如同讓人頭痛的P2P分享軟體,即時通訊軟體的設計理念就是要突破防火牆的阻隔,例如利用企業現有任何對外開放的網路埠連外,非固定的連線目的IP,從協定層模擬一般的應用程式,甚至透過加密隱藏資料流量。利用這些手法,防火牆、Proxy、入侵防禦系統、代理伺服器和閘道防毒等網路安全防護措施,皆無法有效辨識與控管。

目前所有的即時通訊網路來源,並非定於單一標準,也是控管即時通訊需注意的。不同的公用社群網路、企業即時通訊伺服器標準、供應商,以及快速改版的即時通訊用戶端軟體、專屬通訊協定,這些都是管理即時通訊系統遭遇的各種變數。

絕大多數的公司使用免費的公用即時通訊網路,例如MSN Messenger、Yahoo! Messenger和AOL AIM。大型企業為了內部的協同運作,會再搭配企業等級即時通訊系統,例如IBM Lotus Sametime和微軟Office Live Communication Server。另一方面,特定行業別也陸續發展即時通訊社群,例如運用在金融業的路透社訊息傳遞服務Reuters Messaging、Bloomberg和Communicator。

除非能充分辨識即時通訊的連線技術和部署方式,否則企業將無法控管即時通訊系統所帶來的各種安全威脅。

Proxy/Relay架構與閘道控管分庭抗禮
目前市面上主要控管即時通訊網路安全的解決方案,可分為Proxy/Relay架構與網路閘道設備兩種。

1.Proxy/Relay架構
IMlogic IM Manager、Facetime IM Auditor和Akonix L7 Enterprise三套產品都採用Proxy/Relay架構,它們採用的網路部署架構和系統運作原理都很類似。例如都可以安裝在微軟Windows 2000 Server版本以上的伺服器(Facetime IM Auditor可支援Red Hat Enterprise Linux 9),記錄和內容歸檔系統則利用資料庫和訊息佇列(Microsoft Message Queuing,MSMQ),方便資料儲存和後續的報表產生與稽核查閱。

這三套產品都支援多種分散式元件部署架構。

2.網路閘道控管設備
閘道型解決方案分成兩種︰有些採用Inline Mode的方式過濾與轉發即時通訊的網路封包;或者透過網路埠鏡射(Port Mirror)監聽,如遇不合乎政策的網路封包,會向對方發出TCP RST(Reset)封包強制中斷連線。

使用訊息佇列分散系統處理負擔
控管系統的記錄檔管理搭配資料庫儲存內容不稀奇,但IMlogic IM Manager、Facetime IM Auditor和Akonix L7 Enterprise為什麼選擇使用訊息佇列,或採用額外的資料分散處理功能呢?

當使用者傳送和接受IM內容時,IMlogic IM Manager的「即時通訊轉送服務」會攔截與擷取,寫入資料庫之前可以先暫時送到MSMQ的交易佇列,讓系統不需要因資料庫存取而增加處理負擔,導致資料遺失,並且得以持續發揮效能。隨後記錄服務會從MSMQ中取出訊息內容,分析、正規化後將資料寫入資料庫內。

以政策控管即時通訊
管理即時通訊安全控管系統時,使用介面是系統穩定度和功能需求外的重要考量。IMlogic IM Manager和Facetime IM Auditor都是Web管理介面,Akonix L7 Enterprise提供Windows的MMC嵌入式管理單元,需額外預先安裝,雖然有些不便,但介面的設定可以做得很詳細,操作互動上也比Web介面來得快速。

雖然各家解決方案能夠控管即時通訊的程度不一,但大致上著重之處有很多共通點。透過管理介面的政策設定,你可以管理企業應用即時通訊需要注意的各項細節。

1.身分管理
2.群組管理
3.IM版本控管
4.對話內容歸檔與事後稽核

即時防護安全,不受網路攻擊威脅
具備整合防毒掃描能力是需要的,大部分產品均整合病毒防護,不過在病毒碼更新與自動掃毒上各家作法有些差異。大部分支援病毒碼自動更新,有些較迂迴,在不同的防毒產品上得套用不同的做法,例如特定防毒引擎得指定命令列指令掃描,或將流量轉交向網頁閘道防毒伺服器過濾。

