封鎖使用者執行不當應用程式的管控技術

《封鎖使用者執行不當應用程式的管控技術》由会员分享，可在线阅读，更多相关《封鎖使用者執行不當應用程式的管控技術（5页珍藏版）》请在金锄头文库上搜索。

1、封鎖使用者執當應用程式的管控技術 陳世賢 建宏 中國科技大學 資管系 中國科技大學 計算機中心 sheincute.edu.tw chienhungcute.edu.tw 摘要摘要 教育部與國家資安會報函指示各單位禁用P2P 軟體。然而就執面而言，使用 P2P 封包辨的網設備成本頗高，在經費成本的考下，多學校或機關恐怕一時難以具體實封鎖P2P軟體的政策。因此，本文考目前封鎖 P2P 的產品與技術，開發一個用偵測使用者執P2P或其他當應用程式並進封鎖的程式機制，同時我們加入主從式管控架構，以達成區域網內群體電腦的偵測與封鎖效果。偵測程式經過實際運作於學校實習電腦教室封鎖P2P等當應用程式的測試結

2、果獲得好成效，未可提供其他機關學校執資安政策的考方案。 關鍵詞： P2P，當資訊防治，資訊安全。 1. 前言前言 當資訊防治機制為教育部對各大專校院要求的重點工作項目之一，其中以 P2P 軟體侵犯智慧財產權的情況尤為嚴重。然而在各校計算機中心人員所接觸的防治 P2P 的校園解決方案，多以封包辨技術為主的網設備產品方案，此種網設備如 Cisco SCE 等產品價格動輒百萬元，而且由網傳輸封包辨P2P技術上需要強而有的研究團隊，這使得我們實務上在思考封鎖 P2P 技術時，有必要跳脫以辨網封包進封鎖的思考框架。 在瞭解目前多項封鎖 P2P 技術的具體方案後，我們著手開發於個人電腦偵測與封鎖使用者執當

3、程式的可技術：在使用者電腦安裝一個常駐程式，讓電腦自我偵測目前執應用程式的情況，一旦偵測到 P2P 軟體執則即予以刪除，再用此偵測程式的隱藏特性，使其程序無法出現在工作管員內，使用者無法自刪除此偵測程式，以達成偵測程式的封鎖效果。 我們將此管控技術應用於學生實習電腦教室，實測個月的結果，能成功有效封鎖使用者執 P2P 軟體運作，同時也能封鎖電腦教室內學生執網遊戲等當應用程式。這個成功經驗可提供其他學校進校園防治 P2P 解決方案的考。 2. 相關技術介紹相關技術介紹 2.1 P2P 封鎖設備封鎖設備 (1) 由器網封包應用辨技術 Network-Based Application Recogn

4、ition (NBAR)：多的學校使用思科 Cisco 由器，思科中大型交換器如 Catalyst 6000 等均支援 NBAR 封包應用辨機制6，此技術可由網管人員自設定，於由器封鎖 P2P 封包。雖然無需追加成本，但由於思科原廠提供之辨 P2P 模組較少，目前較常使用的 P2P 軟體如Foxy、Bitcomet 等均未能提供辨模組，因此實際運用在 P2P 的封鎖上有功能足之處。 (2) 頻寬管器：由於各大學校院或區網中心對外線之頻寬需求較大，且頻寬管器在辨封包的等級與功能性與效能均有一定水準、且辨之準確高，目前多所學校或區網中心均採用此設備，其中較為著名的產品為 Cisco Service

5、 Control Engine 5、TippingPoint 10。 (3) 入侵防禦系統：近網攻擊事件頻傳，多所學校均已購置入侵防禦系統進傳輸封包辨與封鎖工作。部分廠商如 McAfee 宣稱其 IPS 產品 IntruShield 8可辨及封鎖 P2P 封包。 (4) 防火牆：部份防火牆產品宣稱可辨應用層封包為，其中包括微軟的 ISA server 9，思科的防火牆產品 PIX 2也有提供使用 NBAR 技術封鎖P2P 封包的做法。 2.2 應用程式封鎖技術應用程式封鎖技術 (1)使用者權限設定：用權限設定讓使用者無法安裝應用程式，此種方式簡單且具成效，然而網上常出現許多的 P2P 或當應用

