企业网络问题评估分析─众至相关解决方案(5/6)

问题4：恶意的内部攻击，如ARP 攻击、IP 伪装等，尤其是出租型的公寓或是提供自由网的饭店，***常发生这样问题。

房东***怕时常接到房客的电话，表示网络无法联机或者上网速度很慢，如果一直花时间在处理这些问题上，对房东也是一件非常困扰的事情。对多数出租型公寓或饭店的使用者来说，多数大都是好人，但也有一些心怀不轨或是无辜被当成跳板的计算机，但是不论是哪一种情况，它都会干扰到内部其他使用者的运作，甚至***网络的稳定及安全，身为一个尽责的网络维护人员，如何在这一些事情刚刚发生的时候，出面制止? 还是等一切不可收拾后，通通归零从新再来。

看待这个问题时，分成2个层次，『心怀不轨』及『无辜被当成跳板』，首先解决心怀不轨的人，它的攻击手段，一般而言有ARP欺骗、私架DHCP服务器、IP 伪装等，因为通讯协议的***缺陷，导致这一类的攻击行为很难被侦测出来，因为它会让PC 的网关MAC 地址换成攻击者或是其他不相关的地址，又因为ARP 攻击是用广播的方式，管理者不容易侦测出攻击者的IP及位置，就算找到了攻击者，除了请人到每一台交换器上拔线阻止外，别无他法。

方案4：众至UTM防止ARP 攻击、IP 伪装等恶意的内部攻击

ShareTech 的ARP 侦测机制及IP 伪装防护机制就很厉害，可以在***时间内就找到”滥发布” ARP 讯息的人或是使用假IP 地址的人，万一，侦测到内部有受害者出现了，管理者就可以合理的怀疑，曾经”滥发布” ARP 讯息或是伪装IP 地址可能是攻击者的候选人，启用协同防御的交换器管理，就可以把攻击者『堵』在他自己的网络卡上，不让他继续危害他人。

藉由这样的机制，纪录攻击者的IP/MAC 地址及时间，就可以自动揪出网络的捣蛋鬼，让他尝尝网络不通的困扰，同时对于网络上其他的人来说，一点影响也没有。

对于『无辜被当成跳板』的计算机，侦测及阻止方式跟前面的不一样，对于他们来说，网络是一个深奥的世界，无法判断真假，往往在不知不觉中，中了”聪明人的圈套”， 但是对于网络管理者而言，不论无辜与否，一样会造成网络的不安全，此时，就是殭尸病毒侦测机制大显身手的时候了。

一但侦测出内部有对外部不合理的网络封包在传递，除了纪录下来外，也可以将这类型的封包丢弃掉，避免数据外泄，如果这一个『无辜被当成跳板』的计算机一直对外狂发，屡劝不听，这样的行为已经会影响其他人的网络安全，在安全考虑下，可以把他『堵』在自己的网络卡上，当状况改善完毕后，再让他上线。

网络存取控管(NetworkAccessControl，NAC)是一个非常好及安全的内网解决方法，当他侦测到内部不安全时，主动将不安全的流量导入一个***的区域，不会影响其他人的运作。但是，拥有这样的功能或是其他号称的区域联防的解决方案，他们都要求指定交换器厂牌跟型号，通常具有这样功能的交换器都不便宜，整体布署的费用太贵了，虽然防护的效果好，但是费用问题会让这一切成为空谈，对于管理100~ 200 部计算机的人来说，沉重的成本及管理的压力，让这一些优点变成缺点。

ShareTech 的进阶防护提供简易型的NAC 系统，藉由已经建置好的交换器跟UTM互相沟通，就满足NAC机制的基本需求，只要配置***低阶的SNMP (具有Layer 2)交换器就可以完成协同防御的动作，把UTM侦测到有问题的IP地址通知交换器，再由交换器执行阻挡的动作，这样就完成NAC 的防护了。