米明

摘要：利用所有終端設備存取網(wǎng)絡時皆會發(fā)出DNS 查詢封包的特性，建置DNS Proxy 來負責對DNS 查詢封包的響應，當不符合企業(yè)信息安全政策的終端設備發(fā)出DNS 查詢封包時，DNS Proxy 會回應特殊的IP，告知上網(wǎng)控制發(fā)生的原因；該設計最大的特點在于內(nèi)網(wǎng)的存取同樣可受控制，建置成本相對Proxy 之下顯得更符合經(jīng)濟效益，反應時間更為迅速，能告知使用者更精確的信息；基于上述理由提出以DNS 封包為基礎的自動化上網(wǎng)控制機制。

關鍵詞： 網(wǎng)絡存取控制；防火墻；代理服務器；DNS 代理服務器；黑白名單產(chǎn)生器；政策服務器；入侵防御系統(tǒng)

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2015）02-0023-03

Abstract：All will be issued when all terminal devices use DNS query packet access network features， build DNS Proxy responsible response to a DNS query packet， when not in line with corporate information security policy of the terminal device sends a DNS query packets， DNS Proxy will respond special's IP， inform occurs because Internet control； the biggest feature of this design is that the intranet access the same may be controlled， under Proxy implementation costs appear relatively more economical， faster response time， can inform the user more precise information； For these reasons we propose to DNS packet-based automated access control mechanisms.

Key words：NAC； firewall； proxy； DNS Proxy； generator； policy server； IPS

1 前言

在黑客攻擊事件愈來愈多的今天，凡是擁有能連上因特網(wǎng)計算機設備的企業(yè)，大多逐漸意識到信息安全的重要性；計算機雖然帶給企業(yè)很大的方便、提升企業(yè)經(jīng)營的效率、甚或帶進更大的獲益營收；但若疏于管理，讓有信息安全疑慮上的計算機連上網(wǎng)絡，企業(yè)就很可能成為受攻擊的標的，鑒于今日黑客的諸多手段及戰(zhàn)術，一旦有計算機設備被入侵，將可能帶給企業(yè)難以衡量的損失。

在今日信息安全的領域上，一臺計算機的信息安全性指數(shù)通常是指有關信息安全方面的項目有無正確被設定或被實施，諸如賬戶有無適當保護、系統(tǒng)有無啟動適當稽核機制、有無安裝防病毒軟件及更新病毒特征等等都是可納入考慮的范圍；當然基于企業(yè)特性的差異，個別企業(yè)通常都會制定一套自己要施行的信息安全規(guī)范，而若想要落實定期查核的工作，一只可植入計算機的代理程序也就成為必需的工具，畢竟當計算機數(shù)量超過某一范圍時，想利用人工完成這些事情并不實際。

針對已擁有可收集信息安全相關信息的代理程序（Agent）的企業(yè)，探討可以采取何種部署架構或運作機制來協(xié)助達成一個特定的管理上目標，當有計算機設備不符合企業(yè)自定的信息安全規(guī)范時，為了信息安全上的考慮或者懲罰性的因素，企業(yè)能以何種方式來達成自動化上網(wǎng)控制的目的。

2 上網(wǎng)控制的發(fā)展歷史

本文著重于自動化上網(wǎng)控制，此處簡單介紹從代理程序（Agent）出現(xiàn)后的相關發(fā)展；代理程序在前端負責收集計算機相關信息，后端對應的是儲存終端設備信息的資料庫和名單列表產(chǎn)生器，此列表產(chǎn)生器的主要功用就是定時產(chǎn)出允許存取網(wǎng)絡或者拒絕存取網(wǎng)絡的名單，定時將其送至存取因特網(wǎng)的網(wǎng)關上。

最先的上網(wǎng)控制方式，應是選擇防火墻或者代理服務器來實作，因為它原先的設計就包含有名單的概念，所以將名單列表產(chǎn)生器定時產(chǎn)出的名單列表傳輸至這些設備，就形成了比較早期的控制機制。

另一方面，因為有代理程序的存在，有些架構的設計就希望能直接擴充代理程序的功能，讓它不只是單純收集信息，還能接受來自政策服務器的指令，由代理程序本身直接進行計算機存取網(wǎng)絡行為的控制，無須建置或維護名單列表產(chǎn)生器，這也是是上網(wǎng)控制發(fā)展歷史中曾被提出的解決方案；但該法須時常更新所有終端設備的控制政策，容易有反應時間過長的疑慮。

3 防火墻或者Proxy 可能遭遇的瓶頸

防火墻和 Proxy 的上網(wǎng)控制方式可概分為三種，第一種于參數(shù)中表列所有黑白名單，第二種利用內(nèi)建的程序模塊去讀取特定格式的黑白名單列表，第三種則是呼叫外部程序來進行黑白名單判別的工作；此處黑白名單通常代表拒絕的名單及允許的名單。這三種方式各有其局限性，第一種以參數(shù)中列表方式執(zhí)行，不適合儲存大量的黑白名單，因為此舉可能會造成參數(shù)變得相當龐大，不利于定期重新編輯或重載；第二種或第三種以呼叫程序判別，但其響應只能是對或錯，無法響應特定代碼以區(qū)分不同的錯誤信息，而且當很多使用者同時發(fā)出需求時，單一程序須一直被重復呼叫并啟動，故須考慮其承受能力或者反應時間等等。

