作者:蔡宏儒 / 臺灣大學計算機及資訊網路中心網路組研究助理
在網路世界中用戶端常常因為瀏覽網頁而遭遇到一些資安事件,尤其是一些不當資訊的網頁網站。教育部鑑於莘莘學子陷入情色、暴力、藥品、毒品、賭博...等情境而無法自拔,委請各區網中心建置不當網頁資訊過濾系統,期望能提昇資安防護、降低資安事故及提昇學校的整體安全基礎建設。
鑑於豐富且毫無界限的網路世界常常讓莘莘學子、國家未來的棟樑陷入情色、暴力、藥品、毒品、賭博..等情境而無法自拔,教育部於98年2月26號召集各區、縣網中心,請各區網中心協助所屬連線之高中職(含)以下學校建置不當網頁資訊過濾系統。
在網路世界中用戶端常常因為瀏覽網頁而遭遇到一些資安事件,尤其是一些不當資訊的網頁網站,而這些網頁若不是惡意網站就是遭入侵而不自覺的網站,導致用戶端瀏覽網頁時感染病毒、一些居大多數防毒程式仍尚未有病毒特徵碼的電腦病毒事件與可能用戶端零時差弱點攻擊問題(例如flash問題)以及被植入在用戶端的後門或木馬,網頁綁架將用戶端導向惡意網站、間諜軟體、惡意程式入侵與殭屍電腦攻擊等事件而蔓延到同單位的其他主機,造成緊急的資安事件,這些資安事件凸顯了不當網頁資訊過濾在資通安全問題預防與處理上的重要性,目前這不當資訊過濾系統在時程與趨勢上已經不容忽視,例如近來的「開心農場,種菜、偷菜」Facebook事件所影響的價值觀念。
用戶端瀏覽不當資訊網站的內容網頁時,其中部份網頁皆藏有惡意程式或導向下載惡意程式,或經由 DNS 去訪問這些 malware 的網址,或另一方式就是更動類似 c:\windows\system32\drivers\hosts 或 /etc/hosts 直接透過 hosts 連往 malware 網站,這些所衍生及造成的資安事件除了網頁內容對學子的行為偏差、錯誤的價值觀,同時也為學校消耗不少人力與成本等資源。在頻寬上,對於不當網頁資訊所產生的網路流量以及中毒及入侵事件也增加了骨幹網路與資安緊急應變的成本,實行不當網頁資訊過濾系統單位,期望能提昇資安防護及避免相關之行為偏差與價值觀,也能改善網路的效能、降低資安事故所造成的傷害、提昇整體學校的安全基礎建設。
不當資訊過濾系統的上網資安管理政策,針對用戶端欲前往的網站網址URL進行「網址資料庫類別比對」若是符合政策中所要攔阻的網頁網址、彼如「成人資訊」,系統乃就發送 TCP 的 RSET Flag封包 給網站與用戶端、藉此中斷兩邊連線,並且提供了攔阻的嚇阻網頁(如附圖瀏覽 http://www.playboy.com 遭到攔阻畫面)藉此攔阻畫面達到用戶端攔阻功效以提升上網資訊安全管理能力。
目前臺大採行的不當網頁資訊過濾系統,採用了旁接式(sniffer mode方式)的軟體與設備,旁接式(sniffer mode)的架構不受因攔阻過濾設備障礙而造成正常網路路由的中斷,也不會成為效能上的瓶頸(bottle neck )與single point of Failure。關於攔阻機制如同前述的原理藉由TCP RST Flag 封包中斷兩邊連線,用戶端不需額外安裝任何軟體與程式、所以也不需像特定的瀏覽器要藉由類似IE內容功能選項中「內容警告」等再崁入安裝分級類別軟體問題、也不會限定只支援特定瀏覽器問題而不支援類似像Firefox,Opera,Safari等瀏覽器。整個架構採用的旁接式(sniffer mode) 架構,藉由將switch的網路流量port mirror 到不當網頁資訊過濾系統的伺服器網路介面,再由不當網頁資訊過濾系統進行政策規則判斷,符合政策規則而需要進行中斷時,再對雙方送出TCP RST Flag封包。不當網頁資訊過濾系統也能搭配提供常收集得來的malwareURL資料庫,對一些用戶端連往危險malware網址的「非」用戶端直接意願、允許的行為事先攔阻,同時在運行的時期也能同時記錄不當資訊使用情形,提供未來的稽核。另外此不當網頁資訊過濾系統除了不僅能辨認HTTP Protocol 外,還能辨認「非」HTTP等(例如P2P、IM等)OSI第七層的封包,未來也能配合進行一些P2P、IM等的控管。目前這套系統配合教育部的政策只導入與臺大連接的TANet區網學校「高中職(含)以下學校」。除了成人資訊、暴力、藥品、賭博等類別外,管理端也可以製作白名單與黑名單,開放與攔阻的設定也可以依照不同的單位與時間進行調整配合。
隨著不當網頁資訊過濾攔阻設備的產品問世,用戶端也藉著不同的規避方式,藉以逃避不當網頁資訊過濾系統。目前不當網頁資訊過濾系統可能會遇到用戶端利用anonymous proxy規避的方式,以及利用網頁轉址規避的手法,目前這些攔阻設備都可以加以處理,限制與克服。甚至於透過WCCP 模式可以對付UDP的streaming,因UDP streaming 無法透過TCP RST Flag封包的方式中斷用戶端與網站兩方連線。面對Web 2.0 互動的網頁時代,不當網頁資訊過濾系統將會出現更多功能在這些日新月異的科技上,為了兼顧可能的危害與配合管理的調整,也兼具了除了黑白名單外的Suspicious URL List,以期能協助單位彈性制定使用政策並主動防範網路威脅。展望未來,勢必有對於膚色「雲端計算」更準確的網站情色內容判斷出現,以及隨著honeynet的發展,不當資訊的malware URL收集Bonet 統合起來,對單位組織的資安整體上來說應提升助益不少。
參考資料
臺灣學術網路(TANET)-不當資訊過濾防制系統
http://web110.moe.edu.tw/p1.html