米明

摘要：利用所有終端設(shè)備存取網(wǎng)絡(luò)時(shí)皆會(huì)發(fā)出DNS 查詢(xún)封包的特性，建置DNS Proxy 來(lái)負(fù)責(zé)對(duì)DNS 查詢(xún)封包的響應(yīng)，當(dāng)不符合企業(yè)信息安全政策的終端設(shè)備發(fā)出DNS 查詢(xún)封包時(shí)，DNS Proxy 會(huì)回應(yīng)特殊的IP，告知上網(wǎng)控制發(fā)生的原因；該設(shè)計(jì)最大的特點(diǎn)在于內(nèi)網(wǎng)的存取同樣可受控制，建置成本相對(duì)Proxy 之下顯得更符合經(jīng)濟(jì)效益，反應(yīng)時(shí)間更為迅速，能告知使用者更精確的信息；基于上述理由提出以DNS 封包為基礎(chǔ)的自動(dòng)化上網(wǎng)控制機(jī)制。

關(guān)鍵詞： 網(wǎng)絡(luò)存取控制；防火墻；代理服務(wù)器；DNS 代理服務(wù)器；黑白名單產(chǎn)生器；政策服務(wù)器；入侵防御系統(tǒng)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）02-0023-03

Abstract：All will be issued when all terminal devices use DNS query packet access network features， build DNS Proxy responsible response to a DNS query packet， when not in line with corporate information security policy of the terminal device sends a DNS query packets， DNS Proxy will respond special's IP， inform occurs because Internet control； the biggest feature of this design is that the intranet access the same may be controlled， under Proxy implementation costs appear relatively more economical， faster response time， can inform the user more precise information； For these reasons we propose to DNS packet-based automated access control mechanisms.

Key words：NAC； firewall； proxy； DNS Proxy； generator； policy server； IPS

1 前言

在黑客攻擊事件愈來(lái)愈多的今天，凡是擁有能連上因特網(wǎng)計(jì)算機(jī)設(shè)備的企業(yè)，大多逐漸意識(shí)到信息安全的重要性；計(jì)算機(jī)雖然帶給企業(yè)很大的方便、提升企業(yè)經(jīng)營(yíng)的效率、甚或帶進(jìn)更大的獲益營(yíng)收；但若疏于管理，讓有信息安全疑慮上的計(jì)算機(jī)連上網(wǎng)絡(luò)，企業(yè)就很可能成為受攻擊的標(biāo)的，鑒于今日黑客的諸多手段及戰(zhàn)術(shù)，一旦有計(jì)算機(jī)設(shè)備被入侵，將可能帶給企業(yè)難以衡量的損失。

在今日信息安全的領(lǐng)域上，一臺(tái)計(jì)算機(jī)的信息安全性指數(shù)通常是指有關(guān)信息安全方面的項(xiàng)目有無(wú)正確被設(shè)定或被實(shí)施，諸如賬戶(hù)有無(wú)適當(dāng)保護(hù)、系統(tǒng)有無(wú)啟動(dòng)適當(dāng)稽核機(jī)制、有無(wú)安裝防病毒軟件及更新病毒特征等等都是可納入考慮的范圍；當(dāng)然基于企業(yè)特性的差異，個(gè)別企業(yè)通常都會(huì)制定一套自己要施行的信息安全規(guī)范，而若想要落實(shí)定期查核的工作，一只可植入計(jì)算機(jī)的代理程序也就成為必需的工具，畢竟當(dāng)計(jì)算機(jī)數(shù)量超過(guò)某一范圍時(shí)，想利用人工完成這些事情并不實(shí)際。

針對(duì)已擁有可收集信息安全相關(guān)信息的代理程序（Agent）的企業(yè)，探討可以采取何種部署架構(gòu)或運(yùn)作機(jī)制來(lái)協(xié)助達(dá)成一個(gè)特定的管理上目標(biāo)，當(dāng)有計(jì)算機(jī)設(shè)備不符合企業(yè)自定的信息安全規(guī)范時(shí)，為了信息安全上的考慮或者懲罰性的因素，企業(yè)能以何種方式來(lái)達(dá)成自動(dòng)化上網(wǎng)控制的目的。

2 上網(wǎng)控制的發(fā)展歷史

本文著重于自動(dòng)化上網(wǎng)控制，此處簡(jiǎn)單介紹從代理程序（Agent）出現(xiàn)后的相關(guān)發(fā)展；代理程序在前端負(fù)責(zé)收集計(jì)算機(jī)相關(guān)信息，后端對(duì)應(yīng)的是儲(chǔ)存終端設(shè)備信息的資料庫(kù)和名單列表產(chǎn)生器，此列表產(chǎn)生器的主要功用就是定時(shí)產(chǎn)出允許存取網(wǎng)絡(luò)或者拒絕存取網(wǎng)絡(luò)的名單，定時(shí)將其送至存取因特網(wǎng)的網(wǎng)關(guān)上。

