1 / 31

結合防毒與入侵偵測之網路阻斷系統研究

結合防毒與入侵偵測之網路阻斷系統研究. A Study of Network Blocking System Combined with Anti-Virus and IDS. 指導教授:包蒼龍 老師 研究生:李亮寬 July 2009. 緒 論. 本研究主要希望建立一個聯防系統,協助缺乏網管人力的中小企業或學校網路,當病毒或駭客發動攻擊的第一時間,能即時將攻擊來源阻斷隔離,在外界網管人力支援到達之前,避免傷害擴大,並在後續檢修上協助尋找攻擊來源及問題原因。. 簡報大綱. 研究動機與目標 系統設計 系統實作 實作結果 結論與未來研究 Q&A. 研究動機.

cybil
Download Presentation

結合防毒與入侵偵測之網路阻斷系統研究

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 結合防毒與入侵偵測之網路阻斷系統研究 A Study of Network Blocking System Combined with Anti-Virus and IDS 指導教授:包蒼龍 老師 研究生:李亮寬 July 2009

  2. 緒 論 • 本研究主要希望建立一個聯防系統,協助缺乏網管人力的中小企業或學校網路,當病毒或駭客發動攻擊的第一時間,能即時將攻擊來源阻斷隔離,在外界網管人力支援到達之前,避免傷害擴大,並在後續檢修上協助尋找攻擊來源及問題原因。

  3. 簡報大綱 • 研究動機與目標 • 系統設計 • 系統實作 • 實作結果 • 結論與未來研究 • Q&A

  4. 研究動機 • 區域網路頻遭病毒及駭客遙控攻擊 • 防火牆無法阻檔網路內部相互攻擊 • 病毒隨行動媒介增加快速擴散 • 網管人力缺乏之校園網路常成為攻擊跳板 • 傳統網路檢修效率差 • 部份網路使用者較無資安觀念

  5. 研究目標 • 建置具彈性的聯防系統加強網路防護 • 設置蜜罐誘導攻擊並予以偵測阻斷 • 隔離高危險病毒群以避免擴散 • 增加網管人員可延遲修護或請求支援時間 • 協助尋找攻擊來源及原因以增加檢修效率 • 網路阻斷可使危險使用者重視資安觀念

  6. 系統設計 網路管理系統(NMS) 防毒監控中心Agent 入侵偵測系統Agent

  7. 網路管理系統(NMS) • 蒐集整合區域網路設備基本資訊 • 輪詢、彙整 • 阻斷隔離問題位址 • 透過防火牆阻檔外部入侵攻擊 • 利用交換器阻斷內部問題主機 • 協助管理人員尋找問題設備 • 表列問題主機之交換器埠位置及問題原因 • 提供遠端管控協助檢修

  8. 00.11.25.ab.df.11 2 NMS蒐集區域網路設備基本資訊 MIB-II .3.6.1.2.1. snmpbulkwalk -v 2c -Cc -c public 140.11x.xxx.253 .1.3.6.1.2.1.4.22.1.2 snmpbulkwalk -v 2c -Cc -c public 140.11x.xxx.253 .1.3.6.1.2.1.2.2.1.8 snmpbulkwalk -v 2c -Cc -c public 140.11x.xxx.252 .1.3.6.1.2.1.17.1.4.1.2 snmpbulkwalk -v 2c -Cc -c public 140.11x.xxx.252 1.3.6.1.2.1.31.1.1.1.1 snmpbulkwalk -v 2c -Cc -c public 140.11x.xxx.252 .1.3.6.1.2.1.17.4.3.1.2 17.4.3.1.2 17.1.4.1.2 31.1.1.1.1 2.2.1.8 4.22.1.2 140.111.xxx.1 10102 Gi0/2 Up

  9. 外部入侵資訊(IP) • 內部攻擊資訊(IP) • 病毒資訊(MAC) Iptables –A INPUT –i eth0 –s 123.19x.xx.55 –j DROP • NMS阻斷隔離威脅 snmpset –v -2c –c private switchip .1.3.6.1.2.1.2.2.1.7.ifindex i 2 NMS資訊庫

