網路防護的措施包括所有為了保護儲存中或傳輸中的資料、語音及視訊而添加至網路的工具和技術,例如:防火牆及入侵防護 (IPS)。
網路防護的措施是您為了保障機密性、一致性與可用性而添加至網路的資安控管。這類控管目前仍在演進,不過已經累積了大量的基礎知識。想要遏止駭客進入您的網路,您必須採取一些措施。防火牆、代理器 (Proxy)、閘道都有助於達成這項目標。
不過,若您以為有了這些裝置就能杜絕駭客進入您的網路,將是個危險的想法,駭客終究會找到方法進入。一位知名駭客 Kevin Mitnick 就表示他的成功率是 100%,他專門接受企業聘僱,藉由滲透測試來幫企業測試他們的網路防護。
駭客永遠有方法可以駭入企業,資安團隊需要不斷努力地學習、調整,並搶先駭客一步。還有很重要的一點是,必須事先擬定事件應變計畫,並成立事件應變團隊,才能在駭客真的進入時立即因應。
防火牆可以攔截流量或者讓流量通行,可通行的流量,必須根據企業需要用到的通訊類型設定在防火牆的組態設定中。防火牆最重要的一項最佳實務原則,就是預設攔截所有的流量,然後在組態設定當中只開放已知服務的流量。 防火牆的組態設定非常重要,因此防火牆管理員務必具備相關的知識。
防火牆的運作橫跨了國際標準化組織開放系統互聯 (ISO OSI) 網路模型的多個網路層。一般所謂的防火牆大多在第 2 至 5 層上運作。如果某個防火牆宣稱是在第 7 層上運作,那它通常是指代理器 (Proxy) 或閘道。有個例外是網站應用程式防火牆 (WAF),它雖然也稱為防火牆,但其實是在第 7 層。防火牆會分析它所運作的 OSI 網路層上的資訊。
以下是一些防火牆在不同網路層上運作的範例:
防火牆的組態設定內含一份規則清單,這些規則有時亦稱為政策。防火牆會利用這份規則清單來判斷該如何處理它所收到的流量。這些規則在套用時,是依照從上到下的順序。
當防火牆收到訊框或封包時,會從清單中的第一條規則開始比對。如果符合該條規則所指定的流量類型,就執行該條規則對應的動作,例如允許流量通行,或者攔截並拋棄流量。
若訊框或封包與第一條規則指不符,那就繼續比對第二條規則,依此類推。如果流量與所有設定的流量都不符,那防火牆就會執行最後的一條規則,這條規則通常是將流量拋棄。
閘道一詞的意義,可能會因您討論的對象不同而有不同解釋。傳統上,閘道是指介於兩個網路之間的一台硬體裝置。今日的閘道基本上都具備防火牆功能。例如,Microsoft Azure 的閘道即內建了 WAF 網站應用程式防火牆功能。所以,現在的閘道也可稱是一種防火牆。
接下來要解決的問題是採用入侵偵測 (IDS) 來偵測網路入侵的情況。這類裝置採被動方式運作,它們會監視網路進出的流量然後將可疑流量記錄下來。IDS 可以是網路裝置或終端裝置,其所在位置不同,名稱就不同,分別為:網路式 IDS (NIDS) 或主機式 IDS (HIDS)。
NIDS 通常是連接到一個 TAP 裝置或交換器的 SPAN 埠。這表示流量可以正常傳送至目的地而不受任何干擾,流量會自動複製到 NIDS 的 SPAN 埠來執行分析。若是 HIDS,則通常會安裝在筆電、平板、伺服器等等裝置上。大多數的 HIDS 都不能即時分析流量,而是在事後進行記錄檔分析。
當這些裝置發展到某個階段時,廠商又將它推升到另一個層次。既然能夠偵測攻擊,那何不乾脆直接將惡意的訊框或封包丟掉,而不光只是通報而已。這就是入侵防護 (IPS) 的由來。IPS 同樣也可分成:網路式 (NIPS) 和主機式 (HIPS) 兩種。
IPS 是個不錯的點子,但卻有個缺點,IPS 必須知道什麼是不好的流量,這可透過特徵檔或自我學習來達成。
下一個要解決的問題是如何保護網路所傳輸的資料、語音及視訊,以防止在傳輸過程中遭人竊聽,包括在企業或家用網路的內部及外部,例如在經過網際網路或服務供應商的網路時。
此問題可藉由加密來解決,讓資料在沒有金鑰的情況下無法讀取。針對資料的傳輸,有幾種加密方式可選,包括:
