1 / 111

資訊安全─入門手冊

資訊安全─入門手冊. 第 16 章 Internet 架構. 第 16 章 Internet 架構. 在新的商業型態、降低銷售成本、提升客戶服務方面, Internet 具有極大的潛力。 在組織的資訊和系統方面,也可能會增加極大的風險。 只要具有適當的安全架構,也可以賦予 Internet 極大的效用,且可用來管理資訊和系統的風險。. 本章的內容如下: 16-1 提供哪些服務 16-2 不提供哪些服務 16-3 發展通訊架構 16-4 設計 DMZ 16-5 認識網路位址轉譯 16-6 設計合作夥伴網路. 16-1 提供哪些服務.

teagan
Download Presentation

資訊安全─入門手冊

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資訊安全─入門手冊 第 16 章 Internet架構

  2. 第 16 章 Internet架構 • 在新的商業型態、降低銷售成本、提升客戶服務方面,Internet具有極大的潛力。 • 在組織的資訊和系統方面,也可能會增加極大的風險。 • 只要具有適當的安全架構,也可以賦予Internet極大的效用,且可用來管理資訊和系統的風險。

  3. 本章的內容如下: • 16-1 提供哪些服務 • 16-2 不提供哪些服務 • 16-3 發展通訊架構 • 16-4 設計DMZ • 16-5 認識網路位址轉譯 • 16-6 設計合作夥伴網路

  4. 16-1 提供哪些服務 • 關於Internet架構首先需要回答的問題是 - 組織希望透過Internet提供哪些服務? • 希望提供哪些服務、服務的對象是誰,這些問題會大大地影響到整體架構,甚至也可能架設主機提供服務。

  5. 本節的內容如下: • 16-1-1 郵件 • 16-1-2 電子郵件加密 • 16-1-3 Web站台 • 16-1-4 內部存取Internet • 16-1-5 組織外部存取內部系統 • 16-1-6 控制服務

  6. 16-1-1 郵件 • 如果提供郵件服務時,一般提供的對象都是提供內部員工收送訊息。 • 這項服務至少需要架設一部接收類送郵件的伺服器。 • 如果要求更高的可用性,那麼至少需要兩部郵件伺服器。 • 外送郵件可以移到同一部伺服器進行處理,或是組織也可以允許桌上型電腦直接郵件發送到目標系統。

  7. 組織也許會因為電子郵件討論群組之類的需求,而選擇架設公用郵件轉送(public mail relay),這類伺服器又稱為list server。 • list Server可以和一般郵件伺服器架在同一不設備上,這些系統接收外部使用者的郵件,接著將訊息轉送給list server的訂閱用戶。 • 在Internet整體架構的考量上,可能會產生更大的流量需求。 不建議組織允許桌上型系統,直接將郵件發送到目標系統。不過,如果組織的郵件系統是架在Internet上,每部桌上型電腦都是透過該郵件伺服器收發電子郵件。在這種情況下,限制桌上型電腦只能透過該部郵件伺服器送出電子郵件,這是較為聰明的作法。

  8. 16-1-2 電子郵件加密 • 通常都不會利用電子郵件傳送機密資訊。 • 基於省時、節省成本和擴充Internet用途的考量來說,還是會利用電子郵件寄送機密資訊。 • 最好是利用電子郵件加密來保護機密資訊的內容。 • 某些系統可以提供電子郵件加密的功能,這些系統類型從桌面型軟體(例如PGP),到電子郵件串流(例如Tovaris)的網路設備都有。

  9. 系統的選用不僅僅是依據傳送和接收加密電子郵件的數量,還需要依據組織的復原政策和金鑰管理(詳見第12章)等其他需求而定。 某些企業(例如財稅機關和健保組織)會將客戶、患者相關的機密資訊加密。

  10. 16-1-3 Web站台 • 如果組織選擇透過全球資訊網(World Wide Web)對客戶或夥伴發佈資訊,組織就會需要在內部或其他處所架設Web伺服器,並放置某些供大眾閱覽的內容。 • Web伺服器可以是簡單、靜態的內容,或是鏈結到提供動態內容和接受訂單的電子商務系統(詳見第17章)。 • Web站台的存取方式,可以是任何人皆可瀏覽或透過某些認證機制(通常是使用者ID和密碼)加以限制。

  11. 如果含有某些限制性的內容時,站台應該要使用HTTPS(安全基座層,Secure Socket Layer,SSL)保護機密資訊。 • 除了提供Web伺服器之外,可能也會提供檔案傳輸協定(File Transfer Protocol,FTP)。 • FTP允許組織外部的使用者,透過Web瀏覽器或FTP用戶端的協助,傳送或取得檔案。 • 在使用者認證方面,可以採用匿名登入或要求輸入使用者ID和密碼登入認證。

