圖片來源: 

iThome

行動上網越來越普及,3G網卡以及智慧型手機等行動上網裝置透過手機熱點分享功能,將網路分享給其他電腦或3C設備使用,智慧型手機搖身一變成為無線基地臺。員工也很容易私下購買便宜的無線AP,將公司網路接偷接到這些連網設備上,內網電腦不經公司管控就能連網。這些連網行為成為企業IT部門管控內網安全上最大的挑戰。

這類私接AP行為幫公司內部電腦開了一個對外通道,平板電腦、智慧型手機可以從外網對內網遠端遙控,存取並帶走公司內部資料,除非企業明文禁止員工使用智慧型手機連網、收公司郵件,或禁止透過手機存取公司內部資源,才可能確保公司內網的安全性。

面對這些行動網路帶來的內網資安管控風險,達友科技副總經理林皇興認為,企業還是可以透過存取控管方式管制,並做AD或LDAP的上網認證,也可以做NAT(網路地址轉換)來區隔內網和外網。當企業內部有網路事件,可以有Log(登錄檔)配合調查,並作到主動設定政策阻擋、記錄內部IP,及要求輸入帳號和密碼認證等。

不過,敦陽科技資安顧問劉俊雄認為,面對這類從內而外的企業資安風險,從網路部分做員工上網行為管理(EIM)、網頁閘道器控管,電子郵件側錄並限制郵件內容及附件內容等,都可以作到基本的企業內網安全。但他也說,即便內網有許多嚴格控管機制,問題在於,一旦發生一個可疑行為正從企業內網對外網傳送資料時,卻不知道「那個人」是誰,也可能讓後續資安對策追蹤無疾而終。因此,他建議,企業應該明文規定,不許員工在公司內網使用私人電腦及相關的連網設備,對所有可以從企業內部連網的裝置,至少都要做到IP與MAC位址白名單,再加上EIM與身分認證,作到AD認證授權,大致可以防範至少80%以上的內網威脅。

臺灣Websense技術顧問林秉忠指出,就IT部門而言,針對內部使用者的管理和防範外部駭客的方式不同,主要偏重在分權控管、稽核,希望能夠找出員工異常行為,達到「捉內賊」的目的,才能作管理與法規遵循。針對企業內部機密敏感資料的傳遞過程,能確保安全且不會外洩,也是內網安全的重要一環。

資安缺口1:無線AP便宜易裝,降低內網電腦上網難度

造成企業內網風險的原因很多,人往往是最嚴重的問題。

今天企業IT部門同仁使出渾身解數防衛網路閘道端的安全,但不論多嚴謹的防禦,只要員工不遵守公司對網路安全的規範,不論是使用智慧型手機或3G網卡,將公司電腦連到這些違法的網路上,都會形成資安漏洞。

不過,當各種消費型無線AP價格越來越便宜,許多功能甚至已經簡化到只要一個按鍵就可以自動化完成相關的網路設定,這又衍生另外一個讓IT部門同仁頭痛的問題,就是,公司只要有人未經許可,把一臺無線AP直接接到公司既有的網路線上,這個無線AP就可以提供內網電腦連外網的功能。

林皇興表示,這種沒有經過公司同意的私接AP,除了可能違反公司資安政策外,再加上這類無線AP越來越便宜、設定越來越自動化,甚至已經到了插上電源和網路線,就能使用的免設定地步,幾乎每一個同仁都可以隨手買來一臺無線AP,然後就開始安裝使用。這種簡易的使用設定方式,也同樣讓內網電腦陷入網路橋接的風險中。

私接AP網路頻寬比智慧型手機和3G網卡頻寬高,為了便利大家使用,經常遇到不設任何加密防護的狀況,所有人都可以不經任何認證,直接連上這個私接AP的無線網路。林皇興說,無線網路若無法至少達到WPA 2的加密等級,一般有經驗的駭客,在幾分鐘內就能破解,更何況在不設任何加密機制的情況下,等於提供一個歡迎駭客入侵的管道,藉此企業內網私接AP的無線網路入侵企業內部。

