Transcript 網路安全-技術面防範
07 網路安全-技術面防範 1 網路安全 網路安全只是資訊安全的一小部分 網路安全目的: 希望藉由適當的防護與管理,讓網路環境變得更安全 相較於資訊安全的全方位,網路安全利用一些技術來加強網路環 境的安全性 技術: 防火牆 入侵偵測系統 弱點掃描器 虛擬私有網路 密碼學 防毒軟體 備份軟體 備援機制等 2 網路的方便與危機 3 恆網的威脅 行動通訊與無線網路的技術越加成熟 恆網時代(Evernet Era)的來臨 趨勢大師納斯漢:「網際網路時代結束,恆網時代 開跑」 恆網: 任何人在任何時間、任何地點、以任何方式連接 到網路環境的技術 網際網路通訊的極致發揮,某種物品就能迅速上 網 安全的隱憂 4 網路安全策略 安全的網路環境: 需要的是一套完善且持續運作的安全機制 包含管理面及技術面 常用的安全技術: 入侵偵測系統(IDS:Intrusion Detection System) 弱點掃描器 虛擬私人網路 防毒軟體 備份程式 備援機制 防火牆 5 入侵偵測系統 (Intrusion Detection System ,IDS) ISS公司的RealSecure及BlackICE 6 弱點掃描器 (Vulnerability Scanner) NetIQ:Security Analyzer,GFI :LANguard Network Security Scanner,SAINT: SAINT,微軟平台: EnterpriseInspector 7 虛擬私人網路 (Virtual Private Network,VPN) 虛擬區域網路: 透過網路管理者將區域網路作邏輯分組,不受限於使用者的 主機所在位址 因應企業全球化佈局,但TCP/IP為明碼,有安全上顧忌: 解決方案一:數據專線方式 跨國專線費用高且需投入相當的設備、人力維護 解決方案二:虛擬私人網路(VPN) 兼顧安全及成本 讓公共網路變成像是內部專線網路 整合包括X.25、Frame Relay、ATM、INTERNET 利用通道法(Tunneling)將公共網路或廣域網路的連接方 式,轉換成具加密、身份辨認以及存取控制功能的網路 8 虛擬私人網路運作圖 9 防毒軟體 防毒軟體的功能 檢查的機制: 即時 手動 排程 偵測方式: 偵測並且防止惡性程式感染電腦系統 針對已經遭受感染的程式進行清除或隔離 比對 常見產品: PC-cillin Norton AntiVirus 10 備份程式 需要備份的資料: 作業系統 應用程式 使用者資料 決定檔案是否備份的依據為檔案記錄(archive)屬性 資料備份的方法: 一般(Normal): 完整備份(Full backup) 增量(Incremental): 備份記錄屬性被啟動的檔案 備份完成後,清除檔案記錄屬性 差異(Differential): 備份記錄屬性被啟動的檔案 備份完成後,不清除檔案記錄屬性 累加方式做備份 11 備份時程 12 三種備份方式的比較 13 備援機制 備援機制的主要功能: 電腦系統出現問題的同時可以 繼續維持系統的正常運,以提 高電腦系統的可用度 平時,可以做到負載平衡 系統發生問題時,透過備援系 統達到容錯 備援機制兩個層面: 元件備援: 熱抽拔(hot plug) 磁碟裝置 電腦系統本身: 叢集(Cluster) 多部電腦所組成的虛擬機器 14 磁碟裝置容錯 (Redundant Array of Independent Disks, RAID) 1987年柏克萊大學加州分校 目的: RAID 分6個等級: RAID 0 ~ RAID 5 增加磁碟系統的穩定性及效率 較常見: RAID 0 RAID 1 RAID 5 RAID在處理資料時,需要額外的計算 除RAID 1 不需額外的計算,可用軟體達成 其餘RAID建議由專屬硬體來提供功能 15 RAID 0 由至少二顆硬碟所組成的磁碟陣列 每一顆硬碟的大小都需要相同 stripe: 資料被寫入時切割成大小相同的區塊,稱之。 資料並同時寫入,儲存至每一個磁碟中 優點:存取效率極為優異 缺點:不支援容錯 特性: Provides data striping but no redundancy improves performance but does not deliver fault tolerance 16 RAID 1(磁碟鏡射,mirror) 由二顆硬碟所組成,且硬碟的大小都需要相同 資料的寫入:一樣的資料同時寫入二顆硬碟中 優點:容錯; 缺點:成本高 17 RAID 5 由至少三顆硬碟所組成的磁碟 陣列 每一顆硬碟的大小都需要相同 stripe(等量磁碟): 資料被寫入時切割成大小相同 的區塊,稱之。 並計算出該資料的同位元值 資料與同位元值寫入至不同的 磁碟中,達到容錯 優點:允許一個硬碟的故障 缺點:寫入資料效能較差 空間使用率: (n-1)/n*100% n:硬碟數量 -1: 存放Parity的一顆硬碟 18 電腦系統的負載平衡及容錯 叢集(Cluster): 由多部電腦所組成的虛擬機器 每一部實體的電腦被稱為一個節點 平時服務的提供可以由某一個節點負責 該節點發生問題時,其他的節點則會接手發生問題 節點的工作 可以分為 網路及系統二種層面 19 網路叢集 網路叢集: 多個節點共用相同的 IP位址來達成 前提:每個節點都可 提供相同的服務 例如:Windows 2000 advanced server 的NLB ( network load balancing ) 技術 20 系統叢集 系統叢集: 多個節點來提供相同的應用程 