1
資安宣導
本文介紹六種網路管理者自己就可以做的防護機制,希望能為您的對外服務主機建 立一個防護金鐘罩
〜對外服務主機的防護金鐘罩〜
對外服務主機的防護金鐘罩
在現今網路發達的年代,一般公司、企業無論大小都會有對外服務主機的建置,
用以提供特定的資訊給網際網路的使用者。最基本的對外服務包括企業所建置 的全球資訊網、檔案交換伺服器、領域名稱伺服器、電子郵件伺服器等等。一 般網路管理者會將對外服務主機放置於一個稱為DMZ(De-Militarized Zone)非軍 事區的專屬網段上,使之與企業內部網路(Intranet)有所區隔。一般而言企業 內部網路不開放外界進入存取資訊(僅少數例外),其安全性要求較高;而提 供對外服務的非軍事區網段則剛好相反,主要目的就是要開放給外界使用者存 取資訊,且僅有較少的資訊具備敏感性。由於DMZ 與Intranet 兩個區域開放讓 外界存取的政策截然不同,因此在防範駭客攻擊上應有完全不同的思維。很多 企業或政府機構對DMZ 區的防護方式多採取與防護Intranet 大同小異的防護方 式與資安設備,這恐怕也是導致對外服務主機遭駭客入侵成功的新聞時有所聞 的主要原因之一吧!對一個負責資訊安全的網路管理者來說,要保護對外服務 主機,除了購買資安設備外自己還能做些甚麼呢?本文將介紹六種網路管理者 自己就可以做的防護機制,希望能為您的對外服務主機建立一個防護金鐘罩。
一、網路防護
駭客要從Internet 網際網路攻擊您的對外服務主機時,攻擊封包第一關必須先經 過您公司的邊界路由器(BoundaryRouter,用於聯接ISP 線路),而一般企業所 用的路由器都具備簡易的防火牆功能(如CiscoR o u t e r 的A c c e s s C o n t r o lList),網路管理者便可以運用它來為對外服務主機阻擋掉一部份的駭客攻擊。
假設您的對外服務主機僅提供Web、FTP、DNS 等三種對外服務,您可以在邊界 路由器上設定對外服務主機只開放這三種服務的對外連線,把其他不是此主機 所提供的服務類型連線要求全部擋掉。
二、主機防護
若駭客已攻陷您公司內部的其他電腦,便可以進一步以此電腦為跳板,繞過邊 界路由器而直接從內部攻擊您的對外服務主機。這時網路防護已失效,必須靠 主機本身的防護功能來阻擋駭客攻擊。為強化主機本身的防禦能力,您應該為 對外服務主機建置一套防護軟體來進一步強化防禦能力,坊間有多種防護軟體 可供選擇,如免費的TCPWrapper。
此時的駭客如同內部使用者,因此防禦的觀念轉換為限制來自內部不必要的連 線。例如您可以運用防護軟體來限制僅有網路管理者、網頁維護人員可以登入 或上傳檔案到這台對外服務主機,並且更進一步嚴格限制網路管理者、網頁維
2
護人員僅能從特定的電腦(IP) 上執行這樣的遠端連線操作。
三、服務防護
如果駭客是透過對外服務主機所提供的服務進行攻擊,則不論網路防護或主機 防護均無法防範,此時必須靠分析每項服務所提供的存取記錄(AccessLog)來 找出駭客蹤跡。
當然分析存取記錄是一項費時費力的工作,因此管理者必須自己寫程式來分析 存取記錄。例如您可以從存取記錄中分析出哪個使用者連線正在不斷嘗試以不 同帳號登錄、哪個使用者帳號登錄時的密碼錯誤頻率太高、哪個使用者連線的 網頁連結錯誤率太高、哪個使用者連線的網頁連結操作速度太快(非人為線上 操作)等,以上這些使用者連線情況都可以很明顯判定是出自駭客之手,故而 可以運用路由反制手段來立即中斷其連線。
四、檔案防護
道高一尺、魔高一丈,還是常會聽到很多企業、政府單位網頁內容被換掉的新 聞,這些單位即使都裝備了防護系統,甚至也通過了資安認證,但終究還是被 駭客入侵成功。現在我們假設駭客已成功突破網路防護、主機防護、服務防護 等這三道關卡,順利登入您的對外主機,此時我們還有甚麼辦法可以阻止駭客 更換您的網頁內容呢?有的!我們可以將所有網頁的檔案設定為唯讀
(Read-Only)屬性,來防止網頁內容被竄改。
