500MB,而span port也僅有100MB頻寬,多出的400MB則也只能丟棄了,而也就無法透過IDS看到整體企業網路中全部網路流量封包。就算該IDS可以提供多個網路介面來監視網路流量封包,也會因為該台IDS主機效能問題導致無法即時分析全部網路流量封包,造成整體效果大打折扣。

IDS發展確實為網路資安帶來一個嶄新視野,因為可以讓網路管理人員可以知道網路上是否異常狀況發生,除了存在上述無法看到全部內部網路流量封包問題之外,IDS也因為僅能發送網路異常事件通知,而無法主動去阻止這些惡意行為繼續蔓延、擴散,造成無法達到保護網路正常運作需求,而且對於網路異常事件內容上,也存在著這些事件有著許多假警報,導致每天產生數千筆異常網路事件,卻讓管理人員無法真正找出問題根源在哪裡。

 圖表3 IDS 入侵偵測系統架構說明圖

特色

l       可以分析網路流量中是否有惡意或攻擊行為。

l       不會影響整體網路架構與運作效能。

優點

l       透過Mirror Port的方式蒐集網路流量。

l       有異常行為可以通知網路管理人員。

缺點

l       會有過多的假警報與誤判的情況產生。

l       每年必須購買特徵定義檔的續用費用。

l       發現異常行為或中毒現象,無法做進一步阻擋動作。

l       無法監聽所有內部網路流量。 

IPS入侵阻絕系統

由於IDS有著許多問題存在,故接下來有著IPS(Intrusion Prevention System 入侵阻絕系統)發展,IPS除了具有IDS功能外,可以知道網路上是否異常惡意行為存在,並且即時通知管理人員知道,IPS更可以針對這些重大異常網路破壞行為提供即時封鎖,讓這些異常惡意行為不會再繼續擴散,這樣可以保證企業內部網路不會受到不正常網路行為而導致網路癱瘓或當機情況產生。

IDS相同部份,IPS也需要分析所有網路上流量封包,不過可以採用in-line方式來彌補在應用IDS上存在問題,透過這樣模式 IPS需要安裝在核心交換路由器和其他網路交換器之間,如此所有要透過核心交換路由器的網路流量封包,都需要經過IPS分析、過濾,判斷,確定沒有問題之後才會放行,不過,要達到這樣的效果需要投入相當大投資,因為要如下圖圖表 4 IPS網路規劃架構說明圖一樣架設眾多的IPS主機,所以,不論是在日後維護工作上,單點故障(SPF, Single Point Failure),投資成本上都是相當嚴重問題。

IPS在現今交換式網路環境中還存在著許多問題,並不是代表企業不需要架設IPS,建議方案是在企業網路的閘道端建立IPS,讓IPS可以即時阻擋已知病毒或蠕蟲在不同區域網路上流竄,這些閘道端包括了:連結Internet的網路端點、透過數據專線或VPN方式連結不同地點的兩個以上的企業區域網路等。

更重要是不論防毒軟體、IDSIPS都需要透過病毒定義檔或特徵定義檔來分析網路病毒或蠕蟲是否存在,所以,面對來勢洶洶的未知病毒或變種病毒,這些產品似乎都無法招架,遇到這樣的情況,因為比對資料庫中沒有定義這些行為特徵,也僅能讓這些網路破壞程式繼續在網路上蔓延。

圖表4 IPS網路規劃架構說明圖

特色

l       可以分析網路流量中是否有惡意或攻擊行為

l       可以採用 in-line Mirror Port的方式來建置

優點

l       有異常行為可以通知網路管理人員。

l       有異常行為或中毒跡象,可以立即拒絕這樣的存取行為。

缺點

l       需要透過異常或病毒特徵定義檔案之內容來做比對。

l       每年需要購買更新異常或病毒特徵定義檔案使用權。

l       每個網段都需要透過IPS來保護,可能要買很多台。

l       支援Giga 以上流量的IPS設備其費用過高。

l       需要變更網路架構或建置、維護時,可能造成網路中斷情況。

相關產品

l       McAfee IntruShield 、Cisco IPS、FortiGate 、NetScreen-IDP、趨勢科技 防毒牆等

企業網路保護新思維

透過原有網路設備做到主動式防禦

不論是在每台電腦上安裝防毒軟體、防火牆軟體,或者是在網路上安裝各種偵測、主動防禦產品,似乎都沒有辦法將這些惡意程式破壞網路情況做出更有效的保護與預防;現在網路設備可以做到基本的封包過濾功能,這項功能稱作ACL(Access Control List 存取控制清單),甚至可以提供將某個網路資訊介面立即停用的方法,讓這些異常攻擊電腦立即與網路斷線,達到無法繼續攻擊的目的,這些功能都已經內建在各網路設備中;有了這些可以在內部網路立即阻擋惡意行為方法後,接下來就是要解決這些變種、未知病毒也可有效偵測出來,透過 Flow 方式來偵測試網路上是否有異常存取行為、DoSDDoSIP ScanningPort Scanning存在,這些網路上惡意行為並不需要透過任何病毒或特徵定義檔案來比對分析,而是透過系統計算預估找出這些具有惡意行為IP,接下來便可以利用上述方法(透過ACL方式或網路介面即時停用)來進行封鎖,達到主動式保護之目的。

