第四章 模擬實驗環境與結果分析
4.2 結果分析
首先,在企業內部的觀察,一個非常受歡迎的網站,一天可能被存取的次數就多達近百 萬次,基於這個原因,如何判別那些IP是正常存取,那些IP極有可能是來刺探密碼的使用者,
就是管理者的工作,有鑑於此,我們提供相關的加值服務及報表,並可列出次數超高的IP供管 理者勾選。租戶們每日可依收到的報表至登入(如附錄二)管理主機 M1(Master)勾選並確認 需要攔阻掉的IP,在檔案被異動的部份,給予適當的配分,可以用較短的時間,獲得一份基本 的保障,系統建置登入畫面如圖11所示。
圖 11、登入畫面
以日常工作而言,虛擬機本身是架設在 Internet 上提供資訊服務的,但依 TWCP 的平台 架構所需要的資安設備及監控系統做流量的管控及保護措施,發現同一 IP 在一周內發生了近 622 萬次請求的現象如圖12所示,也需要即時的告警並予以監控。同時透過日報、周報的方式 產出給每個租戶的系統管理者供檢討改善使用,可有效地節省整個雲端的頻寬及整體效能。
29
圖 12、由 Internet 存取 HTTP 的次數
針對外部的 HTTP 連線上加以分析,在實驗組及對照組的部份,每周定期的檢討,並透 過租戶及網路管理員的討論,佐以自動化的機制,能有效的降低了該連入的連線值。於 SSH 連 線部份,因為會提供 sFTP 部份,所以 SSH 部份也要相對開放,一般會依據合作廠商所提供 的IP,去開放白名單的部份,但由於sFTP在開放的同時(Port 22),有心人士,極有可能也透 過同一個 22 Port 潛入存取,所以在針對檔案異動及檔案遭到竄改的的部份,也於上線後,做 一個有效的監控,再加以IP黑、白名單的管制,可有效避免重要檔案遭有心人士竊取。以去年 度下半年監測到的數據來看如圖13所示,實心線條為未受到監控的虛擬機器所測得的HTTP存 取次數,虛線部份則為受到監控的虛擬機器所測得的HTTP存取次數。
經由雲端供應商的SOC(Security Operation Center)單位,提供半年來透過 BlueCoat / NikSun 等大型資安設備,與租戶系統間的互動產出如下的績效指標值(如圖12),然大部份會 來租用虛擬機器的用戶,皆為中、小企業,並非每個租戶在租用虛擬機器的同時,也會同時租 用類似的資安設備,為此,雲端供應商亟需要開發一個安全可靠的平台,供客戶自行控管IP 等的使用機制。
在IP監測及管控部份,透過SOC去年7~12月的記錄統計,同一個IP由153,630,230次的異常 存取,經管理者監測半年下來,會銳減到被攔阻IP的存取次數總量,不超過 92,159,148,次數
30
即為原來 59%(含管理者誤判)。
圖 13、HTTP 存取的次數
在 SSH 連線存取檔案的監控部份,透過實驗組去年7~12月的計錄統計,同一 IP 來測試 帳號密碼次數由1,608,840次的異常存取,銳減到被攔阻IP每個月存取次數總量不超過1,228,331,
次數降為原來 76.4%(含管理者誤判)。
由圖14來看,實心柱狀圖部份為對照組,皆不予理會,每天僅就 HTTP 封包進行側錄,
而在斜紋的柱狀圖部份為實驗組,透過不斷的與客戶,就檔案的風險值部份及IP黑、白名單做 微調。
圖 14、檔案異動數量
由於上述種種誤判的比例過高,亟需要做一個適度的調整及改良,運用實際的網站來測試,
0 5000000 10000000 15000000 20000000 25000000 30000000
7月 8月 9月 10月 11月 12月
HTTP 存取次數統計
Without TWCP With TWCP
0 50000 100000 150000 200000 250000 300000
Jul Aug Sep Oct Nov Dec
SSH 連入企圖異動檔案數
Without SOC With SOC
31
