進行 IP 管理的第一步 — 導入網路存取控制
如今企業網路環境架構已經完全依靠 IP 連線通信,IP 衝突若發生於重要設備如伺服器等將會導致整個內網環境的連線中斷、影響生產線運作,造成高昂的損失。
隨著網路快速蓬勃的發展,各種資安威脅也持續的增長,面對日益增長的外在威脅多數企業透過加固防火牆、防毒軟體等,防止惡意攻擊侵入企業網路,然而對於內部網路仍然嚴重缺乏基礎的乙太網路管理和對內部 IP 訪問的控制和審核能力無形中給企業帶來技術施行困難,業務風險甚至法律責任。
重重防護下,容易被輕忽的內網安全
現代企業高度重視網路外部威脅,透過加固防火牆、防毒軟體等,防止惡意攻擊侵入企業網路。然而,當上述所提的風險源於內部,常態地具有察覺性不足的情形。內網具有下列幾種特性,是外部威脅先天上所缺乏的優勢。
- 在企業日常作業的過程中,內部攻擊者已經取得了應有存取權限
- 內部攻擊者得知重要資料存放位置,也熟悉公司設立的防護機制
如果企業組織面對的是內部威脅,若缺乏偵測或預防機制,危害便難以控制;透過建立「零信任」(Zero Trust)的資安管理架構,企業可以達成無死角的內外網聯合防禦,而 IP 管理正巧可以有效的建立內網資安防線。
現今內網安全所面臨的困境
內部 IP 位址混亂,訪客設備不易管理
企業中時常有設備連網的需求,若 IP 位址沒有遵照一定的規則派發、各部門與區域沒有進行網段劃分,在資安事件發生的時候,無法立刻知道事件發生部門,且受影響區域會因此迅速蔓延。
企業有許多訪客,不論是客戶或是委外廠商,相關人員時常需要接入網路,若讓管理人員逐一進行權限設定不但耗時費工,且無法對接入設備進行有效的安全檢查;在相關業務處理完畢後,也必須手動回收網路存取權限;以上步驟若有缺失,容易造成網路環境出現安全漏洞。
資產數量不清、設備狀態無法掌握
現今的網路環境,除了 OA 區域的終端設備需要管理外,散佈在各處的監視器、刷卡機等 IoT 設備,也是資訊安全管理重點的一部分。
常見的終端管理方法為在每台設備安裝 Agent,監控各項設備的設備資訊與運行狀況;而多數 OT 設備、IoT 設備、BYOD 設備與訪客設備並不方便安裝 Agent,造成無法有效掌握還境內的資產屬性、軟硬體設備狀態,不僅造成管理困難,也讓網路環境的安全性留下疑慮。
IP 衝突事件導致重要設備連線中斷
如今企業網路環境架構已經完全依靠 IP 連線通信,若 IP 衝突事件發生於一般使用者的終端設備上只會造成單一用戶或是部分用戶群組的服務中斷,但 IP 衝突若發生於重要設備如伺服器等將會導致整個內網環境的連線中斷、影響生產線運作,造成高昂的損失。
如何建置合格的資訊安全管理系統,以符合相關規範
資安事件發生的頻率逐年上升,法律對於資訊安全的要求也越加嚴謹。除了對於個人資料的保護應遵循相關的規範外,為改善並提升網路與資訊系統安全防護能力,主管機關也不斷的增加內部/外部稽核的內容,並更加重視 ISMS 系統的建置。
ISO27001 在近年有越來越多的企業通過認證,其對於如何建置完善的資訊安全管理系統提供了完整的建議。通過 ISO27001 的認證除了能夠證明企業在資訊安全方面的作為,建立公司往來間信任、提升客戶信心及提升企業形象,同時也可以降低資安事件的發生與法律責任。
常見的存取控制技術
為了有效保護企業的資訊安全,設備准入控制 (NAC) 成為資安系統中必備的要件之一。NAC 主要的功能就在於解決設備在連上企業或組織內部網路的第一時間,如何來判斷其是否合法,有無權限進入網路的問題,並且於連上網路後持續的監控設備的使用狀況,一旦違反安全規則便立即阻斷網路連線以保護其餘設備的安全。
市面上 NAC 產品主要可以分為三個技術,ARP、802.1x、Mirror+TCP Reset,這三項分別存在各自的優缺點:
802.1x
802.1x 是一種身分驗證的標準,技術上可分為:申請者(Supplicant)、驗證者(Authenticator),以及驗證伺服器(Authentication Server)三層架構。當申請者也就是使用者電腦送出,帳號、密碼傳送到交換器,或者是無線AP等前端設備,然後再交由RADIUS伺服器驗證帳號、密碼的有效性,決定該臺電腦是否有足夠的權限登入到企業網路。
802.1x 理論上可以提供網路環境較高的安全性,但是因為大多數企業的網路環境當中,仍有許多 Switch 不支援 802.1x,因此於環境部屬期間須大幅度的更換網路架構並且更動網路設備設定,曠日廢時,期間產線無法有效率的運行,造成營業上的損失,導入期間若有設備忘記進行設定則會導致該設備無法連線上網而陷入進退兩難的窘境。一旦企業決定導入 802.1x,那麼現有的網路架構往往就必須予以更動,這對於內部有許多 IT 系統運作的企業來說,網路架構的變更可說是一項不小的風險,很有可能發生當網路完成變更之後,原有的系統就無法正常運作。
Mirror + TCP Reset
市面上各種品牌的 Switch 大多內建流量側錄功能,一般稱為 Port Mirroring、Port Monitoring或Mirror Port。Mirror 就是透過該 Port 獲取各項設備資訊同時監控網路封包,防止危害傳輸。但是 Mirror 只能用來監控,如果需要阻擋設備的連線時則必須採用 TCP Reset 技術來實施阻擋。