除了這種私接的硬體無線AP,微軟新版作業系統Windows 7中也內建軟體無線AP功能,IT人員只需要下一些指令,就可以把使用者端的電腦當成一個軟體無線AP使用。林皇興表示,因為這個功能目前沒有顯示在控制臺的UI,對一般人而言仍略有技術難度,但對具有IT技術的人員難度不高。

但是,林皇興也提醒,當Windows 7開啟軟體無線AP功能時,一般的平板電腦連上這個軟體無線AP時,等於是讓內網也暴露在外面,就有可能被駭客或其他有心人利用。也就是說,如果有人張貼援交資訊,或把這臺軟體無線AP的電腦當成攻擊其他人的跳板時,因為警政單位查到的IP都是公司的IP,受牽連的企業還得應付上法庭或者得處理其他的麻煩事情。

資安缺口2:行動上網設備普及,主動控管難度高

不論是3G、3.5G或者是包括WiMax在內的行動網路,共通特色在於,這些提供行動網路的產品體積通常都很精巧,甚至和一般的USB隨身碟無異,即便是某些控管嚴謹的高科技製造業,有時候也不見得能夠檢查出員工或訪客,隨身攜帶這樣的上網裝置。

林秉忠表示,從這些隨身行動上網設備的普及度可以發現,企業IT部門面臨的難題在於,必須要主動控管相關的設備,以往那種被動式的、等看到什麼新設備才想解決預防之道的方式,已經來不及應付這麼快速的各種行動上網產品變遷了。

對IT部門同仁而言,為了防範從外而內的駭客入侵,在網路閘道端做了種種管控,像是入侵防禦系統(IPS)、防火牆等等,提供由外而內的安全防護,卻很少作到從內而外的安全防護。但是現在一個3G網卡,卻讓原本受到管控的內網安全受到挑戰。

如同公司同仁把筆記型電腦帶離公司環境後,在外面上網時,可能因為資安防禦不嚴謹,較易出現電腦中毒情況,林秉忠形容,這類3G網卡對企業內網安全造成的衝擊,「就像是在堅固的牆上鑽洞一樣,」因為,鑽洞的洞口雖小,確有可能成為嚴密防護網路環境下唯一的缺口。

劉俊雄認為,這類3G網卡和智慧型手機上網面臨同樣風險,直接插上電腦上的USB孔,成為一邊內網、一邊外網的網路橋接,甚至成為駭客攻擊跳板,透過3G進到公司內網。但他說,這種裝置和一般隨身碟大小一樣,甚至還更小,一不小心,很容易忽略到這樣產品存在企業中。

資安缺口3:3G手機熱點隨處可連網,網路橋接風險大增

智慧型手機雖然多數都會搭配上網吃到飽的連網服務,但是,以往手機的網路只有手機才能使用,只有越獄(JB)的手機才具有網路熱點分享功能。

目前市面上兩大智慧型手機作業系統,一直到Android 2.2以及iPhone釋出iOS 4.3版之後,手機可以透過熱點(Hot Spot)分享功能,成為一個無線基地臺,進而和其他的平板電腦、筆記型電腦甚至是桌上型電腦能分享網路連線。林秉忠認為,這些智慧型手機提供其他電腦設備網路分享功能,等於讓管控嚴謹的企業內網,多了一個可以透過手機對外連網的後門功能,形成一個企業內網的資安缺口。

手機提供熱點分享網路的功能,對於許多智慧型手機的擁有者而言,這是一項非常便利且實用的功能。像是許多人外出工作時,只需要透過手機上網再加上熱點功能,手機的行動網路就可以分享給平板電腦或其他筆電等設備使用。林皇興認為,這種上網的便利性,打破行動上網和一般透過實體線路提供的上網服務藩籬,都助於資訊的即時傳輸與分享。

「很多工具都有好的一面和不好的一面,」林秉忠認為,行動網路更加盛行有很大一部份的原因,是為了提供平板電腦可以隨處上網,而這些平板電腦所囊括的範圍,有時候也包括了一些希望能夠不受企業IT部門管制連網的企業內網電腦等。

