網路安全架構的成員 - Internet Technology Lab
Download
Report
Transcript 網路安全架構的成員 - Internet Technology Lab
Module 10:網路安全架構實習
網路安全
學習目的
1.
2.
現今的網路不再只是一昧地追求高速上網而已,安全性
已經不可再被忽視,然而無論使用者再怎麼小心翼翼,
若沒有個健全的網路安全架構,將會導致防禦工作事倍
功半,因此我們本module在教導各位,如何建構一個安
全的網路架構
本模組共有七個小節包括
(1)網路架構簡介
(2)制定安全管理計畫
(3)網路安全架構的成員
(4)常見網路安全架構
(5)網路安全基礎架構工具介紹
(6)網路安全基礎架構的實務
(7)網路安全架構的專案實作
共需三個鐘點
網路安全
10-2
Module 10:網路安全架構實習
•
•
•
•
•
•
•
Module 10-1:網路架構簡介(*)
Module 10-2:制定安全管理計畫(*)
Module 10-3:網路安全架構的成員(*)
Module 10-4:常見網路安全架構(*)
Module 10-5:網路安全基礎架構工具介紹(*)
Module 10-6:網路安全基礎架構的實務(**)
Module 10-7:網路安全架構的專案實作(**)
* 初級(basic):基礎性教材內容
**中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容
***高級(advanced):適用於深入研究的內容
網路安全
10-3
Module 10-1:網路架構簡介(*)
網路安全
10-4
簡介
• 現今的網路環境與現實生活到處充斥著危機,在
這防不勝防的環境,就連專家都無法倖免。因此
唯有從建置一個安全的網路架構著手,才能達到
真正的防護,正所謂萬丈高樓平地起
• 欲建置一個安全的網路架構,需從很多方面著手
進行,其步驟大致分為
– 制定安全管理計畫
– 建構網路安全架構
– 建置網路安全管理系統
網路安全
10-5
網路架構簡介
• 建構網路管理架構的考量
–
–
–
–
網路管理需求
安全等級需求,例:學校、公司及政府機關
組織架構與工作流程
地理位置分佈
• 傳統的網路管理架構區分為
– 集中式架構(Centralized Architecture)
– 階層式架構(Hierarchical Architecture)
– 分散式架構(Distributed Architecture)
網路安全
10-6
集中式網路管理架構
• 所有的網路管理工作集中於一個網管系統或平台
上執行,適合於小規模網路環境
• 網管主機掌控了網路上所有成員的管理,該主機
需負責的工作有
– 監控(警告與事件報告)
– 收集(資訊收集與存取)
– 分析統計(資料圖表化)
網路安全
10-7
集中式網路管理架構 (續)
優點
• 架構簡單
• 成本低
• 即時監控
缺點
• 資訊利用率低
• 無法減輕負擔
• 架構較無彈性
• 效率低
• 容錯能力較差
網管軟體
網際網路
網路安全
10-8
階層式網路管理架構
• 網路管理工作分散於各網路管理系統作分層負責
• 多個網路管理系統共同運作,主從之分
– 一個為網路管理伺服器(Server),含資料庫
– 其餘為網路管理前端(Client)
優點
缺點
• 分散控制權
• 成本高
• 架構較具彈性
• 架構複雜
• 管理執行效率高 • 運作複雜
• 相容性高
• 集中式資料儲存
網路安全
10-9
階層式網路管理架構 (續)
網際網路
網管B
(Client)
網管A
(Client)
網管資料儲存
至主資料庫
網管資料儲存
至主資料庫
網管C 主資料庫
(Server)
網路安全
10-10
分散式網路管理架構
• 不同於階層式,不使用主從之分的架構,每台網
管系統皆有完整功能及資料庫
• 多個網管系統分散於各處,分別管理並收集自己
所屬網域的資訊,網管系統間可彼此交換資訊
• 優缺點恰與集中式網路架構相反並兼具階層式網
路架構之功能
• 特色
– 網管工作不僅僅依賴單一網管系統
– 網管工作分散於各網管系統
– 網路監測分散於各網路中
網路安全
10-11
分散式網路管理架構 (續)
網管資料更新
網際網路
網管B 資料庫B
網管A 資料庫A
網管資料更新
網管資料更新
網管C 資料庫C
網路安全
10-12
Module 10-2:制定安全管理計畫(*)
網路安全
10-13
安全威脅及需求
• 分析網路安全威脅
–
–
–
–
中斷(Interruption)可用性
截取(Interception)機密性
更改(Modification)完整性
假造(Fabrication)不可否認性
• 了解安全需求
–
–
–
–
–
–
機密性(Confidentiality)
