logo
 
 

 

logo TANet report 190x50p

已移往新網站 請重新登入 https://noc.tanet.edu.tw

 

網路管理資訊

Security and Control - 談Web安全閘道技術

林政雄

               

前言
來自網際網路威脅的轉變,五年以前絕大多數的惡意程式透過Email附件的方式進行傳播,而如 今,大多數的惡意程式轉由Web的方式進行傳播,更加有效率也更加難以察覺防治,以一般企業必備的防火牆來說,無法支援應用層的封包掃描及內容過濾,而且 只能防範外部駭客攻擊,卻無法控管內部使用者危險的Web行為,面對日益猖獗的Web威脅,企業需要專門性的解決方案來因應。

Web威脅問題日益嚴重
Internet的盛行與受到依賴,使得威脅的管道更加多樣化,使用者除了透過Internet收發電子郵件、與好友線上即時通訊外,Web的應用算是佔絕大宗,
不論是單純搜尋資料、上部落格抒發心情點滴、facebook玩玩遊戲紓壓,都可只透過瀏覽器完成。

Web 應用的大量成長也相對帶來更多的威脅,瀏覽網頁變成了高風險的行為,Web威脅可以在用戶毫無所覺的情形下滲入,進而造成企業或是個人資料的損失,現今的 威脅類型已不只是單單下載病毒並觸發如此單純,木馬或間諜軟體的植入、詐欺用的網路釣魚網站等,均為惡意犯罪的各項組合元素,有心人士可從中取得的龐大利 益更是難以杜絕的主要因素。

根據統計,2009年上半年全球惡意網站成長率高達233%,其中77%的比例是合法網站遭受惡意程式碼的攻 擊,研究更發現,時下蔚為流行的Web 2.0社交型網站已成為網路犯罪者與垃圾郵件業者的首要目標,竟有高達95%的部落格意見回覆為垃圾留言或惡意內容,而在諸多網路攻擊中,與資料竊取有關 的惡意程式比率已達37%,另外大量流通的垃圾郵件中,高達85.6%含有垃圾廣告網站或惡意網站連結。

圖一:網站類別的分佈

 

URL Filter(網頁分類)技術

一.了解URL Filter
URL Filter為現今網頁內容過濾技術中,使用率最高也較成熟的,該技術會將目前Internet中的主要網頁進行分類,並建立龐大的網頁分類資料庫,一般多具備數十種類別,常見的有搜尋、遊戲、色情、網頁郵件等…,
如www.google.com一般歸類於搜尋網站,www.cnn.com一般歸類於新聞網站。

而企業會選購網頁過濾產品,多半是為了處理員工生產力及頻寬問題,員工於上班時間進行網路購物、線上遊戲,生產力自然低落且若加上影音播放更是嚴重影響頻寬使用。

建 置網頁過濾產品後,當使用者欲瀏覽網頁時,將比對資料庫內容,以確認目的網頁之分類,並進行後續動作,管理者可依企業安全政策設定類別規則,並搭配時間排 程進行彈性運用,如上班時間封鎖對 “遊戲”、”金融投資” 等類別網站的流量,避免員工生產力的流失,而休息時段則適時開放。

除了員工生產力的因素外,URL Filter對惡意程式/惡意網站亦有相當的防治能力,Internet環境中暗藏許多不當網頁及惡意程式,藉以竊取企業或員工個人資料,URL Filter也可針相對類別 (Hacking/Spyware Source)予以封鎖。


圖二:URL Filter運作示意圖

    目前可搭配URL Filter技術的產品相當多,例如部分防火牆產品中可選擇啟動此功能,還有旁路式(Pass-By)的產品,透過Sniffer監聽網路封包,一旦使用 者有觸及違反安全政策的存取行為時,便可發送一個TCP重置訊息來進行封鎖,另一具備URL Filter技術的產品大宗便是Web Proxy架構的設備,將HTTP、HTTPS流量導向Proxy以進行檢查,流量導向的主要方式除了於使用者瀏覽器中明確指定Proxy的方式外 (Explicit Proxy Mode),亦可透過Router、Switch啟動WCCP,將HTTP流量重導至Proxy(Transparent Proxy Mode)。

