台眾UPAS(Unauthorized Physical Access System)是以ARPScanner系統為基礎,可搭配4種功能模組,包括IP實體位址管理(SNMP)、AD進階管理(ADvantage)、IP鏈結阻斷(IP Cut)與網路監控(NetInsight)。

用修改ARP表來阻擋非法設備連網

在TCP/IP網路中,ARP(Address Resolution Protocol)是一種將IP位址與設備網路介面MAC位址對應的機制,電腦會把這樣的對應關係做成對照表,並儲存在記憶體中、必要時會動態更新,而ARPScanner就是透過修改ARP對照表的方式,來阻擋非法上網設備的連線。

就技術而言,要做到這樣控管的難處在於,不同平臺與版本的作業系統的ARP對照表格式雖然大都遵照RFC的定義,但之間仍會有一些差異,而台眾已能支援現行各Windows版本的環境,至於Mac OS、Linux、FreeBSD、Unix等其他平臺的伺服器,台眾表示該系統都能正常偵測狀態及阻擋。

針對目前很多網路交換器具有防禦ARP詐騙攻擊的(Anti-ARP Spoofing)功能,ARPScanner仍能夠與它們相容,不會受到影響,原廠已驗證的設備品牌,包括3Com、Alcatel、Cisco、D-Link、Extreme、Juniper。

在建置系統時,首先我們要找一臺電腦來安裝HostInsight Management Server軟體,作為管理伺服器之用;然後,再找幾臺電腦安裝Hostinsight ARPscanner Sensor軟體,作為感應器,以便監控網路上的流量。

採白名單制,可針對多種位址使用

ARPScanner對於設備位址的管控,主要用白名單來管制。而在鎖定目標設備上,包含多種資訊的組合,例如IP位址類型(固定IP或透過DHCP所取得的動態IP位址)、管制時效性(期間)、MAC位址、IP位址等,這麼一來,就不只是能以MAC位址判斷設備所在,也支援用1個MAC位址同時搭配1個固定IP位址或透過DHCP取得的IP位址的方式,以及用1個MAC位址加多個固定IP位址、1個固定IP位址配多個MAC位址。

系統白名單又分為一般性和暫時性等兩種。前者較適合針對員工電腦,後者則針對訪客、提供臨時服務的外包廠商短期駐點人員。設定上的差異在於,一般性白名單多了「自動移除時間」的項目,這是指當一套設備的網址登錄在白名單中,但它一段時間未存取公司網路的使用記錄,ARPScanner就會自動將這設備從一般性白名單中刪除。

系統還可以結合「保護白名單IP」功能,來確保特定IP位址不會被其他電腦或網路設備擅自使用,造成衝突。

白名單設定容易,不需逐臺登錄

將伺服器與感應器建置完成後,接下來在系統設定上,我們要先加入作為感應器電腦的IP位址,ARPScanner會透過固定的網路埠偵測感應器的使用狀態,此外,預設是每3分鐘檢查伺服器與感應器之間的網路,是否維持正常連線。

然後在ARPScanner管理的設定項中,我們要輸入IP網址的範圍作為指定的IP管理區段,以及輸入DHCP伺服器的IP位址與IP發放區段,以便讓系統辨識目前網路上的各種裝置所使用的網址是固定IP位址,還是由DHC伺服器所配發的動態IP位址(如果沒有設定,所有IP位址都會被系統認為是固定IP位址)。

設定這些範圍後,我們可以執行IP/MAC搜尋,讓系統透過感應器去看看目前區域網路上有哪些IP位址正在使用;而產生結果後,管理者就可以根據這些網路位址清單,來決定是否加入允許上網的白名單,以及列在白名單的時效。

ARPScanner的網頁介面上還有一個即時管制名單的功能,我們也可以透過它來看目前系統偵測到的內網上線電腦,而且若要將指定電腦要加入白名單,只要在解除管制的欄位上點選該項目記錄,就會出現一個IP/MAC異動的彈出視窗,詢問你是否要對這臺電腦執行「解除管制與加入白名單」,接著你就可以設定它屬於那一種白名單:從DHCP與MAC、IP與MAC、MAC、不設定等4項目中,擇一套用。

若管理者已預先設定公司現有的DHCP伺服器資訊,在ARPScanner的即時管制名單上,就可以藉此判斷哪些設備提供了非法DHCP伺服器功能,連帶地,也能偵測用非法DHCP伺服器所發放IP位址的設備。

感應器有兩種狀態,方便逐步管制

當網頁管理介面新增感應器電腦的位置,並偵測到已正常運作時,它會維持在「導入」的狀態,讓管理者可以透過上述的IP/MAC搜尋功能來建立白名單。這時候ARPScanner並不記錄ARP管理與AD的事件,因此不會有即時管制名單與網路使用記錄,更不會阻擋連網。

然而,當管理者將感應器的狀態調整成「運作中」,就可以讓ARPScanner開始執行監視、阻擋與白名單阻擋。這裡的監視,是指僅記錄ARP事件,但不阻擋連線,此時,系統的即時管制名單與上線資訊都會開始產生,並存放為歷史記錄。而且比較進階的保護即使啟用了,也不會發生作用,像是保護白名單IP,封鎖非法DHCP IP位址、非子網段IP位址、非管理區段IP位址的使用等。

而阻擋意味著感應器會開始真正執行管制,但上述進階保護的執行會依照管理者的選擇而定。

至於白名單阻斷的作法則比較特別,ARPScanner會阻擋有人在電腦內擅自修改IP位址的行為,這包括變更取得IP位址的方式,例如從DHCP變固定IP位址,或從固定IP位址變DHCP。

可整合AD,強化管理

感應器上,也可以設定管制使用者電腦對於AD的使用。以便強制所有使用者登入AD,以便群組原則能更徹底落實。

除了預設的導入狀態,感應器的AD設定只提供監視或阻擋的選項,而沒有白名單阻擋。啟用阻擋狀態時,系統會參考當時電腦的回應狀況,以及所設定的AD管理清單來判斷。

 

當使用者電腦違反ARPScanner的政策時,就會導引系統預設的警示畫面,管理者可以自行調整上面要顯示的訊息,並換上公司自己的商標圖片。

 

在網頁管理介面上,IT人員可以隨時了解目前有哪些設備沒有登入AD。

 

系統的匯出功能,可將網頁管理介面的特定資料項目轉存成Excel檔,而且自動為檔案命名。

 

感應器是ARPScanner的耳目,管理者可以在網頁介面上設定監視或阻擋,以因應不同導入階段的需求。

 


產品資訊
建議售價●ARPScanner企業版(含ARPScanner、ADvantage、SNMP)每IP為3500元,安裝費用已內含不另計 原廠●台眾電腦 網址●www.sofnet-corp.com 電話●(02) 2739-3226
處理器需求●Core 2 Duo 2.8GHz 記憶體需求●2GB 應用伺服器執行環境●JVM 1.5 資料庫需求●MySQL 5.0 瀏覽器需求●IE8、Firefox 2.0

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容