完整性(Integrity)
不可否認性(Non-repudiation)
可問責性(Accountability)
權限控管(Access Control)
稽核與警訊
網路安全
10-14
網路安全威脅
• 漏洞
–
–
–
–
作業系統漏洞
軟硬體設計漏洞
網路通訊協定漏洞
人員管理不當
• 系統資源的威脅
– 非法刪除軟體程式、非法複製軟體程式及木馬程式
– 非法刪除資料,竊取、修改、偽造及非法拷貝資料
網路安全
10-15
安全需求 - 機密性(Confidentiality)
• 目的在提供資訊內容的保密
• 確保雙方在通訊時所交換的資訊不會被第三者知
道
• 確保只有獲得授權的使用者才可以存取
• 防止受到網路監聽的攻擊
• 密碼學的相關技術可以提供強而有力的保護措施
– 檔案機密性
– 資料傳輸機密性
網路安全
10-16
安全需求 - 完整性(Integrity)
• 資料在網路傳輸過程中,由於網路封包容易被擷
取,因此完整性的要求,即是指傳輸中的封包不
會被任何人修改、刪除及增加,而不是指偽造與
無中生有的
– 資料的真實性
– 資料的正確性
• 如果可以使用MD5(Message-Digest Algorithm 5)來
檢查並確保資料的完整性
網路安全
10-17
安全需求 - 可用性
• 針對電子形式的資訊或功能讓其資訊保持可用的
狀態,亦即無論何時均可正常提供服務
• 讓使用者與伺服端的通訊可以保持通暢
– 備份
– 容錯機制
– 災難復原
網路安全
10-18
安全需求 - 不可否認性(No repudiation)
• 不可否認性往往需要搭配其它的安全需求使用,
像是可用性、完整性及機密性
• 不可否認性即是使傳送端無法否認其送出的資料
• 不可否認性還需搭配身分鑑別使用
– 遠端使用者需先透過近端電腦的身分鑑別
– 該近端電腦允許使用者使用數位簽章,並將訊息傳
送出去
– 收到訊息的使用者可以透過數位簽章的驗證,來證
明傳送者的身份
網路安全
10-19
不可否認性 - 身分認證(Authentication)
• 身分認證最常使用的方式是密碼,而密碼的管理
要注意以下幾點:
– 慎選適當的密碼及長度:太長難記,太短易破解
– 不公開密碼:不將密碼張貼出來
– 限制一段時間內連續嘗試的登入次數:一般惡意人
士會因為每次輸入錯誤都得再等待一段時間才能再
嘗試而放棄
– 定期更新密碼:密碼常換,較不易被破解
– 必須確實取消離職人員之帳號密碼:離職人員可能
會再利用原帳號回公司竊取資料或進行破壞
網路安全
10-20
安全需求 - 權限控管(Access Control)
• 在以自動化控制為主要管理機制的現在,使用者
的操作有否逾越權限
• 依照使用者的身分對其所能使用的網路資源作各
種不同的權限設定
• 例:客戶可被允許進入企業系統中查詢他所需要
的資訊,但沒有權力去更改系統資訊
網路安全
10-21
安全需求 - 稽核與警訊
• 事前的防衛固然重要,但事後的稽核亦能幫助管
理者發現系統漏洞,進行系統修補
• 管理者應每隔一段時間去檢視系統記錄,提早發
現攻擊者的入侵行為
• 電腦系統的稽核記錄也須小心不被竄改
網路安全
10-22
制定安全管理計畫
• 安全管理計畫如下
– 有效防範、偵測、反應資訊系統之入侵
– 訓練組織所有人員,共同提昇全員對資訊安全與系
統安全之技能及警覺
– 對已知之網路或系統缺失,進行強制性改善
– 制定事故因應流程
– 提出入侵報告書,以驗證缺失
– 損害評估並作為改善之依據
網路安全
10-23
制定安全管理計畫 (續)
入侵防護
存取控制
傳輸安全
檔案防護
安全策略
防毒/入侵
偵測
防火牆
VPN (Virtual Private Network )
身分認證/檔案加密/數位簽章
安全政策
網路安全
10-24
Module 10-3:網路安全架構的成員(*)
網路安全
10-25
網路安全架構的成員
•
•
•
•
•
•
•
•
資料加解密
數位簽章
身分認證
防毒軟體
防火牆
入侵偵測系統(Intrusion detection system, IDS)
虛擬私有網路(Virtual Private Network, VPN)
非軍事區(Demilitarized Zone, DMZ)
網路安全
10-26
網路安全架構成員 - 資料加解密
對稱金鑰
解密
加密
明文
密鑰
明文
密文
同一把
密鑰
非對稱金鑰
解密
加密
明文
明文
密文
公鑰
密鑰
網路安全
10-27
網路安全架構成員 - 數位簽章
• 接收者可以利用簽章來得知傳送者的身分,並確
認訊息是否有被修改
• 數位簽章具有不可否認的特性,所以數位簽章扮
演著鑑別的角色
• 數位簽章可以伴隨著一個以上的數位憑證,數位
憑證存在可以檢查公開金鑰的真實性
網路安全
10-28
網路安全架構成員 - 數位簽章 (續)