最先的上網(wǎng)控制方式，應(yīng)是選擇防火墻或者代理服務(wù)器來(lái)實(shí)作，因?yàn)樗鹊脑O(shè)計(jì)就包含有名單的概念，所以將名單列表產(chǎn)生器定時(shí)產(chǎn)出的名單列表傳輸至這些設(shè)備，就形成了比較早期的控制機(jī)制。

另一方面，因?yàn)橛写沓绦虻拇嬖冢行┘軜?gòu)的設(shè)計(jì)就希望能直接擴(kuò)充代理程序的功能，讓它不只是單純收集信息，還能接受來(lái)自政策服務(wù)器的指令，由代理程序本身直接進(jìn)行計(jì)算機(jī)存取網(wǎng)絡(luò)行為的控制，無(wú)須建置或維護(hù)名單列表產(chǎn)生器，這也是是上網(wǎng)控制發(fā)展歷史中曾被提出的解決方案；但該法須時(shí)常更新所有終端設(shè)備的控制政策，容易有反應(yīng)時(shí)間過(guò)長(zhǎng)的疑慮。

3 防火墻或者Proxy 可能遭遇的瓶頸

防火墻和 Proxy 的上網(wǎng)控制方式可概分為三種，第一種于參數(shù)中表列所有黑白名單，第二種利用內(nèi)建的程序模塊去讀取特定格式的黑白名單列表，第三種則是呼叫外部程序來(lái)進(jìn)行黑白名單判別的工作；此處黑白名單通常代表拒絕的名單及允許的名單。這三種方式各有其局限性，第一種以參數(shù)中列表方式執(zhí)行，不適合儲(chǔ)存大量的黑白名單，因?yàn)榇伺e可能會(huì)造成參數(shù)變得相當(dāng)龐大，不利于定期重新編輯或重載；第二種或第三種以呼叫程序判別，但其響應(yīng)只能是對(duì)或錯(cuò)，無(wú)法響應(yīng)特定代碼以區(qū)分不同的錯(cuò)誤信息，而且當(dāng)很多使用者同時(shí)發(fā)出需求時(shí)，單一程序須一直被重復(fù)呼叫并啟動(dòng)，故須考慮其承受能力或者反應(yīng)時(shí)間等等。

至于利用建置多臺(tái)設(shè)備的方式來(lái)分散其工作量，須考慮建置成本的問(wèn)題，因防火墻設(shè)備或者代理服務(wù)器設(shè)備通常價(jià)格較高，或者管理者也可選擇自行建置，但須顧慮效率、穩(wěn)定度等的因素，故通常等級(jí)較高的硬件才能符合需求；而且也必須考慮適用性問(wèn)題，也就是考慮這些設(shè)備原先設(shè)計(jì)的目的為何。防火墻主要功用在于管制某些來(lái)源地址對(duì)某些目的地址的協(xié)議及服務(wù)，扮演類(lèi)似于大門(mén)守門(mén)員的腳色，Proxy 主要功用則是幫助設(shè)定它為代理服務(wù)器的終端設(shè)備先行存取特定信息，然后供利用它的用戶(hù)來(lái)進(jìn)行數(shù)據(jù)快取的動(dòng)作，扮演類(lèi)似于貨物集中站的腳色。

考慮上述防火墻和Proxy 的特性，顯然它們無(wú)法對(duì)企業(yè)內(nèi)網(wǎng)（Intranet）的存取進(jìn)行合適的管制，因而容易造成管理上的缺失；受到管制的名單，通常代表此終端設(shè)備的現(xiàn)況違反企業(yè)訂定的信息安全規(guī)范，在有信息安全疑慮的狀況下，若未管制對(duì)網(wǎng)絡(luò)的存取，極容易造成信息安全上的漏洞。

利用防火墻或者 Proxy 進(jìn)行控制也有它合適施行的情況。例如，當(dāng)需管制的終端設(shè)備數(shù)量較少時(shí)，代表須儲(chǔ)存的黑白名單數(shù)量也較少，重新編輯或重載參數(shù)造成的負(fù)擔(dān)也就比較合理，或者呼叫程序模塊判別時(shí)也能得到迅速的反應(yīng)，在此情況防火墻或者Proxy 也不失為能滿足需求的解決方案。

4 提出已DNS 封包為基礎(chǔ)的管制架構(gòu)

考慮建置成本及反應(yīng)時(shí)間這兩大因素，提出另一種控制機(jī)制；利用所有終端設(shè)備存取網(wǎng)絡(luò)時(shí)皆會(huì)發(fā)出DNS 查詢(xún)封包的特性，建置DNS Proxy 來(lái)攔截此類(lèi)型封包，然后依據(jù)其來(lái)源地址來(lái)決定回復(fù)DNS 查詢(xún)的內(nèi)容；

如果它屬于合法名單，就回復(fù)它正確的 DNS 解答，如果它屬于非法名單，可依據(jù)它為何位于非法名單的原因，回復(fù)它不同的DNS 解答，當(dāng)使用者打開(kāi)瀏覽器時(shí)，不同的DNS 解答代表能被轉(zhuǎn)不同的網(wǎng)頁(yè)，進(jìn)而告知使用者不同的警示信息，讓使用者能更清楚自己被控制的原因，方便使用者對(duì)自己設(shè)備的狀況進(jìn)行后續(xù)的處置，以期能符合企業(yè)訂定的信息安全規(guī)范。