圖三:WCCP Redirection示意圖

二.傳統URL Filter面臨的挑戰
前 面有提到URL Filter技術是將目前Internet中的主要網頁進行分類,並建立龐大的網頁分類資料庫供設備查詢,但由於URL每天都會不斷的新增與消失,所以資 料庫所涵蓋的網站數量豐富度及更新頻率便為選購的重點,因為當面對使用者存取未知的網站時,資料庫將無從比對起,需要更高頻率的更新來補強,大多數的產品 均強調每日更新,但仍可能不及應付每日數以千萬計的網站產生。

而網際網路發展至Web2.0時代,網站內容不再只是單純的文字加圖片的 敘述表達,更加強調資訊交換、協同合作、互動關係,其模式更加以使用者為中心,典型的Web2.0網站有網路社群、部落格、Wiki等類別,諸如 Facebook、Plurk、Twitter等知名社交網站就是近年熱門的代表,面對此類網站,傳統的URL Filter機制也漸漸不足以應付,網站使用者內容更新的頻率遠遠高於URL Filter資料庫的更新,當資料庫更新後,可能部落格內容亦早已變更,資料庫的更新毫無意義。


圖四:傳統URL Filter不足以應付Web2.0網站

如圖四之例,Twitter是社交網路/微網誌的代表性網站,提供使用者各自的帳號空間交換資訊、抒寫記事,因此內容可能包羅萬象千奇百怪,甚至包 含成人限定的內容,如果只是單純的將Twitter網域均列為Social Networking不僅顯得草率亦是漏洞,再者,根據統計一般URL Filter大約僅包含全球網站數量的20%,有約80%的網站是未被歸類的,其中包含個人網站或短時間使用的網站、詐騙網站等,如何因應Web2.0及 未歸類網站便是URL Filter技術的新挑戰,部分廠商提出的「即時動態內容分析技術」便應運而生。


圖五:即時動態內容分析技術協助落實政策執行

搭 配即時動態內容分析技術後,當使用者欲連結某一URL時,首先將比對靜態資料庫中是否有符合的資訊,若無即啟動即時動態內容分析,針對URL內含的關鍵 字、連結、各物件進行加總計分判斷,以納入某一網站分類,避免未知網站形成政策上的漏洞,惟此機制若不夠精準亦有可能導致誤判的情形發生。   


圖六:即時動態內容分析技術示意圖一

圖七:即時動態內容分析技術示意圖二

 

 

 

 


談SSL威脅防治
SSL簡述
SSL(Secure Sockets Layer)是使用於HTTP協定以加密Web流量,來確保瀏覽器與Web伺服器之間資料傳輸的私密性及完整性,避免有心人士進行攔截、竄改資料,常見用 於網路交易網站、銀行金融網站、Web郵件等,當使用者以瀏覽器連至 HTTPS開頭的網址時,即代表與此網站間的資料傳輸是受到加密保護的,(HTTPS是英文Secure Hyper Text Transfer Protocol的縮寫,即是SSL over HTTP的意思)。

而網站若要提供加密連線保護,則需具備SSL憑證,憑證中內含Public Key(公共金鑰)及Private Key(私密金鑰),此兩支金鑰即是用來加解密。
繪圖1.jpg圖八:透過IE瀏覽器連結HTTPS網站示意圖

SSL基本運作原理

圖九:SSL基本運作原理示意圖

  1. 使用者透過瀏覽器連結HTTPS Web Server
  2. 瀏覽器產生一個session key,並以該Web Server提供的Public Key(於伺服器憑證中)加密此session key。
  3. Web Server收到加密過的session key後,再以本身的Private Key進行解密。
  4. 當連線建立後,兩端所傳輸的資料都將以此session key進行加解密。


為什麼需要管理SSL
SSL的主要目的是要提供安全的資料傳輸環境,相對於HTTP的明碼傳輸更多了一道保障,也由於一般企業安全政策對於SSL連線相對信任寬鬆,或無相對的加解密設備可處理,所以成了有心人士的新目標。

