防止員工私接企業AP的防堵對策

為了要解決企業因為員工私接網路造成的企業內網資安缺口，「知己知彼、百戰不殆」，許多IT部門都會定期或不定期透過資產管理工具，盤點公司內部是否有不知名的IT設備出現，也會透過網路掃描方式，察看公司範圍內，是否有公司不允許的無線AP正在提供連網服務。

但是，要能透過資產盤點方式控管非法的IT設備，前提是公司對於相關的電腦網路設備都有安裝代理程式並且做完整清單，而且，多數的連網設備體積都不大，員工要進行安裝、卸除也十分方便，要透過資產盤點完整掌控非法的連網設備，其實並不容易。

至於透過電腦掃描網路連線，察看是否有非法AP存在的難度也很高，除了公司的範圍太大、建築物死角多等因素，都讓無線AP訊號範圍有受限而不易被發覺，也不容易確定完整清查該掃描範圍內所有的無線網路設備。

對於IT部門而言，針對員工私接AP對內網造成的4大資安缺口對症下藥，成效還是相對顯著的。但是，敦陽科技資安顧問劉俊雄提醒，沒有一個單一的方式可以控管全部員工私接AP造成的資安風險，只能說，管控方式執行的越徹底，內網也就越安全，但員工的反彈或許也最大。如何在安全與便利上取得平衡點，仍舊是企業IT部門的共通挑戰。

資安對策1：從USB裝置控管著手，限縮USB功能

員工私接AP對企業造成的資安風險，從3G網卡、WiMax行動上網設備開始，一直到私接NAS以及相關的USB儲存裝置，都成為企業機敏資料外洩的管道。達友科技副總經理林皇興表示，由於許多設備都會透過USB介接，若可以有效控管USB介面，可以先解決多數看得見的資安風險。

林皇興指出，現在USB裝置控管軟體已經從以往只能開啟或封閉USB功能的單一選項，到現在已經可以針對USB裝置或用途彈性控管，例如，為了杜絕USB介面的3G行動上網或者是智慧型手機透過USB直接提供內網電腦連網功能，可以做到USB只提供手機充電但不提供行動連網功能。同樣的，林皇興說，要遏止USB儲存或燒錄裝置，成為公司機敏資料外洩的管道，也可以作到限制儲存裝置的存取以及寫入功能。

不過，臺灣Websense技術顧問林秉忠長期觀察臺灣企業導入USB裝置控管軟體，他發現，管制成效會隨時間流逝而效益遞減。例如，有銀行業者希望能夠控管USB等周邊裝置，但企業內部資料卻又是透過USB隨身碟作交換。他說，早期USB控管只有允許和不允許兩種選擇，根據多數企業導入經驗，這些導入USB控管的企業仍必須因應同仁使用USB周邊產品的現況鬆綁限制，也陸續開了不少的例外清單。

林秉忠表示，這些例外清單平均在2～3年內，平均將原本限制項目，開放了8成左右，跟原本沒有控管前，差異並不大。他認為，對企業而言，單純的USB周邊控管並無法解決企業對相關USB產品的控管，而管控措施無法落實，往往也和公司整體資安政策不明有關。

資安對策2：安裝代理程式，發揮DLP控管功能

若要進行深度一點的控管，林秉忠認為，能夠在電腦設備上安裝代理程式（Agent）的DLP（資料遺失防護）可以針對公司資安政策，進行比較深度的控管，是可以考慮的面向之一。

他指出，代理程式可控管USB裝置，除了可以設定USB使用的功能權限外，例如只開放充電、但禁止寫入隨身碟等功能，但為了避免公司機敏資料外洩，也可以設定偵測企業機敏資料的關鍵字，偵測機敏資料的流向，透過DLP的管控，避免機敏資料外洩。

林秉忠則說，具備內容偵測功能的DLP產品，也可以設定政策，一旦偵測到有2筆以上的個人資料或公司設定的機密政策關鍵字等，就不允許外傳。這樣控管的過程中間，都會有記錄和稽核的機制。

資安對策3：管控員工上網行為，善用虛擬桌面功能

針對員工以各種方式躲避網路行為管理設備控管，林皇興認為，透過員工上網行為過濾產品，除了管控員工上班時段，是否有不當利用公司網路資源，從事企業不允許的私人活動外，也能有效防止機密資料外洩。他指出，臺灣多數有導入員工上網行為管理過濾（EIM）產品的公司，都可以從管控介面查到企業內是否有同仁私接未經允許的NAS等儲存設備，並可加以禁止。

林皇興表示，只要有導入員工上網行為管理（EIM）這類產品的企業，百分之百都會啟動身份認證與記錄的功能，也會設定各種阻擋政策以符合公司資安政策。不過，他也說，這類員工上網行為管理的產品遇到網路橋接、私接AP或使用軟體AP的狀況時，必須要在內網內才能管控得到。

