Transcript 第11章企業網路安全

網路威脅
 惡意程式
 社交工程
 駭客入侵
惡意程式
 病毒
 蠕蟲
 木馬
 廣告軟體
 間諜軟體
 殭屍
 SQL引入
 跨網站script指令碼
蠕蟲的攻擊：DOS攻擊
DoS攻擊的模式
 ping到死(ping of death)：以最大的封包(65535 byte)去ping
某目標，造成緩衝區滿溢，系統失敗。
 ping氾濫(ping of flood)：以無窮盡的ICMP封包ping受害者
網段，以癱瘓對方網路的方式。
 Smurf 攻擊：以Smurf程式攻擊某網段以癱瘓對方的方式。
Smurf以假造的IP去ping網段的廣播位址，造成ICMP echo
reply到許多假造的IP。
 SYN氾濫(SYN flood)：以TCP三向交握建立連線的機制觀念，
製造相當多的SYN交握，但不回應，使得伺服器端的眾多
TCP連線等待回應，使得正常連線無法建立。
殭屍網路
 殭屍(zombie)或自動機器(bot)，bot是自動控制軟體
(robot)或機器人的簡稱，是指被垮客(cracker)感染病
毒或木馬的網路主機。由於受感染的電腦往往沒有察
覺，而電腦的行為卻被遠端操控，猶如行屍走肉的殭
屍一般。一群zombie或bot，稱為botnet。
 這些殭屍電腦一旦受到殭屍主腦(bot-master)的控制之
後，就是等待它下命令做破壞。殭屍的行蹤常動態變
換或隱藏，以免被發現，且其破壞的程式碼也會變換
更動。
botnet
社交工程：詐騙
社交工程

釣魚： www.bankofthevvest.com
駭客特性
 做功課收集資訊
 監測掃描弱點
 耐性與堅持
 社交工程詐騙手法
駭客攻擊手法
 竊取密碼
 使用後門或植入木馬
 利用設備的預設值
 中間人(Man-In-The-Middle, MITM)
 無線訊號擷取
中間人
降低受害風險
 應付任何網路攻擊可以幾種方式處之，一是建立堅強
堡壘，迎面痛擊；另一是設置陷阱，引君入甕或導引
支開；其次是教育訓練使用者對網路安全的認知以及
防範的要領。
防火牆架構
防火牆演進
 封包過濾
 狀態過濾
 應用層過濾
防火牆 + IDS
IDS的偵測技術
 特徵(signature)比對：將收集的封包與特徵資料庫比對。
 異常協定偵測：根據所制定的通訊協定規則去辨識違反規
則的流量，如多餘或不合法的字元、非預期的資料等。
 異常行為：異常行為的辨識是根據某些系統的統計值而定
，或以持續追蹤系統的行為模式，並經過偵測模式的變化
來判斷。
 IDS判斷結果
 真正(true positive)：發生攻擊，且IDS也正確發出警告
 偽正(false positive)：沒有發生攻擊，但IDS發出警告通知
 真負(true negative)：沒發生攻擊，且IDS也沒有發出警告
 偽負(false negative)：發生攻擊，但IDS沒有發出警告
IDS和IPS架構差異
IPS
 IPS也可稱為入侵偵測防範系統(Intrusion Detection and Prevention
System, IDPS)，因為它同時具被偵測和防範的功能，它是IDS的延伸
。大部分IDS只是偵測和告警，並不能及時防範，而IPS在辨識出惡意
行為的活動時，即可阻絕該活動，並告警和存檔。
 一般IPS具備以下的功能：
 偵測入侵並即時反應，可丟棄封包、中止連線、擷取內容等
 阻絕廣告軟體、間諜軟體、病毒和蠕蟲
 利用狀態檢查、通訊協定異常、流量異常等行為分析
 上網行為管控、頻寬和流量的管理
 利用完整的報表分析流量，一定時間內的即時流量和連線情形
存取管控的內涵
 存取管控的程序可簡略敘述如下：
 用戶連上網路之前須經過系統安全檢測，如漏洞修補、病毒碼更
新等
 身分認證或連接埠的使用管理，以及認證後的授權等級
 連接上網後的系統安全監控
 非正常狀態的系統安全處置，或政策的補救措施
 管控程序，其實施的方式可為：
 建置企業網路的病毒防治系統、個人電腦的防火牆或IDS
 實施802.1x、MAC位址與連接埠的對應、SSL VPN，及授權等級
 各種受害的災難復原計畫
 依特殊情況或使用者群，架設不同等級和層次的防護措施(IPS等)
企業網路 + 存取管控
802.1x 運作
加密
 使用金鑰(key)加密分為兩種類型：對稱式金鑰(symmetric
key)和非對稱式金鑰(asymmetric key)，對稱式的演算法稱
為傳統加密演算法，使用單一密鑰(secret key)；而非對稱
式的演算法稱為公開金鑰演算法，使用兩支金鑰，公鑰
(public key)和私鑰(private key)。金鑰事實上是一串位元
符號，長度可為56、64、128或256位元等。金鑰越長，密
文(cipher text)越安全。明文(plain text或 clear text)加密成
密文的方法可為區段加密(block cipher)或串流加密(stream
cipher)。區段加密是將明文分成數個區塊分別利用相同的
演算法和金鑰加密後，再整合起來；串流加密是對明文的
每個位元或位元組加密。
對稱式加密
非對稱式加密
密碼雜湊函數
 雜湊函數將任意長度的資料轉換為固定長度位元的雜
湊值，又稱為訊息摘要(message digest)或簡稱摘要。
資料的更動所得的雜湊值必不同，雜湊函數常應用於
數位簽章、密碼儲存(shadow)和認證，常見的演算法
是MD5(message digest 5)；雜湊函數加密法的特性：
 容易計算
 不同的資料不可能得到相同的雜湊值
 無法修改資料以得到相同的雜湊值
數位簽章 和 驗證過程
弱點評量和穿透測試-1
 弱點(vulnerability)是指系統上有瑕疵，駭客得以利用
工具或技巧攻擊此弱點，或入侵破壞系統。綜合這些
弱點產生的原因，可能有以下幾點：
 設備作業系統、應用程式的瑕疵，包括零時攻擊(zero
day attack, zero hour attack)。
 過於複雜的網路設計，導致維護和管理可能疏失。
 負荷過重的網路連線，造成系統意外的事件發生，成為
駭客眼中的漏洞。
 密碼帳戶的管理不善，或密碼的強度不夠。
弱點評量和穿透測試-2
 光靠弱點掃描是沒有辦法消除或發現漏洞。我們須更
進一步的偵測：穿透測試 (penetration test)。
 透過模擬惡意攻擊的方式來評估電腦系統和網路架構
的安全狀況之方法，稱為穿透測試。穿透測試的程序
包括積極的分析系統上任何的弱點、防禦設施設定上
的瑕疵；這些分析數據是由模擬各種攻擊，以及駭客
如何利用安全漏洞的過程所收集而來。最後經由管理
者、使用者一齊參與討論這些分析和統計，以提出建
設性的解決或降低安全威脅的辦法。
誘捕設計：低互動蜜罐(Honeyd)
誘捕設計：高互動蜜罐(Honey Net)
區塊層次防護模型
企業網路區塊架構