2008年10月11日 星期六

企業虛擬私有網路管理 (Enterprise VPN Management)

虛擬私有網路 (VPN, Virtual Private Network),之前在「企業防火牆管理 (Enterprise Firewall Management)」一文有提到,這是輔佐防火牆的重要技術配套措施,因為,防火牆只能管到 Layer 4 (部分防火牆有多功能,這主要還是以網路層防火牆為主);只能管 IP&Port,是無法進行身分驗證的工作 (有的網路層防火牆有進階設定可達到),如果還要做稽核記錄、數據報表及統計分析工作,這些就不是防火牆該做的工作了。

假設,有一台主機的 SSH 對外開放,這是很常見的。有想過它最大的風險是啥嗎?沒錯,暴力密碼猜測攻擊。基本上這類主機應該都要在 VPN 的防護之下,也許有人會說,SSH 本身已經有進行身分驗證,沒必要再用 VPN 的,以技術觀點而言,乍看之下是沒錯的,但 SSH 與 VPN 面對暴力密碼猜測攻擊也可能會有不同結果。如果再以管理觀點來說,SSH 與 VPN 卻是完全不同的,FW+SSH 的管理就不是容易的,往往都是 IT 人員的方便之門;而 VPN 等同已經有個集中管理平台了,可以知道哪個帳號登入幾次、從哪裡登入、登入的時效...等,甚至有還有許多進階功能可以強化防禦能力的,更重要的是有數據報表可以分析利用,但我還是要說,所有的 VPN 產品或軟體的報表功能還是有需要進步的地方。相較而言,VPN 可以做到的事會更多(依產品或軟體功能及特性會有不同的),挑選正確的 VPN 產品或軟體也是很重要的第一步,你準備好了嗎?

常見虛擬私有網路管理上被忽視的重大問題:
1.對現行網路架構的衝擊
這點在進行許多資安防護設備佈署時,幾乎都會忽略它的重要性,別忘了疊層架屋的結果,或者底層防護就出問題了,做再多的資安防護也是白搭;VPN 的導入會影響網路架構外,當然,資安防護也要做好因應措施,同步進行調整、佈署的。而 VPN 的佈署對網路架構衝擊最大,否則,可能外洩一個 VPN 帳密資訊,就會導致整個網路的淪陷。要思考 VPN 建立後對網路架構的影響,是可以存取所有網路還是有限制的 IP&Port 呢?是否還要搭配內部防火牆?還是有其他配套?簡單的說,VPN 建立後,可以連線哪些目標 IP 及 Port 是需要加以控管的。
2. VPN Client 軟體對 Client 端的網路控管能力
我認為這點是更重要的,假設,VPN Client 受惡意程式影響,要是再透過 VPN 連線,惡意程式透過 Client 當跳板,這樣 VPN 網路是否也淪陷了呢?或者偷到 VPN 帳密,是否等同 VPN 淪陷呢?有的 VPN 連線軟體會切斷 Client 端所有其他網路運作,且也只能限定該主機的該帳號可以連線,這些功能都需要加以考量的,要特別注意的哩。
3.帳號控管及管理方式
這點才是真正管理的精隨,除非是常態性的 VPN 建立(Site to Site for 7x24),這部分應該視為網路的接通,只是利用 VPN 的加密功能;否則,帳號控管及管理是相當重要的,避免有萬年帳號的情況。

企業虛擬私有網路管理觀念:
1.網路連線建立的來源端
當 VPN 連線建立後,來源端有哪些資源可以使用,需要加以考量,要配合 VPN 的預期目的與建置規劃作業,精確的達成目標;過與不及都不好,「不及」往往很容易發覺,而在來源端最怕是「過」,除了不容易發覺外,也會導致網路架構的大亂,因為,VPN 可能變成 Hub 大串連,所以對於來源端需要特別注意並加以控管。一定要注意來源端成為跳板的可能性,避免誤用、濫用與盜用的機會。
2.網路連線建立的目標端
當 VPN 連線建立後,目標端可以連線的 IP&Port,建議也需要加以控管,這樣會是最佳的。最好只能限定允許連線的特定目標。另外,也要注意是否有其它刺探或攻擊的機會,並能加以查覺、發現,可以考慮其他防護設備的配套,或調整入侵偵測的監控點,來補足強化。
3.依據需求選擇正確的 VPN 技術規格
VPN 的技術規格其實有很多,也很頗複雜,使用這項網路技術前,一定要多加了解。依據自身網路架構、系統需求,來選擇正確的 VPN 技術規格,一般來說網管人員會比較熟悉的。
4.網路連線建立的稽核管理制度
在「企業防火牆管理 (Enterprise Firewall Management)」一文已經有提過了,比照 Policy 方式同樣做好 VPN 帳密的管理。帳密是否有共用?是否有被盜用?是否有被濫用?都要有機制來防禦及察覺,可利用一些數據化報表及數據來協助管理;甚至,主動抽查登入記錄(或可疑記錄)並加以驗證(詢問是否確實為該使用者登入),都是有其必要性。
5.數據化的報表管理
這部分已經提過很多次,還是一句話:「資安防護設備及系統,都要產出數據化的資訊」,如果企業營運管理能把資安數據當成財務報表那樣重視,資安問題才能確實掌握。

對於 VPN 的應用,我深深的認為 VPN 更應該用在內部網路上,來保護重要的主機群。2002~2005 年間,在入侵偵測系統風行的年代,也是系統攻擊盛行時期,許多企業或單位網路架構都以「網路實體隔離」來確保網路安全性,但,所謂「網路實體隔離」卻一再的出現重大資安事件,因為,「網路實體隔離」的安全性還需要「網路基礎建設的實體保護」及「徹底做到人的控管」這些配套措施,才可能達成所謂的資訊安全。「網路實體隔離」面對 USB (通用序列匯流排)強力挑戰後,現今的新通訊技術不斷出現,有這些新技術的挑戰,「網路實體隔離」似乎已經略顯疲態,又無法有效控管使用者的存取,也無法達到確實有效的防護,你注意到了嗎?

沒有留言: