以封包過濾落實員工上網行為管理

林皇興 達友科技資訊安全顧問，個人擁有CISSP認證，長期在資訊安全領域服務，專長於內容過濾、網路管理、知識管理，以及系統開發。

企業在內部裝設網路行為管理設備，主要是為了防止機密資料外洩，或者控管員工在上班時段，是否不當利用網路資源，從事與工作無關的個人行為。

可是，就實際的情況來說，即使是建置了這類型設備，也不見得可以收到預期的管理效果，這是因為有很多方式可以躲避設備的監控，從而形成所謂的「匿名流量」。達友科技資訊安全顧問林皇興表示，只有結合網路第7層（應用層）的封包過濾，採取檢查封包內容，或者是比對封包傳送特徵的方式，確實找出需要受到設備管理的內容，才有可能將員工上網行為的管理落實到企業內部。

問：那些原因可能造成「匿名流量」的產生？
答：第一個原因是，很多人會利用Proxy（代理伺服器），瀏覽一些原本不允許存取的網站內容。對於一般只有支援網路第4層管理的防火牆，以及網頁過濾設備來說，只能知道目前有一條連接到Proxy的HTTP連線，而不清楚從Proxy取回內容的是一般網站，還是具有不當內容的網頁。

再者，則是以手動，或者由應用程式動態轉換的方式，修改目前所使用的網路埠，改由像是80、443，偽裝成其它應用程式的流量，以避免防火牆封鎖。

利用VNN、SoftEther之類的通道程式（Tunnel），從遠端的網路閘道存取外部網路，也是可行的方式之一，這類程式在技術上很像是企業經常使用到的VPN，而且建立起來的通道同樣是經過加密，像是SoftEther使用SSL協定建立加密通道，從某種角度來看，可說是SSL VPN的一種應用，由於SSL的加密法是金鑰長度可達256Bits的AES，現有技術不容易在短時間內加以破解，安全性算是足夠，對於IT人員來說，此時只知道有人正利用443埠傳送封包，但無從得知通道裡頭傳輸的是什麼資料。

最後一個原因，可能是使用者透過安裝在電腦上的加密工具傳送封包。這類工具中較常見的，就是用來加密MSN對話訊息的MSNShell以及SimpLite，惟有安裝相同軟體的電腦，才能解開加密，得知封包裡所夾帶的訊息是什麼。

問：網路第7層的封包過濾可以防止員工透過那些方式傳送匿名流量？對於加密過後的封包是否也能夠加以過濾？
答：網路第7層的封包過濾可以防止員工透過Proxy，或者是以變更網路埠的方式躲避設備的管理，由於這類管理機制是針對進出閘道的每一個封包做內容檢查，藉此判定封包實際上是由何種應用程式所發出，以及確認封包內容是否帶有不被企業允許傳輸的內容。

加密過後的封包，目前的網路行為管理設備並沒有辦法加以過濾檢查，只能根據這類加密封包的特徵，禁止進出企業的網路閘道，讓使用加密工具的員工沒有辦法正常使用網路應用程式，直到解除安裝，接受設備的管理才會放行通過。

問：網路行為管理設備的價格通常都很昂貴，尤其一些具備封包過濾功能的產品更是如此，對於IT預算不多的企業來說，有沒有一些簡單的方式可以管理員工使用網路應用程式？
答：最常見的方式就是利用防火牆封鎖這類軟體所使用的TCP/UDP網路埠，像是1863、5050，不過這種方式很容易被突破，就像是先前才剛提到，員工可以採取手動方式變更應用程式所使用的網路埠，而且有些軟體開始具備動態更換通訊埠的能力，改由80埠、443埠，這類不會被防火牆封鎖的通訊埠將封包傳送出去。

其次，是利用所謂的DNS導向，將即時通訊、P2P連線伺服器的所在網址，對應到一個錯誤或者是不存在的IP位址，造成這2種網路服務的使用者無法成功登入、上線。DNS導向的做法有2種，一是以修改hosts檔的方式來達成，這時候IT人員必須進入員工電腦手動修改設定，如果企業內部電腦數量眾多的話，操作上比較麻煩；至於另一種方式則是直接修改公司DNS伺服器的設定，相對於前者，修改DNS伺服器設定的做法就簡單許多，IT人員只要將收集得來的連線伺服器網址，以增加A記錄設定的方式對應到錯誤的IP，理論上就可以讓內部電腦無法再使用上述這兩項網路服務。

此外，也可以利用AD的群組政策（Group Policy），管制員工無法使用網路應用程式的某些功能，像是可以禁止即時通訊軟體傳輸檔案。整理⊙楊啟倫