「 資通設備安全檢測」之實機測試 簡介

1. 「資通設備安全檢測」之實機測試簡介 中華民國100年8月25日 交大網路測試中心(NBL) 陳一瑋 執行主任

2. Outline • 檢測技術規範Overview • 實機測試簡介 • 功能、壓力、堅實、穩定

3. 檢測技術規範Overview

4. 目標 研擬適合我國之資通設備之安全檢測技術規範、設備採購參考指引與其他配套措施，並規劃短中長期資通設備之安全檢測與國際接軌之策略方向，以期滿足政府機關(構)對於資通設備採購及使用之安全需求。

5. 產品範圍及規範參考資料來源 • 短期8項產品 • 防火牆、入侵偵測防禦設備、防毒牆、垃圾郵件過濾設備、網頁過濾管控設備、網路安全監控設備、乙太網路交換器、路由器 • 檢測技術規範參考資料來源 • Common Criteria (CC) • Common Criteria for Information Technology Security Evaluation • ICSA • Firewall/AV Gateway/Anti-Spam/IPS Certification Criteria • NSS • Firewall/UTM/IPS Certification Methodology

6. 檢測技術規範架構說明 安全功能需求 (SFR) 參考CC/PP之SFR 書面審查 實機測試 功能測試 壓力測試 堅實測試 穩定測試 參考國內外廠商穩定性測試經驗 以本規範所提之安全功能需求為範圍，設計測試項目 參考 ICSA以及 NSS之相關技術規範 審查方法，主要參考 CC相關技術規範之作法

7. 檢測技術規範討論過程 技術討論會議 文件撰寫討論會議 專家學者座談會 專案審查會議 公聽會/研討會

8. 檢測費用與時程 • 經召集多次業界會議認為每一檢測案件在2個月內及50萬費用額度下較可負擔 • 會議決議報請NCC在上述費用與時程範圍內設計整套資通設備安全審驗機制 • 其它相關審驗作業要點 • 每次送驗有兩次修正之機會 • 版本更新時只需對有變更之檢測項目進行重新檢測，其檢測費用為全項檢測費用乘以重新檢測項目數占全部檢測項目數之比例計算 • 系列認證之檢測費用為原費用之50% • 通過基礎型檢測合格之設備，自檢測合格日起三個月內，申請同一設備之進階型檢測者，其檢測費用只須補足基礎型與進階型費用之差額

9. 書面審查與實機測試 • 基本上書面審查與實機測試兩者可同時進行以加速檢測時程 • 書面審查 • 安全標的 • 審查待測物之驗證範圍定義及安全功能(TSF)概述。 • 安全功能設計 • 審查待測物之安全功能(TSF)，包含安全功能規格、設計安全性、安全架構、安全指引等說明。 • 實機測試 • 功能 • 測試待測物所具有安全防護相關功能 • 壓力 • 測試待測物於面臨大量網路封包或連線時安全功能是否有受影響。 • 堅實 • 測試待測物於開啟服務或協定的情況下，是否能夠處理針對自身而來的不正常行為，仍保持正常運作而不受影響。 • 穩定 • 將待測物置於真實網路流量下運作測試，了解待測物在真實的網路流量下是否有不穩定的狀況發生。

10. 基礎等級與進階等級 • 基礎等級與進階等級的差異 • 測試項目上的差異 • 通過標準上的差異 • 檢測費用上的差異 • 分級的原因 • 採購單位及廠商可根據本身需求來決定適用等級 • 政府單位可依機敏程度來決定適用等級

11. 實機測試簡介功能、壓力、堅實、穩定

12. 產品會發生的Bug 功能 壓力 堅實 穩定 上述這些產問題從使用者的角度來看都是安全性問題 因此當測試這些產品時必須從多層面地考量才更能保障使用者的資訊與通訊安全 • 產品發生漏擋或誤擋的情況 • 產品平時運作正常，但是在網路使用的尖峰時期會漏擋攻擊或病毒 • 產品通常會設計Web介面讓使用者方便設定，該HTTP Server遭受攻擊而造成整個產品crash、甚至被攻擊者所佔領 • 產品在真實網路環境下運作時發生當機 (或進入bypass 模式)，造成門戶大開的情況

13. Firewall實機測試項目

14. Firewall實機測試項目(cont.)

15. IDP實機測試項目

16. IDP實機測試項目(cont.)

17. Anti-Virus實機測試項目

18. Anti-Virus實機測試項目(cont.)

19. Anti-Spam實機測試項目

20. Anti-Spam實機測試項目(cont.)

21. 功能測試項目案例 • 測試項目 • IDP 6.4.1.1 • 測試目的 • 驗證產品在基本功能上有一定程度之防禦能力及偵測能力 • 測試重點 • 測試樣本(漏判)：異常/攻擊流量會以CVSS 中當月base CVSS score分佈中採取(Low,Medium,High3種等級之比例取樣) • 測試樣本(誤判):真實流量資料庫 • Signature design • Traffic similarity • Rule Configuration