式服務,如資料庫或電子郵件 服務 前提:每個節點利用共同儲存 裝置(Share Storage)來共 用使用者資料 錯誤移轉(Fail Over): 提供服務節點出問題時, 系統將工作轉移到另一節 點繼續運作,稱之 目的: 提升系統可用度 例如:Windows 2000 advanced server 的 Cluster Service 21 防火牆原理 防火牆機制: 對外連線的咽喉點 (Choke Point) 架設防火牆機制, 過濾可能危害內部網路的封包 防火牆能夠根據經由該點進出的封包加以分析 使用服務的種類、來源與目的地位址、控制使用 者存取權以及進出封包的內容 22 個人防火牆防護記錄 23 防火牆概念圖 24 防火牆的功能 一般正常的封包傳遞 條件式的過濾封包傳遞 保護企業的內部網路 控管企業使用者的網際網路資源存取 25 防火牆-一般正常的封包傳遞 26 防火牆-條件式的過濾封包傳遞 27 防火牆-保護企業的內部網路 28 防火牆- 控管企業使用者的網際網路資源存取 29 防火牆的種類 依層級不同: 1. 2. 封包過濾型防火牆(網路層級)-Packet Filter Firewall 應用層級過濾型防火牆-Application Filter Firewall Application Layer Firewall and Proxy Server Network Layer Screening Router and Packet Filter Data-Link Layer 30 網路層級防火牆概念圖 封包過濾器 (Packet Filter) : 對進入封包的標頭 (header)部分進行檢查 建構在網路層級,不會對傳輸資料的內容進行偵測 31 封包過濾型防火牆 32 靜態與動態封包過濾技術 靜態封包過濾 (Static Packet Filter) : 限定封包只能從哪裡來(來源端IP位址的檢查)以 及到哪裡去(目的地端IP位址的檢查),使用什麼 樣的通訊協定(目的地端服務連接埠的檢查) 可判斷TCP封包方向性 動態封包過濾 (Dynamic Packet Filter) : 又稱狀態檢查(Stateful Inspection) 在原先靜態封包過濾器加上一個連線狀態記錄器 33 應用層級閘道器 (Application-level Gateway) 應用層級過濾型防火牆特性: 將封包分析的工作提升至應用層級來處理,可以提供更為詳 細的安全檢驗 可視為一台代理伺服器 (Proxy Server) 內部網路的使用者必須透過該代理伺服器的協助才能與外 部主機溝通 外部主機並不能直接看到真正的內部使用者,而是只能看 到這台代理伺服器。 代理伺服器有隱藏內部網路的功能 防止網際網路的惡意人士嘗試去瞭解公司內部網路的資訊 偵測入侵行為: 禁止執行 DNS區域移轉(Zone transfer)技術去複製DNS區 域資料(Zone data) 34 應用層級過濾型防火牆概念圖 35 應用層級過濾型防火牆 -優點及注意事項 優點: 不變動網路架構下擴充防火牆 使用的注意事項: 雖提供較為完善的安全防護,但效率明顯較差 處理較多安全項目 代理伺服器必須在內部與外部網路溝通上面花一些時間進 行轉換的工作 應用程式若未被代理伺服器支援,這些網路服務將無法使用 一般可與代理伺服器溝通的網路應用程式,如瀏覽器是最 普遍的,其內建便具有支援代理伺服器的存取 其他程式如 FTP、Telnet 等,也必須要能提供溝通的能力 才行 36 防火牆的網路架構 1. 2. 3. 防禦主機架構 3-Homed 架構 多層次架構(Multi - Layered) 37 防禦主機架構 兩片網路卡: 1. 對內網路卡:屏障網路(screened network) 2. 對外網路卡:公眾網路 特性:成本低、管理易 38 3-Homed架構 三片網路卡: 1. 對內:企業內部網路 2. 對外:公眾網路 3. 連接至非軍事管制區 (Demilitarized Zone, DMZ),又稱週邊地帶 (Perimeter network) 用戶存取的資源,如: Web主機、FTP主機、 電子郵件主機 特性: 安全性較防禦主機架構好 管理便利 39 多層次架構(Multi - Layered) 利用多部防火牆所組成的防禦架構 常見的基本架構: 由兩部防火牆組成(多會選擇不同 產品) 外部防火牆的外部網路卡: 公眾網路 內部防火牆的內部網路卡: 企業內部 外部防火牆的內部網路卡及內 部防火牆的外部網路卡 非軍事管制區(DMZ) 特性: 安全性較高 管理彈性 40 防火牆的限制 1. 防火牆無法辨識資料的真正來源: 2. 防火牆不提供加密保護的功能: 3. 4. 防火牆無法達到連線保密: 防火牆與外界的公眾網路連結,連線資料可能遭受竊聽 解決: 透過其他機制,如 VPN 或 IPSec 等來加強保密 防火牆無法防範來自內部網路的侵害 咽喉點(Choke Point)成為網路交通的瓶頸: 5. 防火牆只負責管制封包的流向,外界假造的封包無法分辨 解決:密碼技術中的認證 防火牆統籌了內部與外部資料流通的工作 駭客攻擊的標的: 防火牆負責所有內部網路安全的警衛 對防火牆系統的安全更加要嚴格把關 41 如何選擇適當的防火牆 1. 2. 3. 4. 5. 6. 7. 是否可以提供適當的保護? 可否滿足現在及將來的需求? 該產品的穩定性如何? 是否容易設定、方便管理及簡單維護? 執行運作的效率是好?是壞? 是否提供額外的功能?如虛擬私人網路 (VPN)、IDS 功能價值比: 這個防火牆究竟值不值得花這麼多錢去買 42