針對防堵垃圾訊息(SPIM),阻擋特定關鍵字和檔名是常見的手法,IMlogic和Akonix傾向採用資料庫更新的方式,以便隨時取得最新的訊息特徵和發訊人黑名單,因為他們考慮到垃圾訊息與惡意程式相關。Facetime則以回應與挑戰(challenge-respond)對付自動發垃圾訊息的程式,當不在聯絡人清單的使用者想傳訊時,需輸入系統提示的指定字串後,訊息才會傳過去。因為訊息寄送程式通常不會回應或只能瞎猜,唯有真實的使用者才能正確輸入指定字串。

搭配IM阻擋措施,安控才完整
只靠IM安全控管的產品,無法全面阻擋IM以其他方式滲透到企業外部,無論是強迫使用者更改IM軟體的Socks Proxy設定,或是在DNS路修改IM登入伺服器的網路名稱,藉此引導到IM安全控管系統,技術能力強一點的使用者還是可以修改自己電腦上的設定。

相關文章
禁IM用IM,先從管理措施下手
《妥善管理企業的即時通訊》禁用即時通訊,如何成功阻擋?
企業用即時通訊比率增加
《妥善管理企業的即時通訊》善用即時通訊加速業務流程
妥善管理企業的即時通訊 Proxy/Relay架構與閘道控管分庭抗禮
目前市面上主要控管即時通訊網路安全的解決方案,可分為Proxy/Relay架構與網路閘道設備兩種。

1.Proxy/Relay架構
IMlogic IM Manager、Facetime IM Auditor和Akonix L7 Enterprise三套產品都採用Proxy/Relay架構,它們採用的網路部署架構和系統運作原理都很類似。例如都可以安裝在微軟Windows 2000 Server版本以上的伺服器(Facetime IM Auditor可支援Red Hat Enterprise Linux 9),記錄和內容歸檔系統則利用資料庫和訊息佇列(Microsoft Message Queuing,MSMQ),方便資料儲存和後續的報表產生與稽核查閱。

這三套產品都支援多種分散式元件部署架構。

IMLogic建議標準轉送、大型網路、高安全性,以及高可用性與高安全性同時搭配的部署方式。高安全性的做法較特殊,企業可以在DMZ區額外部署穿透式的轉送伺服器。

Facetime IM Auditor的系統分為處理引擎以及報表/設定/資料庫兩大部分,能用資料庫叢集和多部IM Auditor,達到高承載量,另一項特點是可選擇安裝在企業本身的Proxy伺服器後方,或是搭配網路負載平衡設備分散IM流量。

Akonix L7 Enterprise的各系統元件則可以拆開裝在不同伺服器,包括閘道服務、資料倉儲服務、身分管理服務,可視企業目前應用的即時通訊系統再加裝Sametime模組和LCS模組;閘道服務還可以整合微軟ISA Server防火牆,或以CVP與Check Point FireWall-1協同運作,也支援用HTTP Relay和HTTP Tunnel的方法,遵從其他類型Proxy和防火牆的設定。Akonix L7 Enterprise能夠採用最多種分散部署方式,使用上很彈性,卻也相當複雜。

2.網路閘道控管設備
閘道型解決方案分成兩種︰有些採用Inline Mode的方式過濾與轉發即時通訊的網路封包;或者透過網路埠鏡射(Port Mirror)監聽,如遇不合乎政策的網路封包,會向對方發出TCP RST(Reset)封包強制中斷連線。閘道設備雖擁有容易安裝的優點,受限於架構和特徵比對的技術,可能會產生封包誤判的問題,而且只為了防護即時通訊和P2P,而採用Inline Mode的解決方案需在主要網路出入口額外增加一個節點,有可能因為單一設備停機,導致整個網路出入不通(Single Point of failure)。

從網路封包著手,固然擅長過濾與阻擋,但這種解決方案現階段仍無法達到部分控管的需求,例如未提供內部路由(Internal Routing),也不支援企業級IM整合、聯絡人過濾與傳檔備存(Achieving)等功能。

相關文章
禁IM用IM,先從管理措施下手
《妥善管理企業的即時通訊》禁用即時通訊,如何成功阻擋?
企業用即時通訊比率增加
《妥善管理企業的即時通訊》善用即時通訊加速業務流程
妥善管理企業的即時通訊 使用訊息佇列分散系統處理負擔
控管系統的記錄檔管理搭配資料庫儲存內容不稀奇,但IMlogic IM Manager、Facetime IM Auditor和Akonix L7 Enterprise為什麼選擇使用訊息佇列,或採用額外的資料分散處理功能呢?