原文件
原文件+簽章
送出
雜湊函數
訊
息
摘
要
密鑰
網路安全
10-29
網路安全架構成員 - 身分認證
(Authentication)
確
正
否 認
是 確
覆 CA
5.回 4.向
1
2.回 .提供
覆 帳號
驗
證 /密
訊
息 碼
認證中心(CA)
3.傳送驗證訊息
網路安全
10-30
網路安全架構成員 - 防火牆
• 管制進入到我們網域內資料封包的一種機制,其
最大的功能就是幫助你限制某些服務的存取來源
• Firewall可分為硬體Firewall與軟體Firewall,在此
我們利用Linux內建軟體iptables來建立Firewall
網路安全
10-31
網路安全架構成員 - 防火牆 (續)
• 單防火牆
– 外部網路是由ISP的路由器和防火牆提供防護,且
由防火牆的第三組網路介面建立DMZ網段
– 被分成三個部份的網域,無論要存取其他哪個網域
,都將經過防火牆
– 缺點:防火牆成了單一故障環節,也可能成為流量
的瓶頸
網路安全
10-32
網路安全架構成員 - 防火牆 (續)
• 單防火牆
網際網路
防火牆
DMZ
網路安全
10-33
網路安全架構成員 - 防火牆 (續)
• 雙防火牆
– 雙防火牆的架構除了增加成本上的負擔之外,也會
增加額外的管理和組態設定
– 但對於整個網路安全上的管理是更加穩固
網路安全
10-34
網路安全架構成員 - 防火牆 (續)
• 雙防火牆
網際網路
防火牆
DMZ
防火牆
網路安全
10-35
網路安全架構成員 - 防火牆&防毒軟體
• 一般防毒軟體均會伴隨著防火牆,兩者各司其職
通力合作,缺一不可行
• 防火牆:主要防止駭客攻擊,例:
– 漏洞攻擊
– DDoS
• 防毒軟體:專門對付電腦病毒,例:
– 病毒
– 蠕蟲
– 木馬程式
網路安全
10-36
網路安全架構成員 - 入侵偵測系統
• 入侵偵測系統在封包的審核上主要經過三個程序
– 資料收集模組
– 入侵分析模組
– 回應模組
入侵偵測系統
路由器
網際網路
防火牆
網路安全
伺服器
10-37
網路安全架構成員 - VPN
• 防火牆阻擋由外至內的入口,虛擬私人網路
(Virtual Private Network, VPN)提供由外至內的通
道(tunnel)
• 穿越網際網路的隧道,資料在兩點之間傳遞並建
立安全通道,可直接在外透過VPN tunnel直接連
線至內部區域網路存取資料
• VPN的優點
– 降低成本
– 擴充連接架構
– 無時空限制的存取
網路安全
10-38
網路安全架構成員 - VPN (續)
• 模擬點對點連線特性
– 封裝後資料標頭加入了路由資訊
– 建立通道後傳送的資料已被加密,無法竊聽破解
• VPN分為三大項
– 遠端存取(Remote Access ):連結行動用戶及小型分
公司
– 內部網路(Intranets ):完全封閉的網路環境,將二
個地點的網路連結成總體網路
– 外部網路(Extranets):混合開放與封閉的網路環境,
將內部網路擴展至相關合作關係夥伴
網路安全
10-39
網路安全架構成員 - VPN (續)
• VPN應用範圍比較
遠端存取 內部網路
外部網路
網路環境
開放式
封閉式
使用者
任何人
企業內部 合作關係夥伴
存取限制
公開
私人
網路安全
屆於封閉與開放式之間式
半公開
10-40
網路安全架構成員 - VPN (續)
• VPN示意圖
User
非VPN通道
傳輸不加密
Internet
Internet
VPN通道
傳輸加密
VPN
外部網路
WWW
內部網路
FTP
Mail
網路安全
FTP
10-41
網路安全架構成員 - VPN (續)
• VPN常見類型
– 點對點隧道協定(Point-to-Point Tunneling Protocol
,PPTP)
• 作法:將網路協定資料段封裝於IP封包中傳送,待
經通道抵達另一端才取下IP表頭
• 透用Windows內建VPN用戶端軟體及設定即可使用
• 使用者的網路環境需允許PPTP封包通過
– SSL VPN
• 作法:利用HTTPS協定,透過SSL安全加密的VPN
架構,使用者需取得經簽署的憑證方可連線
• 以HTTPS協定,使用者僅需使用網頁瀏覽器與VPN
Server建立連線
網路安全
10-42
網路安全架構成員 - DMZ
• DMZ是一個介於內部網路與Internet之間作為緩衝
地帶
• 目的是防止外來入侵者直接存取內部網路資料的
伺服器
– Internet上的使用者只可以存取DMZ內部的服務
– 如不幸外來入侵者侵入DMZ並令網站癱瘓,重要
的企業資料仍不會外洩
網路安全
10-43
網路安全架構成員 - DMZ (續)
• 通常網管會將不涉及機密的資訊,或是想要開放
的資訊放在DMZ,因此
– 可放置如網頁伺服器、網域名稱伺服器或是檔案傳
輸伺服器