不論是USB周邊裝置的控管，或者是DLP、EIM等解決方案，仍不脫治標不治本的方式。因此，劉俊雄認為，嚴格的權限控管，搭配虛擬桌面的應用方式，例如，企業約聘的開發人員，如果使用一般的桌上型電腦，勢必得經過層層控管，但若是透過桌面虛擬化技術，讓用戶端使用精簡型電腦連回伺服器使用虛擬桌面，也設定伺服器端與用戶端的電腦，不許互相分享檔案。

劉俊雄認為，這種透過虛擬桌面的控管方式，可以大幅降低相關包括私接AP、私用3G網路或者透過USB等NAS儲存裝置外洩企業機敏資料的機會，使用這樣的方式，即便有人員流動，也不用擔心資料有外洩之虞。但關鍵在於，對於新部署單位容易導入、立即有效，已經配發個人電腦的單位，要員工改用虛擬桌面仍會有一番抗爭。

資安對策4：NAC可深度控管，依資安政策控管流量

從單一裝置USB控管，一直到根據資料流，針對資料可能遺失的面向進行控管，但林秉忠說，對於企業希望透過類似的控管機制，做到強化企業內部網路的安全性，不論是USB控管或DLP等資安措施，仍然都還是不夠全面。

因此，有資安廠商希望能針對比較深層的網路進行控管，推出NAC（網路存取控管）方案，希望從路由器、交換器這些現有的網路基礎設備，能進一步和用戶端的防毒軟體、防火牆等資安軟、硬體設備互相溝通，掌握使用者電腦端的健康狀況與權限，確保企業內部避免因為內部電腦夾帶惡意程式而造成內網資安風險。

林秉忠坦言，現在的NAC機制不光是與防毒軟體的互通，有能力與各種不同的資安軟、硬體設備溝通，並且可以透過政策執行（Enforce）方式，將不符合資安政策設定的流量，導向隔離區域或是拒絕存取內網。目前臺灣導入NAC的企業少，主要是因為NAC網路架構複雜，加上網路設備需要升級，價格不斐。目前看來，企業若想導入NAC架構，一臺網路設備從交換器、核心交換器、防火牆等設備，都要做韌體升級及設定修改。

從USB控管、DLP一直到NAC等相關方案，對於智慧型手機上網或3G網卡，都可以搭配控管措施和資安政策相輔相成，達到防禦控管的目的。但是，NAC對於企業員工自行私接無線AP的行為，確有其管控上的盲點。

企業進行NAC的控管，一般會搭配使用MAC位址認證，但IT部門若採用認證白名單的方式，必須經常新增或刪減MAC位址名單。為了降低IT的困擾，所以通常都會啟動身份認證模式，當員工一旦通過身份認證時，便會自動授權該合法員工登入的未知AP也是合法的方式，對於IT部門同仁在控管上兼具安全與便利。

但林皇興說，這樣的優點也成為NAC控管私接AP時的盲點所在。他指出，只要有合法員工連到這個被隔離的私接AP，一旦通過身份認證後，這個原本是非法的私接AP就會就地變成合法AP。只要第一個人帳號密碼認證成功後，之後使用這個私接AP但就地合法的人，就不用另行輸入帳號密碼了。這也是NAC對於私接AP控管上，要兼顧便利與安全時會面臨到的管理盲點。

資安對策5：透過W-IPS管控企業非法無線上網

另外，林皇興表示，W-IPS（無線入侵偵測防禦系統）也可以解決部分控管行動上網的問題。首先，在企業內部布建感應器，監控合法AP是否被入侵，有的話，就會自動啟動無線攔截的功能。再者，防範企業內部是否有非法的AP，並偵測是否有連到企業內網。他表示，W-IPS會針對掃描到的無線AP發送測試封包，看該封包是否進入企業內網，若是，該無線AP就會被視為非法AP，會啟動IPS功能阻斷連線。另外，這類產品有許多都具有無線三點定位功能，可以將公司平面圖匯入後，進一步找出公司內非法AP的位置並進而移除。

面對市面上有越來越多的免費無線網路，也增加企業內合法電腦連上免費的無線網路（Free Wi-Fi）對企業內網帶來的風險。為了避免發生類似網路橋接狀況，林皇興表示，W-IPS也會發送探測封包看是否有連接到企業內網，來發揮攔阻功能。

解決私接AP的5大資安對策

資安對策1：從USB裝置控管著手，限縮USB的功能

資安對策2：安裝代理程式，發揮DLP控管功能

資安對策3：管控員工上網行為，善用虛擬桌面功能

資安對策4：NAC可深度控管，依資安政策控管流量

資安對策5：透過W-IPS管控企業非法無線上網

來源：iThome整理，2011年9月

相關報導請參考「員工私接無線AP，企業資安防線瓦解！」