提供這樣方式是因為內部網路通常是非常脆弱的,內部網路為了要提供高頻寬、高傳輸效率環境,而不會建立網路封包過濾與分析設備,因為這樣不但會造成網路傳輸效率降低,也會造成網路架構更趨複雜而更難維護;故才會有利用原有網路設備安全機制配合Flow方式來進行主動式偵測與封鎖功能,讓內部網路有可以有效管理、控管,但不會造成網路架構變更與影響網路傳輸效能和增加維護成本。

Flow式主動防禦機制

由於每個企業網路架各皆不盡相同,所以,在這裡將網路環境歸納成下列幾種網路設備,在【圖表 5 網路設備扮演腳色規劃架構圖】中也有適當標號說明下列網路設備所在位置,用來說明Flow式主動防禦機制是如何運作的。

l       核心網路交換路由器(編號1)
這台網路設備提供企業整體網路流量交換中心樞紐,不同網路設備要進行通訊時候,要透過這台網路設備來做網路封包交換傳輸,故要了解到企業內部網路是否有任何異常網路存取行為產生,需要利用這台網路設備所提供網路運作資訊來進行蒐集、分析。
傳統方法是採用 Port Mirror方式,將需要觀察的網路介面(Network Interface)網路流量利用Port Mirror 功能複製所有流量到所指定 Span Port,如此將設備接到這個Span Port上便可以看到所有的流量了;但是由於這樣的方式除了會造成網路設備負擔,也因為Span Port的頻寬限制關係,無法接收超過該 Span Port頻寬網路流量。
建議:在核心交換路由器上啟動 NetFlow 或者是 sFlow 機制,將NetFlow sFlow封包傳送到管理主機中,如此便可以進行異常流量分析作業。

l       分散式網路交換器(編號2)
這台網路設備目的是提供連結到其他的網路設備(Switch Hub),而連接到分散式網路交換器的網路設備,之後大都會連結到使用者端的電腦設備。
建議:這分散式網路交換器設備要能夠提供ACL功能,當發現了異常網路攻擊行為,便可以直接對這些網路設備下達ACL到這些分散式網路交換設備上,封鎖該異常網路攻擊行為,達到阻擋惡意攻擊行為繼續蔓延目的。

l       伺服器端網路交換器(編號3)
一般網路規劃會集中伺服器集中在一台高效能的網路交換器上,要了保護這些重要伺服器不會受到網路病毒或惡意行為攻擊,並且也要能夠保證不會影響到網路傳輸的效能,一般來說並不建議在該台網路伺服器前後安裝任何封包過濾的設備,以免影響到這些伺服器的運作。
建議:在這裡建議選擇這類型伺服器端網路交換器要選擇有ACL保護功能的設備,當有網路攻擊行為產生的時候,可以在這台網路設備下達阻擋惡意行為的ACL指令,保護這些伺服器不會受到攻擊。

l       終端網路交換器(編號4)
這類型網路交換器大都會選擇比較中低階的交換器,因為這些網路設備是提供一般使用者可以透過這些網路設備連上網路,所以大多不會提供ACL功能,若在這些終端網路交換器前,有連結分散式網路交換器,則可以透過分散式網路交換器的ACL來提供保護整體網路正常運作。
建議:這些終端網路交換器要選擇具備有SNMP管理功能的交換器,因為我們可以透過SNMP通訊協定特色蒐集到這些網路設備運作效能與是否有任何異常發生,並且當網路上存在異常問題時候,只要有這台主機的IP,便可以找到這個IP是在哪個網路設備上哪個網路介面(Interface),此時便可以透過SNMP功能自動停用該網路介面的使用權,達到直接中斷有異常攻擊行為的主機可以繼續透過網路來破壞整體的網路運作。

 

