局域网安全管理面临的4大挑战

随着网络应用的发达与普及，企业互联网化的环境与应用也更加的广泛与成熟，网络已是各企业最重要的基础建设与营运沟通命脉。在复杂的网络环境中，大多数企业已建置防火墙等相关网络安全系统，其重点为防御外部使用者的攻击，然而对于内部使用者的行为则较少着墨。但是传统的资安思维在近几年中已有所改变，因为依据统计调查资料，企业资安事件只有5%是来自外面的攻击，而有80%是由内部产生，因此新型网安系统的行销重点慢慢趋向于如何防御与监控内部使用者的上网行为，并从而了解是否有攻击或非法行为隐藏其中。

若企业忧虑的只是内部使用者是否上了不该上的网站，倒还有部份解决办法，透过如安企神局域网监控软件等，即可做到很好的管理。然而若内部使用者的异常行为不是存取Internet上的资源，而是攻击企业内部的设备或其他内部使用者，现阶段几乎所有的网络布建方式都无法阻挡，此时网络管理人员唯一能做的就是持续观察网络相关设备与线路，收集不同的网络事件与告警，视其是否异常来判别是否可能有问题发生，例如观察主机、路由器、交换器的CPU与记忆体的使用率与线路流量，察看IPS、IDS、Firewall、VirusWall、SecureGateway等设备的告警事件。然而在开放的网络架构下，企业内部充斥着许多不同厂牌与不同类型的网络设备，使得网管人员每天需要操作各种的网管与监控软件、审视数万封各种的告警。然而即便网管人员努力地坚守岗位，还是常常在接到使用者反应后才知道问题发生了，因为太多未经关联整理过的资讯等于没有资讯，网管人员也不可能全天候都坐在电脑前持续操作监看各种网管与监控软件，所以网络管理人员若想确实做好网络安全的管理工作并不容易！(注二：但是现今3G上网普及，可能因此产生控管漏洞)当问题发生时才是网管人员的挑战开始。每种设备的告警讯息格式不相同，操作指令也各不相同，因此如何从网管软件或告警讯息中找出有问题的“点＂就考验网管人员的功力了，尤其在解决问题的时间压力下，容易使人乱了手脚；最常看到的情况是—网管人员桌前都有一堆流程或小抄，将每种可能的问题SOP写下，若遇到较复杂的问题可能就需要同时整合4~5种流程来研判问题并加以解决。

然而解决问题的时间压力有时不仅仅是来自于公司或上级长官而是问题本身。我们以Slammer蠕虫为例，其在短短30分钟内在全世界感染了74855台电脑，因此若类似状况在企业内部发生，假设某种攻击或感染的扩散情形是每10分钟会由一个人扩散至十个人，那30分钟后，受感染的人数将达10^3=1000人！到此状况下对许多的管理人员而言，大概也不用太心急的去处理问题了，先将整个网络停摆以避免持续恶化扩大，再慢慢将正常与修复好的节点连回网络可能是较好的做法。

既然攻击或蠕虫传播等的扩散速度如此之快，是否就真的束手无策？是否有较好的防御方式？答案当然是有的。其实大部份的攻击都有一个特性，在攻击准备期间由于需确定那些是攻击目标，因此攻击或蠕虫会先做些扫瞄侦测的动作，此期间是不会攻击感染其他使用者的，但当准备动作完成后，其攻击感染的速度就非常惊人。我们以蠕虫传播模型为例，在启始准备阶段其攻击力为零，这阶段的期间到底多长依不同蠕虫或攻击而有所不同，大多在150到300秒之间，所以这3到5分钟的时间就是决胜关键了。周星驰的电影《功夫》中，火云邪神曾说过“天下武功，无坚不摧，唯快不破。＂同样适用在网络攻防之中。攻击或蠕虫的传播速度非常快，确实很难破解防御，唯一能破解防御的方式就是比攻击或蠕虫更快，若能在蠕虫或攻击3到5分钟的启始阶段就将其侦测出来并进而将其排除隔离出网络，就能确保网络与设关设备安全无虞。

因此防御的第一步就是建立早期的侦测预警机制，否则等到终端使用者打电话通知网络出现问题时，大都已到攻击或蠕虫第二阶段末尾了。为何早期的侦测预警机制能侦测到攻击或蠕虫？如之前所说，攻击或蠕虫需先扫瞄网络以确定攻击或感染目标，因此这些特定的扫描封包有可能会散布到各个网段之中，透由IDS、IPS、FlowAnalyzer、SecureGateway等就有可能侦测到，但就算侦测到又能怎么办？以email或syslog通知网管人员？网管人员会随时待到电脑旁接收讯息？就算看到讯息，其通知格式可能只是告知某一IP可能有某种攻击行为，网管人员还要再依据此IP再找到所接相关设备再决定是否需要使用ACL阻隔或将交换器埠直接关闭？所以单纯只是依靠人力是不可能达成3到5分钟隔离攻击者这个目标的。唯有依靠系统自动化功能，从收集讯息到关联分析以确定攻击来源(可能是一个IP或MAC地址)，并自动下指令将攻击来源隔离，才有可能实现。然而原理简单，但实做上却面临许多困难。讯息数百种，如何做关联分析以确定攻击来源是第一个挑战；知道攻击来源，是否需将其隔离是第二个挑战；就算要隔离，如何将其隔离是第三个挑战；如何让管理人员清楚了解相关状况是第四个挑战！

我们以隔离方式为例，现行隔离机制可使用IPACL、MACACL、SwitchPortShutdown、QuarantineVLAN、ARPSpoofing、IPSpoofing等，而攻击方式百百种，不同的攻击方式适用的隔离方式不同，因此系统支援那些隔离方式，如何判断该使用何种隔离方式就非常重要。

NetAxle公司推出的JetFish2系列中的NetIRS设备就是一款全功能型的资安管理设备，可收集syslog与trap做关联分析，其隔离机制支援IPACL、MACACL、SwitchPortShutdown、QuarantineVLAN、ARPSpoofing、IPSpoofing等并可自动判断以对攻击来源采取最佳隔离机制。

网管人员其实更关心的是第四个挑战，如何将无形的网络与资安相关状况清楚呈现出来。传统网管提供了部份功能，但只能针对网络设备。NetIRS将此功能更进一步扩充，使用全图形资讯化方式将所有关键资讯利用网页方式呈现。很难想像，网络安全管理居然就是移移滑鼠，点点左右键就完成了。更特别的是，由于是全网页式的管理平台，使用iPhone、iPad也可随时随地轻松控管！