  10. NMS協助管理人員尋找問題設備 阻斷原因 問題來源位址資訊

  11. 防毒中心Agent傳遞阻斷位址資訊

  12. 入侵偵測Agent傳遞阻斷位址資訊 • 批次處理 • 過濾誤判

  13. 系統實作 實作架構 組成元件 模擬系統

  14. 實作架構 管理者介面 協助查修 請求支援 下達控制 檢視網路 防毒與入侵偵測系統 可隨時增減元件 阻斷系統 對外:FW 對內:Switch 蒐收網路資訊

  15. 組成元件 • 企業版防毒系統套件 • NOD32(client、remote server、server console) • 入侵偵測系統 • SNORT(NIDS、HIDS)、蜜罐(Honeypot) • 網路管理系統 • PHP、MySQL、Net-SNMP • 待管設備 • Router、Switch、Firewall(Linux iptables)

  16. 防毒軟體 NOD32 Remote Administrator Console

  17. MAC : 00.11.25.ab.df.11 Critical Warning 防毒系統與網路管理系統整合 00.11.25.ab.df.11 00.11.25.ab.df.11 Switch1 port2 10.0.1.20 NOD32 Server NOD32 Client NOD32 Client NOD32 Client NOD32 Client NOD32 Client NOD32 Client 00.11.25.ab.df.11 Critical Warning

  18. SNORT簡介 • 入侵偵測系統最便宜解決方案 • 輕量級不影響到網路正常操作 • 作業系統依賴性低 • 多樣性探測 • 即時性通訊分析記錄 • 通訊協定分析、內容搜索 • 緩衝溢出、埠掃描、CGI攻擊、入侵嘗試

  19. SNORT安裝 • 網路型(NIDS)連接至交換器監聽埠 • var HOME_NET 192.168.1.0/24 • 以監聽埠監聽封包保護整個網段 • 主機型(HIDS)可與蜜罐共同運作 • var HOME_NET 192.168.1.0 • 分析檔案完整性 • 偵測網路型IDS無法解析之加密通訊

  20. iptables –A INPUT –I eth0 –s 123.19x.xx.55 –j DROP 外部入侵攻擊偵測阻斷 DROP 123.19X.XX.55 123.19X.XX.55 外部攻擊 123.19X.XX.55 123.19X.XX.55 123.19X.XX.55

  21. 內部對外部攻擊偵測阻斷 10.0.2.20 Switch2 port 2 10.0.2.20

  22. 內部對內部攻擊偵測阻斷(一) 10.0.1.10 Switch1 port 1 10.0.1.10 10.0.1.10

  23. 內部對內部攻擊偵測阻斷(二) Monitor port Monitor port Monitor port 10.0.1.10 10.0.3.20

  24. 結論 • 「聯防系統」是最有效的防禦方式 • 必要的阻斷與隔離可保護網路 • 阻斷問題可延長網路管理人員應變時間 • 協助網路管理人員搜尋問題位置與來源

  25. 未來發展 • 提供更簡單的安裝程序以利推廣 • 透過agent整合更多偵測、檢測及防禦系統

  26. Q&A

  27. 蜜罐 • 為引誘駭客分析其行為而刻意曝露漏洞之系統 • 互動性區分 • 低互動:模擬系統,探測及嘗試入侵行為 • 中互動:模擬系統,部份互動性 • 高互動:實體系統,蒐集資料多,風險高 • 安全保護措施 • 提高最高管理權限密碼強度 • 最高管理權限限制本機登入 • 網路型IDS監聽蜜罐封包 • 安裝還原系統

  28. IDS偵測結果(一)(7/13~7/18)

  29. IDS偵測結果(二)(7/13~7/18)

  30. IDS偵測結果(三)(7/13~7/18)

More Related