Network Security

1. Network Security

30. Scanning vulnerability

31. Internet Scanner • System Scanner • Database Scanner

32. System System Network Network ISS SAFEsuite 提供的風險管理方案 Threat Management Vulnerability Management System Scanner Server Sensor Database Scanner Network Sensor Internet Scanner Manager

33. ISAM的運作機制 網路入侵風險即時偵測服務 主機入侵風險即時偵測服務 Internet區段弱點掃描分析服務 SSD 系統主機弱點掃描分析服務 資料庫弱點掃描分析服務 ISAM Server ISS Center 入侵偵測系統 決 策 系 統 弱點掃描系統 報 表 系 統回 覆

34. 運作流程 Corrective Action Report GetAdmin Vulnerability: Severity: IP Address: OS: Fix: High Risk 215.011.200.255 Windows NT 4.0 From the Start menu, choose Programs/Administrative Tools/User Manager. Under Policies/User Rights, check the users who have admin privileges on that host. Stronger action may be needed, such as reinstalling the operating system from CD. Consider this host compromised, as well as any passwords from any other users on this host. In addition, Apply the post-SP3 getadmin patch, or SP4 when available. Also refer to Microsoft Knowledge Base Article Q146965.txt. 透過Intranet掃描 透過Internet掃描

35. 可掃描範圍 • 可掃描 TCP/IP 網路環境下的所有裝置包括： Firewall Router Switch Server ( Mail, Web, File…)等等

36. Internet Scanner 安全稽核層次 E-mail掃描偵測 瀏覽器安全性掃描偵測 服務阻斷掃描測試 NT安全性掃描偵測 IP Spoofing掃描偵測 Smart Scan功能 服務掃描偵測 Port掃描偵測 後門程式掃描偵測 密碼破解掃描偵測 破解程式掃描偵測 Level 1 作業系統的種類 Level 2 作業系統的函式及服務 Level 3 對已被入侵系統的偵測或較不高明 之駭客手法偵測 Level 4 對利用駭客工具對系統進行偵測 Level 5 有經驗的入侵者對系統進行偵測 及系統的錯誤設定

37. AGENT Console System Scanner • Scan from Inside of System • Back Door Check • Account Ageing • Access Configuration check • Base Line • (File Changing) Check System Base Assessment

38. System Scanner 產品功能 System scanner agent ‧重要資料鎖定－利用安全的Checksum(SHA1)來監控重要資料 或程式的完整及真實性。‧密碼檢測－採用結合系統資訊、字典和詞彙組合的Rules來 檢測易猜的密碼。 ‧Syslog和Text file分析－能針對System Logs和其它Text file記錄檔的內容做分析。 ‧動態式的警訊－當遇到違反掃描政策或安全弱點時提供即時 警訊並利用email、SNMP traps、System Logs 、呼叫應用程式等方式回報給管理者。 ‧分析報表－可依企業內不同職稱的人員產生易懂的分析報表。

39. Database Scanner 產品功能 • 偵測資料庫的弱點: 不佳密碼設定,過期密碼設定, • 久未使用帳戶 • 偵測攻擊行為: 未經授權人士嘗試登入資料庫 • 偵測來自主機內、外部的威脅 • 偵測密碼的弱點 • 檢核到期的密碼 • 偵測登入的時間 • 使很久未使用的帳號設定為失效 • 追蹤登入期間的限制活動記錄 • 定時作業/自動化掃描

40. Attack type

41. Denial of Service • Disable or corrupt networks, systems, or services

42. DDOS,How does it Work ?

43. Smurf AttackSmurf Attack

44. Port redirection Attack Redirection Attack

45. Backdoor

46. RootKit

47. System vulnerability

48. 系統缺失導致安全漏洞 • ◎系統缺失導致安全漏洞事實上，目前網際網路環境的安全弱點，包含七項一般安全、六項Widows作業系統，以及七項Unix作業系統的弱點。其中一般弱點包含：「以預設選項安裝作業系統及應用程式」、「未設定密碼或密碼選取不夠嚴謹」、「沒有備份或備援機制不完整」、「開放過多的連接埠」、「未過濾進出封包之網路位址」、「沒有存取紀錄或存取紀錄不完整」、「有漏洞的CGI程式」。Windows作業系統的弱點，有：「Unicode漏洞」、「ISAPI延伸程式的緩衝區溢位」、「IIS RDS漏洞」、「NETBIOS未保護的網路資源分享」、「允許匿名連線導致資訊外洩」、「LAN Manager的密碼弱點」。而Unix作業系統的弱點，則包含：「RPC程式的緩衝區溢位」、「Sendmail的漏洞」、「Bind的弱點」、「R指令」、「LPD(remote print protocol datemon)」、「sadmind and mountd」、「預設的SNMP字串」。

49. 常見NT 安全漏洞 • 影響: :　　入侵者可以藉此漏洞修改網頁、獲得該主機或該網域的控制權限 • 事件描述: :　　自去年大陸入侵我政府網站事件以來，國內網站頻遭入侵。根據最近幾起案例分析，入侵者大多利用下列三種安全漏洞： • 1.密碼設定過於簡單　　管理者將密碼設定得太簡單，使得入侵者很容易以字典攻擊法或暴力攻擊法來猜測出密碼，而得以進入系統。 • 2.權限過於鬆散　　有些管理者為了方便，並未將使用者權限做好設定，例如有些管理者為了方便將網站目錄設成 anonymous ftp user 可以寫入，使得入侵者不費吹灰之力修改其網頁。 • 3.Microsoft Data Access Components (MDAC) 的安全漏洞　　這是目前系統管理者並未注意到的安全問題，入侵者可以利用這個漏洞完整控制該台 NT server 或其所轄之網域。

50. 解決方法: :1.密碼避免以下列方式設定密碼 • · 與帳號名稱相同的密碼（例: 帳號名稱 abc 密碼也設 abc） • ·字典中查得到的字（例: apple、bill、cat） • ·身份證字號（例: A1234567890） • ·日期（例: 1010、20001010、891010） • · 有順序之密碼（例 abc123、abcABC、abc!@#、1!2@3#、123qweasd 等） • 2.將其權限劃分清楚，且將不必要帳號刪除，並設好 ACL。