如網頁型郵件多半都具備SSL加密,若郵件主機本身的掃毒機制不完備,就有可能依此管道感染內部網路,或內部員工以網頁郵件夾帶機密檔案發送造成洩密問題。

如 偽冒的網路釣魚網站問題,部分網路釣魚網站甚至具備完整的安全性憑證機制,再經透過Email或其他社交工程手段,使用戶誤以為連結的是正式網站 (如銀行網站),因而導致個人資料外洩,若以SSL Proxy進一步整合DLP Solution,即可在用戶上傳信用卡字號或身分證字號時予以攔截。

SSL Proxy運作原理

圖十:SSL Proxy運作原理示意圖

  1. 使用者欲連接到HTTPS網站時在SSL Proxy被終止,此時SSL Proxy相當於SSL Server的角色並提供使用者 ”Proxy本身的Public Key”。
  2. SSL Proxy再以SSL Client的角色向真實的HTTPS網站發出Request,並取得HTTPS網站的Public Key。
  3. 對照SSL基本運作原理可知,由於Proxy以 “Man-in-the-Middle(中間人)” 方式運作,具備兩端加解密使用的Session Key,因此得以檢視使用者與HTTPS網站間傳輸的資料內容,並進一步對照Policy來確認是否違反公司政策或進行惡意軟體掃描。

前面有提到,網站要提供HTTPS需要SSL憑證,一般而言此憑證是由 ”具公信力的憑證授權單位” 所發行的,如VeriSign,若使用者連結此類網站,由於瀏覽器對來自VeriSign等單位的憑證有信任關係,理應不會有任何警示訊息,但導入SSL Proxy後情況將有所改變,依SSL Proxy的運作原理可知,使用者瀏覽器實際上得到的是SSL Proxy的偽冒憑證,而非HTTPS網站的憑證,對瀏覽器來說並未具備信任關係,便會出現憑證安全性警示。
11.jpg
圖十一:IE瀏覽器內建的根憑證授權單位清單
圖十二:IE的憑證安全性警示

這 種情況對使用者就會造成莫大的困擾,以往顯示正常的網頁郵件、銀行網站紛紛顯示安全性問題,導致不敢進行下一步動作,亦無法判斷是否為偽冒網站,欲排除此 情況的做法一般就是將SSL Proxy的憑證匯入使用者瀏覽器中,使瀏覽器與SSL Proxy間具備信任關係即可,若企業具備Microsoft Active Directory環境,可嘗試透過GPO(群組原則物件)來新增網域使用者電腦的信任根憑證。

談Proxy與DLP的整合
DLP(資料外洩防護)是近來熱門的議題,市面上也有許多廠商提出眾多解 決方案,嚴格來說DLP牽扯的範圍相當廣泛,諸如機密文件加密的控管,週邊設備如USB、印表機的控管,網路行為如IM Chat、IM Transfer的控管,均屬於DLP相關範疇,尤其在網路購物個資外洩事件不斷、新版個資法三讀通過後,更使得DLP solution成為資安產品中眾所矚目的焦點。
在網路控管方面,DLP產品除了可以側錄、In-Line等方式佈建之外,亦可選擇與Proxy架構的Web閘道器整合,兩者之間透過ICAP(Internet Content Adaptation Protocol)進行連結溝通。

圖十三:Proxy與DLP整合示意圖

    一般而言,管理者透過Proxy可進行基本的HTTP行為過濾,例如禁止透過Webmail夾帶檔案,限制HTTP put method等,但難以處理進一步的要求,假設企業政策允許上傳文件,但又必須過濾文件中的機密關鍵字,抑或要防止論壇貼文造成身分證字號、信用卡卡號外 洩等,就不是只靠Proxy就可達到。
尤其HTTP為資安洩密的一大管道,經由DLP的整合,可在User request階段比對DLP政策,予以放行或封鎖,甚至依據不同區域、國家對於法規順從的要求套用相關內定規範以達到更符合需求的客製化與在地化。

結語
Anti-Spam觀念與技術的成熟下,多數企業均有相對應的設備處理來自Email的威脅,但卻沒有針對員工瀏覽網站做控管,以致Web形成安全領域中最脆弱的環節,龐大利益的驅使下,往後來自Web的惡意犯罪仍將持續成長,企業需要全方位多層次的完善解決方案。
參考資料來源:

  1. 思科官方網站 http://www.cisco.com
  2. Websense官方網站 http://www.websense.com

 

 
 

服務信箱: noc@mail.moe.gov.tw   信箱圖示