6、程式的色安裝版 ，提供使用者在權限足的情況仍能執應用程式的其他途徑。另一種權限設定的方式，可考Chris 等人3提出以群組原則(gpedit.msc)設定限制應用程式的辦法。 (2)網許可控制軟體(Network Admission Control, NAC)：NAC 解決方案主要透過主控台的資安政策設定，將所管轄範圍內符合政策的電腦，限制或封鎖其網線4。NAC 可藉由檢視電腦登檔，限制安裝 P2P 軟體之使用者則可封鎖其網傳輸。目前許多廠商均提供 NAC 解決方案包括Cisco、McAfee、Sopho、Trend 等。 (3) 應用程式標題偵測與封鎖：由於應用程式的視窗標題由開發廠商固定撰

7、寫而成，一般使用者難以竄改。因此，有廠商開發以常駐程式偵測目標程式進封鎖的軟體，目前市售提供之偵測執應用程式標題的封鎖程式 ， 有 Palmersoft 公司的 APP Killer 1、弈飛資訊的網特警11、瑞寶網通的 iCare愛管家7等產品。 上述各種封鎖 P2P 技術與產品，各有其功能限制或辨 P2P 軟體夠周延之處。而其共通性為購置成本較高，無法普及應用於各校園網內。依據本校實際使用各項產品的情形，本文嘗試將各項封鎖設備技術優缺點整如下： 表 1：P2P 封鎖技術優缺點比較 封鎖技術 優點 缺點 NBAR 免費 P2P 辨低，限部份思科設備。 IPS 可同時辨與封鎖攻擊/P2P 封包

8、。 P2P 辨高，僅少 P2P 軟體可封鎖。價格昂貴。頻寬管器 封包辨高、 使用效能佳、可 限制特定。 費用昂貴，約 150萬元以上。 NAC 可同時檢測 PC 防毒及 Patch 態。 僅檢視登檔，可以色軟體或重新安裝破解。 程式標題 偵測 準封鎖應用程式，無法使用色軟體破解、佔用網頻寬。 可修改程式標題破解。 在低成本技術開發的考慮前題下，我們以偵測程式標題做為封鎖 P2P 軟體的構出發點。 3. 軟體架構與實作軟體架構與實作 3.1 軟體開發構軟體開發構 由於各大學院校考學生學習電腦的深與性，實習教室或實驗室的電腦並針對學生限定 管 權 限 ， 也 因 此 學 生 常 以 系 統 管 者

9、(administrator)身份操作電腦，此一特性使得我們在開發構上，無法如先前封鎖技術介紹以限定使用者權限達成管制目的。所以，我們提供的開發構順序如下： (1) 偵測電腦所執的應用程式，判斷其視窗標題並進封鎖。 (2) 加入 NAC 概，讓偵測程式導入主從式架構，提供控管伺服器的資訊收集與集中管程式。 (3) 使用程序隱藏技術，讓使用者無法刪除常駐在個人電腦內的偵測程式。 依照上述三項軟體開發構，實際完成本文的偵測程式管控架構。 3.2 軟體架構軟體架構 我們以 VB.NET 為開發工具，先收集目前主要的 P2P 程式或其他當應用程式標題 (如 Foxy、Bitcomet 等)，並依此程式

10、標題做為封鎖清單。 偵測程式於安裝時會自動加入作業系統的服務項目內，並設定無法移除或停用此服務項目。因此在安裝後，即使由系統管者呼叫該服務項目檢視，其暫停、停止按鈕皆為失能態 (如圖 1)， 已無法中斷程式所開啟的服務項目。 圖 1：無法停止服務項目 由於我們使用服務方式啟動，所以工作管員內顯示程序為 services.exe，這在微軟作業系統是無法刪除的重要程序 (如圖 2)。由此特性，可達成偵測程式可刪除、使用者無法脫監控的結果。 圖 2：無法終止的處程序 由 NAC 軟體而的構思概，將區域網內的個人電腦對應到單一管伺服器，用以設定所管轄的電腦 IP 清單及封鎖程式清單。 電腦開機時自動開