至于利用建置多臺設備的方式來分散其工作量，須考慮建置成本的問題，因防火墻設備或者代理服務器設備通常價格較高，或者管理者也可選擇自行建置，但須顧慮效率、穩(wěn)定度等的因素，故通常等級較高的硬件才能符合需求；而且也必須考慮適用性問題，也就是考慮這些設備原先設計的目的為何。防火墻主要功用在于管制某些來源地址對某些目的地址的協(xié)議及服務，扮演類似于大門守門員的腳色，Proxy 主要功用則是幫助設定它為代理服務器的終端設備先行存取特定信息，然后供利用它的用戶來進行數(shù)據(jù)快取的動作，扮演類似于貨物集中站的腳色。

考慮上述防火墻和Proxy 的特性，顯然它們無法對企業(yè)內(nèi)網(wǎng)（Intranet）的存取進行合適的管制，因而容易造成管理上的缺失；受到管制的名單，通常代表此終端設備的現(xiàn)況違反企業(yè)訂定的信息安全規(guī)范，在有信息安全疑慮的狀況下，若未管制對網(wǎng)絡的存取，極容易造成信息安全上的漏洞。

利用防火墻或者 Proxy 進行控制也有它合適施行的情況。例如，當需管制的終端設備數(shù)量較少時，代表須儲存的黑白名單數(shù)量也較少，重新編輯或重載參數(shù)造成的負擔也就比較合理，或者呼叫程序模塊判別時也能得到迅速的反應，在此情況防火墻或者Proxy 也不失為能滿足需求的解決方案。

4 提出已DNS 封包為基礎的管制架構

考慮建置成本及反應時間這兩大因素，提出另一種控制機制；利用所有終端設備存取網(wǎng)絡時皆會發(fā)出DNS 查詢封包的特性，建置DNS Proxy 來攔截此類型封包，然后依據(jù)其來源地址來決定回復DNS 查詢的內(nèi)容；

如果它屬于合法名單，就回復它正確的 DNS 解答，如果它屬于非法名單，可依據(jù)它為何位于非法名單的原因，回復它不同的DNS 解答，當使用者打開瀏覽器時，不同的DNS 解答代表能被轉(zhuǎn)不同的網(wǎng)頁，進而告知使用者不同的警示信息，讓使用者能更清楚自己被控制的原因，方便使用者對自己設備的狀況進行后續(xù)的處置，以期能符合企業(yè)訂定的信息安全規(guī)范。

此架構具有幾項優(yōu)勢，首先，它同時可以管制內(nèi)外網(wǎng)的存取，因為只要不符合企業(yè)信息安全規(guī)范，被歸屬于黑名單，因此回給它的DNS 解答可以是自定的虛假IP；第二，它只是扮演類似DNS 中介者的角色，無須負擔DNS 的解析功能，所以對硬件等級的要求不高，在建置成本上花費較少；第三，由于建置成本較低，可彈性部署多臺來扮演DNS 中介者的角色，而且每一臺DNS 中介者雖然只有一只程序模塊來擔任業(yè)務窗口，但它可以以服務的形式存在，并且只是負責輸出入的轉(zhuǎn)手，它所衍生的諸多線程才是真正負責產(chǎn)生響應的地方，所以他的反應速度能夠非常迅速。

由表1可知，藉由代理程序本身實施上網(wǎng)控制似乎也是一個不錯的選擇，但它除了需要投入花費巨大的平臺開發(fā)及功能測試外，其所具有的控制功能也容易和計算機設備本身所擁有的防火墻功能相互抵觸或引發(fā)沖突，導致非預期的管理風險產(chǎn)生，這是導入此架構需謹慎考慮之處。

6 上網(wǎng)控制發(fā)展的趨勢

隨著信息安全被日益重視的今天，信息廠商也提出了許多更新或更完整的解決方案，希望能提供更全面、更主動的防御機制，例如與IPS 的整合，透過IPS 的監(jiān)測，找出違反公司信息安全政策的端點，對其進行管制的動作。

另有解決方案是與具備802.1X 能力的設備結合，讓設備存取網(wǎng)絡前一定需經(jīng)過身分認證的程序；或者建置DHCP 服務器，當不符合信息安全規(guī)范的設備存取網(wǎng)絡時，給予一個特殊的IP 讓其無法存取網(wǎng)絡；或者與分散于各地，但與終端設備最接近的交換器整合，讓管理員能將有問題的計算機限制在最小的存取區(qū)域，但此法也代表須更新眾多網(wǎng)絡設備才能達到這樣的功能，建置的成本成為考慮的重點。

以上總趨勢或發(fā)展，都是希望能早一步將有問題的計算機隔離于正常的企業(yè)網(wǎng)絡之外，避免對企業(yè)的信息安全造成傷害。

7 結論

在上網(wǎng)控制（NAC）逐漸成為重要議題的今天，信息安全廠商也紛紛提出許多新的架構或者發(fā)展新的設備；但其實NAC 并無一定的標準，規(guī)定必須達到那些功能才算是符合NAC的標準。

所以當規(guī)劃導入NAC 時，決策分析者應該要能熟悉整個網(wǎng)絡的建置架構、了解許多網(wǎng)絡設備的特性及兼容性、現(xiàn)階段想要或可達成的控制目標、須異動或配合的事項甚至企業(yè)愿意為它投入的成本都須一并納入考慮，才能提供較好的解決方案，達到強化企業(yè)信息安全的目標。

參考文獻：

[1] NAC 的技術新趨勢，iThome 技術專題.

http：//www.ithome.com.tw/itadm/article.php？c=46194&s=3

[2] 企業(yè)導入 NAC 的四大部署模式，iThome 技術專題.

http：//www.ithome.com.tw/itadm/article.php？c=46194&s=6

[3] Network Security， McAfee.

http：//www.mcafee.com/us/products/network-access-control.aspx