圖表 5 網路設備扮演腳色規劃架構圖

網路流量蒐集方式比較

要知道網路上運作是否存在問題,例如:網路TCP/IP Port掃描、大量ICMP掃描、DoSDDoS攻擊行為,我們需要取得網路上流量資訊做為分析比對依據,傳統方式是將所有網路封包都要透過資訊安全設備過濾、比對,當沒有發現問題時候,才會將這些網路封包放行,這樣的行為會造成網路封包傳送有延遲的現象,一但問題發生在這些過濾、比對設備上,而有應用程式存取速度過慢、效率不佳、甚至斷線的情況發生時,是很難進行除錯。

對於網路架構上有建置了兩台網路設備組成的容錯機制,也會造成在導入這些資安設備上需要變更整體網路架構,甚至需要在上線安裝的時候,需要停止網路運作服務一段時間,以便進行架設工作;另外一個問題是一般的設備需要在每個網段都要架設這些設備,要不然是無法正確捕捉、過濾、比對這些網路封包,所帶來的問題是這麼多網路設備和這麼多資安監控設備需要花費額外心力來管理,最重要是需要花費更多的成本來建置這些保護設備,才能確保內部網路的安全運作。

還有一個問題是在於網路頻寬的問題,這些資安設備設備會採用In-Line模式,這將會導致整個網段的流量都需要透過這台資安設備來轉送封包,當資安設備的頻寬無法提供這麼大的頻寬時候,問題緊接著就會繼續產生了,這些問題未來都會極度困擾者網路管理人員。

NetFlow sFlow

對於高階的核心交換路由器網路設備,會有提供NetFlow 或者 sFlow 功能,透過這些Flow資訊可以讓Flow分析管理工具了解到網路上有哪些IP對話紀錄,以及使用了哪些服務通訊和使用了多少的網路流量與網路封包數量,由於這些Flow已經在這些高階網路設備做過計算與處理了,所以,並不需要收集全部網路流量就可以獲取這些資訊,對於偵測網路異常使用行為、DoS / DDoS攻擊行為、網路蠕蟲滲透蔓延攻擊的行為等,已經足夠用於分析找出是哪些IP產生問題,而且採用這樣的方式並不需要改變任何網路架構,只要在網路設備上設定將這些Flow資訊送至分析工具即可,不會造成任何網路運作效能影響,當然也可以一次觀察到該核心交換路由器網路設備上所有網路傳輸對話資訊,不用再購買多台資安設備,節省了大量的成本支出,但卻不會影響任何異常網路使用分析結果。

但是使用Flow方式進行網路異常存取分析方法不是沒有缺點的,由於傳送出來Flow資訊已經過網路設備處理了,所以,僅能看到OSI第四層以下的資訊,沒有辦法看到全部網路封包流量,就是因為如此,採用Flow方式的流量分析可以適應在大網路流量的網路環境上。另外,透過Flow資訊並沒有辦法明確得知網路究竟是哪種網路病毒或蠕蟲正在發作,使得網路癱瘓,僅能夠得知是哪些IP有異常,這樣效果與其他類型的資安設備比較起來較為遜色,不過正因為如此,也表現出Flow方式另外一個特色,那就是這樣的方式並不是採用病毒定義或特徵檔案來進行比對工作,所以,當有新的或變種網路病毒爆發時候,傳統偵測方法就會失效了,因為是變種或未知網路病毒或蠕蟲,所以,病毒定義或特徵檔案內並沒定義出這些網路病毒或蠕蟲的特徵行為,故傳統資安設備就會失效而無法正常阻擋這些惡意行為了,僅能眼睜睜的看著網路被這些惡意程式破壞;而透過Flow方式由於用不到任何病毒定義與特徵檔案,而是採用統計分析的方式,故可以正確的找出這些惡意行為來源,透過網路設備的封鎖功能(ACL 或網路介面自動停用)來進行阻擋這些惡意行為蔓延。

Port Mirror

由於要採用NetFlow或者sFlow的網路設備需要較為高階的設備才有支援,故當企業內部沒有這樣的設備的時候,可以透過 Port Mirror 的方式,將重要網段的網路流量複製一份到 Span Port上,讓管理工具將這些網路流量轉換成Flow,這樣便可以同樣享受到Flow分析方法所帶來的好處,但是這樣方式會有缺點,因為一個Span Port最多僅由 100MB 1000MB的頻寬,故無法蒐集分析全部企業內部的網路流量,可能會造成有部份的網路段發生問題而無法偵測出來的問題;解決方式就是更換企業核心交換路由器,使其具有NetFlow或者sFlow能力的網路設備,這樣便可以徹底解決這些問題。

