台灣
RSS
Outpost Network Security - 跨國企業部門資訊安全輕鬆掌握辦公室內外網絡存取管理有法 (二)
跨國企業部門資訊安全輕鬆掌握
辦公室內外網絡存取管理有法 (二)
上一篇文章中,我們討論過企業如何利用 Outpost Network Security (下稱 ONS) 來限制不同部門間客戶端,透過共享資料夾的漏洞來非法存取機密資料;在本篇文章中 ,我們將從內聯網跳至互聯網的範疇,嘗試利用 ONS 的集中管理式網絡安全系統營合企業需要,限制指定部門存取不必要的互聯網資源,並以高度彈性處理某些突發性存取需要。
實例 2
彈性限制與開放互聯網存取權限
互聯網是現今資訊的最重要溝通渠道,但也同時成為了機密竊取與散播的主要途徑。對企業來說,管理人員必須能正面地讓互聯網促進業務發展,也要限制員工們停 止各種不恰當的網絡存取動作,這目標就變得非常重要。不少企業類型對資訊安全的敏感性較高,例如銀行金融業、出版報業等,管理人員其實可針對一些日常毋需 聯繫外界網絡的部門,利用 ONS 對其客戶端電腦採取限制存取互聯網的政策,有需要時可透過指定終端機連結上網,並透過防火牆記錄有關上網動作,這樣既可提高資訊安全的水準,亦可減少對員 工日常工作的影響。
資源共享是小組協同作業時的重要渠道,但不少機密外洩個案亦是由此而起。最常見的是,即使企業設有專屬的檔案伺服器,既有專人管理亦設存取記錄,但仍有員 工貪圖便利而濫用共享資料夾 (Share Folders),未正確或並無設定存取權限,讓機密資料的大門長開。尤其是欠缺管理的工作群組 (Workgroup) 環境下,共享資源無法局限存取者身分;即使在網域 (Domain) 環境下,亦不能確保使用者在建立存取者清單時已經過慎重考慮,因此強制性監管策略是必需的。
實例環境
某金融投資公司約有員工 70 人,日常工作涉及大量客戶的帳戶資料,有關伺服器與客戶端之 IP 分佈如下:
| IP 位置 | 功能 |
| 192.168.0.1 | 路由器 |
| 192.168.0.7 | 打印伺服器 |
| 192.168.0.8 | 檔案伺服器 |
| 192.168.0.9 | 裝有 ONS 之 DNS 伺服器 / 網域控制器 |
| 192.168.0.10 | 電郵伺服器 |
| 192.168.0.13 ~ 26 | 行政部門 |
| 192.168.0.27 ~ 35 | 人事部門 |
| 192.168.0.36 ~ 40 | 市場推廣部門 |
| 192.168.0.50 ~ 86 | 銷售與顧客服務部門 |
| 192.168.0.88 ~ 90 | 備用電腦 |
為 確保客戶資料安全,管理人員決意落實限制互聯網的存取權限。多個指定部門,包括行政部門及人事部門,由於日常工作毋須依賴互聯網收發訊息與存取文件,各客 戶端將全日禁止直接連結上網;遇上特殊情況,可利用受網管人員監察的指定客戶端電腦 (IP 位置為 192.168.0.88 ~ 90) 處理緊急事務。其他部門,包括銷售與顧客服務部門與市場推廣部門,由於工作性質所需,限制則縮減至只對非工作時間內 (1800pm - 0859am) 攔截所有互聯網存取動作。
目標
- 限制「行政部門」與「人事部門之客戶端」之客戶端 (192.168.0.13~35) 無法連結至互聯網,即限制 TCP 與 UDP 封包傳送。
- 限制指定「市場推廣部門」與「銷售與顧客服務部門」之客戶端 (192.168.0.36~86) 只能於工作日 0900 至 1759 存取互聯網,其餘時間則進行封鎖。
- 開設 3 台電腦作緊急存取互聯網之用,並設定防火牆對其所有存取動作加以詳細記錄。