– 較為敏感的資訊,例如ERP系統的資料庫伺服器、
公司的財會系統或是研發計畫等,就會被放置於內
部網路
– 近年來電子郵件的使用率上升,原本放在DMZ的
郵件伺服器也已經出現改放置在內部網路的現象
網路安全
10-44
網路安全架構成員 - DMZ (續)
• DMZ理論上至少分為三個區塊
–
–
–
–
外部網路(安全等級:L)
內部網路(安全等級:H)
中間緩衝區,就是所謂的DMZ(安全等級:M)
依照規劃,只有安全等級高的可以連結到低等級的
網路
網路安全
10-45
Module 10-4:常見網路安全架構(*)
網路安全
10-46
常見校園網路規劃
DMZ
防火牆
網際網路
防火牆
路由器
資料庫
行政單位
教學單位
工學院理學院文學院
計網中心行政大樓
網路安全
10-47
常見公司網路規劃
網際網路
入侵偵測系統
DMZ
防火牆
防火牆
路由器
VPN
資料庫
防火牆
防火牆
防火牆+NAT
分公司
總公司
網路安全
10-48
常見網路架構成員
• 一至二個防火牆
– 內部防火牆,位於內部網路與DMZ之間
• 允許內部人員及擁有此權限的人存取
– 外部防火牆,位於DMZ與外部網路之間
• 允許來自網際網路人員存取,限制內部人員對外傳
送的資料
• 網路位址轉址(Net Address Translation, NAT)
– 由於無法看到內部的網路位址,可避免駭客的入侵
• 伺服器
– 郵件伺服器(Mail)、網頁伺服器(Web)及網域名稱
伺服器(DNS)
網路安全
10-49
NAT
• 讓多台電腦可以共用一個IP上網的一種技術,一
般配合虛擬IP使用
• 優點
– 由於只使用少數IP對應後端電腦,因此大幅減少實
體IP的使用量
– 只有實體IP才會被外部存取,因此在內部虛擬IP網
段內安全度大為提升
• 只要任何組織計畫架設防火牆,就一定會牽涉到
定址的問題
• 使用NAT,除了網路位址已經不夠用外,對於駭
客的攻擊也可以防範
網路安全
10-50
NAT運作原理
NAT Prerouting
S:192.168.36.254
D:tw.yahoo.com
192.168.36.254
Public IP
tw.yahoo.com
192.168.36.1
NAT Postrouting
S:192.168.36.1
D:tw.yahoo.com
網路安全
S:Public IP
D:tw.yahoo.com
10-51
NAT架構
NAT+防火牆
Public IP
網際網路
Private IP
192.168.X.X 192.168.X.X 192.168.X.X
網路安全
10-52
伺服器
• 郵件伺服器
– DMZ的郵件是用來收發郵件
– 新送到的郵件是由外部接收,然後才傳到內部
– 內部郵件伺服器會將外送的郵件送到外部郵件伺服
器
• 網頁伺服器
– 網頁伺服器可能會因為使用者輸入某些資料,而須
呼叫到資料庫的資料
– 資料庫的資料極為重要,應是放在內部網路
– 因此當網頁伺服器欲存取資料庫時,也要多有所限
制才行
網路安全
10-53
Module 10-5:網路安全基礎架構工具介
紹(*)
網路安全
10-54
網路安全基礎架構工具比較 - NAT
• 商業軟體
– 優:功能齊全與圖形介面操作容易
– 缺:成本高,彈性較低,無法自行修改工具
– 例:Windows 2003 Server
• 免費軟體
– 優:成本低,開放原始碼可自行修改工具
– 缺:功能陽春與文字介面操作繁瑣
– 例:Linux核心編譯軟體之iptables
網路安全
10-55
伺服器架設工具 - Windows 2003 Server
• 經費考量下,軟體式NAT為最佳選擇方案
– 便宜與紀錄容易
– 擁有與硬體式NAT相同功能(效率部份依環境不同
而有差異,越大型的環境相對的也需功能越強大的
機器)
• 建議採用Windows 2003 Server
– 設定操作簡單
– 方便管理
– 可以直接與其他伺服器做結合(例:DHCP與VPN)
網路安全
10-56
網路安全基礎架構工具比較 - Firewall
• 商業軟體
– 優:功能強大與管理容易
– 缺:成本高
– 例: Online Armor Personal Firewall
• 免費軟體
– 優:成本低,開放原始碼可自行修改工具
– 缺:功能陽春與文字介面操作繁瑣
– 例: Linux核心編譯軟體之iptables
網路安全
10-57
封包過濾工具 - iptables
• 主要是利用封包過濾的機制而分析封包的表頭資
料,根據表頭資料與定義的『規則』來決定該封
包是否可以進入主機或者是被丟棄
• 2.2 Kernel以前為ipchain
• 2.4 Kernel以後為iptable(netfilter)
– 核心支援封包過濾能力,可作為單機、網路
Firewall或是NAT主機
