實驗四：安裝及建置 Web 防毒牆

教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心實驗四：安裝及建置Web防毒牆

實驗簡介 實驗四安裝及建置Web防毒牆 • 實驗目的 • 學習如何設定防定Web防毒牆 • 了解關於SQL Injection及XSS相關的攻擊特徵 • 實驗設備 • BroadWeb OneKeeper 300 • 電腦數台 • Switch

Switch 實驗場景實驗四安裝及建置Web防毒牆 • 在網路安全的規劃中，我們會將防毒牆部署在對外的路由器或是交換器之前，藉此保護內部資源不受外部網路的侵犯。 • 在本實驗中，我們將Web防毒牆(OK-300)部署在Switch之前，如左圖所示。 OK-300 使用者或伺服器

OneKeeper 300 功能簡介 實驗四安裝及建置Web防毒牆 • 整合式的網路設備 • Firewall • VPN • 入侵偵測與防毒功能 • 應用程式管理 • P2P • Streaming • … • 針對應用程式之流量控制 • FTP • P2P • … • 備援與負載平衡 • 網頁內容過濾 • 賭博 • 股市 • …

實驗步驟 實驗四安裝及建置Web防毒牆 • 實驗步驟 • Step 1. 設定Web防毒牆參數 • Step 2. 網路介面設定 • Step 3. 設定入侵防禦系統 • Step 4. 即時監測

Step 1. 設定Web防毒牆參數 實驗四安裝及建置Web防毒牆 • OneKeeper 300提供三種設定方式 • 超級終端機模式 (Hyper Terminal) 連接電腦與OneKeeper 300的RS-232Console埠，並使用Windows XP/2000內建的超級終端機連線。 • 遠端連線模式 (Remote Connection by SSH Client) 使用具有SSHv2加密功能的遠端連線軟體來連結OneKeeper 300。 • Web連線模式透過Web瀏覽器來連結OneKeeper 300。 • 在本實驗中，我們將使用Web連線模式來設定OneKeeper 300。

Step 1. 設定Web防毒牆參數 實驗四安裝及建置Web防毒牆 • 首先，我們利用超級終端機模式將WAN 1的IP位置設定為140.125.32.23(此後我們便可藉由此IP來登入管理Web防毒牆)。連線參數相關設定 Web防毒牆各個介面相關的資訊

Step 1. 設定Web防毒牆參數 實驗四安裝及建置Web防毒牆 • 接下來，在瀏覽器的網址列上輸入140.125.32.23。使用IE瀏覽器登入Web防毒牆管理介面

Step 1. 設定Web防毒牆參數 實驗四安裝及建置Web防毒牆 • 接著輸入帳號跟密碼後，按下登入，即可看到OneKeeper 300的管理介面。 OneKeeper 300的系統資訊

Step 1. 設定Web防毒牆參數 實驗四安裝及建置Web防毒牆 • 在系統&設定中，我們可以設定的有以下幾項： • 設定 • 可設定設備名稱、系統時間、syslog、網路模式、動態埠設定等等。 • 防護 • 可啟動或停用IPS防護、網頁防護、病毒防護、防火牆防護等等。 • MAC資料庫 • 管理者基於特定因素(例如：發現該主機持續發送大量封包)可將該主機之MAC位址加入OneKeeper MAC資料庫並設定其相對動作(允許或拒絕)。 • 存取控制 • 設定可使用何種通訊協定登入，例如：http、https、ssh等。 • 管理者密碼變更 • 更新與備份 • 可手動備份或更新系統設定。 • 警示郵件與訊息 • 當開啟入侵防禦系統(IPS)時，若有任何封包符合IPS之政策，則將依警示郵件設定傳送信件告知管理者。 • 系統記錄 • 提供系統相關事件，如修改系統設定、重新啟動等資訊。

Step 2. 網路介面設定 實驗四安裝及建置Web防毒牆 • 選擇系統  網路。目前OneKeeper 300各個介面的相關資訊

Step 2. 網路介面設定 實驗四安裝及建置Web防毒牆 • LAN設定 • 可設定LAN IP位址、DHCP Server以及DHCP Relay。 • DMZ設定 • 可設定非軍事區域IP位址。 • WAN設定 • 可設定靜態IP、動態IP、使用PPPoE或PPTP等。 • 虛擬介面 • 虛擬網路介面

Step 2. 網路介面設定 實驗四安裝及建置Web防毒牆 • LAN • LAN IP位址 • DHCP設定

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 入侵防禦系統攻擊特徵可分為下列二種 • 嵌入式攻擊特徵 • 個人化攻擊特徵 • 嵌入式攻擊特徵(Built-in Signature) • BSST依據目前駭客最新入侵手法而制訂，並安裝於系統中，總共有16種攻擊分類，5級嚴重程度。 • BSST (BroadWeb Security Service Team) • 威播網路安全專家，專門鑽研駭客入侵手法、蒐集網路安全技術情報，制定最新的攻擊防禦政策及提供相關技術支援。 • 個人化攻擊特徵(User-defined Signature) • 主要應用於各種不同環境的需求，根據業務或資安政策而訂定，也能利用個人化攻擊特徵，檢視網路異常流量的問題。 • 在本實驗中，主要是利用嵌入式攻擊特徵來達到防禦Web攻擊的目的。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 嵌入式攻擊特徵 • BSST制訂 • 5級嚴重程度 • 16種攻擊分類 • 16種攻擊分類 • 5級嚴重程度

