2011年12月29日 星期四

透過 TAP 增進網路安全


企業不斷地增進網路安全建設以面對內在及外在的安全威脅。網路安全解決方案的成效和成本也是不停地被評估著的。本文介紹了如何搭配網路資安探測器(Network Security Probe)和網路分流器(Network TAP)來提高可見度和備援能力,同時降低解決方案的複雜性和成本。

傳統的網路安全
網路安全專家的任務是確保數據資料在穿越網路和保存在伺服器的安全。這些專家使用特製的探測器或入侵偵測系統,來監測和分析網路流量的潛在威脅。這種作法,無論在技術上或經濟上,都無法在整個網路佈放多個探測器。此外,管理大量的安全探測器和警報訊息就足以耗盡原本的生產力。有個比較實際的做法是確認網路中哪裡存在最機密的訊息、網路漏洞何在,然後在重要訊息和其儲存設備周圍擺放保護措施。下面圖片說明了一個常見的網路拓撲。
圖一:網路拓撲示意圖

傳統上,網安專家最主要的關注都放在由未授權用戶來的外部威脅。安全探測器就放置在外部網路出口處,也就是(圖一)防火牆和Router 2 之間。探測器監看和分析進出的流量,並在防火牆內攔截惡意流量。

而時至今日,專家們還擔心內部授權用戶的威脅。授權用戶可以透過 VPN 存取網路,而 VPN 端點通常都已在防火牆之後。必須在網路內部,部署安全探測器來解決這些內部威脅。

在大多數組織中,機密資訊儲存在特定的伺服器。機密資訊包含了公司財務資料、員工密碼、員工身份證字號、客戶聯絡資料、以及客戶信用卡資料等等。這些儲存資料的伺服器通常都放在網路的核心處。(圖二)描述了可以將安全探測器放置在網路中何處以保護網路免於外部和內部威脅。
圖二:探測器建置圖(使用Port Mirror)

在這個例子裡,Probe 1 監看 Firewal l和 Router 2 之間的網路進出流量。Probe 2 監看 Switch 1 和 Router 2 之間的使用者流量,而 Probe 3 則是監看 Server 1 的流量,在這個例子中,Server 1 是公司機密資料的儲存處。

本例中,各 Probe 均透過 "Port Mirror” 來取得網路流量。Port Mirror 在網路交換器或路由器是很普遍的功能,那是透過軟體的方式建立網路設備內部的連線。Port Mirror 會將網路設備上被指定的埠口(們)的流量複製至另一指定輸出埠口。當 Probe 連接至此輸出埠,理論上就可以看到所有被指定埠的網路流量。
本例中,各 Probe 均透過 "Port Mirror” 來取得網路流量。Port Mirror 在網路交換器或路由器是很普遍的功能,那是透過軟體的方式建立網路設備內部的連線。Port Mirror 會將網路設備上被指定的埠口(們)的流量複製至另一指定輸出埠口。當 Probe 連接至此輸出埠,理論上就可以看到所有被指定埠的網路流量。

Port Mirror 的缺點
使用 Port Mirror 的好處是此功能內建於網路設備就能看到通過交換器的流量,但是它還是有其缺點存在的。
 
許多網路安全專家會使用 Port Mirror,但是卻沒注意到並不是100%的流量都被複製到輸出埠。因為Port Mirror是透過軟體達成的,所以當交換器擁塞時,複製的流量可能會有封包遺失的狀況。一旦封包遺失,Probe 就無法得到網路流量的全貌,安全性也就可能受到威脅。

Port Mirror 是在交換器管理軟體中設定的。而錯誤的設定可能導致網路擁塞,更甚者,Port Mirror 可能會意外地或是故意地被關閉。這種可以從遠端將傳送給 Probe 的流量關閉的功能,會是一個隱憂。

通常,在公司的組織中,都會有不同的部門或群組需要存取網路。IT部門可能會想要監看網路流量以協助進行網路和應用程式的障礙排除。法務組可能需要提供稽核者網路流量的存取能力以確保符合財務、HIPPA 或是 PCI 法規。但,網路交換器或路由器通常只提供有限幾個埠口的 Port Mirror 能力,所以另外的安全小組可能就沒有可用的 Port Mirror 了。

使用網路分流器吧!
網路分流器(TAP, Test Access Point)可將網路流量複製至Probe和其他設備。用網路分流器取代Port Mirror,可以避免Port Mirror的相關限制:交換器擁塞時會造成封包遺失、mirror設定錯誤、以及遠端關閉mirror。網路分流器的設計,也讓其本身避免成為網路的故障點—即使失去電力,網路鏈結上的流量依舊會繼續傳輸。網路分流器亦可將半雙工的流量彙集到一個網路監看埠,然後傳送給Probe;同時網路分流器上的緩衝設計,也可以用來因應網路上突來的巨大流量。

網路分流器可以任意擺放在想要監看流量的位置。再回到先前的範例,分流器可以擺放在 Firewall 和 Router 2 之間監看進出網路的流量、Switch 1 和 Router 2 之間監看使用者的流量以及 Switch 2 和 Server 1 之間監看伺服器流量,然後將 Probe 連接至分流器。如圖三所示。
圖三:探測器建置圖(使用網路分流器)

彙集式網路分流器(Aggregation TAP)將Probe數量最小化
彙集器(Aggregator),亦就是彙集式網路分流器(Aggregation TAP),是一台可以將許多份輸入流量聚合成一份輸出的設備。透過彙集器,將數個在線型 TAP 的流量彙合,就可以減少 Probe 的使用個數。只需一台Probe來分析這彙合後的流量,就可以取代每個 TAP 配一台 Probe 的配置。使用彙集器時,只需注意輸入流量的總合要小於輸出的頻寬。因此,在線型 TAP 加上彙集器,在低網路使用率的狀況下,是一個經濟實惠的解決方案。只需一台 Probe 就可以監看彙合後的多個位置的網路流量,如此可以最大化每台 Probe 的產出價值,同時亦將購置 Probe 的成本最小化。
 
圖四:彙合多個TAP的流量到一台Probe

複製式網路分流器(SPAN TAP)提高備援力複製式網路分流器(SPAN TAP),或是重製式網路分流器(Regeneration TAP),可以產生監看流量的相同副本,如此一來,就可以讓多台 Probe 分析到相同的網路流量。SPAN TAP 的應用包括了建置具備援能力的安全探測器,假設其中一台失效了,備用的 Probe 可以直接接手安全監控的任務。SPAN TAP 在有多台設備需要取用同樣的網路流量的情況下,也是相當有幫助的,例如:同時使用網路分析儀、應用程式效能分析系統、封包擷取側錄等。每台設備都可以取用這些流量內容,而且不必耗用交換器或其他設備的資源,如圖五所示。
圖五:將相同流量給多台設備使用

結語
對每個企業組織來講,避免從內到外的網路安全威脅都是非常重要的。安全探測器結合網路分流器來監看分析網路流量是網路安全專家通常採用的建置方式。網路分流器是可信賴的,而永遠在線、容易安裝,又可以避免使用 Port Mirror 的限制。彙集式網路分流器將多個位置的網路流量彙合在一起,可以有效地簡化並降低網路安全系統的建置和成本。而複製式網路分流器則可以提高安全探測器的備援性,並且讓公司內不同部門的不同需求的儀器設備都可以同時取用這些網路流量。

沒有留言: