Download
1 / 76
770 likes | 977 Views
網路安全管理. 成大計網中心 楊峻榮 yang@mail.ncku.edu.tw. 大綱. 資安概念與本校資安機制 單位網路管理 網管工具介紹 安全事件 處理 業務資料 安全防護. 資安概念與本校資安機制. 網路的應用出問題時. 當網路的應用程式出問題 ( 例如 IE 無法顯示網頁 ) 時,您會認為是那裡出問題 ? 應用軟體的問題 網路的問題 設備或線路或是路徑上的某個範圍 安全的問題 網路上的攻擊 各層次匹配的問題 出問題常 有這樣的情況: 應用程式 就 說是網路的問題,網路找不出來就就是安全的問題 ( 攻擊)
E N D
網路安全管理 成大計網中心 楊峻榮 yang@mail.ncku.edu.tw
大綱 資安概念與本校資安機制 單位網路管理 網管工具介紹 安全事件處理 業務資料安全防護
網路的應用出問題時 • 當網路的應用程式出問題(例如IE無法顯示網頁)時,您會認為是那裡出問題? • 應用軟體的問題 • 網路的問題 • 設備或線路或是路徑上的某個範圍 • 安全的問題 • 網路上的攻擊 • 各層次匹配的問題 • 出問題常有這樣的情況: • 應用程式就說是網路的問題,網路找不出來就就是安全的問題(攻擊) • 要能了解問題點所在要先了解TCP/IP層次的關係。 • 要能了解問題點所在要先了解網路應用程式傳輸路徑: • 應用程式(client)->網卡->單位網路->設備計網中心網路設備->校外所經過的各節點->伺服器 • 上述含各線路及佈署在上之安全設備 • 資安的攻(攻擊)防(安全機制)使上述問題更複雜化。
OSI與TCP/IP層之模型 應用層 傳輸層 網際網路層 網路存取層
資訊安全概念 看不見問題,並不代表沒有問題。 資訊安全是一個持續性的工作,而其防護措施也沒有極限。 安全機制非萬能,也沒有100%安全的系統,因此防護的目的,是在提高攻擊的成本。 了解真正問題點(弱點),才能施以合乎效益的控制措施。 便利性和安全性總是相衝突的,實施的控制措施應該是在合理的平衡點。 資訊安全領域不只是網路安全(駭客,病毒)而已,而是機密性、完整性、可用性及適法性。
資訊安全弱點 系統漏洞 人為疏失 因服務需要或過於注重便利性 無危機意識(事前預防) 無所謂(事發後的處理方式及態度) 無專人負責之系統 實體環境不良 測試環境 無線網路環境
資訊安全威脅 病毒或worm DoS或DDoS 間諜程式 後門或木馬程式 暴力破解 社交工程 網路掃瞄(無線或有線) 廣告(垃圾)信件轉發 無線網路之資料竊取或資源盜用
網路安全管理之目標 • 達到快速穩定傳輸之目的 • 降低無效或不當之內容傳輸 • 降低對網段內主機的威脅 • 阻擋外部攻擊之封包 • 快速找出問題點並解決 • 阻絕不合法之網路使用 • 盜用無線上網或IP • 符合組織之資訊政策
網路安全設備機制 防火牆 防毒牆 入侵偵測防禦系統 弱點掃描 頻寬管理器 應用層防火牆(WAF) Log server
網路安全設備技術層次 連結層: 內部網路管理防禦機制、IP控管 網路層: 路由器ACL、防火牆 會話層: IPS/IDS、防火牆(Stateful) 應用層: IPS/IDS、Proxy防火牆、WAF 檔案層: 防毒系統
網路安全設備設置考量 • 政策 • 依單位之資訊政策訂定管制規則 • 功能 • 防禦範圍與深度 • 傳輸界面數量及應用彈性 • 效能 • Throughput(流通率):指安全設備佈署後,傳輸不延遲之最大頻寬 • 成本 • 人力管理成本 • 服務費用 • 特徵碼更新 • 支援 • 廠商之服務時效及技術能力 • 穩定性 • 管理界面 • 對正常傳輸之影響 • 建置閘道型設備後,可能會因處理層級愈高(應用層)愈容易誤判
多重資安設備佈署之考量 威脅 資安設備A 資安設備B • 不同之資安設備就阻絕威脅有其重覆之部份,故需就風險及成本效益多加考量評估。 • 例如防火牆與IPS之間,或IPS與防毒牆之間。
防火牆功能 隔絕或位址轉換(Network Address Translation NAT) 封包過濾(IP, PORT) 應用層代理(Application Porxy ) 狀態檢驗 虛擬私人網路(Virtual Private Network VPN) 即時監控及警報
防火牆建置規劃 單位內資源存取控制,包含範圍與服務種類及程度控制。 由單位內之網路服務政策來規劃存取控制措施。 建立一個外部與內部網路間的管制界面,或是單位內各主機(伺服器or PC)各自建立存取管制界面。 所採用之措施不一定得架設實體防火牆閘道,也可由入口設備之ACL來達成。