要將所有網頁的檔案與存在目錄設定為唯讀屬性非常容易,但真正會這麼做的 人並不多,因其真正的困難在於網頁內容必須經常更新,每次維護人員要更新 網頁內容前都需要系統管理者來解除檔案的唯讀屬性,更新後再請系統管理者 來重新設定為唯讀屬性。要解決這樣的麻煩必須建立一套管理機制,並以自動 化的處理方式來簡化檔案屬性的設定工作。由於每個企業對外服務主機的管理 方式不同,這項自動化流程的設計也就不會有一套標準的作業方式可資遵循,
因此本文不再多加撰述,留給有興趣的讀者自行設計規劃。
五、最終防護
再更進一步想,如果駭客厲害到不但能突破重重關卡順利登入您的對外服務主 機,而且還取得最高管理者權限!這樣駭客就可以自行更改檔案屬性,導致藉 由將檔案設定為唯讀屬性來防止網頁內容被入侵駭客竄改的保護方式也失效了。
到此地步,網頁內容被竄改勢必已無法避免了,因此我們希望當網頁內容被竄 改後,管理者能儘早發現,以便立刻採取相對應的補救錯施。在每次網頁內容 更新後,您應該為新的網頁內容製作一份影本來作為還原點,管理者可以撰寫 一支程式用於比對現行網頁與前一個還原點的內容是否一致,當發現有差異時,
即可判定網頁內容遭竄改了,此時可以運用此影本迅速將網頁內容還原。另需 注意的是,比對程式必須於背景週期性地執行以達到監控的效果,此外,當發 現網頁內容被竄改後,在還原網頁內容前,應考慮是否該先暫時切斷網路連線 以消滅可能還在線上的駭客。
六、阻斷防護
一般來說,駭客針對對外服務主機最有效的攻擊方式便是分散式阻斷服務攻擊
3
(DistributedDenial of Service,DDoS),DDoS 攻擊方式是運用多台駭客已事先 攻佔的殭屍電腦同時對您的對外服務主機發動攻擊,可藉由快速重複不斷地執 行、不斷與主機建立連線(SYN Flood)等方式來癱瘓主機的處理能力,或者藉 由假冒IP(IP Snoofing)將大量回應封包丟向該主機來癱瘓其網路頻寬。這樣的 攻擊手法雖不會對主機造成損壞,也無法竄改網頁資料,但一旦您的對外服務 主機遭受這類攻擊時,不是因主機負荷過重就是因網路頻寬被塞爆而無法繼續 對外提供正常服務。當您的網路頻寬被塞爆,這不是任何資安設備可以幫你解 決的問題,所以從很多新聞事件中也可以看出,遭遇DDoS 攻擊的機構,似乎也 只有等候攻擊結束再重新開始對外提供服務,對防禦DDoS 攻擊全然束手無策。
其實要應付突如其來的DDoS 攻擊也不是只能等著挨打而已,現在很多機構的企 業內部網路除了日常使用的主要聯外線路外,都會再找另一家ISP 公司建立額外 的聯外備援線路,以便當主要聯外網路斷線時,可將對外連線切換到備援線路,
讓內部使用者的對外連線不致中斷。所以當對外服務主機遭受DDoS攻擊時,只 要我們將主機轉移到另一個ISP 網段上不就可以避開攻擊持續提供服務了嗎?
但是對外服務主機是提供給外部使用者使用的,要把服務切換到另一個ISP 所提 供的線路並不是那麼簡單,首先您必須把這台主機的網路線轉插到備援線路的 網段上,然後將IP 網址的相關設定更換為另一個ISP 的網址,最後還得更換DNS 的網域名稱對應內容。只要能把對外服務主機機轉移到另一個ISP 網段上的這項 工作完全自動化,這樣您就具備防範DDoS 攻擊的能力了。要做到自動化首先必 須先去除需要人力介入的部份,譬如您可以在對外服務主機上裝兩張網路卡,
分別使用不同ISP 網段上的網址與實體線路,藉由切換網卡開關與default route 設定就可將主機移到另一個ISP 網段上了;另外預先在兩個ISP 網段上各布建ㄧ 台有登記的DNS 領域名稱伺服器,這樣就可以很容易用程式去調整設定內容。
談到這裡,我想您已經知道在監控程式發現對外服務主機遭遇DDoS 攻擊時如何 將主機自動轉換到另一個ISP 線路上,但規劃上還需注意一點,你還須有一套在 DDoS 攻擊結束後將主機自動移回來的機制。
(作者王孝忱為國家實驗研究院國家太空中心研究員)
