P2P即將破壞現存的資安架構

資訊安全無法百分百解決，P2P目前僅能防，無法解

P2P除了最常見的檔案分享與即時通訊，也逐漸發展出各種不同的應用，例如Softether和Skype。這對個人用戶而言，絕對是利多於弊，但對企業而言，它卻成為資訊安全的一大隱憂，勤業眾信會計師事務所副總經理萬幼筠就說：「以前我們總是以防堵來解決資安問題，但破壞的架構（P2P）已經出現典範轉移，而資訊安全的架構卻沒有。」

企業面對P2P這波強大的攻勢，該如何因應呢？P2P是駭客與病毒的溫床

賽門鐵克亞太區技術顧問林育民表示，P2P應用潛藏著許多風險，包括洩漏企業內部機密資訊、成為病蟲擴散的管道、下載非法檔案，侵犯著作權、佔用大量網路頻寬，以及影響其他系統正常運作，更會造成員工分心，降低生產力。

我們歸納出P2P所產生的3大問題：

病毒媒介
賽門鐵克在今年3月所提出的2003下半年全球網路安全威脅報告指出，2003年下半年，前50大惡意程式樣本中，P2P威脅的數量遽增46%。大多數的P2P威脅在散播過程中，並不需要了解P2P檔案分享通訊協定的細節，僅是將自身放到分享目錄，加上一個吸引人的檔名即可，以Spybot病蟲為例，它是透過Kazaa進行擴散，幾乎每天都會發現新的Spybot變種，目前已經有超過600隻變種，顯示P2P的危險性逐漸升高。

之前造成嚴重損失的求職信病毒（Worm.Klez）就是第一個透過ICQ傳播的蠕蟲，它可以利用ICQ裡面的聯絡人清單來傳播。未來將會出現更多利用P2P散布的病蟲。

駭客入侵與洩密管道
有不少人認為即時通訊軟體是增加生產力的工具之一，但也有人正利用它進行犯罪。以筆者自身為例，有朋友曾透過MSN Messenger傳送某個檔案，他號稱該檔案可以增加電腦執行效能，筆者點選執行之後，發現裡面藏有木馬，事後他更表示已經成功監控3臺電腦，如果他把這個程式放在eMule或BT上，相信會有更多人受害。不論是檔案交換或是即時通訊軟體，都是很實用的工具，但我們也別忘了他們所隱藏的危機與漏洞，如果你沒有好的安全防護（個人防火牆），那麼P2P可能會洩露電腦裡面所有的資料，甚至公司內部的機密資料。所幸不少企業已經意識到P2P軟體的危險性，開始評估相關的設備。

佔據頻寬
根據Skype官方網站的統計，Skype在待命時（定期更新使用者與其他聯絡人狀態）所佔用的頻寬約為0.5kbps，但會隨著聯絡人數目的增加，而稍微增加所佔用的頻寬；在通話時則約佔用10~20kbps的頻寬。Skype和即時通訊軟體所佔的頻寬都不大，但如果是eMule或BT等檔案交換工具，可能會吃掉所有的網路頻寬，而且大部分的傳輸內容（影片、音樂）與公司業務毫無關係。先制定安全政策，再阻擋不合法的應用

企業應該先制定安全政策，規範員工可以使用與禁用的P2P應用與服務，包括哪些人可以用、使用時間，以及如何稽核員工的使用狀況，然後再去評估合適的監控系統。

林育民表示，阻擋P2P應用程式的方法主要有以下4種：

1.匣道防火牆：在匣道防火牆上設定規則阻擋已知的P2P通訊埠，但是，目前已有許多P2P軟體，試圖利用各種方法躲過防火牆的攔阻，例如Kazaa V2如果偵測到TCP 1214埠已被防火牆攔阻，會自動改用TCP 80埠。

2. IDS/IPS：目前已有許多IDS/IPS廠商提供P2P應用程式的入侵偵測特徵，可用於偵測與攔截P2P應用程式，例如Symantec的SNS 7100可即時攔阻多種P2P應用程式。

3.用戶端防火牆：若企業採用集中控管的用戶端防火牆，則可限制個別應用程式能否對外連線，以阻擋P2P應用程式的使用。這種方式是攔阻P2P最有效的方法之一，不論 P2P 應用程式如何變更連線方式或對傳輸資料進行加密，都無法躲過用戶端防火牆的控管。

4.在企業安全政策中詳加規範：除了技術手段外，企業亦應於資訊安全政策中明確規範P2P應用程式的使用規則，讓員工有所遵循。幾種阻擋Softether及 Skype的方法

針對最近很熱門的Softether及Skype，Websense技術顧問林皇興提供幾種阻擋方式。

林皇興表示，Skype（包含PChome-Skype）是利用P2P技術，目前尚無法分析出封包特徵，也無法辨認或阻擋。由於Skype沒有特定的中央伺服器，因此無法以URL/IP List（資料庫）方式阻擋；它能夠鑽各種埠，穿透過防火牆，也不能用Port List的方式辨認與阻擋；Skype傳輸過程是以AES加密，封包的內容經過加密，無法剝解找出封包特徵。

林皇興建議幾種Skype阻擋方式。如果企業內部有建置資產管理系統或Websense CPM，可以設定政策決定哪些人或群組可以安裝與使用Skype，或是利用CPM Explorer提供的互動式分析功能，找出誰在用Skype，分析它所佔用的頻寬；目前Skype不支援Proxy Relay，如果防火牆封鎖UDP流量，且TCP的80埠需要通過Proxy才可以連外，也有機會可以擋掉；如果企業是透過認證防火牆（Authenticated Firewall），需要經過認證才能上網的話，Skype也不支援。

除了Skype，Softether是另一個資安大洞。Softether和Hopster（一種代理伺服器）都是為了閃避防火牆或代理伺服器的機制而設計，因此會自動透過 HTTPS（443埠）作為管道，並且加密傳輸的內容，比較難分析其封包特徵。在預設的情況下，Websense會將Softether視為HTTPS流量，所以像Hopster或Softether等非授權且未歸類的HTTPS 流量就被阻擋。另外，也可以透過Websense CPM，禁止安裝與使用Softether和Hopster。

所羅門技術經理戴日昇表示，一般防火牆僅能透過阻擋IP及埠來攔截IM和P2P的使用行為，但是IM可以使用HTTP 80埠連線，P2P可使用非固定的網路埠及主機，管理者也不容易控管哪些是被授權的合法使用行為。為了解決這些問題，Facetime IM Guardian經由檢查及分析網路封包，找出IM及P2P在應用層的通訊協定連線，能夠監控並稽核IM及P2P軟體。

林育民表示，未來，各類的P2P軟體仍會設法突破防火牆及入侵偵測系統的控管與監督，可能的手法包含採用加密、資訊隱藏及隨機通訊埠等方式。文⊙陳世煌