– 已有方便管理的圖形化管理工具
– 市面上有些Firewall與IP分享器其運作的軟體即以
Linux為核心運作
網路安全
10-58
封包過濾工具 - iptables (續)
• Linux Kernel 3.2.1是最新版本的Linux内核,支持
Intel、Alpha、PPC、Sparc、IA-64 、ARM、MIPS
、Amiga、Atari和IBM s/390等,還支持32位大文
件系统。而在Intel平台上,物理内存最大支持可
以達到64GB
• iptables實作請參照Module 7之防火牆實習課程
網路安全
10-59
iptables運作概念
DROP
ACCEPT
TCP/IP packet
網域
Filter
網路封包
Rule 01
NO
Rule 02
NO
……
NO
預設動作(Policy)
YES
YES
YES
網路安全
Action 1
Action 2
……
10-60
安全網路基礎架構工具比較 - VPN
• 商業軟體
– 優:功能強大
– 缺:成本高
– 例:SOCKS5與 E2G
• 免費軟體
– 優:成本較低且操作簡單
– 缺:功能陽春
– 例: iPig(iOpus Private Internet Gateway)
網路安全
10-61
通訊加密工具 - iPIG
• 使用 256-bits AES 加密技術產生安全通道,藉由
此安全通道可以保護無線通訊或有線通訊的資料
• iPIG提供了VPN的伺服器版本(iPIG Server Express
Edition為免費軟體,僅提供五個連線)以及VPN的
客戶端連線版本(iPIG Client),您可以依據自己所
想要達到的目的,視情況安裝於您的Windows作
業系統上
網路安全
10-62
結論
• 安全管理計畫的制定是很重要的
– 先確定目的及安全層級
– 考量架設網路安全環境所需的成本
– 制定安全管理策略
• 不是所有的網路安全架構成員都需具備才行,只
需根據自身所需達到的安全層級來架設即可
• 建置一個完整的網路安全架構縱然耗力又傷財,
然而一旦建置完成,往後的管理省時又省力,有
時還可減少財務上的損失
網路安全
10-63
Module 10-6:網路安全基礎架構的實務
(**)
網路安全
10-64
說明
• 現今的網路環境跟現實生活一樣到處充斥著危機,
我們若沒有建立好一個安全的網路架構,就如同
於把私密資料暴露在外面供人利用,危險程度可
想而知
• 一個基礎網路安全架構主要包括
– NAT
– Firewall
– VPN
網路安全
10-65
說明 - 基礎網路安全架構
• 架設實作(一),NAT 環境架設實習
– 利 用 WIN 2003 server 所 提 供 的 功 能 架 設 DHCP
server和NAT server
– 完成後先將實驗swap out再重新swap in
– 接著使用nat主機做修改封包IP表頭的實驗及測試
• 架設實作(二),Firewall環境架設實習
– 使用router主機,利用Linux fedora core 6其核心編譯的
iptables建立簡單的Firewall依實驗拓樸
– 使用WAN2主機,進行封包阻擋測試
網路安全
10-66
說明 - 基礎網路安全架構 (續)
• 架設實作(三),VPN環境架設實習
– 使用nat主機,利用iPig server軟體架設VPN 通道
– 使用WAN2主機,利用iPig client軟體測試VPN通道
網路安全
10-67
基礎網路安全架構
PC1
Router
NAT/
DHCP
WAN
Switch
PC2
Firewall/
Router
Router
LAN
網路安全
10-68
實驗環境介紹
• 以Testbed建立一實驗,相關拓樸及設定如下圖
WAN2
OS:WINXP-SP2
IP:10.1.4.2
安裝軟體:iPig Client
WAN1
OS: FC6-STD
IP:10.1.1.2
IP5 IP3
IP4
IP1
PC2
OS: FC6-STD
IP:10.1.3.3
PC1
OS:WINXP-SP2
IP:10.1.3.2
IP2
router
OS:FC6-STD
IP3:10.1.1.3
IP4:10.1.2.2
IP5:10.1.4.3
安裝軟體:內建iptables
nat
OS:WIN2003-pc3000 或 WIN2003-IIS-pc1660c2
IP1:10.1.2.3(對外)
IP2:10.1.3.4(對內)
安裝軟體:NAT Server、DHCP Server及iPig Server
網路安全
10-69
實驗拓樸on Testbed@TWISC
- 建立完成的實驗拓樸
此為主機
WAN2之實體IP
表示此主機nat
有兩張網卡,
對內網卡的IP
為10.1.3.4,對
外網卡的IP為