建置防火牆考量點 經濟成本(風險及成本) 位置及管制政策 網路型或主機型、硬體型或軟體型 效能(Throughput、port數量及速度) 功能(阻絕程度、管理界面、附加功能:anti-virus,IPS) 技術支援 可靠性
防火牆的架設 • 政策架構: • 正面表列:表列開放其餘管制 • 負面表列:表列管制其餘開放 • 正負面混合 • 政策有其順序性,由第1道政策往下比對,合乎比對條件即動作後不再往下比對,因此政策之順序也影響其效能。 • 透通模式或NAT模式,是否規劃DMZ(De-Militarized Zone)區。 • 防火牆的弱點: • 無法阻擋新的攻擊模式與新病毒 • 無法防範來自內部的破壞或攻擊 • 也會成為DoS攻擊受害者,故須做好session的控制
入侵偵測防禦系統 • 入侵偵測系統(IDS)為旁接式架構,主要為偵測具威脅性封包,若須對此封包進行處置,須有能力對網路設備下指令。 • IDS之化表作為snort,freeware : http://www.snort.org/ • 入侵防禦系統(IPS)為閘道型設備可視為入侵偵測系統(IDS)與防火牆之結合體。 • IPS & IDS為封包檢測方式與防火牆之session 檢測方式不同。 • 依照偵測方法分為 : • Anomaly Detection : • 建立使用者與系統的正常使用標準 • 比對標準值,以判斷是否有入侵行為 • Misuse Detection : • 將各種已知的入侵模式或特徵建成資料庫 • 比對資料庫的pattern,以判斷是否有入侵行為 • 相關功能: • 阻隔可能的攻擊來源 • 對可能的來源攻擊下丟棄封包或中斷連線指令
入侵防禦系統之建置考量要點 • 佈署位置 • 網路介面數關係著防護範圍與彈性 • 效能與功能 • 是否提供3、4層防護(防火牆) • 特徵碼之數量 • Throughput (特徵碼全開與部份開啟之差異) • 管理介面與管理架構 • 誤判率 • 錯殺-正常封包誤判為威脅封包 • 錯放-威脅封包誤判為正常封包 • 自定特徵碼 • 服務費用
防毒牆 • 閘道型設備,只針對特定協定防護: • http &https • Smtp • Pop3 • ftp • 與IPS之差異 • 由於防護之範圍較少,故防護之深度較深,對於病毒之防護和防毒軟體無異。 • 針對http另自建或可參考惡意網站資料庫。
弱點掃瞄 • 掃瞄特定主機之弱點,提供資訊及解決方案供主機管理者參考以便修補或防制進而降低遭攻擊之風險。 • 列出之弱點資訊會依嚴重等級分級,應從高風險優先處理。 • 一個漏洞是由一個以上之弱點所組成,故解決弱點鏈上的部份弱點亦可防堵此漏洞。 • 可能會因應用軟體服務之需要,或版本之關係,而會有誤判之情況(是否形成弱點),故其報告應視為改善之參考依據,但也不能視而不見。 • 建置考量要點 • 弱點資料庫 • 管理介面 • 資訊之正確性與可讀性 • 服務費用(含弱點資料庫更新及技術服務) • 誤判率 • 建議產品 • DragonSoft中文化管理介面及報表 • Nessus免費軟體
Deep Packet • Inspection • Intrusion • Prevention IPS • Web Access Monitor • Content Filtering • Antivirus Gateway • Spam Mail gateway Web Content Filtering Antivirus Spam mail 整合式防護系統(UTM: Unified Threat Management ) • Stateful Inspection • Policy • Define • Service • Control VPN Firewall UTM Firewall
UTM建置考量要點 • 適合單純網路架構或低頻寬之單位。 • 將多種安全防護機制合為一閘道型設備,其優點為: • 管理方便 • 節省建置成本 • 須注意其處理效能 • 一般規格標示之throughput為防火牆之效能。 • Enable IPS、防毒、內容過濾後,其throughput可能大幅下降。 • 評估時應先經過實地全載測試。 • 服務之特徵碼更新可能是個別計費。 • 如防毒之病毒碼與IPS之特徵碼分開計費。
Log server • 建置log server 以收集單位內各主機之日誌。 • 主要目標為證據保存及事件分析。 • 主要功能為: • 事件擷取:可擷取及分辦各種log之內容格式 • 查詢介面:經由介面可快速篩選或找尋有用之資訊 • Client->server 一般是以syslog為其傳輸協定。 • 建議方案: Kiwi Syslog Daemon • Kiwi Syslog Daemon 是免費的 Windows Syslog 工具,它從路由器、交換器、Unix 及任何支援 Syslog 的主機接收、記錄、顯示及轉送 Syslog 訊息,並有許多可以客製化的選項。
