Outpost Network Security - 跨國企業部門資訊安全輕鬆掌握辦公室內外網絡存取管理有法 (一)

---

 

跨國企業部門資訊安全輕鬆掌握
辦公室內外網絡存取管理有法 (一)

不少網管人員以為，安裝防火牆的最大用途，在於保障企業網絡不受來自外界的所有惡意入侵攻擊，故多著眼於重要閘道與伺服器上裝設各種保護設施；這種做法往 往忽視了企業網絡由內而外的資訊安全漏洞，同時也輕視了內聯網裡亦存在著機密資訊散佈外洩的危機。這些資訊可能是被疏忽的客戶端使用者不慎開放存取權限所 致，也有可能是由居心叵測的員工故意發放或竊取。故此，利用有效的集中管理式網絡安全系統，透過對網絡內所有伺服器與客戶端進行全盤監察與防護，是保障企 業利益的重要手段，而 Agnitum Outpost Network Security (下稱 ONS) 則是其中可靠性高、操作簡便的選擇。以下將透過實例示範，模擬企業網絡內部常見的資訊安全問題，並利用 ONS 逐一解決。

實例 1
限制部門間共享資源存取
中小型規模的企業裡，所有電腦通常會以單一內聯網形式連繫，資訊互通性自然較高，但客戶端數目則較少；相比之下，大型乃至跨國企業，其客戶端數量眾多，分 散成多個網絡及網段並以各種遠近方式連結，雖然可以透過不同軟硬件與手段作過濾與阻截，但畢竟相連接即代表存在一定危險性。若遇上部門冗多或網路分割欠 佳，同一網段下亦可能存在職權不同的多個部門，這樣出現機密外洩的可能性亦較大！

資源共享是小組協同作業時的重要渠道，但不少機密外洩個案亦是由此而起。最常見的是，即使企業設有專屬的檔案伺服器，既有專人管理亦設存取記錄，但仍有員 工貪圖便利而濫用共享資料夾 (Share Folders)，未正確或並無設定存取權限，讓機密資料的大門長開。尤其是欠缺管理的工作群組 (Workgroup) 環境下，共享資源無法局限存取者身分；即使在網域 (Domain) 環境下，亦不能確保使用者在建立存取者清單時已經過慎重考慮，因此強制性監管策略是必需的。

實例環境
個案為某中小型雜誌出版社，員工數目約 100 人，有關伺服器與客戶端之 IP 分佈如下：

IP 位置	功能
192.168.0.1	路由器
192.168.0.5	裝有 ONS 之 DNS 伺服器 / 網域控制器
192.168.0.10	打印伺服器
192.168.0.15	檔案伺服器
192.168.0.20 ~ 29	銷售部門
192.168.0.40 ~ 49	市場推廣部門
192.168.0.70 ~ 99	編輯美工部門
192.168.0.110 ~ 119	行政部門

從 以上資料可見，該公司網路架構簡單，所有伺服器與客戶端均置於同一網段，也就是說所有部門的客戶端均可互通。因應部門主管要求，日後雖然仍容許同一部門內 員工採用傳統共享資料夾方式分享檔案，以減少推行阻力，但需要阻隔所有跨部門的檔案共享；跨部門之資源分享必須透過檔案伺服器進行，以確保該資訊分享是安 全而合理的。

目標
1. 允許全數客戶端連接路由器、與幾個重要伺服器的 IP。
2. 允許同一部門內客戶端 IP 間的 NETBIOS 通訊，而限制與指定範圍外的 IP 作 NETBIOS 通訊。

 

Agnitum Command Center 伺服器端設定
針對以上情況，我們需要為 4 個部門 (銷售、市場推廣、編輯美工、及行政) 各自建立對應的 ONS 用戶組，並且對各群組建立適用的網絡安全原則，不過各原則其實也相類似，重點是實施限制存取的 IP 範圍各有不同而已，因此以下只示範針對銷售部門之操作，其餘 3 個部門之重覆操作將從略。

1. 建立銷售部門用戶組

Step 1

在 Agnitum Command Center 的用戶端電腦頁面裡「相關任務」項目中選擇「建立新組」。

Step 2

輸入用戶組名稱，例如此處輸入「銷售部門用戶組」，下面則可選擇是否引用原有的網絡安全規則，我們這裡直接引用默認組的原則，這樣只須修改與新增少許原則即可應用，省去由頭設定全盤原則的時間。