因為智慧型手機和平板電腦可以透過網路連線,連回企業內部存取重要的機敏資料,同樣可以接收公司的電子郵件,林秉忠表示,這些手持行動式裝置其他的風險在於,當這些行動設備遺失後,也代表著公司機敏資料的遺失。此時,除非制止智慧型手機收取公司的電子郵件,也做到手機遺失後,可以遠端刪除手機內的資料,才能杜絕內網機敏資料外洩風險。

一般的安全檢查,像是竹科的一些高科技製造公司,會檢查筆記型電腦,但比較不會檢查手機或平板電腦。林秉忠認為,對於智慧型手機或平板電腦而言,這種實體安全檢查上的不留意,有機會讓企業內網安全更為門戶洞開。

資安缺口4:NAS和USB儲存設備成外洩機敏資料管道

由於NAS等儲存設備單價比以往便宜許多,在許多產品上,也有一些複合性產品具備儲存功能,微軟亞太區全球技術支援中心專案經理林宏嘉便說,很多儲存裝置上面都有RJ 45的網路接口,也有越來越多的無線AP整合NAS儲存裝置在同一臺設備上,除了提供無線連網功能外,還可以輕易的當成一臺分享檔案資料的檔案伺服器。

此外,現在也出現其他有趣的整合性產品,不管是內建Wi-Fi功能的記憶卡,或者是傳真機加上NAS、掃描器加上NAS等,林宏嘉認為,這些新型態的整合性產品雖然便利,但也可能因為產品型態較為新穎,像是存放資料的記憶卡,可以透過Wi-Fi功能將資料外傳等,都隱藏了對企業內網帶來的資安風險。他說,企業內網安全的風險因為裝置不同而升高,但關鍵點還是在企業的資料主體上。

企業為了要確保機敏資料的安全性,對於一切可以存放企業內部資料的NAS、USB儲存裝置、外接硬碟、隨身碟或燒錄機,也會加以控管。劉俊雄說,具有儲存空間的智慧型手機,也能當成隨身碟儲存資料,另外也有雲端儲存空間可以作為存放公司機敏資料的儲存管道。

偷用IP分享器,可隱匿使用者蹤跡

除了私接無線AP外,劉俊雄則提醒,現在也有一些員工為了讓公司有線網路,可以突破實體線路的限制,提供給該部門所有同仁和3C設備都可以連網,也會選擇購買IP分享器分享公司網路。但他認為,在企業內網使用IP分享器最大的風險在於,無法辨識到底有哪些員工透過這個IP連線上網,如果企業有發生任何資安事件,若不清楚到底是誰是兇手時,企業甚至必須負起全責。

他指出,許多公司內網管得嚴,如果內部用交換器或集線器分接網路,公司IT部門還是可以從一些網管工具的分析報表上,看到哪些IP是哪些同仁在登入使用中。

但是,如果在公司內網安裝的是IP分享器,並假設後面有10臺電腦都透過這臺IP分享器連上網路,因為現在的IP分享器已經可以作到自動化複製MAC位址,不論多少臺電腦連上該臺IP分享器,從公司網路控管的角度來看,永遠只看得到一個IP位址,後面使用的10臺電腦則完全不知道誰是誰。

劉俊雄說,要釐清使用者身分,可以透過L2(資料鏈結層)的身分認證技術802.1X來解套。由於現在有一些網路連線會鎖MAC位址,所以現在的IP分享器產品為了要能順利連網,都會直接複製電腦中的MAC位址,便利連網的同時,企業內部卻無從辨識網路使用者到底是誰。因此,透過LAN安全架構802.1X的身分認證,即便連上同一臺IP分享器,也必須要通過身分認證後才可以進行連網。

因為要作到這麼底層身分認證的設備,需具備網管功能,價格昂貴,劉俊雄表示,目前多數會採用限制配發IP與經過註冊的MAC位址才能連網的折衷來做控管。但這也防不了一樣IP、複製同樣MAC位址的連網方式。