目前常見的網站攻擊手法 Encoding:將指令重新編碼,來躲避網站的安全檢查或使網站程式發生錯誤。 Header Tampering:修改請求標頭,以躲過安全機制的檢查。 Path Traversal:猜測網站路徑,以進入網站根目錄之外的資料夾或檔案。 SQL Injection:利用SQL程式指令迴避安全檢查,竊取管理權限。 Cross site Scripting:將使用者導向惡意網站或假網站,然後再進行後續攻擊。 Remote Command Execution:透過web介面使網站程式執行遠端指令。 Probes:瀏覽這些網站時,探針就會被下載下來,並開始搜索你電腦中的安全漏洞,然後通知攻擊者發動攻擊。 Worms Compromised Servers:管理者在架好資料庫和網站之後,沒有修改預設的密碼,因此攻擊者可以輕鬆取得所有權限。 Spammer Bots(垃圾回應機器人) Bad User Agents:利用Spiders等下載工具,它們可能會佔用過量的頻寬或竊取一些不應該公開的資料之類的 Denial of Service Cookie Tampering:在網路上攔截Cookie封包,然後拿這個封包去欺騙伺服器,偽裝成受害者,登入網站。
網站應用層防火牆 • 防火牆及IPS針對網站攻擊防護效果有限,WAF則屬深層防護,效果較佳。 • 當接收到request時,WAF用以規範這個request什麼動作合法而什麼不合法,以此種方式建立基本的應用程式防線。 • Web Application Firewall(WAF)主要針對網站內容之防護,分為: • 硬體式:閘道型,主要佈署於server farm • 軟體式:安裝於Web server之平台內 • 功能 • 行為式防護 - 避免最新弱點的零時差攻擊。 • 緩衝區溢位攻擊防護 - 阻擋因緩衝區溢位導致的程式碼執行。 • 弱點遮蔽 - 自動更新的安全內容會遮蔽伺服器上的弱點,對軟體的弱點提供保護。 • Web 伺服器與資料庫伺服器防護 - 針對 Web 伺服器及資料庫伺服器所設計的防護,能防止如目錄跨越及 SQL Injection 等攻擊。 • 應用程式遮蔽與包覆 - 避免應用程式及其資料受到侵害,並避免應用程式被竊用成為攻擊其他應用程式的跳板。
無線網路安全機制 • 連線加密: 確保傳輸機密性及完整性 • WPE (64bit/128bit) • WPA • TKIP • AES • 認證: 確保合法使用者可使用 • SSID認證 • RADIUS認證 • 限制連接之設備 • 無線AP MAC ACL • 限制連接之協定 • 防火牆
增強無線網路安全 • 加大密鑰長度 64bit 128bit • 使用更安全的加密系統(WPA、AES…etc) • 設定AP的ACL • MAC ACL、IP ACL • 使用認證協定(RADUS Server) • 修改下列預設的設定 • 預設密碼 • Snmp string • 預設SSID • 預設的通訊頻道
本校常見之資安事件 • 病毒 • 入侵(跳板較多,目地較少) • 針對 linux之ssh暴力破解 • 匿名信件或廣告信 • 誹謗事件 • 遭校外人士提告 • 釣魚網站 • 遭入侵後被當成釣魚網站,以騙取不知情人士之資訊 • 網頁置換 • 遭駭客置入網頁以炫耀 • 人為網芳探索 • 不當資訊(色情、侵權、商業行為)
本校資安措施 • 網路安全設備 • 防火牆、防毒牆、入侵防禦系統 • 防毒機制 • 提供個人及Server之防毒軟體 • 目前提供symantec、趨勢officescan、Avira • IP控管及列管 • 與單位系所配合 • 對外攻擊IP管制 • 事件通報與諮詢 • yang@mail.ncku.edu.tw;61016 • 弱點掃描 • DragonSoft、nessus,並給予報告名及建議
本校資安措施 • 資安及軟體檢視 • 每學期一次 • 伺服器控管 • 伺服器IP address、services、負責人列管 • 教育訓練 • 針對一般使用者、網管或系統管理人員 • 事件處理小組 • 處理各種緊急或重大之資安事件 • 訊息通告 • 以www或mail方式發佈資安訊息 • http://www.cc.ncku.edu.tw/security/
建議各單位建置之資安措施 • 基本措施 • IP控管與列管 • 控管: 於入口設備(或閘道設備)將IP及MAC address 綁定。 • 列管: 記錄各IP負責人,定時更新並於職務調動時列入移交。 • Server列管 • 同IP列管,並記錄其服務項目(WWW、FTP、Mail..) • 連絡窗口:建議由職員擔任,並有IP及Server列管資料。 • 無線安全措施:針對自設無線AP 。 • 進階措施 • 防火牆或入侵防禦系統等閘道型安全設備 • 弱點掃瞄 • 網管監控工具 • Log server