TCP Reset 阻斷技術雖然可以中斷封包的傳輸但是無法阻斷先前資料的存取,會漏失一部分的封包,同時也無良好的時效性,只能針對個別的連線進行重置,無法長時間的阻擋。且必須透過Switch上的Mirror port持續監控所有封包,此舉嚴重影響連線速度,當Switch無足夠的Mirror port時也需購置額外的Switch以達有效的管控。
ARP
只要電腦有連上網路,不管內網外網,都會發送ARP封包,管理系統可以根據收到ARP封包的內容去判斷這台電腦的IP/MAC等資訊,藉此來判斷此IP/MAC是否是非法的。當設備發生非法行為時,則可以透過 ARP spoofing 的方式阻擋網路連線,讓網路上特定電腦或所有電腦無法正常連線。
ARP spoofing 的運作原理是由攻擊者發送假的ARP封包到網路上,尤其是送到閘道器上。其目的是要讓送至特定的IP位址的流量被錯誤送到攻擊者所取代的地方。ARP spoofing 會增加 Switch 的負載,並且若 Switch 或是防毒軟體有 Anti ARP spoofing 功能,則會造成阻擋失效。
UPAS 如何進行 IP/MAC 管理
UPAS 於設備准入技術上採用專利的 ARP 技術,只須於 Core Switch 的 Trunk port 接上 Sensor 並架設 Console 便能開始管控各項設備,部屬快速、無須更動任何網路架構或重新設定設備可直接使用於原網路架構,不怕於導入期間造成連線中斷。專利單播技術不佔任何網路流量,於阻擋時其餘設備仍可照常使用。
Agentless 資產管理功能,詳細顯示內網設備概況
UPAS 採用了 Agentless 的方式來達成設備盤點與存取控制的部分,透過專利 ARP 封包解析和單播技術可即時盤點內網上線設備收集設備 IP/MAC/OS/名稱/屬性/群組/網卡廠牌等資訊,並且不需安裝 Agent 即可對設備進行 IP 管理與設備接入管理。
白名單管理功能,全面管理外來設備
UPAS NOC 可以自動化建立設備白名單、辨識設備屬性以及顯示所有設備的 IP/MAC 屬性,集中管理內網 IP 連線設備、查找 IP 使用紀錄,並且禁止非法違規設備禁止非法違規設備的內網連線能力。
持續監控內網設備,違規時立即阻擋
UPAS NOC 不間斷管控設備的作業系統、AD、防毒軟體、資產管理軟體是否正確安裝、更新與運行,並且檢查應裝軟體是否正確安裝、是否安裝禁用軟體、版權軟體的安裝數量,當設備產生違規操作或是安全性漏洞時及時阻斷其連網能力,保護內網其他設備不被波及,以持續維持網路安全性。
掌握 IP 使用與配置狀況,避免違規事項導致連線中斷
提供 IP 使用紀錄,管理人員可透過時間點將 IP 與人員做比對,方便查找。另外提供 IP 配置列表,列出所有已使用和未分配 IP,以及各網段的 IP 分派量。同時提供 IP 保護功能,將將IP位址與電腦名稱/資產屬性綁定,防止偽冒IP,造成IP衝突的狀況發生,保護重要主機。
MAC/Port 資訊彙整與綁定
可建立單一 Port 多 MAC 清單或做 MAC/Port 綁定,當員工私接 Hub、IP 分享器或隨意更改 Port 會告警並跳出網頁重導頁面做修正提示;可設定定時自動建置,減少管理負擔。
自動偵測網路架構
自動尋找上下 Switch 串接之關聯性,找到 Switch 位置與知道 Port 接法,建立網路拓樸圖。支援市面上各家 Switch 廠牌,並支援 v1/v2/v3 版本 SNMP 協定之 Switch,並可以區分 Switch 不同的 VLAN ID。
完善身份驗證,建立員工與訪客驗證流程
UPAS NOC 提供了身分識別管理功能來幫助企業完善身份驗證,能夠配合企業規範,要求所有電腦設備必須使用 AD 帳號登入。將 AD 帳號與設備 IP/MAC、電腦名稱及其他帳號相關資訊做整合,針對訪客以及員工自帶設備 (BYOD) 進行身分驗證,提供完整的設備資訊,協助管理人員控管企業內部所有設備。當設備想要存取網路時,將其依性質分為內部員工與外來訪客進行身分驗證,並給予不同程度的使用權限。
支援多種告警技術,適用於各種設備型態
UPAS 支援三種的違規告警技術,可以基於各種設備的使用習慣選擇合適的技術,避免使用者未收到告警通知而持續忽略修補安全漏洞造成資安風險。
重導網頁:於瀏覽器顯示阻斷訊息,告知阻斷原因並提供修補連結。
MSG 推送訊息:於桌面顯示阻斷訊息,適用於不需開啟瀏覽器的產線設備。
Agent UI 提示:以系統通知方式顯示阻斷訊息,並以 Agent 派送修補程式,適用於不需開啟瀏覽器的產線設備。
符合 ISO 27001 的控制系統與稽核紀錄
ISO 27001 附錄 A 控制項中,總共有 41 項控制項規範內網安全,UPAS NOC符合其中24項內網安全控制項,在A.9存取控制的部分達到近九成的合規比率,在A.8資產管理章節更是擁有100%合規率,協助企業在導入ISO 27001時減少所需耗費的資源。且UPAS系統導入快速、可無須安裝任何Agent,大幅度降低導入所需耗費的人力與資源,能夠以最快的速度提供全面的內網安全管理系統。同時可以產出 IP/MAC 使用紀錄、AD、WSUS 部署率、防毒軟體版本部署率等報表,並可自定義相關排程報表,以符合ISO27001管理準則。