行政部與人事部的設定 - 完全限制互聯網存取動作
針對以上情況,我們需要為設立 3 個不同的 ONS 用戶組,分別是「行政部與人事部」組別、「市場推廣部與銷售顧客服務部」組別、與「互聯網應用客戶端」組別,並且對各群組建立適用的網絡安全原則,以下我們將逐一解說各安全原則的內容與設置方法。
1. 建立「行政部與人事部」用戶組
Step 1
在 Agnitum Command Center 的用戶端電腦頁面裡「相關任務」項目中選擇「建立新組」。
Step 2
輸入用戶組名稱,例如此處輸入「行政部與人事部」,這裡直接引用默認組的原則,這樣只須修改與新增少許原則即可應用,省去由頭設定全盤原則的時間。
Step 3
建立新用戶組後,在「用戶端電腦」目錄下會新增了「行政部與人事部」的分支,你可以先把其中用作測試的部分客戶端電腦,左擊滑鼠選擇「移動到 / 行政部與人事部」,用作測試一會將要編寫的網絡安全原則;到原則真正測試妥當無誤後,才把所有對應的客戶端添加到該用戶組中。
Step 4
完成客戶端轉移新用戶組動作後,你可以點擊該用戶組,然後從「組任務」欄中點選「配置安全設置」,正式開始添加需要的原則項目。
2. 建立限制互聯網存取全球化規則
Step 1
進入客戶配置編輯器後,點選「全球化規則」頁面。在這裡已預設了 10 條全球化規則,包括了針對日常應用的 DNS Resolve、DHCP、本地 TCP 及 RPC 等工作的規則,還可以手動添加或修改。利用「全球化規則」,你可以宏觀地對客戶端內所有軟件的網絡存取動作設定普遍性的規則,而省去利用「應用程式規則」 或「局域網設置」等其他設定功能逐一針對性地配置,非常方便。
Step 2
針對我們的目標,我們需要限制「行政部與人事部」用戶組連結至互聯網,因此我們需要限制用戶組內所有客戶端的 TCP 與 UDP 封包傳送。點擊「添加」按鍵增加規則。
拉線方式請參考 draw2.jpg
- 處理事件窗格
- 反應動作窗格
- 規則描述窗格
- 規則名稱窗格
這裡可以選擇發動該規則的事件條件,6 種類型包括訊息收發的位置、通過的連接埠、及訊息傳送的方向。
這裡可以選擇由事件引發的反應動作,包含 7 種不同的動作可配搭使用。
這裡會顯示出已選擇的事件與動作所組合成的規則內容,某些條件式中可以自訂相關數值,只要點擊當中的藍字即可。
在此系統會自動依規則內容建立規則名稱,但你亦可自行訂定更清晰的解說名稱。
Step 3
預設情況下,規則的假設處理事件為「如果通訊協定是 TCP」,而反應動作則為「允許」。我們需要把動作改為「攔截」,並把「將這個規則設為高優先權」選項點取。
高優先權選項的應用
只要把該規則設定為「將這個規則設為高優先權」,該規則就會在所有規則中具有最優先處理的特權;即使在多個規則間存在矛盾,程式仍會依此規則為應對動作的最高標準。
Step 4
點擊「確定」後會彈出警告視窗,原來我們並未選擇攔截的通訊方向!在事件視窗中再選取「如果 方位是」選項,然後在規則描述窗格中點擊「和 方位是 未定義」。
Step 5
把方向選擇為「對外連接」,這樣所有從客戶端發送至互聯網的對外 TCP 通訊均會被攔截。
Step 6
好!我們已經設定好對 TCP 通訊的攔截,該規則名稱為「*攔截 對外 TCP」。至於 UDP 通訊的攔截規則,只要點擊剛建立的規則再按「複製」,就能複製出剛才規則的內容來設定新規則。
Step 7
點擊新複製出來的規則「*攔截 對外 TCP #100」規則,選「編輯」功能。在編輯規則視窗中,我們點擊規則描述窗口中的「如果通訊協定是 TCP」,把 TCP 改為 UDP,這樣就建立了全新的「*攔截 對外 UDP」規則,是不是很方便?
