何不自行設計 入侵防禦系統？
◎王孝忱 
　　一般坊間販售的入侵防禦系統（IPS），其反制駭客的方式大多是先過濾出所有經過此設備的網路封包，再對其進行網路行為的模式比對，當辨識出屬於駭客的攻擊行為模式後，便把這些網路封包過濾掉。這種作法的有效性完全仰賴其駭客攻擊行為模式資料庫，但即使廠商不斷更新資料庫，仍然無法有效防禦最新發展出來的駭客攻擊技術，這與掃毒程式永遠無法應付最新的電腦病毒是一樣的道理。
　　要偵測與反制駭客攻擊難道只有這種方式嗎？如果你要防禦駭客攻擊的標的是在防火牆內的企業內部區域網路，不妨跳脫這類產品的設計思維，自己來設計一套入侵防禦系統。先從偵測駭客攻擊開始，只要偵測到未經申請、欲與企業內部區域網路連線的通訊行為，即可判定為駭客攻擊行為，可隨即對其實施反制措施。這樣的駭客行為偵測方式既簡單又有效，且不論駭客採取哪種攻擊方式都能偵測出來，甚至連駭客攻擊前的探測作業也能探知而提前採取反制措施。由於不需比對駭客攻擊的行為模式，這種駭客偵測判定方式不但不會有漏網之魚，更不會因誤判而擋掉正常通訊封包的情況發生。
　　再談如何在偵測到駭客攻擊時對其行為進行反制，自行設計開發的系統具備可以控制內部所有網路設備這個市售商品所沒有的優勢，因此在反制駭客攻擊時，可同時應用多個網路設備，分別在不同的網路節點上進行多點協同防禦，相較於市售商品只能在設備內單點將攻擊封包過濾掉的做法，無疑更具彈性與優勢。以下提出四種簡易的駭客反制技術供讀者參考：
一、固定式誘餌反制
　　當駭客意圖針對某單位進行網路攻擊時，常會先搜尋該單位的領域名稱伺服器（Domain Name Server）中的主機領域名稱與對應網址設定，以期能先鎖定適當的攻擊目標主機網址。為使駭客找不到正確的攻擊目標，可在領域名稱伺服器內設定一些吸引駭客攻擊的誘餌，一旦駭客攻擊錯誤目標時，其行蹤便已提前暴露，讓系統的其他主要的反制措施可提早反應運作，增強反制效果。誘餌的類型可設計成下列兩種： 
　　（一）虛擬網域型誘餌：設定一些名如 firewall、oracle、intranet、mail等較會吸引駭客注意的領域名稱，並將其對應至空的網址（該網址實際上並無主機在使用）。當駭客攻擊這些網址時，各種連線嘗試企圖因無實際主機存在故不會成功，駭客會以為攻不破類似防火牆系統的保護而持續嘗試各種攻擊手段。　 
　　（二）偽裝主機型誘餌：同樣也是設定一些較會吸引駭客注意的領域名稱，但將其對應至一些偽裝主機的網址。所謂偽裝主機是利用一些已淘汰不用的電腦，在其內也裝置如防火牆、資料庫系統等著名軟體來偽裝成實際運作的主機，但僅做簡易防護工作讓駭客能夠入侵成功。當駭客入侵成功後看到主機內有這些著名的商用軟體系統，必定會花時間在這偽裝主機內尋找可竊取的有用資料，或者植入後門程式以便能長時間控制這臺主機。當然偽裝主機內沒有任何有用資訊，設置偽裝主機的目的除了提前讓駭客暴露行蹤外，還可以根據被破壞的情形評估駭客的攻擊能力與目的。 
二、機動式連線反制
　　如果沒有入侵偵測系統的話，管理者只有當電腦主機已被駭客入侵成功後才會發現，此時管理者必須拔掉該主機的網路線，先讓駭客無法再度進入主機，再開始修復受損的系統。這種人為的連線反制操作，並無預防功能。當有入侵偵測系統時，便可以在駭客嘗試入侵階段就自動予以連線反制，達到預防的效果，使安全更有保障。由於駭客並未入侵成功，此時的連線反制並不需要實際拔掉網路線，可以採取關閉網路卡或關閉網路交換器通訊埠的方式就能達到同樣的效果，如此連線反制的實施與解除過程便能透過程式自動完成，完全不須人為操作的介入。