當使用者傳送和接受IM內容時,IMlogic IM Manager的「即時通訊轉送服務」會攔截與擷取,寫入資料庫之前可以先暫時送到MSMQ的交易佇列,讓系統不需要因資料庫存取而增加處理負擔,導致資料遺失,並且得以持續發揮效能。隨後記錄服務會從MSMQ中取出訊息內容,分析、正規化後將資料寫入資料庫內。

Facetime IM Auditor則運用MSMQ作為企業內部即時通訊系統的訊息寫入緩衝,提升延展性,一旦遇到Enterprise IM connector元件停用或IM Auditor系統離線,可以復原即時通訊的訊息。

Akonix L7 Enterprise的資料處理是三種產品中最為特殊的,並未使用MSMQ,而是透過資料轉換服務(Data Transformation Service)伺服器,連接資料倉儲服務,最後彙整到報表伺服器。

相關文章
禁IM用IM,先從管理措施下手
《妥善管理企業的即時通訊》禁用即時通訊,如何成功阻擋?
企業用即時通訊比率增加
《妥善管理企業的即時通訊》善用即時通訊加速業務流程
妥善管理企業的即時通訊 即時防護安全,不受網路攻擊威脅
具備整合防毒掃描能力是需要的,大部分產品均整合病毒防護,不過在病毒碼更新與自動掃毒上各家作法有些差異。大部分支援病毒碼自動更新,有些較迂迴,在不同的防毒產品上得套用不同的做法,例如特定防毒引擎得指定命令列指令掃描,或將流量轉交向網頁閘道防毒伺服器過濾。

針對防堵垃圾訊息(SPIM),阻擋特定關鍵字和檔名是常見的手法,IMlogic和Akonix傾向採用資料庫更新的方式,以便隨時取得最新的訊息特徵和發訊人黑名單,因為他們考慮到垃圾訊息與惡意程式相關。Facetime則以回應與挑戰(challenge-respond)對付自動發垃圾訊息的程式,當不在聯絡人清單的使用者想傳訊時,需輸入系統提示的指定字串後,訊息才會傳過去。因為訊息寄送程式通常不會回應或只能瞎猜,唯有真實的使用者才能正確輸入指定字串。

為了更快速防護IM病毒、蠕蟲或SPIM等威脅,IMLogic、Facetime和Akonix都成立了專屬的監控中心。IMlogic IMManager直接在Web管理介面提供IMlogic Threat Center的連結,提供用戶或一般大眾了解IM蠕蟲、病毒與相關弱點的最新趨勢,提供變種數目、最新出現和威脅等級排行榜;Facetime和Akonix雖然沒有在管理介面內建網址連結,不過Facetime同樣成立了 IMPact Center監控IM和P2P軟體的活動,發布每天的弱點和惡意程式警訊,而Akonix Security Center也有類似IMlogic的排行資訊,提供深度防禦建議。

相關文章
禁IM用IM,先從管理措施下手
《妥善管理企業的即時通訊》禁用即時通訊,如何成功阻擋?
企業用即時通訊比率增加
《妥善管理企業的即時通訊》善用即時通訊加速業務流程
妥善管理企業的即時通訊 搭配IM阻擋措施,安控才完整
只靠IM安全控管的產品,無法全面阻擋IM以其他方式滲透到企業外部,無論是強迫使用者更改IM軟體的Socks Proxy設定,或是在DNS路修改IM登入伺服器的網路名稱,藉此引導到IM安全控管系統,技術能力強一點的使用者還是可以修改自己電腦上的設定,例如將IM登入伺服器的正確IP加在本機的Host檔,或是因為防火牆沒管制好,使用者可以將本機網路的DNS改為外部的DNS伺服器。因此這些IM安全控管的產品通常會再搭配阻隔軟體或設備,強制即時通訊的網路流量由企業信任的IM安全控管伺服器連外,同時阻絕其他未經授權的IM,例如IMlogic Detector Pro軟體,以及RTGuardian 3000、Akonix Enforcer硬體設備。企業也可以用Websense這類型的控管系統,只允許IM安全控管伺服器的流量才能登入公用IM網路,擋掉其他非必要的流量,例如臺灣較少人使用的騰訊QQ,減少後遺症。文⊙李宗翰

相關文章
禁IM用IM,先從管理措施下手
《妥善管理企業的即時通訊》禁用即時通訊,如何成功阻擋?
企業用即時通訊比率增加
《妥善管理企業的即時通訊》善用即時通訊加速業務流程
妥善管理企業的即時通訊

熱門新聞

Advertisement