於HTTP日誌收集部份,其主要的方式是在網站前架設反向代理伺服器(Squid)接受 Client 端 的存取。從中攔截異常 IP 的存取活動記錄及檔案異動部份,在 M1 主機上提供網頁,供兩 家公司的系統管理者自行點選(Check / unCheck)。並適時的產製報表。於觀察三周後,整理 存取 IP 次數如表8所示,說明如後:
在表9中的HTTP是以 Webmail.xxxx.com 做為測試,其主機設備的前端為 Transparent Reverse Proxy的架構。首日開放時公司同仁存取的次數並不多。Webmail 若有三次以上連續錯 誤的帳號或密碼錯誤,即視為帳號刺探,進行封鎖。在 FTP 的使用上,使用人數一直無明顯 的增加。在 Mail Server 的部份,第一週為 Open Relay, 任何防護措施皆不執行,第六天就被 盜用並濫發垃圾信了。因此調整該系統的設定,並開啟郵件系統上的 anti-relay 設定上。
在 SMTP 部份,主要是針對進出的日誌去做監測,其主要是監測日誌 /var/log/maillog 傳 送過來的日誌部份,該受測企業的 SMTP 日誌,有可能是透過 Webmail 寄送時所產生,也 有可能是透過 Client 端透過發信軟體(Outlook)做信件外寄或內寄所產生,公司規模為小公司,
不到十人在使用電子郵件。在S1及S2兩台主機上皆沒有信箱,純粹是 Relay Server 的角色。
表 8、S2 系統模擬三周被存取 IP 次數 (a) 觀察日期(4/6~4/13)
S2 / 對照組 4/6 4/7 4/8 4/9 4/10 4/11 4/13
HTTP筆數 459 18621 14781 39663 48994 67287 22112
黑名單IP筆數 0 0 0 0 0 0 0
FTP 筆數 2 4 4 4 14 18 12
黑名單IP筆數 0 0 0 0 0 0 0
SMTP筆數 11 289 384 3616 18416 94521 314
黑名單IP筆數 0 0 0 0 0 0 0
DNS筆數 2780 21677 23772 51223 68931 129846 27869
黑名單IP筆數 0 0 0 0 0 0 0
(b) 觀察日期(4/14~4/20)
S2 / 對照組 4/14 4/15 4/16 4/17 4/18(日) 4/19 4/20
HTTP筆數 28141 34478 39665 41993 10112 27861 33415
黑名單IP筆數 0 0 0 0 0 0 0
FTP 筆數 4 10 4 14 18 22 16
黑名單IP筆數 0 0 0 0 0 0 0
32
SMTP筆數 232 284 312 248 521 434 667
黑名單IP筆數 0 0 0 0 0 0 0
DNS筆數 31677 41772 45122 58931 29846 37817 41677
黑名單IP筆數 0 0 0 0 0 0 0
(c) 觀察日期(4/21~4/27)
S2 / 對照組 4/21 4/22 4/23 4/24 4/25(日) 4/26 4/27
HTTP筆數 38728 39751 41007 56115 8341 32181 53321
黑名單IP筆數 0 0 0 0 0 0 0
FTP 筆數 8 12 14 26 2 4 4
黑名單IP筆數 0 0 0 0 0 0 0
SMTP筆數 513 432 648 458 84 632 417
黑名單IP筆數 0 0 0 0 0 0 0
DNS筆數 43772 45122 58931 68569 10787 42773 63772
黑名單IP筆數 0 0 0 0 0 0 1
上述表8為對照組(S2)的IP存取分析數據,下表9則為實驗組(S1)的IP分析數據。
由於 Mail Server 的部份為 OPEN Relay, 第一週上線初期任何防護措施皆不執行,第五 天就有被盜用並即時發現,並透過防火牆做阻攔。第六天又有其他的IP企圖連上來濫發垃圾信 件,也立即封鎖掉13個IP。但還是有部份信件被發送出去了。
表 9、S1 系統模擬三周被存取 IP 次數 (a) 觀察日期(4/6~4/13)