SSL/TLS 自 1995 年開始便是瀏覽器所使用的連線加密方式。SSL 是由 Netscape 所發明,其 2.0 與 3.0 版一直受到廣泛使用,直到 Internet Engineering Task Force (IETF) 接手後才將它改名,也就是 1999 年 America Online (AOL) 併購 Netscape 時。目前的最新版本是 TLS 1.3 (RFC 8446)。TLS 並非瀏覽器專用的加密方式,它也用於使用者與企業辦公室的 VPN 連線。
SSL/TLS 是一種傳輸層加密協定,應用於瀏覽器連線時使用的是 TCP 連接埠 443。
SSH 是遠端登入常用的一種加密方法,網路系統管理員會透過 SSH 來遠端登入及管理網路裝置,例如路由器和交換器。SSH 通常被用來取代 Telnet (一種在第 7 層上運作的非加密式遠端登入協定),但也可用於 VPN 連線。SSH 的規格定義在 IETF RFC 4253 當中,使用 TCP 連接埠 22。
IPsec 是一種網路層協定,可為任何連線類型提供加密與一致性檢查功能。IPsec 的規格分散在多個不同的 IETF RFC 文件中。RFC 6071 提供了一份概要來說明這些文件之間的彼此關聯。
IPsec 提供了兩種安全協定:Authentication Header (AH) 與 Encapsulating Security Payload (ESP)。
智慧財產 (IP) 的保護依然是個棘手的問題,所謂的智慧財產包括:手冊、流程、設計文件、研發資料等等。其主要問題有兩個:第一是如何確保機密資訊不外流;第二是如何確保資訊只有具備權限的人才能看到。做好資料控管的方法有很多,資料分類與存取控管就是其中兩種方法。
要避免資料遭到不當外流,企業可導入資料外洩防護 (DLP) 技術。它會監視機敏資訊的流動,例如經由電子郵件或檔案傳輸等方式。
當 DLP 軟體偵測到機敏資訊 (如信用卡卡號) 時,就會加以攔截或中止傳輸。此外,必要時還可將機敏資訊加密,一切取決於企業希望管控哪些資料,以及當 DLP 軟體偵測到機密資料時,網路該如何因應。
數位版權管理 (DRM) 可透過技術來管控智慧財產的使用。若您有用過 Kindle、iTunes、Spotify、Netflix 或 Amazon Prime Video,那您已經使用過 DRM 軟體。這類軟體可讓您享用您所購買的內容:觀賞影片、閱讀書籍、聆聽音樂等等。一個在商業領域的應用案例就是 Cisco 利用 DRM 來允許已購買課程的客戶使用課程手冊。
還有另外兩個企業可用來管控內容流通的 DRM 技術是 Javelin 與 LockLizard。DRM 技術利用存取控管來管制內容的使用對象和期限、是否可以列印、是否可以分享等等,這些設定條件完全看 IP 擁有者的想法而定。
企業最迫切需要建置的防護措施,應該是資安問題偵測及矯正。這一切要先從記錄檔著手,幾乎所有網路上或連接到網路的系統都會產生記錄檔。
企業要決定哪些東西要寫入記錄檔,可能包括:嘗試登入、網路流量、封包、已採取的行動,甚至是使用者的每一個按鍵輸入。至於哪些東西該寫入記錄檔,應該要根據企業對風險的擔心程度、資產的機敏程度,以及系統的漏洞而定。
以下所有系統應該都會產生記錄檔:
網路上的系統
連接至網路的系統
這麼多的裝置所記錄的事件數量加起來相當可觀,而且如果要從這麼多的資料當中理出頭緒,就必須將這些記錄檔 (同時也是稽核記錄) 傳送至一個集中地點,例如:Syslog 伺服器。當記錄檔集中到 Syslog 伺服器後,就能利用一套資安事件管理 (SIEM) 系統來加以分析。
SIEM 是一種用來對所有系統的記錄檔進行分析並交叉關聯的工具。它可用來搜尋入侵指標 (IoC),一個 IoC 並不一定能當成某個真實事件的證據,這一點必須交由人工來分析。所以就需要一個資安營運中心 (SOC) 與事件應變團隊 (IRT) 來決定接下來的動作。