10.1.2.3
網路安全
10-70
架設實作(一)
NAT 環境架設實習
網路安全
10-71
NAT架設工具 - Windows 2003 Server
• 版本
– Windows 2003 Server R2
• 支援作業平台
– Windows 2003 Server R2(本身亦為OS)
網路安全
10-72
NAT架設步驟
• 步驟1. 登入nat主機,開始->系統管理工具->服務
• 步 驟 2. 進 入 Windows firewall/Internet connection
sharing(ICS)選項,選擇「停用」,並「停止」使
用ICS
網路安全
10-73
NAT架設步驟 (續)
• 步驟3. 於登入分頁,停用profile1
網路安全
10-74
NAT架設步驟 (續)
•
•
•
•
步驟4.管理系統工具-> 「管理您的伺服器」
步驟5. 新增或移除角色
步驟6. 選取「下一步」,偵測您的網路設定
步驟7. 選取「遠端存取或VPN伺服器」,選取「
下一步」二次
• 步驟8. 等待安裝精靈設定角色,選取「下一步」
網路安全
10-75
NAT架設步驟 (續)
• 步驟9. 選取「網路位址轉譯NAT」
網路安全
10-76
NAT架設步驟 (續)
• 步驟10.選取對外網卡,並取消Firewall安裝
• IP位址為10.1.2.3的名稱
網路安全
10-77
NAT架設步驟 (續)
• 步驟11.選取對內網卡
• IP位址為10.1.3.4的名稱
網路安全
10-78
NAT架設步驟 (續)
• 步驟12.選取「我將在稍後設定名稱及位址服務」
• 步驟13.設定完成後,即會出現遠端存取或VPN伺
服器,選取「完成」
• 步驟14.開啟「管理您的伺服器」,選取「新增或
移除角色」,選取「下一步」
• 步驟15.選取「DHCP伺服器」,選取兩次「下一
步」
網路安全
10-79
NAT架設步驟 (續)
• 步驟16.設定領域名稱(DHCP server),選取「下一
步」
網路安全
10-80
NAT架設步驟 (續)
• 步驟17.設定虛擬網段範圍,選取「下一步」
網路安全
10-81
NAT架設步驟 (續)
•
•
•
•
步驟18.設定新增排除項目,選取「下一步」跳過
步驟19.設定租用期間,選取「下一步」跳過
步驟20.選取「是,我要現在設定這些選項(Y)」
步驟21.設定路由器,新增「172.16.0.254」,選取
「下一步」
網路安全
10-82
NAT架設步驟 (續)
• 步驟22.指定網頁名稱和DNS伺服器,選取「下一
步」跳過
• 步驟23.指定WINS伺服器,選取「下一步」跳過
• 步驟24.選取「是,我要立即啟動這個領域(Y)」
• 步驟25.完成DHCP伺服器設定,選取「完成」
• 步驟26.設定完成後,即會出現DHCP伺服器,選
取「完成」
網路安全
10-83
NAT架設步驟 (續)
• 步驟27.開啟「網路連線」,選取nat主機對內的網
卡,IP位址為10.1.3.4的區域連線
網路安全
10-84
NAT架設步驟 (續)
• 步驟28.將此網卡的IP位址改為閘道位址
• IP位址為 172.16.0.254
網路安全
10-85
NAT架設步驟 (續)
• 步驟29.進入PC1主機,開啟網卡設定
網路安全
10-86
NAT架設步驟 (續)
• 步驟30.更改IP位址和DNS server為自動擷取
網路安全
10-87
NAT架設步驟 (續)
• 步驟31.自動擷取完之IP應在虛擬網段內,且
Gateway為之前設定之Gateway
網路安全
10-88
NAT架設步驟 (續)
• 步驟32.用PC1主機去ping WAN1主機,測試PC1對
外網路是否暢通
網路安全
10-89
NAT架設步驟 (續)
• 步驟33.進入WAN2主機,ping PC1主機的實體IP
和虛擬IP
• PC1的IP在WAN2的角度看起來就是nat主機的IP,
故無法得知PC1的IP,亦無法直接做攻擊
網路安全
10-90
NAT架設步驟 (續)
• 步驟34.進入nat主機,開啟「管理這台DHCP伺服
器」,檢查虛擬IP使用狀況,若符合即為設定成
功
網路安全
10-91
NAT架設工具 - iptables
• 版本
– kernel 2.6.22.14
• 支援作業平台
– Linux Fedora Core6
• 注意:請先將實驗swap out再重新swap in後再進行
下面實作,否則會與前面實作之NAT產生衝突
網路安全
10-92
Match Arguments
parameter
specified
• TCP
• UDP
• ICMP
• A protocol name from /etc/protocols
• All
-p
-s
-d
-I
-o
--sport
--dport
!