ping 命令 • Ping命令的常用參數選項 : • ping –t IP :連續對IP地址執行Ping命令,直到以Ctrl+C中斷。 • ping -l 2000 IP :指定Ping命令中的數據長度為2000 Byte,而不是預設的32 Byte。 • Ping -n IP :執行特定次數的Ping命令。 • Ping 回應: • Request time out:如果所經過的路由器的路由表中具有到達目標的路由,而目標因為其它原因不可到達。 • destination host unreachable:如果路由表中連到達目標的路由都沒有。 • Hardware error:與對接設備中斷連線。
tracert 可依序顯示出每個節點間的ICMP回應值(分別為最快、平均、最慢)可了解就底層傳輸此路徑之瓶頸或中斷在那裡。 用 -d 選項,不對每個 IP 位址執行 DNS 查詢。 若某一節點無回應可能是因回應時間超過時限或該節點關閉 ping 回應的功能。 若從某一節點至目標皆無回應,可較確定是該節點出問題,或是目標節點關閉 ping 回應或有問題。
arp命令 • ARP 是 TCP/IP 利用乙太網的廣播性質,設計出來的位址解釋協定,主要特性是它的位址對應關係是動態的,以查詢的方式來獲得 IP 位址和實體位址的對應。 • 可用此命命顯示: • 目前主機內之動態ARP table,用以初步了解網段內是否有異常之ARP活動(ARP spoofing) 。 • 指令用法: • arp –a 顯示目前之arp表,含IP_Address及其MAC address(未必正確) 。 • arp –d 刪除所有或指定的 ARP entry 。 • arp -s IP_addressMAC_address指定靜態ARP,直至重新開機。
netcut • 利用修改ARP table方式達到使網段某部電腦無法上網之目的: • 正途:因檢測需要暫使某部有問題電腦無法上網。 • 歪途:排除異己……… • 此工具在某些環境及機制上無效(例如router及電腦之arp皆設為靜態) 。 • 建議只用在事件處理之用途上。 • 其反制工具:Anti netcut 。
wireshark 是一開放原始碼軟體,使用者可以免費從官方網站(http://www.wireshark.org/)下載使用。 Wireshark支援了多種作業系統,含Windows、UNIX、MAC。 於Windows平台安裝時須安裝WinPcap(Windows Packet Capture是 Windows 版本的 lippcap函式庫,Wireshark使用了這個函式庫去抓取網路上的封包)。 只可擷取流經網卡之封包,而非switch網段內封包均可擷取。 抓取資料封包,進一步分析封包內的摘要及詳細資訊。 可於擷取前設定過濾條件或分析前設定過濾條件,以粹取有用之關鍵資訊。 一般常用在網路故障排除、監聽異常封包、軟體封包問題檢測等地方。 支援的Protocol多且完整。
Wireshark即時監看各種傳輸狀況 Wireshark-Statistics-Conversation:
The Dude • 搜尋網路上的主機跟設備,以繪製成網路拓樸圖,並支援snmp協定,可監控流量及網路服務。 • 能搜尋(Discover)出網路中所有的裝置節點,只要指定 IP 位址,它就能將其內容以圖像顯示出來,也會顯現連結關係,包括各個 PC、各種伺服器、印表機、Router 等。 • 對於搜尋出來的圖樣,也能加以修改或註記,以分門別類。或增添設備修改網路拓樸。 • 監視指定設備的服務port,能為網絡提供監視和網路分析的功能,並在服務段愜port中斷後發出警報和提示,記錄到當前的日誌中。 • Freeware • 下載網址: http://www.mikrotik.com/thedude.php
The Dude:Network Maps畫面 繪出拓樸圖及顯示各設備狀態 顯示各設備之詳細狀態
AlertPing 視覺化視窗,執行ping以即時顯示所指定IP地址之設備ICMP回應狀況。 Alert Ping 在指定的時間間隔自動Ping設定的IP地址,如果無法回應,AlertPing會自動用發郵件或啟動指定的應用程式、播放指定的音樂等多種方式進行報警。 可自動及長時間監控所指定IP之設備,其網路是否有問題。 對於設備Ping回應時,可執行Trace指令,以了解其中斷點在那裡(AlertPing Pro版本)。