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 嵌入式攻擊特徵 • 攻擊特徵檢視方式分為三種 • 依嚴重程度而分之樹狀列表 • 依種類而分之樹狀列表 • 表格列表依嚴重程度而分之樹狀列表

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆依種類而分之樹狀列表 • 表格列表

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 選擇攻擊特徵 • 啟用或停用攻擊特徵 • 設定遭受到某種攻擊時相關政策啟用停用 • 啟用或停用攻擊特徵

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆設定遭受到某種攻擊時相關政策

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 接下來介紹二種較常見的網站攻擊特徵 • SQLInjection • Web 應用程式會執行來自外部 (包括資料庫) 的惡意指令。 • Cross-Site Scripting(XSS) • Web 應用程式直接將來自使用者的請求送回瀏覽器執行，使得攻擊者可以輕易的擷取到使用者的 Cookie 或 Session 資料，而攻擊者就能利用這些資訊假冒成合法的使用者。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • SQLInjection • MS Windows sql injection command shell execution attempt • WEB Sql injection scan tool attempt • WEB Sql injection command 1=1 attempt • …

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • MS Windows sql injection command shell execution attempt • 攻擊說明：針對 Windows SQL server 所做的 SQL Injection。 • 如何改善：在撰寫資料庫相關應用程式時要過濾使用者輸入的字串。 • MS Windows sql injection command shell execution attempt -2 • 攻擊說明：針對 Windows SQL server 所做的 SQL Injection。 • 如何改善：在撰寫資料庫相關應用程式時要過濾使用者輸入的字串。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • CGI w3-msql solaris x86 access • 攻擊說明： w3-msql 在處理 SQL Web 連結 CGI 程式時存在一個緩衝區溢位的弱點。這個弱點是利用 Content-Type 過長的字串讓 scanf() 函數無法處理所產生緩衝區溢位的弱點，惡意攻擊者可利用這一個弱點，執行任意的程式碼。 • 如何改善：修補作業系統的漏洞。 • WEB Sql injection scan tool attempt • 攻擊說明：遭受到 Sql Injection 攻擊檢測工具的掃描。 • WEB Sql injection scan tool attempt -2 • 攻擊說明：遭受到 Sql Injection 攻擊檢測工具的掃描。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • WEB Sql injection command 1=1 attempt • 攻擊說明：使 Sql 查詢語法之判斷結果永遠為真(True)。 • 如何改善：更新資料庫版本。 • WEB Sql injection command '-- attempt • 攻擊說明：使 Sql 查詢語法之判斷結果永遠為真(True)。 • 如何改善：更新資料庫版本。 • WEB Sql injection command '-- attempt -2 • 攻擊說明：使 Sql 查詢語法之判斷結果永遠為真(True)。 • 如何改善：更新資料庫版本。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • WEB Sql injection command 1=1 attempt -2 • 攻擊說明：使 Sql 查詢語法之判斷結果永遠為真(True)。 • 如何改善：更新資料庫版本。 • WEB Sql injection command 1=1 attempt -3 • 攻擊說明：使 Sql 查詢語法之判斷結果永遠為真(True)。 • 如何改善：更新資料庫版本。 • WEB Sql injection command 1=2 attempt • 攻擊說明：使 Sql 查詢語法之判斷結果永遠為真(True)。 • 如何改善：更新資料庫版本。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • EXPLOIT phpBB Highlighting command execution • 攻擊說明： phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對使用者的輸入參數做確認的動作，導致攻擊者可利用該弱點在伺服器上執行任意的指令。 • 如何改善：更新 phpBB 至最新的版本。 • EXPLOIT phpBB Highlighting Code Execution Attempt • 攻擊說明： phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對使用者的輸入參數做確認的動作，導致攻擊者可利用該弱點在伺服器上執行任意的指令。 • 如何改善：更新 phpBB 至最新的版本。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • EXPLOIT phpBB Highlighting Code Execution - Santy.A • 攻擊說明： phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對使用者的輸入參數做確認的動作，導致攻擊者可利用該弱點在伺服器上執行任意的指令。 • 如何改善：更新 phpBB 至最新的版本。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • Cross-Site Scripting(XSS) • WEB-PHP rolis guestbook arbitrary command execution attempt • WEB-PHP rolis guestbook access • WEB-PHP phpMyAdmin db_details_importdocsql.php access