• network name
• hostname
• subnet (192.168.0.0/24 ; 192.168.0.0/255.255.255.0)
• ip address
• Interface name
• Interface name ends in a “+” (eth+)
• Service name
• Port number
• Port range (1024:65535)
網路安全
10-93
設定規則
Tables
command
-t filter
-A
-D
-I
-R
-L
-F
-Z
-N
-X
-P
iptables
Chain
Parameter
INPUT
FORWARD
OUTPUT
PREROUTING
POSTROUTING
-p
-s
-d
-I
-o
--sport
--dport
網路安全
target
-j ACCEPT
-j REJECT
-j DROP
10-94
NAT架設步驟
• 步驟1. 於router主機查看10.1.1.3的IP綁定於哪網卡
• 指令: ifconfig
• 步驟2. 將欲Mapping之IP綁至router主機對外網卡
• 指令:sudo ifconfig eth1 add 202.110.123.100
netmask 255.255.255.0
網路安全
10-95
NAT架設步驟 (續)
• 步驟2. 載入Module
• 指令:sudo modprobe ip_tables
sudo modprobe ip_nat_ftp
網路安全
10-96
NAT架設步驟 (續)
• 步驟3. 將要進入router主機對外網卡(eth1)的封包
目的地位址由202.110.123.100改為10.1.3.3(PC2)
• 指令:sudo iptables -t nat -A PREROUTING -i eth1
-d 202.110.123.100 -j DNAT --to 10.1.3.3
網路安全
10-97
NAT架設步驟 (續)
• 步驟4. 將要送出router主機的網卡eth1的封包來源
位址由10.1.3.3(PC2)改成202.110.123.100
• 指令:sudo iptables -t nat -A POSTROUTING -o
eth1 -s 10.1.3.3 -j SNAT --to 202.110.123.100
網路安全
10-98
NAT架設步驟 (續)
• 步 驟 5. 增 加 WAN1 主 機 對 外 的 路 由 , 將 網 段
202.110.123.0/24 的 路 由 出 口 設 置 為 eth4 , 否 則
reply封包會回不到主機PC2
• 指令:sudo route add -net 202.110.123.0 netmask
255.255.255.0 dev eth4
• 指令:sudo route -n
網路安全
10-99
NAT架設步驟 (續)
• 步驟6. 於PC2主機,在內部主機10.1.3.3發送封包
給外部主機10.1.1.2(WAN1),藉此觀察封包內容
• 指令:ping 10.1.1.2
網路安全
10-100
NAT架設步驟 (續)
• 步 驟 7. 於 外 部 WAN1 主 機 所 觀 察 到 的 封 包 為 IP
202.110.123.100與本機的溝通,而非主機PC2的IP
10.1.3.3,所以封包轉譯成功
• 指令:sudo tcpdump -nn -i eth4
網路安全
10-101
架設實作(二)
Firewall環境架設實習
網路安全
10-102
Firewall架設工具 - iptables
• 版本
– Kernel 3.2.1
• 支援作業系統
– Linux Fedora Core6
網路安全
10-103
防火牆架設策略
• 此次實驗是要架設一個具備基本防範功能的防火
牆 , 因 此 我 們 首 先 設 定 Firewall 阻 擋 所 有 流 經
router主機的封包,之後再逐步開啟我們需要的通
訊port,例如 :http、e-mail、vpn 等
• 對於流經router主機的封包我們實行監控紀錄,若
發現不法封包(DDoS),亦可針對該封包來源進行
封鎖
網路安全
10-104
Firewall架設步驟
• 步驟1. ifconfig
網路安全
10-105
Firewall架設步驟 (續)
• 步驟2. sudo iptables -L -nv
網路安全
10-106
Firewall架設步驟 (續)
• 步驟3. 進入WAN2主機ping 10.1.2.3
網路安全
10-107
Firewall架設步驟 (續)
• 步驟4. sudo iptables -P FORWARD DROP
網路安全
10-108
Firewall架設步驟 (續)
• 步驟5. sudo iptables -A FORWARD -i eth3 -p tcp -dport 80 -j ACCEPT
網路安全
10-109
Firewall架設步驟 (續)
• 步驟6. sudo iptables -A FORWARD -i eth4 -p tcp -sport 80 -j ACCEPT
• 步驟7. 依此類推,分別開啟基本的port
–
–
–
–
–
port 23(telnet)
port 25(smtp)
port 110(pop3)
port 443(https)
port 11888(VPN)
網路安全
10-110