  12. 16-1-4 內部存取Internet • 員工如何存取Internet應該依據政策加以規範(詳見第6章)。 • 某些組織允許員工存取Internet任何服務,包括傳訊、聊天室、影音串流等。 • 某些組織只允許員工使用瀏覽器,且只能瀏覽特定的網站。 • 這些決策都會影響到網路的流量。

  13. 較常允許員工存取的服務如下: 不論組織是否允許使用串流影音,許多站台目前也可透過HTTP提供這方面的服務;因此,這些流量和一般性的Web流量完全相同。同樣的,Internet目前也有許多點對點(peer-to-peer)服務,這些服務也是透過連接埠80運作。這些類型的服務,也會提高未獲授權取得內部系統存取權的風險。

  14. 16-1-5 組織外部存取內部系統 • 從組織外部存取內部敏感性系統,一直都是安全和網路人員非常棘手的問題。 • 內部系統是指組織內部主要的作業系統。 • 在本質上這些系統的架設目地,和Web伺服器或郵件伺服器的服務有所不同。 • 員工存取(通常是從遠地執行工作)或非員工存取,是從組織外部存取組織內部系統的兩種可能類型。

  15. 從遠地存取組織內部系統的員工,一般都是透過Internet使用VPN(virtual private network)、某些遠端存取伺服器(remote access server)的撥接線路,或是專線等方式。 • 是否允許這些存取方式,也都會影響組織的Internet架構。 • 如果是其他組織要求存取組織的內部系統,那麼影響就會非常嚴重。

  16. 即使是商業夥伴利用可信任的存取,也會間接地影響風險管理。即使是商業夥伴利用可信任的存取,也會間接地影響風險管理。 • 至於透過VPN、撥接線路或數據專線、透過未加密的Internet存取(例如telnet)等方式,端賴連線的目地而定。 在實務上,並不建議採用透過未加密Internet的存取方式;然而,某些企業卻會允許這種類型的存取方式。如果是在這樣的情況下,必須盡力將這些系統移到內部網路的範圍之外,且將系統放在受到限制的網段(例如稍後介紹的DMZ)。

  17. 16-1-6 控制服務 • 為了讓網路和Internet連線非常順暢,會需要建置某些服務。 • 是否建置這些服務,仍須依據組織的政策而定。 • DNS • ICMP • NTP

  18. DNS • 網域名稱服務(Domain Name Service,DNS),這是一種提供主機名稱和IP位址解析的服務。若 • 是少了這項服務,內部使用者會難以解析Web站台的位址,而且也會難以存取Internet。 • 內部系統會向內部DNS查詢所有的位址,內部DNS也可以向ISP的DNS查詢、解析外部位址。 • 組織內部的系統不需要直接查詢外部DNS系統。

  19. 內部DNS也必須對外開放,組織外部的使用者才能存取組織的Web站台。內部DNS也必須對外開放,組織外部的使用者才能存取組織的Web站台。 • 為了完成這項目標,組織可以選擇自行架設DNS或由ISP的DNS代轉,這項決策也會影響到組織的Internet架構。 • 如果決定自行架設、管理DNS,這部系統必須和內部DNS有所區分,且外部DNS也不應該架設在內部系統的網段中(也稱為DNS切割)。

  20. ICMP • Internet控制訊息協定(Internet Control Message Protocol,ICMP),用來提供ping(系統架設之後就可以找到)這類服務。 • 除了ping之外,ICMP也提供『network and host unreachable』和『packet time to live expired』等訊息。這些訊息都有助於提高網路運作的效率。 由於這項服務會嚴重影響網路的運作,所以也可以拒絕或阻斷ICMP服務。舉例來說,如果內部使用者嘗試尋找卻找不到遠端Web伺服器時,ICMP即可回送『ICMP host unreachable』告知使用者。如果阻斷內部網路ICMP服務時,使用者會一直等候直到連線逾時為止,然後就會看到『找不到網頁』的訊息。

  21. NTP • 網路校時協定(Network Time Protocol,NTP),這是一種可以讓許多系統時間同步的服務。 • 目前在Internet上,已有許多提供這類校時資源的站台。 • 如果組織選擇提供這項服務,就應該將一部系統設定成地區時間,且只有這部系統才可以和Internet的NTP溝通。 • 所有的內部系統,都應該和這部系統溝通並完成校時動作。