Step 8
接下來我們將規則發佈出去,有關發佈程序請參考《辦公室內外網絡存取管理有法 (一)》中步驟,在此略過。
檢視「行政部與人事部」用戶組客戶端情況
發佈規則後,檢視一下客戶端上的新安全規則是否正常執行。如果規則正常執行,效果如下:
客戶端依然能正常連結至區域網中所有伺服器與其他客戶端。
無論透過網址或 IP,試圖連結至互聯網的存取動作均無法實行。
即使是 IE 以外的其他網絡程式,亦出現無法連接的情況。
如果以上情況出現,就表示規則成功發佈與運行了!現在,你可以把「行政部與人事部」其餘客戶端均加入到該用戶組中。
市場推廣部與銷售顧客服務部的設定 - 限制互聯網存取時段
至於「市場推廣部門」與「銷售與顧客服務部門」,我們亦可同樣利用全球化規則來訂定時段式的互聯網存取限制,首先我們需要建立「市場推廣部與銷售顧客服務部」用戶組,並把有關客戶端電腦加入該用戶組內,方法如上,在此略過。
Step 1
同樣地進入「客戶配置編輯器」中的「全球化規則」頁面,在這裡選擇「添加」規則。
Step 2
在規則內容中對 TCP 協定進行「攔截」並「標記成高優先次序的規則」,基本內容與「行政部與人事部」的安全原則相同,不過在此我們需要多加上「活躍的時段是」條件。
Step 3
點擊「活躍的時段是」條件中的數值,進入「活動排程」視窗中,我們可以在此設定限制上網的時段。首先設定星期一至五工作天的限制時間,即「工作天」中的「上午12:00:00」至「上午08:59:59」,然後點選「新增」鍵。
Step 4
然後再把「工作天」中的「下午6:00:00」至「下午11:59:59」加進清單中,這樣星期一至五的「朝九晚六」時間外的互聯網通訊便全數封鎖。
Step 5
至於星期六與星期日,在設定中則統稱為「週末」。若是採用五天工作制的公司,可選擇「週末」的「所有時間」也加進清單中;否則則需要將星期六也獨立設定限制時段。
Step 6
完成後,TCP 攔截規則的有關條件與對應動作已設定好,請複製規則並修改成 UDP 攔截規則。這樣所有全球化規則已設定好,可以向用戶組直接發發佈了。
檢視「市場推廣部與銷售顧客服務部」用戶組客戶端情況
發佈規則後,檢視一下客戶端上的新安全規則是否正常執行。如果規則正常執行,效果如下:
在工作天朝九晚五情況下,所有互聯網活動能正常運作。
一旦到達 6 時以後,上網活動立刻被攔截。
檢視 Outpost Network Security Client,會見到所有 TCP 與 UDP 通訊均被停止。
如果以上情況出現,就表示規則成功發佈與運行。我們現在已弄好了 2 個最重要的用戶組,現在只欠用於緊急情況的「互聯網應用客戶端」用戶組。
互聯網應用客戶端的設定 - 紀錄檔的使用
最後,我們需要開放 192.168.0.88 ~ 90 的三台備用電腦作為緊急使用的「互聯網應用客戶端」用戶組,這三台電腦的上網活動完全受系統管理員的監察,有關設定如下:
Step 1
同樣地先建立用戶組名稱,然後把測試用客戶端移入該組中。
Step 2
進入該用戶組的「客戶配置編輯器」中,這次我們不用設置全球化規則來限制上網活動,而是透過日誌對它的所有網絡活動作全面紀錄。點擊進入「日誌清除」頁面。
Step 3
點選「保存所有記錄」,這樣「互聯網應用客戶端」用戶組內的三台電腦就不會因為日誌記錄過大或超過容許的日數而自動刪除舊內容。
Step 4
完成後直接進行發佈,現在我們可以到三台備用電腦上檢視紀錄的收錄情況。
檢視「互聯網應用客戶端」用戶組客戶端情況
由於記錄檔是直接儲存在客戶端上,因此管理人員需要每隔一段時到客戶端上存取記錄檔,有需要的話亦可匯出檔案來作詳細檢視。
進入客戶端,你可以從「工具 / 紀錄檢視器」中檢視該客戶端的所有上網記錄。
日誌檢視器的主畫面,在左方的樹狀清單中已把所有不同類別的網絡活動分類整理好,只要直接點擊類別的就能逐一檢視細項。
例如檢視該客戶端曾經瀏覽過的網頁,與存取了多少資料,就可以透過「允許連接」項目下的「網頁記錄」看得到。
至於「攻擊偵測」項目下的「可疑封包」,則可以詳細記錄有被入侵攻擊的可疑動作,方便管理人員評估受攻擊情況而作出相應描施。
如果想要把記錄備份下來,只要點擊「檔案 / 匯出」功能,就能夠把記錄輸出成純文字檔。
若有需要,可以利用「我的最愛」功能,把經常需要檢查的項目都列入其中,這樣只要進入「我的最愛」頁面就能篩選出需要的紀錄來看。
Outpost Network Security 彈性充足,滿足各類企業需要
Outpost Network Security 能夠因應各種環境需要,透過多個用戶組的建立來設置多組安全規則,做到中央統一管理卻能彈性應付不同狀況,對管理人員來說無疑是理想的網管工具!以上例子 僅利用了 ONS 的少量功能,想知道更詳細的應用實況?何不立刻下載 30 天免費試用版來親身領會?