Firewall架設步驟 (續)
• 注意:port 11888為接下來VPN所使用,務必開啟
sudo iptables -A FORWARD -i eth4 -p tcp --sport
11888 -j ACCEPT
網路安全
10-111
Firewall架設步驟 (續)
• 步驟8. sudo iptables -A FORWARD -i eth3 -j LOG
網路安全
10-112
Firewall架設步驟 (續)
• 步驟9. 進入WAN2主機ping 10.1.2.3,發現Request
timed out則表示Firewall架設成功
網路安全
10-113
架設實作(三)
VPN環境架設實習
網路安全
10-114
通訊加密工具 - iPig
• 版本
– iPig V2.06 Client Beta
– iPig Server Express V2.06 Beta
• 支援作業平台
– Windows
• 下載位址
– Server, http://www.iopus.com/download/ipig-serversetup.exe
– Client, http://www.iopus.com/download/ipig-setup.exe
網路安全
10-115
VPN架設步驟
• 步驟1. 登入nat主機,下載並安裝iPig Server軟體
• 步驟2. 執行iPig Server在server端新增一個user
網路安全
10-116
VPN架設步驟 (續)
• 步驟3. 建立帳號名稱及密碼
網路安全
10-117
VPN架設步驟 (續)
• 步驟4. 點選Settings ,可以設定VPN Server所要執
行的port,完成後選取「確定」
網路安全
10-118
VPN架設步驟 (續)
• 步驟5. 登入WAN2主機,下載iPig Client並安裝
• 步驟6. 在client端設定連線的使用者帳號和密碼
網路安全
10-119
VPN架設步驟 (續)
• 步驟7. 在client端設定VPN Server的IP位址和port
網路安全
10-120
VPN架設步驟 (續)
• 步驟8. 點選Settings,勾選Block traffic if no
encryption possible
網路安全
10-121
VPN架設步驟 (續)
• 步驟9. 點選Filters settings可以設定哪些程式需要
進行加密,預設為全部
網路安全
10-122
VPN架設步驟 (續)
• 步驟10.在client端開啟VPN連線
網路安全
10-123
VPN架設步驟 (續)
• 步驟11.在server端可以觀看目前透過VPN連線的
使用者資訊
網路安全
10-124
結論
• 一般使用者只要有軟體就能輕鬆架設NAT,使主
機不會暴露在危險重重的網路世界
• Firewall雖能夠提供安全防護,但是對於一般使用
者沒有那麼容易上手
• 一般使用者欲架設VPN可使用iPig軟體,可輕鬆建
立VPN通道
網路安全
10-125
習題
網路安全
10-126
習題
1. 請簡述集中式網路架構和分散式網路架構的優缺
點
2. 請簡述DMZ所劃分的區塊和安全等級
3. 請說明VPN通道的優點
網路安全
10-127
Module 10-7:網路安全架構的專案實務
網路安全
10-128
專案目的
• 建置VPN應用環境
• 利用實際操作方式讓同學了解VPN的重要性
網路安全
10-129
專案描述
• 模擬一位網路駭客去監聽他人的 VPN通道和非
VPN通道,試著比較監聽結果兩者的差異
• 參考環境配置圖,模擬下列狀況
假設你為一位駭客,並已經偷偷在nat主機上安裝
Wireshark,試圖監聽內部網路對外的通訊內容
一 開 始 被 害 者 PC2 主 機 與 WAN2 主 機 通 訊 ( 例 :
MSN),駭客截取到的封包會顯示怎樣的資訊?
當被害者發現通訊內容被盜取後,被害者利用建立
VPN通道來保護通訊資料,此時駭客會擷取到封包
嗎?封包內容為何?
網路安全
10-130
環境配置圖
WAN2
OS:WINXP-SP3-pc3000
安裝軟體:iPig Client
router
OS:WINXP-SP3-pc3000
安裝軟體:iptable
PC2
OS:WINXP-SP2
安裝軟體:iPig Server
nat
OS:WINXP-SP2
安裝軟體:Wireshark
iPig下載處:
http://www.iopus.com/ipig/download/
Wireshark下載處:
http://www.wireshark.org/download.html /
網路安全
10-131
作業繳交說明
•
•
•
•
•
請參考情境完成作業,並將過程擷圖列於報告中
基於基本情境再多實作一些擴充情境可額外加分
請於 2013/06/04 23:59 前將報告上傳FTP
在實作方面有問題,請寄信給助教,謝謝。
若實驗已完成,請將實驗swap out,以釋出資源,
謝謝
網路安全
7-132
參考資料
•
•
•
•
iOpus Private Internet Gateway (iPig),
http://www.iopus.com/ipig/
PCNET網路研究所, http://www.pcnet.idv.tw/
呂崇富(94年)。網路規劃與管理實務。台北市:
學貫
鳥哥的Linux私房菜, http://linux.vbird.org/
網路安全
10-133