  22. 16-2 不提供哪些服務 • 在設計Internet架構時,應該要包含滿足需求的服務,但是也不要提供不必要的服務。 • 採用這種設計法則設計Internet架構時,將會排除絕大部分的重大風險。 • 會造成重大風險的服務如下:

  23. NetMeeting需要編號較高的連接埠才能正常運作,因此具有潛在的危險性。NetMeeting需要編號較高的連接埠才能正常運作,因此具有潛在的危險性。 • 若要必須使用這些連接埠,使用H.323 proxy會比較安全些。 • 遠端控制協定(Remote Control Protocols),例如PC Anywhere和VNC都是屬於這種類型的服務。 • 如果遠端使用者必須使用這類協定控制內部系統,也應該要透過VPN連線。

  24. 簡單網路管理協定(Simple Network Management Protocol,SNMP)(連接埠169),可用來管理組織內部網路的網路管理,不過遠地不應該使用這項服務來管理組織的內部系統。

  25. 16-3 發展通訊架構 • 在逐步規劃組織Internet連線的通訊架構時,最重要的就是流量處理能力和可用性問題。 • 在某些情況下,必須和組織的ISP(Internett service provider)討論流量處理能力的問題。 • ISP應該建議提供適當服務所需的通訊線路。 • 可用性需求應該由組織自行設定。 • 如果Internet只是提供員工業務範圍之外的功能時,因為網路中斷並不會影響正常的工作,所以可用性的需求應該會非常低。

  26. 如果組織計畫建置電子商務站台,且Internet是組織營運的重心,那麼可用性就是組織成敗的關鍵。如果組織計畫建置電子商務站台,且Internet是組織營運的重心,那麼可用性就是組織成敗的關鍵。 • 在設計Internet連線的時候,應該一併考量容錯和復原的能力。 • 本節的內容如下: • 16-3-1 單一通訊線路 • 16-3-2 多條通訊線路連接到單一ISP • 16-3-3 多條線路連接到多個ISP

  27. 16-3-1 單一通訊線路 • 利用單一通訊線路連接Internet,這是目前最常見的Internet架構。 • ISP透過單一通訊線路提供組織適當的頻寬,詳見圖16-1。 • 一般而言,ISP也會提供連線所需的路由器和通道服務單元(Channel Server Unit,CSU)。 • 組織也同樣可以選購並安裝這些設備。

  28. 本地迴路(local loop)是組織設施連線到電話公司機房(central office,CO)的線路或光纖,在ISP附近也會有一個出線點(point of presence,POP)。 • 連線到ISP的線路,實際上是最接近POP的端末線路。 • 雖然不是最近POP,但本地迴路仍然需要經過最近的CO。從POP開始算起,連線才會透過ISP的網路進入Internet。

  29. 圖16-1 標準單一通訊線路架構

  30. 在圖16-1的連線架構之中,只要一個環節故障,就會導致整個連結中斷。在圖16-1的連線架構之中,只要一個環節故障,就會導致整個連結中斷。 • 故障的範例如下: • 路由器可能會故障 • CSU可能會故障 • 本地迴路可能會斷線 • CO可能遭到破壞 • ISP的POP可能會故障

  31. 只要發生單一環節故障,也就等於整個連結線路故障。只要發生單一環節故障,也就等於整個連結線路故障。 • 路由器故障的機率比CO遭到破壞的機率來得高出許多。 • 施工單位也可能不慎挖斷纜線,這樣會造成長時間斷線。 • 上述可能的原因還不包含ISP本身發生故障在內。

  32. 因為氣候、挖斷纜線、或阻斷服務攻擊等,這些非特定因素也會造成連線中斷。因為氣候、挖斷纜線、或阻斷服務攻擊等,這些非特定因素也會造成連線中斷。 • 這種架構僅僅適合用在非商業性質的Internet連線。

  33. 16-3-2 多條通訊線路連接到單一ISP • 為克服單一環節故障而導致整個連線中斷,可以採用佈設多條和ISP連接的線路。 • 不同的ISP會提供不同的服務。 • 例如:某些ISP會稱為非正式鏈結(shadow link),有些ISP會稱為備援電路(redundant circuit,台灣多半使用這個名稱)。 • 不論如何稱呼,都是希望提供避免線路中斷而導致停止服務的第二條線路。

  34. 單一POP接線 • ISP可以利用連接到相同POP的備援電路(詳見圖16-2),提供線路容錯(fail-over)能力。 • 備援電路可能包含備援路由器和CSU,也有可能只有一部路由器而已。 • 如果主要電路發生故障時,第二組電路會立即替補故障的線路。 • 此種架構可以避免路由器、CSU、電話公司到CO的迴路,以及ISP連線端末的設備發生故障。