遠端桌面遙控工具將加深內網資安威脅

IT部門面對層出不窮的內網資安威脅時,這類遠端桌面遙控工具讓內網安全的戰線,從公司內部又拉回遠端的員工家中。近兩年的新趨勢就是,以往員工回家想要連回公司時,都必須透過VPN的存取控管才能連網回公司。

但林皇興說,這些遠端桌面遙控工具,例如,Team Viewer、Go To My PC等等,只要公司電腦不關,就可以從家中電腦遠端遙控存取公司內網的機敏資料。他說:「這個工具可能會讓公司遠端存取控管的資安政策破功。」

劉俊雄認為,這些工具不受企業內部網路設備的控管,一旦穿透公司網路,對內網資安造成很高風險。另外,駭客會利用ICMP ping封包的請求,只要對方主機有接收ping封包並有回應,就可以識別正在使用的主機,駭客便可以鎖定要攻擊的對象;也有建在DNS協定上的Tunnel,只要對外防火牆ICMP和DNS的設定沒有設好,企業內網資訊就可以透過Tummel外洩。他說,藉由了解這類較少見的特殊手法,有助於防堵駭客攻擊。

除了透過次世代防火牆產品和辨識企業允許進出的應用程式外,面對這類遠端桌面遙控工具,劉俊雄建議,企業對這類遠端控管軟體必須先限制使用權限,只有某些人的電腦,例如某些IT同仁,才可以安裝該程式;並建立一個VPN伺服器,要求所有連回內網一定都必須先連回VPN並做記錄。

但為了鞏固企業內網的安全性,VPN連網回企業內網時,都一律只能先遠端桌面回到一臺設定的中繼機,再從這臺中繼機連其他的伺服器。劉俊雄表示,強迫一定要連回中繼機才能連到其他伺服器,就是為了要將這整個過程完整側錄,如果有任何狀況,都有完整的歷程可以進行追蹤。

內網夠安全,機敏資料與個資才有保障

新版個資法從去年5月26日總統公布後,根據微軟統計,企業個資外洩的資安事件比該法通過之前還增加3成之譜。林宏嘉認為,保護企業內網安全一個很重要的關鍵在於確保公司機敏資料,包含個資等,都不會有外洩之虞。所以,面對這日益增加的個資外洩事件,加上新版個資法的高額賠償與團體訴訟,都會成為迫使企業審慎面對企業內網安全的重要動機。

由於新版個資法強調舉證責任倒置,要求企業必須證明已經負起應盡的個資保護之責,多數企業正面臨如何負起舉證責任之責。林宏嘉認為,法規遵循造成的影響才是重點,因為有犯罪的誘因,企業才會知道後續的保護行動對策為何。

林宏嘉認為,包括智慧型手機、3G網卡或是臺北市有越來越多的免費無線Wi-Fi,都可能動態造成企業內部的風險。他建議,企業應該要真正做一次完整的風險評估,把左右內網安全的因素一併納入評估,真正作到確保內網安全,並達到法規遵循的要求。

 

達友科技副總經理林皇興建議,為了降低私接無線AP對企業內網造成的衝擊,包括存取控管、NAT、身分認證及Log記錄等,都是基本的企業管控措施。

 

臺灣Websense技術顧問林秉忠表示, IT部門而言內網安全管理主要偏重在分權控管、稽核,希望能夠找出員工異常的行為,達到「捉內賊」的目的,才能作管理與法規遵循。

 

敦陽科技資安顧問劉俊雄建議,企業應該規定不許員工在公司內網使用私人電腦及相關的連網設備,並對於所有可以從企業內部連網的裝置,至少作到IP與MAC位址白名單認證。

 

微軟亞太區全球技術支援中心專案經理林宏嘉表示,企業內網威脅越來越多元,應該要做完整的風險評估,把左右內網安全的因素一併納入評估,確保內網安全並達到法規遵循的要求。

 


相關報導請參考「員工私接無線AP,企業資安防線瓦解!」

熱門新聞

Advertisement