【資料外洩疑雲】預防公司內鬼、由 UTM 協同阻擋做起！

近年來網路攻擊的演變愈來愈快！回想起 2012 年的火焰病毒讓各企業聞風喪膽，亦是開始引發 APT 攻擊的由來，因此企業要著手應對這一波的威脅！然而 APT 攻擊並不是防火牆層面便能夠防禦，因為 APT 攻擊大多是由 USB 外置硬碟或員工不小心按了附帶惡意連結的釣魚信件而「中招」的！當電腦在不知不覺間中被植入了 APT 病毒後，病毒會潛伏於電腦之中，時期可達兩年之久，在這期間遠端的 C&C 伺服器嘗試以命令竊取網路之中的電腦登入認證，然後發到遠端的 C&C 伺服器，最後發動總攻擊偷取機密資料做成重大損失。

因為 APT 攻擊是由內部發生，而傳送資料時是以 TCP 80 Port 連接到遠端 C&C 伺服器，所以企業的防火牆未能及時偵測得到。現時企業可藉著市面上的防火牆搭配沙箱功能(Sandbox) 偵測郵件之中的可疑檔案，或利用雲端技術先把全球的 C&C 伺服器位置記錄下來，然後偵測防火牆出口 (Outbound) 有沒有內部電腦想與這些 C&C 伺服器溝通，一旦發現馬上封鎖。

防火牆搭配交換器自動封鎖有問題的電腦

以上兩種方法的確能攔截 APT 攻擊，但有一點一定不能攔截，就是由內部員工進行的攻擊（不論是在知情或不知情的情況下）！倘若內部其中一台電腦感染了病毒（這有可能由 USB 外置硬碟或自己員工(內鬼)所做成），並且發出異常網路流量，最終將會導致整個內部網路癱瘓，令企業蒙受極大的損失。有見及此，台灣 ShareTech 網路安全公司以交換器作為企業內部防禦核心，由 ShareTech 防火牆搭配支援 SNMP 或協同防禦型的 Layer 2 交換器作管理和防禦；其分別在於支援 SNMP 的 Layer 2 交換器只能夠顯示網路狀況圖表，而支援協同防禦型的 Layer 2 交換器能更深入地同時作出自動封鎖，Cisco、Zyxel、Juniper 和 H3C 等等的交換器也能支援協同防禦功能。IT 管理員不再需要浪費時間檢查那台電腦出現問題，以及走入機房以人手中斷網路連線。

ShareTech Next-Gen UTM 以四種方式綁定電腦

除了能夠自動封鎖外，還可以利用四種方式在 Layer 2 交換器綁定電腦，分別是 IP、MAC、PORT 及 IP Source Guard，前三種方式可搭配成 IP+MAC+PORT 綁定電腦的 IP 及 MAC 位置在交換器某個 Port，一旦綁定了的話，這台電腦將無法接上另一個 Port 存取網路資源，萬一改變了 IP 或 MAC 位置也無法經由原先的 Port 作存取，這種綁定技術能避免訪客自行連接企業網路進行網路攻擊。IP Source Guard 可防止有內鬼架設另一台 DHCP 伺服器導致 IP 位置衝突，就像 DHCP Snooping，IT 管理員只要預先指定 DHCP 伺服器的 Port，其餘的 Port 偵測到有 DHCP 伺服器一律會被禁止。

因為每間廠商的 Layer 2 交換器型號支援四種綁定方式而且各有差異，以下圖為例是一台 ZYXEL GS2210-24 Layer 2 交換器，但只支援 MAC+Port 綁定。

因此 IT 管理員一定要預先了解那台 Layer 2 交換器符合公司網路環境要求，萬一買錯就不好了！

PoE 排程為企業節省電源及降低網路裝置損壞率

企業網路環境可以十分之複雜，除了有一般伺服器和交換器外，亦會部署 VoIP 和無線網路，而員工使用的都是 IP 電話及連上無線網路的 AP，這些設備大多使用 PoE 來供應電源，讓大家不需傷腦筋於牆壁安裝電源位，具有彈性移動能力。

如果利用 ShareTech 的 PoE 排程設定方法可以中央管理 PoE 設備更加節省電源，從而為企業降低電源開支，下圖是正在管理 ZYXEL GS1900-8HP 的 PoE 交換器，而設定模式分為兩種，模式一以點擊圖表排程時間，假設星期一至星期五的凌晨時段及星期六至星期日的全日都不提供 PoE 電源，這時 IT 管理員只要點擊為灰色即可啟用。

PoE 設備長開著會慢慢損壞，畢竟是電子的器材，而 PoE 排程設定便可以令 PoE 設備的壽命延長，降低損壞率。