11、啟服務項目，帶動偵測程式運作。此時，偵測程式會向伺服器取得封鎖清單存於記憶體內，爾後偵測程式每分鐘偵測電腦執的應用程式標題或執檔名稱是否與封鎖清單記符合，如果符合則予以刪除。 本偵測程式之程架構如下圖： 圖 3：偵測程式主要程架構 3.3 運作之假定條件運作之假定條件 在我們實際測試與軟體改版的過程中，我們發現，假定學生有權可以重新安裝電腦作業系統，那麼就能破解偵測程式的運作，這樣的條件有成的可能性。因此，程式以下個使用環境為運作的假定條件： (A) 多電腦教室均配置硬體還原卡或還原系統，學生需另取得還原卡密碼才能進作業系統安裝。 (B) 偵測程式採用主從式管控架構，由伺服器管者定義所管轄的

12、IP 範圍，使用者電腦開啟偵測程式後即向伺服器回報。為避免使用者脫管控，管人員可將日沒有回報的 IP 清單進實地調查。 根據這項環境假定條件下，使得偵測程式得以加完善的運作於校園電腦教室或公用電腦設備 (如條件 A) 及政人員使用電腦 (如條件 B)，大幅低使用者操作破解的可能性，也提高全校園電腦進實際封鎖與管控的可性。 3.4 軟體限制軟體限制 我們使用的偵測程式管控技術，係以判斷執程式標題或程式執檔名為執封鎖要素，但是如果使用者透過其他技術修改原軟體的執程式標題，則可脫偵測程式控制。 程式的主從式管控機制依賴網存取，假使學生在開機前自拔除網線斷網，也會使偵測程式的封鎖功能失效。但相對的，學

13、生想被程式管控，只能選擇用網。 由於程式安裝當時即種植於系統服務項目內，此限制條件使得程式在移除上需要人工操作，無法由使用者進自動安裝及解除安裝程序。受限於目前實務上的應用考，本文述及解除安裝的方法。 3.5 實際測試實際測試 我們將偵測程式安裝於中國科技大學計算機中心所管的學生實習電腦教室，該教室平均一天約 60 人次使用，經安裝實測及觀察學生使用個月，測試期間封鎖當應用程式次達 1850 次 (封鎖次採加計算，單人多次重覆測試封鎖亦予以計入)，封鎖程式依次排名如下表： 表 2：當應用程式封鎖排名 應用程式 封鎖次 程式種cstrike 379 網遊戲War3 339 網遊戲BNB 225

14、網遊戲hl 162 網遊戲KartRider 139 網遊戲freecell 116 網遊戲Warcraft III 107 網遊戲Foxy 67 P2P 程式偵測程式在設計之初主要針對 P2P 軟體進封鎖，然而經過實際測試結果顯示在封鎖學生網線遊戲的較 P2P 明顯許多。 由伺服器端所得據顯示，個月實測期間並沒有學生電腦脫偵測程式控制，同時藉由工同學的每日定時巡場觀察，也沒有發現學生電腦執封鎖清單內的當應用程式的情況。因此我們可以，偵測程式提供的封鎖技術有達到預期的效果。 在程式開發後，我們與其他同性質以偵測應用程式標題做為封鎖技術的市售封鎖軟體進比較如下表所示： 表 3：與其他市售軟體功能

15、比較 可發現偵測程式之程序可刪除偵測程式之程序 提供中央控管機制APP Killer可 可 無 網特警可 可 無 愛管家 可 可 無 本偵測程式可 可 有 我們的程式在封鎖效果及防止使用者脫管控的效果上，相較於市售軟體並遜色。較為同的是，一般市售軟體功能上較偏向家用個人電腦之當程式封鎖。而我們的程式較適用於企業機關之網管人員佈建集中式資安監控政策使用，應用上可即時管控執程式標題，藉由定時回傳伺服器，網管人員可即時加以封鎖。 4. 結結 本文提供的偵測封鎖技術，並是用取代其他辨 P2P 封包的網封鎖設備或技術，而是在校園電腦的開放式與高權限的使用環境，提供一個封鎖 P2P 及當應用程式的可做法。我們所開發的管控程式，經過測試可實際運作於校園電腦內，未也可提供做為其他機關學校發展似管控軟體或資安政策解決方案的考辦法。 此外，在實際測試的過程中，我們也成功的封鎖學生在實習教室內多人共同進網遊戲，避免實習電腦教室內因集體對戰遊戲而干擾其他同學正常使用電腦的情況，讓校園的電腦教室能提供一個好秩序的學生學習環境。 考文獻考文獻 1 “App Killer V2.1” , Palmersoft., htt