Download
1 / 93
940 likes | 1.13k Views
網路安全的探討及防範 精誠資訊 錢宜中 Maxc@sysware.com.tw. 內容大綱. 網路安全的範圍 --- 防火牆 主動偵測網路入侵事件 --- 入侵偵測系統 防範網路駭客攻擊 --- 弱點評估. 網路安全的範圍 --- 防火牆. 網路安全的範圍 --- 防火牆. 防火牆的世代種類. 封包過濾防火牆- Packet filtering Firewall 代理伺服器(應用層)防火牆- Proxy ( Application Layer ) Firewall 狀態檢驗式防火牆- Stateful Inspection Firewall. 防火牆的世代種類.
E N D
網路安全的探討及防範精誠資訊 錢宜中Maxc@sysware.com.tw
內容大綱 • 網路安全的範圍---防火牆 • 主動偵測網路入侵事件---入侵偵測系統 • 防範網路駭客攻擊---弱點評估
防火牆的世代種類 • 封包過濾防火牆-Packet filtering Firewall • 代理伺服器(應用層)防火牆-Proxy (Application Layer)Firewall • 狀態檢驗式防火牆-Stateful Inspection Firewall
防火牆的世代種類 • 封包過濾防火牆
防火牆的世代種類 • 封包過濾防火牆優點 1.便宜 2. 快速 • 封包過濾防火牆缺點 1.僅能取得部分封包header的資訊進行檢驗 2.網路層以上各層的資訊無法檢查 3.管理資訊的能力有限 4.不易設定、監控、及管理 5.紀錄及警示的機制不強
防火牆的世代種類 • 封包過濾防火牆範例
防火牆的世代種類 • 代理伺服器(應用層)防火牆
防火牆的世代種類 • 代理伺服器(應用層)防火牆優點 1.安全性佳 2.可完全檢驗至應用層的資訊
防火牆的世代種類 • 代理伺服器(應用層)防火牆缺點(1) 1.提供額外的通訊協定或網路服務檢查處理的延展性很差 2.因為將封包拆解檢驗至第7層,至檢查效能不佳 3.大部分代理伺服器防火牆無法檢查UDP、RPC、或其他一些網路服務 4.大部分代理伺服器防火牆不具透通性
防火牆的世代種類 • 代理伺服器(應用層)防火牆缺點(2) 5.取得太多不需要的資訊 6.效能成本太高 7.連線成本加倍
防火牆的世代種類 • 狀態檢驗式防火牆
防火牆的架構 • 閘道器
防火牆的架構 • 兩個網段建置架構(Internal and External)
防火牆的架構 • 兩個網段建置架構優點 • 建置容易,架構簡單 • 內部網段機器與對外服務伺服器間的連線不會受到防火牆干擾 • 防火牆若因故障或維護而停止服務時,內部網段機器仍可與對外服務伺服器進行連線 • 防火牆負載較小
防火牆的架構 • 三個網段建置架構(Internal 、DMZ and External)
防火牆的架構 • 三個網段建置架構優點(1) • 安全,因對外服務伺服器是允許外部直接進行連線,一旦對外服務伺服器因系統漏洞遭駭客或病毒攻擊,防火牆可阻絕利用對外服務伺服器為跳板對內部網段機器進行的攻擊 • 可利用防火牆有效控制內部網段機器與對外服務伺服器間的連線,僅開放特定必要的通訊協定至特定對外服務伺服器,而非讓內部網段機器與任意對外服務伺服器進行任意連線
防火牆的架構 • 三個網段建置架構優點(2) • 內部網段機器受到病毒感染時,可將災害控制而不易影響對外服務伺服器,對外服務伺服器仍可正常對外服務 • 在允許外部連線使用對外服務伺服器時,不影響內部網段機器安全 • 利用防火牆阻絕兩個網段間大量無意義的廣播封包
安全政策(Security Policy) • 最重要需嚴謹考慮 • 考慮問題 • 網路架構裡有那些網路設備? • 那些網路服務是允許經由防火牆出入的? • 有那些使用者在我的網路內?又分別使用何種認證方式?擁有何種權限?
安全政策(Security Policy) • 安全政策的制定種類 • 內定值是‘拒絕’ • 內定值是‘允許’
安全政策(Security Policy) • 安全政策的調校 • 需先對整個網路環境有完整的了解認識,才能設定出完善的安全政策 • 化繁為簡,降低系統效能浪費 • 將檢查流量愈大的封包種類的規則放在愈優先檢查的位置
防火牆的進階功能 • 網址轉換(NAT) • 認證 • 虛擬私人網路(VPN) • 叢集負載平衡等功能 • 防範入侵和蠕蟲攻擊 • ……
建置架構 • Sniffer模式 --使用網路交換器 --使用網路集線器 --使用Tap • In-Line模式
建置架構 • Sniffer模式 --使用網路交換器
建置架構 • Sniffer模式 --使用網路集線器
建置架構 • Sniffer模式 --使用Tap
建置架構 • Sniffer模式--使用Tap
建置架構 • Sniffer模式--使用Tap
建置架構 • In-Line模式
偵測運作原理 • 特徵比對(signature match) • 通訊協定異常偵測
偵測運作原理 • 特徵比對(signature match)
偵測運作原理 • 通訊協定異常偵測
入侵偵測系統的類型 • 網路型(Network-Based) • 主機型(Host-Based)
入侵偵測系統的類型 • 網路型(Network-Based)
入侵偵測系統的類型 • 主機型(Host-Based)
入侵偵測系統與入侵預防系統 • 入侵偵測系統 • 入侵預防系統
入侵偵測系統與入侵預防系統 • 入侵偵測系統 Floor switch Internet Finance IP 1 Router Floor switch IP 2 Perimeter Firewall R&D Floor switch QA Backbone switch IDS
入侵偵測系統與入侵預防系統 • 入侵偵測系統 • 需專人監控 • 誤判多致不堪其擾及遺漏攻擊 • 資料量過多 • 處理效能無法跟上封包量 • 入侵發生,管理人員才收到警示
入侵偵測系統與入侵預防系統 • 入侵偵測系統 Floor switch Internet Finance IP 1 Router Floor switch IP 2 Perimeter Firewall R&D Floor switch IPS QA Backbone switch
入侵偵測系統與入侵預防系統 • 入侵預防系統 Floor switch Internet Finance IP 1 Router Floor switch IP 2 Perimeter Firewall R&D Floor switch QA Backbone switch IPS
弱點評估 • Introduction
弱點及威脅分析 • 軟體本身之漏洞 • Buffers overflow 、Unexpected combinations 、Unhandleded input • 系統之設定問題 • Default configurations 、Lazy administrators、Hole creation、Trust relationships • 監看未經加密的流量 • 設計的瑕疵 • TCP/IP protocol
駭客入侵流程分析 • 九大步驟 • 資料蒐集 • 目標掃描 • 弱點刺探 • 取得初步權限 • 提昇權限 • 進行破壞 • 建立後門 • 消滅證據
九大步驟--資料蒐集 • 目的:找出目標網路與主機的位址與名稱。駭客會無所不用其極盡可能蒐集最多的目標資料。
九大步驟--資料蒐集 針對特定對象網頁蒐集資訊