阻擋惡意行為方式比較

ACL

阻擋網路惡意攻擊行為若是採用ACL的方式的優點是:只要將異常IP禁止使用網路存取行為的ACL命令,送到網路設備上並讓其生效即可,這樣這個IP便無法繼續存取網路,而\並不需要知道這些異常IP究竟真正在哪支網路設備上,便可以做到阻擋異常網路流量目的;故透過ACL阻擋惡意網路行為方式適用於整個VLAN方式來阻擋與保護,而不用採用網路介面的方式來設定阻擋,維護上處理起來效果也較佳。

但是相對來說企業內部的網路設備必須要能夠支援ACL封鎖功能,但是一般的網路設備並沒有提供這樣高階功能,故建議分散式網路交換器與伺服器端網路交換器要能夠支援ACL的功能,有點需要特別注意到,一般來說ACL封包過濾功能在網路設備上大都會採用CPU運算的方式來決定哪些封包可以繼續傳送或者拒絕傳送,一但CPU過於忙碌,網路設備會因為不要影響原有網路傳送效能,會讓尚未判斷的封包不經過ACL過濾的方式而直接傳送出去,這樣的情況會造成ACL有可能在某些特定情況無法阻擋掉惡意網路攻擊行為。

所以,在選購這樣支援ACL的網路設備時候,要儘可能選擇如CISCO品牌的設備,或者選擇具有硬體運算ACL功能的中高階網路設備,才不會有無法擋掉異常網路的機會。

網路界面自動停用

對於企業內部網路某些網段可能沒有可以利用ACL方式進行阻擋的網路設備或者,想要直接針對異常IP所正在使用的網路資訊介面上,直接停止其使用網路需求,便可以採用這樣方式。因為系統會可以知道網路設備的IP 和網路介面關聯性,一但發現到有異常IP在破壞網路運作,系統會自動找出該IP是位於哪支網路設備上的哪個網路介面,有了這個資訊便可以透過SNMP功能直接停用該網路介面使用權,使擁有這個IP電腦之網路離線,當然這個電腦就無法使用網路;當然,若是知道這個IP是在哪個網路設備的哪個網路介面,進而也就知道了使用這個IP所在實體位置,管理人員可以直接找到這台有問題主機進行相關掃毒與問題排除的工作,解除這樣異常問題持續發生的機會。

當然要使用這樣功能,建議要每個終端網路交換器都要具備有SNMP功能,因為SNMP是網路設備中最基本的管理功能,透過SNMP通訊協定我們可以蒐集到IP與網路介面之間關係、直接停用有異常網路介面、定時恢復已經排除異常問題網路介面之網路使用權,不但可以降低網路造成癱瘓機會,也可以提升網路運作效能。對於現在市面上具有SNMP功能的網路設備價格已經非常的低了,企業可以花費極低價格讓整個企業內部網路設備都具有主動式保護機制,確保企業網路不會受到網路病毒或蠕蟲攻擊,而造成企業網路停頓,甚至癱瘓到無法使用的地步;只要企業網路發生嚴重的問題,對於企業會造成嚴重的營運損失,相對於選購具有SNMP的網路設備所帶來的效益是非常大的。

相關產品

l       NetworkPlus LAN Policy

結論

想要保護企業內部網路不受到網路病毒病毒或蠕蟲攻擊導致網路當機,在企業內部必須部署必要的資安設備,以下為必要購置與部屬的資安設備建議。

防毒軟體:每台電腦都需要安裝防毒軟體,而且病毒定義檔案與掃毒引擎需要保持在最新的狀態,如此方能夠有效偵測出是否有遭受到病毒入侵。

個人防火牆:配合企業網路管理政策,建議可以在每台電腦上啟動個人防火牆軟體,尤其是筆記型電腦更應該優先安裝,避免遭受到外部網路惡意入侵並植入變種病毒的機會。

入侵阻絕系統:在企業網路邊界(如內部網路與網際網路之間)必須要架設入侵阻絕系統,用來偵測是否有不正當網路使用情況與入侵行為發生,當發現這些異常情況必須要透過入侵阻絕系統直接自動進行阻擋封鎖,避免問題持續擴大。

提升網路設備自我防禦能力:未避免整個內部網路沒有任何保護機制,所以,要進行企業內部網路流量分析,針對異常存取行為直接透過網路設備的防禦機制(ACL、網路介面直接停用)直接封鎖這些內部異常網路封包交換行為,使得這些異常惡意封包不會繼續在內部網路內流竄。

透過不同資安軟體的層層保護,並且使用內部網路流量封包分析系統,自動阻擋其他資安產品所無法做到的保護功能,讓內部網路成為網路安全的最後一道防線,如此方可做到全方位網路安全保護,降低網路當機所帶來企業巨大損失。

 

相關產品

l       Dragon IDS等。
TOP