Step 3

建立新用戶組後，在「用戶端電腦」目錄下會新增了「銷售部門用戶組」的分支，點擊進入會發覺並無任何用戶端電腦在裡面。

Step 4

你可以先把其中用作測試的部分客戶端電腦，左擊滑鼠選擇「移動到 / 銷售部門用戶組」，用作測試一會將要編寫的網絡安全原則；到原則真正測試妥當無誤後，才把所有對應的客戶端添加到該用戶組中。

Step 5

完成客戶端轉移新用戶組動作後，你可以點擊該用戶組，然後從「組任務」欄中點選「配置安全設置」，正式開始添加需要的原則項目。

2. 添加限制 NETBIOS 通訊原則項目
Step 1

進入 Client Configuration Editor 後，點選局域網設置頁面。在本頁裡，你可以設定客戶端的局域網通訊限制，建立信任清單時可以選擇不同的輸入類型，其中 Domain name 則是適用於對整個網域的 IP 進行信任或阻隔，而 IP address with subnet mask 則是可以透過子網路遮罩，一口氣對一系列的 IP 進行信任或阻隔，因此局域網設置功能對於不同網絡環境下均有靈活的彈性。

Step 2

在本例中，銷售部門的客戶端僅限於與該部門的其他客戶端通訊，也就是說只限在 192.168.0.20 至 192.168.0.29 之間互通；同時，由於只需要作檔案與共用印表機等功能，因此只需允許 NetBIOS 通訊而毋須建立信任區域。點選「添加」功能，然後輸入 192.168.0.20，按增加添加到清單中，最後點選 NetBIOS 方格允許該通訊。依剛才的做法，將其餘由 192.168.0.21 到 29 的 IP 逐一輸入清單中。

Step 3

除此以外，我們亦需要將路由器、DNS 伺服器、打印伺服器及檔案伺服器的 IP 位置加入。為了讓各客戶端可自由地存取以上伺服器，以上 IP 可選擇「信任的」方格。

Step 4

最後，我們必須取消 ONS 原本已偵測到的網段 192.168.0.0 (255.255.255.0) 的 NetBIOS 選項 (或直接刪除該項)；這樣除了以上各 IP 位置外，其他同一網段下的其他 IP (即其他部門所屬之客戶端) 便無法存取本客戶端的共享資料夾。

限制 NetBIOS 通訊的優點
NetBIOS 讓客戶端能自由共用打印機、檔案分享等資源，但也導致了電腦長期處於開放狀態，相關連接埠包括 139、445 長期公開，除了有可能被盜取重要文件，也容易吸引黑客們利用此弱點進行攻擊，例如較早前發生的 Sasser 蠕蟲事件就是由此而起。因此，限制 NetBIOS 通訊埠的使用不容忽視。

3. 發佈有關新網絡安全原則
Step 1

完成有關設定後，我們可以試著將新原則發佈到測試用的用戶組去，點擊「確定」鍵，在「發佈這個配置」對話盒中輸入方便識別的編號或介紹，即會自動向外公佈。

Step 2

回到主介面後，到 Agnitum 發佈服務下的「發佈歷史記錄」檢查是否已發佈到指定的用戶組。

Step 3

現在可以到有關客戶端測試該原則是否妥當，包括測試是否允許連接至銷售部門之客戶端以共享資料夾、是否已禁止了存取其他部門之客戶端、是否能存取需要的伺服器與連結上網。

Step 4

如果一切無誤，可以將銷售部門各客戶端添加到「銷售部門用戶組」分支內，然後再點擊右方「組任務」下的「覆蓋配置」功能來強制發佈新原則。

市場推廣、編輯美工與行政部的安全原則

至於其他 3 個部門，在建立新用戶組時只需選擇複製「銷售部門用戶組」的網絡安全原則，然後把當中的部門客戶端 IP 修改即可，非常簡單快捷。另外，請緊記要配合「防止修改密碼」功能來使用，那就更相得益彰了！

限制上網時間與地點有辦法！
在下一篇文章中，我們將討論中小企網絡管理上的另一常見情況 - 限制指定電腦存取互聯網資源，當中將包含運用「全球化規則」功能與嘗試動手撰寫規則內容，敬請留意。