S1 / 實驗組 4/6 4/7 4/8 4/9 4/10 4/11 4/13
HTTP筆數 187 16310 17971 21633 26872 24191 22633
黑名單IP筆數 0 0 0 2 2 0 3
FTP 筆數 2 4 8 4 4 8 4
黑名單IP筆數 0 0 0 0 0 0 0
SMTP筆數 21 221 284 312 4448 4121 489
黑名單IP筆數 0 0 0 0 2 13 0
DNS筆數 456 21677 23772 38822 29964 32846 33781
黑名單IP筆數 0 0 0 1 0 0 0
(b) 觀察日期(4/14~4/20)
S1 / 實驗組 4/14 4/15 4/16 4/17 4/18(日) 4/19 4/20
HTTP筆數 21129 22191 23461 29877 8985 18769 19371
黑名單IP筆數 5 7 1 1 0 0 0
33
FTP 筆數 4 2 2 4 4 2 4
黑名單IP筆數 0 0 0 0 0 0 0
SMTP筆數 392 381 3922 3331 283 421 397
黑名單IP筆數 0 1 2 3 0 0 0
DNS筆數 31677 30712 31211 38912 29846 25616 24548
黑名單IP筆數 1 0 0 0 0 0 2
(c) 觀察日期(4/21~4/27)
S1 / 實驗組 4/21 4/22 4/23 4/24 4/25(日) 4/26 4/27
HTTP筆數 19983 21358 26891 28249 7981 16310 17971
黑名單IP筆數 0 0 2 0 0 0 0
FTP 筆數 8 4 4 8 2 4 8
黑名單IP筆數 0 0 0 0 0 0 0
SMTP筆數 2584 412 1448 4121 127 321 484
黑名單IP筆數 5 0 2 9 0 0 0
DNS筆數 25345 28822 33964 36846 15614 27677 25772
黑名單IP筆數 0 4 1 0 0 0 0
以 HTTP 為例,有透過 TWCP 管控的系統,其波形數據較為平穩,但於4月18日及4月 25日兩天波形驟降,是因為那兩天為例假日,除了加班同仁,公司沒有同仁上班,使用系統的 員工變少,其 HTTP 存取次數如圖15所示。
圖 15、HTTP 存取次數比較圖
計算三周的 IP Monitoring Ratio(IMR)的部份,我們將表8及表9中的數值中 HTTP 值加總,
並將實驗組(S1)及對照組(S2)做一個比較,對照組在不監控的情況下,得到了682,100次的存取
0 10000 20000 30000 40000 50000 60000 70000 80000
HTTP 存取服務使用圖
Without TWCP With TWCP
34
35
36
37
份代表有受到 TWCP 管控的對照組S2,S1其波型平坦無變化,安全等級低,皆落在危險等級 的等級1,而反觀,有透過TWCP監控的實驗組S2,初期可能因為未正常的配合雲端業者,正 確給予重要檔案的配分,經業者給予適當的教育訓練後,於4月20日以後波型改善,安全等級 由等級1, 明顯的提升為等級2。
於檔案存取風險值(FAR)的部份,主要是測量TWCP對於異常 IP 存取檔案的風險比值,
並由租戶的虛擬機器(VM)上,透過日誌外拋(syslog)的方式去收集,並載入至報表主機中,做 資料庫數值比對,產出實驗組與對照間的日誌進行比較後計算風險值,得到改善程度的一個比 較值。
由於第一周的監測數據異動檔案數量太多,經過修正及調整,所以我們透過另外兩周的風 險值來加總(計算自4/14~4/27)值,對照組(S2)在這三周的風險值為28.215, 實驗組(S2)在這 三周的風險值為55.92,兩者比值約為對照組的1.98倍。証實有使用 TWCP,可以有效監控到 檔案的存取。透過評分機制,可避免遭到不必要的檔案竊取。
38