2009年10月27日 星期二

[觀點] 從資料竄改事件談網路存取控制

在2007年12月,國稅局有位低階的三職等公務員,竟擁有修改納稅人資料的權限,並且利用查核系統管制上的疏失,涉嫌竄改「稅務電子管理系統」中,包括納稅人的性別、婚姻狀況、親屬等資料,製造出可退稅的資格來詐領退稅款項,不法獲利高達三百多萬元。

若從資安管理的角度來思考,從這個事件中,反映出了以下幾個問題:
  • 納稅人已完成報稅的資料,為何還能夠進行修改?
  • 低職等的人員為何會擁有更高等的權限?
  • 對於重要敏感系統的連線存取,為何沒有適當的管控措施?
一般而言,若是沒有作好網路使用的管制,一旦有人順利進入企業內部,並且發現無人使用的網路插孔,這時候只要將網路線接上可連網的裝置,即可輕鬆連線存取區域網路。如果一些應用系統上面也沒有作好權限控管,或是有員工在網路芳鄰上分享資料,那麼有心人士要取得一些有用的敏感資訊,並不是一件困難的事。

此外,若缺少了適當的網路監控工具,網管人員其實也很難掌握使用者,到底是從什麼地方?利用什麼樣的裝置來連上企業網路?更無法識別使用者的身份來賦予適當的存取權限,或是進一步限制使用者可存取的應用系統。所以,聰明的人,只要利用合法的連接埠或通訊協定,就可繞過網管的限制,而隨心所欲地存取各項網路資源。

網路存取控制基本架構

過去,企業多半著重在防禦外部的攻擊,以為部署了防火牆或入侵偵測防禦等系統,就等於作好了資安防護工作,而忽略了來自於內部的非法連線或惡意存取,將會造成更大的破壞與影響。如今,隨著各家廠商的努力研發,網路存取控制(Network Access Control;NAC)方案已經有了不同的面貌,透過多層次的安全架構與彈性的佈署方式,可以有效驗證網路使用者的身份,並且透過政策(Policy)的設定,來控管使用者僅具有適當的存取權限,以預防可能的資安事件發生。

目前,NAC還不算是一個業界標準,因此屬於同樣類型的解決方案,還有其他的說法像是:UAC、NAP等,但基本上它們目的都是相同的,如果要用一句話來形容網路存取控制的目標,那就是「必須確保只有合法且安全的裝置,在給予適當的權限之後,才允許它連上內部網路。」此處的合法,指的是必須要「經過身份驗證」,而安全則是要求符合預設的政策,像是「確認連線裝置已安裝系統修補程式、防毒軟體和防火牆等」。

歸結起來,一個網路存取控制方案的架構,基本上有三個主要的元件,各自負責不同的任務,簡要說明如下:
  • Agent - 必須要安裝在每一台電腦上,用來收集使用者端連線裝置的資訊,確保系統安裝了安全防護軟體,並且已修補了系統漏洞。通常網管人員一聽到Agent,直接聯想到的就是佈署上面的問題,目前NAC的Agent主要是透過使用者以瀏覽器啟動Active X方式來安裝,避免需要耗費人工安裝的問題,不過若是Windows以外的系統,有些就必須以人工來安裝。如果在某些情況下無法安裝Agent,也有所謂Agentless的方式,可透過AD的管理者權限,或是以掃瞄的方式來收集使用者端的資訊,但其缺點則為耗時且功能不夠完整。
  • Enforcement - 通常Enforcement可由DHCP、Gateway或Switch來擔任,其他支援802.1x的網路設備也能一起協助把關,它是網路裝置連線後會遇見的第一道關卡,負責檢查使用者的電腦狀態是否合乎安全政策的要求,就如同入境時進海關一樣,會要求旅客必須出示證件來證明其身份,並且檢查有無攜帶違禁品。如果一切合格之後,它會詢問Policy Server要開放何種權限給使用者,可以通行到哪裡?如果不合格,就會把使用者請到小房間裡隔離起來,作更進一步的要求與確認,等到更新之後且合乎了政策的要求,才會允許進入。
  • Policy Server - 主要儲存規範使用者行為與權限的安全政策,並且協助使用者和AD或RADIUS來進行身份驗證,在Policy Server中定義了每個角色(Role)具備什麼權限?可以使用哪些應用程式?可以存取哪個網段的應用系統?
適合導入產業與部署建議

企業想要做好網路存取控制,主要的目的就是為了分辨合法或非法裝置、控管存取權限,以及確定連線裝置是安全的。當然,在不同的產業,對於網路存取控制有不同的需求,依照個人的觀察,適合導入網路存取控制的產業,通常具有以下特徵:
  • 分點過多且有遠端存取需求
  • 要求訪客的電腦安全
  • 高度資料保密
  • 具有研發部門
  • 要求存取權限區隔
至於在部署的考量方面,企業需要事先評估的項目有:
  1. 支援度 - 需考慮不同系統平台的Agent部署方式,評估要採取事先安裝、遠端安裝,或是不安裝agent來進行。另外,要考慮是否支援目前的身份驗證方式,像是支援AD、LDAP和RADIUS,還有是否支援所使用的防毒軟體等。

  2. 相容性 - 部署前需要評估和網路架構的相容性,若是採用802.1x方式,則需要評估設備是否能支援運作。另外,也要考慮應用程式的相容性問題,確保企業內部客製化的應用程式,在NAC的架構上也能夠順暢使用。

  3. 隔離處置方式 - 需要了解使用者若是不符合政策要求,到底是如何被隔離的?是否被隔離在不同的網段,以及要如何引導使用者進行更新?必須有明確的指示可協助使用者在更新完成之後,能夠順利再次登入網路。
以逸待勞是最佳防禦方式

讓我們回到一開始提到的竄改納稅人資料事件,如果事先部署了適當的網路存取控制措施,就可以避免不具權限的人去連線存取敏感資料。不過,網路存取控制並不是萬靈丹,如果使用者透過其他方式取得了合法身份,依然可循正常的管道來從事非法竊取資料的行為。

因此,今日的資安工作,應該藉由管理面和技術面共同著手,在管理方面,先從制訂存取政策與作業流程開始,要求除非獲得授權許可,否則一律禁止存取敏感資料;至於在技術方面,可強制進行身份驗證,設定強而有力的密碼設定規則,這會是一種有效的補強性控制措施。而藉由NAC的協助,還可以同時防止非法的網路連線存取,並阻隔惡意程式從內部爆發的問題。(本文刊載於2008年6月號網管人雜誌)

沒有留言: