VPN 自由门 代理软件，如何成企业泄密通道？

爱黑武

作者：IT168 小庄   
【IT168 信息化】很多企业都会利用防火墙限制员工可联机的网站，但其实现在已经有很多可以自动和代理服务器联机的软件，只要安装就能轻易穿透企业防火墙的控管，使得防火墙等于形同虚设。这除了造成企业数据外泄的风险，实际上许多代理服务器本身就是恶意程序的来源。
    对于信息人员来说，员工上网行为的管理，一向是令人感到头痛的问题，举例来说，很多人都使用了类似“自由门”、“无界”这样的代理软件，透过代理服务器的转接，跨过防火墙的防堵。
   “自由门”与“无界”这类软件，是一种专门设计来穿透防火墙的软件，伪装成正常的HTTP联机，让安装有该种软件的使用者连上代理服务器，以代理服务器做为跳板，避过防火墙的阻挡，让使用者能够正常浏览原本被封锁阻断的网页。
   乍看之下使用这类软件并没有什么不妥，直到信息人员看到防火墙的联机记录，才发觉大事不妙。他发现，公司内使用此类软件联机出去的使用者，其联机的代理服务器很多都属于被列为黑名单的。在通常的管制下，只要联机到这类黑名单中的单位，轻则直接切断网络，重则会被管理单位找去喝咖啡。而无论如何，如果被管理单位通知，对于企业的营运都会造成严重的困扰。
使用代理软件可能成为企业机密外泄管道，亦有中毒风险
   上述或许是一个非常极端的例子，但是这个例子却真实的呈现了许多信息人员在管理员工上网行为时不得不面对的痛。由于类似自由门、无界这一类代理软件的种类众多，且往往会走80或443端口等，一般网络联机就必须开放的连接端口，对于信息人员来说，根本难以阻挡。部分此类软件还会自动变更联机目的地，这也使得透过防火墙直接封锁目的地地址的做法，在这样的状况下也是事倍功半。
   对于许多原本就有上网行为规范的企业来说，员工如果使用代理软件穿越防火墙的网站管制，在传统的防护机制下网管人员往往只会看到一个正常的HTTP联机，而无法发现使用者是透过这样的方式摆脱公司的规范，进而可能成为企业内部机密外泄的管道之一。
   使用这一类型的软件，所可能带来的资安风险还不仅于此。微软全球技术支持中心项目经理林宏嘉表示，他曾测试过使用Tor（一种知名的代理软件）对外联机8小时，就遭受到200多次攻击，攻击种类和型态更是五花八门，包括病毒、木马、蠕虫、SQL Injection、SMTP、Telnet 、FTP等，而这些攻击都来自于那些做为联机跳板的代理服务器。林宏嘉说：“虽然来源都不同，但是这证明了一件事情，代理软件一点都不安全，而且还很有可能成为黑客进行攻击的工具。对于很多黑客来说，最麻烦的第一步就是怎么在企业内部植入恶意程序，而这样的手法，正好协助黑客达成这第一步。”

代理软件种类繁多，防堵需靠多管齐下
    由上述可知，当内部员工以代理软件由内部穿透防火墙，企业想要有效管理，并不是件容易的事情。若放任不管，原有的管理政策也就形同虚设，使用此类软件连网的员工，就很有可能成为企业潜在的资安风险。 那么，该怎么做才能有效的防堵此类不受规范的联机方式呢？
    Juniper（瞻博）先进技术资深经理林佶骏表示，要有效管理此类软件，最好的方法就是从终端计算机着手，透过一些政策的制定，限制终端计算机的权限会是最好的做法。“在企业不考虑成本效益的状况下，让使用者完全不能安装软件，或是透过网络存取控制（Network Access Control，NAC）等方案，这些会是杜绝代理软件联机穿透防火墙的最好方法，但问题在于，有多少企业能够有足够的预算，或是能够切实执行？”林佶骏说。
    不过，林佶骏认为，企业若无法强制在终端计算机上做一些措施，其实若能了解员工使用的代理软件种类与原理，透过网关器端一些设定，还是能够有一定的阻挡效果。林佶骏说：“有些代理软件，使用的是固定的代理服务器网域名称，那么管理者只要从防火墙上去封锁FQDN，就可以阻断此类软件的联机。”
    林佶骏指出，所以企业如果真的想要防堵这类能够穿透防火墙规范的软件，最重要的是必须先了解员工为什么要使用这样的软件？并且要了解企业做这一类管理要达到的目的：是要减少数据外泄的风险？还是要减少员工上班时间浏览网站的时间？因应不同目的，就要使用不同的手段，因为目前并没有一个单一的软件或方案可以完全阻挡此类的软件，必须要全面性的使用不同的设备或方案，从网关器端、终端计算机、管理规范等各种不同的面向着手，才有可能达到有效的管理。
    如果没有办法全面性的规画，因为代理软件的种类繁多，对于企业的信息人员来说，其实是难以针对此类软件完全防堵的。除了较知名的Tor、无界、自由门、Freedom、通通通、Hamachi，以及可以远程遥控的Softether、LogMeIn、VNN等软件外，光是笔者透过网络搜寻就找到不下60种不同的此类软件，虽然都是透过代理服务器的方式达到穿透防火墙的效果，但每种软件的原理和做法都不相同，管理人员如果没有透过一些设备与工具，很难针对每一种软件做到完全的封锁。这也是为什么，没有任何一种设备或方案能够百分之百防堵此类软件的原因。
    不过，有心做好企业员工上网行为管理的企业也不用灰心，如果愿意投资，现在也有很多方案可以协助企业达到一定程度的上网管理，诸如NAC、员工上网行为管理设备（Employee Internet Management，EIM）、Program Control软件、IPS等，都可以达到一定效果。至于没有预算的企业，甚至透过一般企业原有的防火墙和微软的AD（Active Directory）架构搭配，也能做到一定的管理效果。这些都是企业在面对此类问题时，可以使用的工具。
    此外，最重要的还是企业必须建立起一套管理的制度，要管到多严？目的是为了什么？这些都是必须在搭配各种配套的工具时，事先想好的重点。
【文章出处】

蓝星

这个也玩过
不常玩
呵呵
[s:124]

__画地为牢

不懂……