　　 連線反制方式適合用於反制駭客線上手動操作的攻擊，以及分散式阻斷服務（DDoS）攻擊等攻擊型態，每次實施連線反制的時間越久效果當然就越好，但相對會降低網路頻寬。因此，實施連線反制的時間長短必須考量網路通訊品質的需求，取得一個妥協點。通常會因上下班時段之不同，實施不同程度的連線反制。
三、機動式路由反制
　　路由反制技術是藉由將駭客來源端網址（Source Address）的路由改道，使駭客無法與本處主機進行交互通訊的反制方法。作法是在一臺封包流向網際網路必經的路由器（Router）內，更改其路由表（Routing Table）設定，使所有前往駭客來源端網址的網路封包不再依循原有預設路由所指示的正確路徑回去，其效果等同於直接將網路封包過濾（Drop）掉一樣。
　　相較於連線反制，路由反制技術具有射後不理（Fire and Forget）以及不會降低網路頻寬等雙重優點。從對一個駭客網址啟動路由反制開始，一直到解除反制前的這段時間內，該網址與內部網路的所有通訊行為即被完全封鎖，偵測系統不需再理會來自該駭客網址的後續攻擊行為，因此即使遭到大規模的網路攻擊，亦不會降低偵測系統的執行效能，且正常的網路連線亦能保持通暢，不因反制駭客而降低連外網路頻寬。但對每個駭客來源網址的路由反制必須於適當時機加以終止，因為大部分的駭客均為網路服務業者（ISP）的非固定網址用戶，故長時間的路由反制是無意義的，況且若路由反制數量有增無減的話，路由表將越來越大，致使該網路設備效能降低。
四、固定式縱深反制
　　企業會為了因應網路安全需求而調整其網路架構，例如在用於聯繫外界網路的路由器後方，設置一開放區網段，然後再經由開放區網段上的防火牆來防護內部的區域網路，這麼做可使內部區域網路得以增加安全防禦縱深。外來駭客必須闖過第一線的邊界路由器（Boundary Router）與第二線的防火牆系統等兩道關卡後，方能接觸到企業的內部區域網路系統。
　　對於曾經長期且多次企圖侵入內部區域網路系統的駭客網址，必須特別加以列管，可將其網址設定於第一線的邊界路由器中（例如Cisco Router的Access-List功能），阻絕其與企業內部區域網路系統間的所有通訊。這種增加防禦縱深的反制方式，特別適合用於已被黑名單列管鎖定的駭客網址。
　　以上介紹的四種駭客反制機制中，誘餌反制與縱深反制的設定內容不需經常變動，屬於固定式的反制機制；而連線反制與路由反制則應具備高度的機動性，能夠隨時實施與解除。由於實施連線反制與路由反制各有其特點，在面對千變萬化的駭客攻擊環境下，應因時制宜地自動變換反制機制，以獲取最佳的反制效果。
　　假使您的企業內部已備有市售的入侵防禦系統，還是可在現有網路架構下，於該系統後方再部署一套自行設計的入侵防禦系統來增強防護。由於這兩種系統的部署方式不同，兩者可各自獨立運作而不會互相干擾。自行設計的系統除了以上所介紹的優點外，還有一項更重要的優勢，那就是駭客可以將市售產品買一套回去好好研究如何破解，但駭客非但無法取得您自行設計的系統，也無從知道這套系統的部署方式。 
（作者為國家實驗研究院國家太空中心研究員） 摘自清流月刊103年5月號