  35. 圖16-2 單一POP接線的備援電路

  36. 雖然這些都是常見的線路故障原因,但是卻無法降低設備故障的機率。雖然這些都是常見的線路故障原因,但是卻無法降低設備故障的機率。 • 可預防任何一組設備故障而導致整個連線中斷。 • 這種架構的另一種效益 - 備援電路的成本較低。 • ISP提供備援電路的費用會比完整線路的費用低廉。

  37. 多條POP接線 • 添購另一組連接到POP的連線,可以增加可用性和可靠度(詳見圖16-3)。在這樣的情況下,第二組做為備援線路或持續運作的線路(稱為熱備援線路,hot redundant)。 • 為了讓這種架構運作順暢,ISP通常都會執行邊境閘道器協定(Border Getway Protocol,BGP)。 • BGP是一種路由協定(routing protocol),這是在雙連線類型的兩個實體之間,用來指定路由的一種協定。

  38. 圖16-3 多條線路連接到多個POP

  39. 在使用BGP協定的時候,必須非常審慎地設定路由。在使用BGP協定的時候,必須非常審慎地設定路由。 • 在這種架構下仍然可能造成通訊故障的單一環節 - 本地迴路和CO。 • 除非該組織擁有兩組本地迴路和CO,否則仍舊無法克服這兩種因素。 • 如果該組織真的採用兩組本地迴路和CO,整體架構就會變成圖16-4的架構。

  40. 圖16-4 透過多條本地迴路的連線方式

  41. 16-3-3 多條線路連接到多個ISP • 這種Internet架構不見得能夠解決所有的問題和風險。 • 如果妥善設定,使用多個ISP確實可以降低服務中斷的風險(詳見圖16-5)。 • 除了如何選擇ISP是需要考量的重點之外,組織採用的定址計畫也有極大的關聯性。

  42. 選擇ISP • 採用多ISP的Internet架構,確實是一項非常複雜的工程,而且也需要多方的知識和瞭解ISP的實務經驗。 • BGP是一種最需要瞭解的知識。 • 由於將會使用BGP來路由組織的流量,所以組織和ISP必須非常謹慎、妥善地設定BGP。 • 連線的實際路由問題,是影響選擇ISP的另一個問題。

  43. 圖16-5 採用多個ISP的Internet架構

  44. 如果組織的設施並沒有連接多組本地迴路時,本地迴路可能會持續造成單一環節失效的問題。如果組織的設施並沒有連接多組本地迴路時,本地迴路可能會持續造成單一環節失效的問題。 • 如果只有單一本地迴路時,選擇使用無線通訊替代末端線路(last mile)的ISP(詳見圖16-6),也可達成電路備援的目地。 • 由於無線通訊可能受到天候狀況、暴風雨的侵襲,或是飛行物的影響等,而造成資料遺漏或效能降低的問題。

  45. 圖16-6利用無線網路ISP提高可用性

  46. 採用無線通訊並不能完全解決可用性的問題。 • 雖說無線通訊也具有諸多的問題,不過卻也不至於造成通訊完全中斷的情況。 選用無線網路ISP和傳統式ISP的需求都一樣。任何ISP都應該提供服務等級的同意書,而且都應該出具完整的管理實務同意書。

  47. 定址 • 採用多ISP架構運作模式的另一項問題,就是 - 定址問題。 • 在一般的情況下,採用單一ISP連線時,ISP會分配一段位址空間。 • ISP會妥善地設定路由器,並確保屬於組織的流量最後都會找到送達組織的路徑。 • ISP會將組織的位址廣播給其他ISP,因此所有透過Internet的流量最後都會傳送給組織的系統。

  48. 在採用多ISP架構時,每一個ISP分配的位址範圍都不一樣,因此組織必須選擇將要使用的位址範圍。在採用多ISP架構時,每一個ISP分配的位址範圍都不一樣,因此組織必須選擇將要使用的位址範圍。 • 可能會發生一家ISP的路由可以正常運作,而其他ISP必須同意、廣播分配給組織的位址空間,都是屬於前面那家ISP管轄的位址。 • 這種組態設定方式需要非常專業的BGP運作知識,這樣才不會造成路由發生錯誤。

  49. 另一種選擇就是組織購置自己的位址空間。 • 雖然這樣可以解決部分的問題,但是和組織連線的ISP卻必須廣播不屬於自己的位址空間,而且也會帶來新的問題。 • 最後一種選擇就是同時使用兩家ISP提供的位址。在這種情況下,某些系統會使用第一家ISP的位址,某些系統卻使用第二家ISP的位址。

More Related