22. Signature design • WEB-CGI finger access – FP case

23. Traffic similarity DDOS mstream– FP case

24. Rule Configuration • Accept-Language buffer overflow – FP case

25. 堅實測試項目案例 • 測試項目 • IDP 6.4.3.2 • 測試目的 • 測試程式執行平台產生躲避攻擊，根據測試的層級不同產生下列之模擬躲避攻擊之流量，目的是用以偵測規避行為之異常網路流量。 • 測試重點 • Packet Fragmentation • Stream Segmentation • URL Obfuscation • FTP Evasion • RPC Fragmentation

26. IP Packet Fragmentation • IPPacket Fragmentation可參考(RFC-1858) • Ordered 8 byte fragments • Ordered 24 byte fragments • Out of order 8 byte fragments • Ordered 8 byte fragments, duplicate last packet • Out of order 8 byte fragments, duplicate last packet • Ordered 8 byte fragments, reorder fragments in reverse • Ordered 16 byte fragments, fragment overlap (favor new) • Ordered 16 byte fragments, fragment overlap (favor old) • Out of order 8 byte fragments, interleaved duplicate packets scheduled for later delivery

27. TCP Stream Segmentation • TCPStream Segmentation • Ordered 1 byte segments, interleaved duplicate segments with invalid TCP checksums • Ordered 1 byte segments, interleaved duplicate segments with null TCP control flags • Ordered 1 byte segments, interleaved duplicate segments with requests to resync sequence numbers mid-stream • Ordered 1 byte segments, duplicate last packet • Ordered 2 byte segments, segment overlap (favor new) • Ordered 1 byte segments, interleaved duplicate segments with out-of-window sequence numbers • Out of order 1 byte segments • Out of order 1 byte segments, interleaved duplicate segments with faked retransmits • Ordered 1 byte segments, segment overlap (favor new) • Out of order 1 byte segments, PAWS elimination (interleaved duplicate segments with older TCP timestamp options) • Ordered 16 byte segments, segment overlap (favor new (Unix))

28. URL Obfuscation and FTP Evasion • URL Obfuscation • Premature URL ending • Long URL • Fake parameter • TAB separation • Case sensitivity • Windows \ delimiter • Session splicing • FTP Evasion • Inserting spaces in FTP command lines • Inserting non-text Telnet opcodes

29. RPC Fragmentation • RPC Fragmentation • One-byte fragmentation (ONC) • Two-byte fragmentation (ONC) • All fragments, including Last Fragment (LF) will be sent in one TCP segment (ONC) • All fragments except Last Fragment (LF) will be sent in one TCP segment. LF will be sent in separate TCP segment (ONC) • One RPC fragment will be sent per TCP segment (ONC) • One LF split over more than one TCP segment (in this case, no RPC fragmentation is performed (ONC)) • Canvas Reference Implementation Level 1

30. 壓力測試項目案例 • 測試項目 • Firewall 6.4.2.1 • 測試目的 • 了解Firewall在最大吞吐量(規格書所註明)的狀況下，防禦功能仍能正常發揮作用。 • 測試重點 • Firewall利用IP與Port來制定rule，阻擋有害主機發送的流量，在同樣吞吐量的狀況下，封包size越小，數量越多，將造成Firewall CPU使用率提高，在CPU使用率飆高的情況下，為了維持網路不中斷，有害主機發送的流量就有可能通過Firewall，為了避免這樣的狀況發生，故制定本檢測案例。

31. 穩定測試項目案例 • 測試項目 • Firewall/IDP/AV/AS 6.4.4.1 • 測試目的 • 透過場測(Field Trial)或是流量錄製與重播工具將流量導入待測物進行測試，測試過程持續檢查待測物的網路是否暢通、網頁圖形使用者介面(Web GUI)設定功能是否可用、待測物沒有發生任何網路中斷或服務停止等狀況。 • 測試重點 • 流量內容與行為的多樣性、複雜性。 • 造成CPU不正常飆高、Memory leak的狀況。

32. 穩定測試項目案例(cont.) • 流量產生自至少100位使用者同時上線的網路環境 • 流量內容包含至少10種應用類型，每一種應用類型至少包括一個應用項目，全部之應用項目須達50個以上。舉例如下: • Chat：msn, yahoo messenger, qq, xmpp, aol-icq • Email：gmail, smtp, pop3, imap, webmail • File Transfer：ftp, flashget, smb • Game：garena, facebook app, steam • P2P：gnutella, edonkey, bt, xunlei, fasttrack, ares, kazaa, ed2k • Remote Access：windows remote desktop, telnet, ssh, vnc • Streaming：rtsp, qqtv, pplive, ppstream, qvod, flashcom, itunes, rtp, shoutcast, • VoIP：skype, sip • Web：http, https, http download, http video, http range get • Others：hopster, softether, dns, snmp, oracle, ms-sql • 流量內容包含IPv4及IPv6 • 以重播方式進行測試所使用之流量其被錄製下來時的時間點與進行測試時的時間點兩者間隔不得超過1周

33. 簡報完畢 恭請指導