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • WEB-PHP rolis guestbook arbitrary command execution attempt • 攻擊說明：該攻擊主要是利用 PHP 已知的弱點去攻擊 MediaWiki 。由於 MediaWiki 在使用者輸入資料時沒有執行嚴謹的字串過濾，因此攻擊者可以利用該弱點得到管理者的權限。 • 如何改善：將軟體升級至最新的版本。 • WEB-PHP rolis guestbook access • 攻擊說明：該攻擊是由於程式設計者在使用者輸入資料時沒有執行嚴謹的字串過濾，造成攻擊者可以利用該弱點得到管理者的權限。 • 如何改善：將軟體升級至最新的版本。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • WEB-PHP phpMyAdmin db_details_importdocsql.php access • 攻擊說明：該攻擊是利用 phpMyAdmin 已知的弱點，使得攻擊者可以使用字典攻擊技巧得到敏感的系統檔案。 • 如何改善：將軟體升級至最新的版本。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 除了使用系統預設的攻擊特徵外，我們也可以手動設定防禦特徵，下圖為手動設定防禦特徵的頁面。使用者自訂防禦特徵

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 個人化攻擊特徵 (User-defined Signature) 進階選項 • IP 標頭參數設定 • 比對運算參數共有五種選項，分別為Ignored(忽略)、less than(小於)、large than(大於)、Not equal(不等於)與Equal(等於) 。 • 各協定標頭參數 • 封包內容比對特徵 • 比對運算參數 Case sensitive(分辨大小寫，大寫與小寫視為不同字元。) 、Case insensitive(忽略大小寫，大寫與小寫視為相同字元。) 、 URL string(URL 字串，特徵內容為 URL 字串。) 、 Hex value(十六進位，特徵內容為十六進位字元。)。 • 比對特徵內容，最大長度為128，可輸入ASCII字串或十六進位字串。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 上圖為 IP標頭參數設定的頁面 • 上圖為封包內容比對特徵的頁面

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 網頁內容過濾 • 主要是針對網站分類與網頁連結位址進行阻擋，如賭博、色情、暴力等等網站，也可利用自訂的方式將需要阻擋的網頁進行阻絕上網的行為，通常依據公司政策的訂定，來禁止員工利用上班時間瀏覽不必要的網站，進而提昇工作效率並且降低接觸惡意網站，而遭受駭客入侵或下載病毒程式。 • 啟用使用者自訂之白名單 (URL允許列表) 與黑名單 (URL封鎖列表) • 白名單功能在於「允許」內部電腦或使用者連結列在其上的外部網址。 • 黑名單則「阻擋」內部電腦或使用者連結列在其上的外部網址。

Step 3.設定入侵防禦系統 實驗四安裝及建置Web防毒牆 • 網頁內容過濾器 • 透過查詢外部SurfControl伺服器 (CPA伺服器) 將網址分類的功能，可以提高您的員工或網路使用者的工作效率，並且瞭解其瀏覽網頁之行為。網頁內容過濾器

Step 4. 即時監測 實驗四安裝及建置Web防毒牆 • OneKeeper 300 可監測的項目如下： • 網路流量監測 • 硬體使用率 • 入侵防禦系統監測報告 • 應用程式流量統計 • 防毒監測報告 • 網頁內容過濾監測報告 • 防火牆流量統計 • 虛擬私有網路連線狀況

Step 4. 即時監測 實驗四安裝及建置Web防毒牆 • 網路流量監測 • 可看到防毒牆各個介面 (WAN1、WAN2、LAN、DMZ) 目前的流量使用量。

Step 4. 即時監測 實驗四安裝及建置Web防毒牆 • 硬體使用率 • 可看到防毒牆目前使用的 CPU 及記憶體使用狀況。 • 入侵防禦系統監測報告 • 可看到防毒牆目前偵測到何種攻擊。入侵防禦系統監測報告

Step 4. 即時監測 實驗四安裝及建置Web防毒牆 • 應用程式流量統計 • 各種應用程式所使用的流量，共分 12 種 (IM、P2P、Streaming Media、Games等等)。 • 防毒監測報告 • 可看到防毒牆目前偵測到的所有病毒。 • 分成 HTTP Virus 、 FTP Virus 、 SMTP Virus 、 POP3 Virus 、 IMAP Virus 。 • 網頁內容過濾監測報告 • 可看到防毒牆目前過濾的網頁統計。

Step 4. 即時監測 實驗四安裝及建置Web防毒牆 • 防火牆流量統計 • 防火牆流量圖 • 封包丟棄統計 • 現行連線 • 虛擬私有網路連線狀況 • 可看到目前防毒牆上虛擬私有網路的類型、傳輸資料量、接收資料量等等資訊。

參考資料 實驗四安裝及建置Web防毒牆 • 「BroadWebOneKeeper300 光碟」 • 「http://ens.rising.com.cn/qyaq_qyaq01.shtml」網路防毒牆應用 • 「http://www.dragonsoft.com.tw/」中華龍網 • 「http://www.broadweb.com/chinese/03_support/01_tech_report.php」 • 「http://www.zyxeltech.de/previews/zyw35w403wz0/IDP_Signature-WebAttacks.html」

實驗四：安裝及建置 Web 防毒牆

實驗四：安裝及建置 Web 防毒牆

Presentation Transcript