此架構(gòu)具有幾項(xiàng)優(yōu)勢(shì)，首先，它同時(shí)可以管制內(nèi)外網(wǎng)的存取，因?yàn)橹灰环掀髽I(yè)信息安全規(guī)范，被歸屬于黑名單，因此回給它的DNS 解答可以是自定的虛假I(mǎi)P；第二，它只是扮演類(lèi)似DNS 中介者的角色，無(wú)須負(fù)擔(dān)DNS 的解析功能，所以對(duì)硬件等級(jí)的要求不高，在建置成本上花費(fèi)較少；第三，由于建置成本較低，可彈性部署多臺(tái)來(lái)扮演DNS 中介者的角色，而且每一臺(tái)DNS 中介者雖然只有一只程序模塊來(lái)?yè)?dān)任業(yè)務(wù)窗口，但它可以以服務(wù)的形式存在，并且只是負(fù)責(zé)輸出入的轉(zhuǎn)手，它所衍生的諸多線程才是真正負(fù)責(zé)產(chǎn)生響應(yīng)的地方，所以他的反應(yīng)速度能夠非常迅速。

由表1可知，藉由代理程序本身實(shí)施上網(wǎng)控制似乎也是一個(gè)不錯(cuò)的選擇，但它除了需要投入花費(fèi)巨大的平臺(tái)開(kāi)發(fā)及功能測(cè)試外，其所具有的控制功能也容易和計(jì)算機(jī)設(shè)備本身所擁有的防火墻功能相互抵觸或引發(fā)沖突，導(dǎo)致非預(yù)期的管理風(fēng)險(xiǎn)產(chǎn)生，這是導(dǎo)入此架構(gòu)需謹(jǐn)慎考慮之處。

6 上網(wǎng)控制發(fā)展的趨勢(shì)

隨著信息安全被日益重視的今天，信息廠商也提出了許多更新或更完整的解決方案，希望能提供更全面、更主動(dòng)的防御機(jī)制，例如與IPS 的整合，透過(guò)IPS 的監(jiān)測(cè)，找出違反公司信息安全政策的端點(diǎn)，對(duì)其進(jìn)行管制的動(dòng)作。

另有解決方案是與具備802.1X 能力的設(shè)備結(jié)合，讓設(shè)備存取網(wǎng)絡(luò)前一定需經(jīng)過(guò)身分認(rèn)證的程序；或者建置DHCP 服務(wù)器，當(dāng)不符合信息安全規(guī)范的設(shè)備存取網(wǎng)絡(luò)時(shí)，給予一個(gè)特殊的IP 讓其無(wú)法存取網(wǎng)絡(luò)；或者與分散于各地，但與終端設(shè)備最接近的交換器整合，讓管理員能將有問(wèn)題的計(jì)算機(jī)限制在最小的存取區(qū)域，但此法也代表須更新眾多網(wǎng)絡(luò)設(shè)備才能達(dá)到這樣的功能，建置的成本成為考慮的重點(diǎn)。

以上總趨勢(shì)或發(fā)展，都是希望能早一步將有問(wèn)題的計(jì)算機(jī)隔離于正常的企業(yè)網(wǎng)絡(luò)之外，避免對(duì)企業(yè)的信息安全造成傷害。

7 結(jié)論

在上網(wǎng)控制（NAC）逐漸成為重要議題的今天，信息安全廠商也紛紛提出許多新的架構(gòu)或者發(fā)展新的設(shè)備；但其實(shí)NAC 并無(wú)一定的標(biāo)準(zhǔn)，規(guī)定必須達(dá)到那些功能才算是符合NAC的標(biāo)準(zhǔn)。

所以當(dāng)規(guī)劃導(dǎo)入NAC 時(shí)，決策分析者應(yīng)該要能熟悉整個(gè)網(wǎng)絡(luò)的建置架構(gòu)、了解許多網(wǎng)絡(luò)設(shè)備的特性及兼容性、現(xiàn)階段想要或可達(dá)成的控制目標(biāo)、須異動(dòng)或配合的事項(xiàng)甚至企業(yè)愿意為它投入的成本都須一并納入考慮，才能提供較好的解決方案，達(dá)到強(qiáng)化企業(yè)信息安全的目標(biāo)。

參考文獻(xiàn)：

[1] NAC 的技術(shù)新趨勢(shì)，iThome 技術(shù)專(zhuān)題.

http：//www.ithome.com.tw/itadm/article.php？c=46194&s=3

[2] 企業(yè)導(dǎo)入 NAC 的四大部署模式，iThome 技術(shù)專(zhuān)題.

http：//www.ithome.com.tw/itadm/article.php？c=46194&s=6

[3] Network Security， McAfee.

http：//www.mcafee.com/us/products/network-access-control.aspx