| 题名 |
以DNS封包為基礎的自動化上網管控機制 |
| DOI |
10.29614/DRMM.201204.0014 |
| 作者 |
廖國銘;蔡雨龍;鍾佩芳;華荐治;黃廷謙;鄭睿哲;陳婉宜 |
| 关键词 |
網路存取管控 ; 防火牆 ; 代理伺服器 ; DNS代理伺服器 ; 黑白名單產生器 ; 政策伺服器 ; 入侵防禦系統 ; NAC ; Proxy ; DNS Proxy ; Generator ; Policy Server ; IPS |
| 期刊名称 |
資訊安全通訊 |
| 卷期/出版年月 |
18卷2期(2012 / 04 / 01) |
| 页次 |
174 - 182 |
| 内容语文 |
繁體中文 |
| 中文摘要 |
自從具有資料收集功能的代理程式(Agent)被開發後,它們負責將自終端設備所收集到的資訊傳送至後端的接收伺服器,接收伺服器經過一定的處理程序後,將其反應到相關的資料伺服器上;藉由此種運作模式,開發一組黑白名單產生程式,讓其定時與資料伺服器、政策伺服器溝通產生新名單或異動名單,並且負責將名單傳送至相關的上網管控設備上,重要的是這些管控設備需為所有終端設備存取網路時必經的關口或匝道即可。管控這些關口或匝道的方式,最常見的就是管控所謂的代理伺服器(Proxy);但是利用Proxy進行管控容易存在一些盲點,因為一般對企業內網(Intranet)的存取都是設定為直接存取,所以無法對企業內網進行管控;不適合列舉大量的黑白名單,因為會妨礙參數檔重新載入時的速度;如果透過單一的內建或外部程式進行判別,因為架構上的限制也無法做出迅速的回應,此外如須建置多台時須考量成本等種種因素;以上種種現象的發生,應是Proxy的角色被錯置了,畢竟Proxy的設計理念並非是針對個別終端設備進行管控的工作。本論文中我們提出一種有別於前述Proxy控管的設計方式。利用所有終端設備存取網路時皆會發出DNS查詢封包的特性,建置DNS Proxy來負責對DNS查詢封包的回應,當不符合企業資安政策的終端設備發出DNS查詢封包時,DNS Proxy會回應特殊的IP,告知上網管控發生的原因;此設計最大的特點在於內網(Intranet)的存取同樣可受管控,建置成本相對Proxy之下顯得更符合經濟效益,反應時間更為迅速,能告知使用者更精確的訊息;基於上述理由我們揭露一以DNS封包為基礎的自動化上網管控機制。 |
| 主题分类 |
基礎與應用科學 >
資訊科學 |
| 参考文献 |
|
