自由门代理软件成企业泄密通道

发布时间:2008-12-28

很多企业都会利用防火墙限制员工可联机     网站,但其实现     已经     很多可以自动     代理服务器联机     软件,只要安装就能轻易穿透企业防火墙     控管,使得防火墙等于形同虚设。这除     造成企业数据外泄     风险,实际上许多代理服务器本身就     恶意程序     来源。

    对于信息     员来说,员工上网行          管理,               感到头痛     问题,举例来说,很多     都使用     类似“自由门”、“无界”这样     代理软件,透过代理服务器     转接,跨过防火墙     防堵。

   “自由门”与“无界”这类软件,          种专门设计来穿透防火墙     软件,伪装成正常     HTTP联机,让安装     该种软件     使用者连上代理服务器,以代理服务器做     跳板,避过防火墙     阻挡,让使用者能够正常浏览原本被封锁阻断     网页。

   乍看之下使用这类软件并没     什么     妥,直到信息     员看到防火墙     联机记录,才发觉大事     妙。他发现,公司内使用此类软件联机出去     使用者,其联机     代理服务器很多都属于被列     黑名单          通常     管制下,只要联机到这类黑名单中     单位,轻则直接切断网络,重则会被管理单位找去喝咖啡。而无论如何,如果被管理单位通知,对于企业     营运都会造成严重     困扰。


使用代理软件可能成     企业机密外泄管道,亦     中毒风险

   上述或许          个非常极端     例子,但     这个例子却真实     呈现     许多信息          管理员工上网行               面对     痛。由于类似自由门、无界这     类代理软件     种类众多,且往往会走80或443端口等,     般网络联机就必须开放     连接端口,对于信息     员来说,根本难以阻挡。部分此类软件还会自动变更联机目     地,这也使得透过防火墙直接封锁目     地地址     做法,     这样     状况下也     事倍功半。

   对于许多原本就     上网行     规范     企业来说,员工如果使用代理软件穿越防火墙     网站管制,     传统     防护机制下网管     员往往只会看到     个正常     HTTP联机,而无法发现使用者     透过这样     方式摆脱公司     规范,进而可能成     企业内部机密外泄     管道之    

   使用这     类型     软件,所可能带来     资安风险还     仅于此。微软全球技术支持中心项目经理林宏嘉表示,他曾测试过使用Tor(     种知名     代理软件)对外联机8小时,就遭受到200多次攻击,攻击种类     型态更     五花八门,包括病毒、木马、蠕虫、SQL Injection、SMTP、Telnet 、FTP等,而这些攻击都来自于那些做     联机跳板     代理服务器。林宏嘉说:“虽然来源都     同,但     这证明          件事情,代理软件     点都     安全,而且还很     可能成     黑客进行攻击     工具。对于很多黑客来说,最麻烦          步就     怎么     企业内部植入恶意程序,而这样     手法,正好协助黑客达成这第     步。”
 

代理软件种类繁多,防堵需靠多管齐下

    由上述可知,当内部员工以代理软件由内部穿透防火墙,企业想要     效管理,并          件容易     事情。若放任     管,原          管理政策也就形同虚设,使用此类软件连网     员工,就很     可能成     企业潜          资安风险。 那么,该怎么做才能          防堵此类     受规范     联机方式呢?

    Juniper(瞻博)先进技术资深经理林佶骏表示,要     效管理此类软件,最好     方法就     从终端计算机着手,透过     些政策     制定,限制终端计算机     权限会     最好     做法。“     企业     考虑成本效益     状况下,让使用者完全     能安装软件,或     透过网络存取控制(Network Access Control,NAC)等方案,这些会     杜绝代理软件联机穿透防火墙     最好方法,但问题     于,     多少企业能够     足够     预算,或     能够切实执行?”林佶骏说。

         过,林佶骏认     ,企业若无法强制     终端计算机上做     些措施,其实若能     解员工使用     代理软件种类与原理,透过网关器端     些设定,还     能够               阻挡效果。林佶骏说:“     些代理软件,使用          固定     代理服务器网域名称,那么管理者只要从防火墙上去封锁FQDN,就可以阻断此类软件     联机。”

    林佶骏指出,所以企业如果真     想要防堵这类能够穿透防火墙规范     软件,最重要          必须先     解员工     什么要使用这样     软件?并且要     解企业做这     类管理要达到               要减少数据外泄     风险?还     要减少员工上班时间浏览网站     时间?因应     同目     ,就要使用          手段,因     目前并没          个单          软件或方案可以完全阻挡此类     软件,必须要全面性     使用          设备或方案,从网关器端、终端计算机、管理规范等各种          面向着手,才     可能达到          管理。

    如果没     办法全面性     规画,因     代理软件     种类繁多,对于企业     信息     员来说,其实     难以针对此类软件完全防堵     。除     较知名     Tor、无界、自由门、Freedom、通通通、Hamachi,以及可以远程遥控     Softether、LogMeIn、VNN等软件外,光     笔者透过网络搜寻就找到     下60种          此类软件,虽然都     透过代理服务器     方式达到穿透防火墙     效果,但每种软件     原理     做法都     相同,管理     员如果没     透过     些设备与工具,很难针对每     种软件做到完全     封锁。这也          什么,没     任何     种设备或方案能够百分之百防堵此类软件     原因。

         过,     心做好企业员工上网行     管理     企业也     用灰心,如果愿意投资,现          很多方案可以协助企业达到     定程度     上网管理,诸如NAC、员工上网行     管理设备(Employee Internet Management,EIM)、Program Control软件、IPS等,都可以达到     定效果。至于没     预算     企业,甚至透过     般企业原          防火墙     微软     AD(Active Directory)架构搭配,也能做到          管理效果。这些都     企业     面对此类问题时,可以使用     工具。

    此外,最重要          企业必须建立起     套管理     制度,要管到多严?目                    什么?这些都     必须     搭配各种配套     工具时,事先想好     重点。




小贴士:风声雨声读书声,声声入耳
                家事国事天下事,事事关心







(copy)
 以:    查找培训