實驗05 監控與偵測網路蠕蟲攻擊與電腦病毒
Download
Report
Transcript 實驗05 監控與偵測網路蠕蟲攻擊與電腦病毒
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
實驗五 監控與偵測網路蠕蟲攻擊與電腦病毒
國立雲林科技大學
電腦與通訊工程系
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
前言
本實驗整合多個網路設備來偵測Worms、Spyware/Adware、Network Viruses等事件,即時
阻擋上述非法之封包,並產生警告及記錄。
本實驗用來分析網路異常的硬體設備為NUSOFT的NUS-MS2800, NUS-MS2800是網路型
的整合式威脅管理系統(Unified Threat Management),可有效防止電腦病毒、特洛依木馬...
的威脅,並能偵測及阻擋網路惡意攻擊程式 ( 蠕蟲、緩衝溢位... )以及產生警告及記錄。
下圖為本實驗的網路連結示意圖。
LAN(NAT):
192.168.1.2/24 ~ 192.168.1.254/24
Internet
MS-2800
WAN:140.125.32.240/24
實驗場景
國立雲林科技大學電腦與通訊工程系
2
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
Unified Threat Management(UTM)
Unified Threat Management(UTM) (資料參考來源 http://tw.juniper.net/)
「UTM」一詞首先出現在 2003 年 IDC 的研究告報告中,其被定義為具有額外網路防禦機制的防火牆
平台,能夠抵禦 DoS / DDoS (阻斷服務/分散式阻斷服務)、病毒和其他惡意軟體、垃圾郵件以及網路釣
魚的攻擊,很多UTM解決方案還具有網頁過濾的功能。 根據這個對「UTM」裝置的定義,市面上許多
網路安全解決方案廠商都提供了類似的產品。
在 UTM 的概念出現之前,企業為了防禦各式各樣的威脅,必須配置多項單功能產品,例如防火牆、防
毒閘道器、防垃圾郵件裝置以及 URL 閘道器。企業還必須同時兼顧這些平台和其他 IT 解決方案的管理
,員工也必須熟悉這些各不相同的介面、指令和差異性。林林總總一堆的安全解決方案代表著必須購買
多項產品,經常費用也更高,對資金預算和營 運預算都是一個很大的負擔。
UTM 的概念解決了企業必須管理多項單功能產品的難題,透過單一的作業系統與管理介面,提供一個
能夠滿足多方面安全需求的全功能架構。這不但在學習新系統方面節省下可觀的時間,也提高 IT 人員
在阻撓攻擊時的有效性。
UTM 的價值在於簡化管理,以最精簡的單一設備來得到企業所需要的網管水準,並具有快速搬遷、集
中控管、節省成本的優勢,建置 UTM 的意義主要是基於公司業務考量,而非只是純粹以 IT 技術的眼
光來思考。使用 UTM 解決方案該有的觀念應該是,將其放在最適當的地方,讓其發揮適所的功能,而
非只是硬要將其賦予的各項功能,拿來與業界單一功能最優秀的產品做比較。
國立雲林科技大學電腦與通訊工程系
3
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
Unified Threat Management(UTM)
就許多廠商對UTM 的看法來說,UTM 設備定義是:多種安全功能整合到單一硬
體設備,其中必然會有必備的防火牆,入侵偵測系統與防毒閘道除此之外,因應
市場需求,再將VPN 垃圾郵件防治、網頁過濾、IM Control、P2P Control 等功能
也包括其中、我們再細部將UTM 需提供的功能定義如下: (資料參考來源
http://www.sti.com.tw/)
防火牆功能:為UTM 必備功能、通常在規劃上也大多以配合防火牆最適合放置之位置來部署、並
且必須具備有NAT 及VPN 之功能、效能上也必須與單一防火牆匹敵。
入侵偵測功能:因防火牆只能執行即定之政策、若政策上允許之協定與Port,例如HTTP、防火牆會
將之充許通過卻無法防止駭客從HTTP 來破壞或入侵內部目標伺服器、因此UTM 也必須具備IPS(
主動阻斷式入侵偵測)功能、來偵測及阻斷類似這種利用防火牆先天上弱點之入侵行為、至於IDS(
被動式入侵偵測)功能因僅能偵測出入侵行為,並發出警訊、但無法主動阻斷來源,漸漸成為UTM 之
附加功能。
防毒功能:UTM 需提供防毒功能原因不外乎是,在閘道端來做防毒過濾、能預防同樣來自於網路上
並且經過防火牆之病毒,並且也能配合伺服器端以及PC 端之防毒軟體系統、以防止各種不同的管道
在企業內部流竄、預防企業遭受病毒感染、也因此為UTM 提供之功能之一。
防垃圾郵件:此一議題為在電子郵件成功地成為資訊時代不可或缺的工具時,許多商業或非商業
之廣告、病毒、非法信件便也從網路上蔓延開來,許多企業早期靠的是郵件伺服器上被動地定義黑
白名單、將企業不歡迎之信件阻擋下來,但因郵件散佈與規避技巧越來越完美,垃圾郵件防治也單
獨成為一個資安議題,更一步步成為必備之主流,因此將UTM 納入功能之一,其一點都不為過,
如此便可解決外部垃圾郵件問題。
其他功能:有部份 UTM 廠商更加入了具有頻寬管理,或對多線路做負載平衡等等功能,並且集中
且統一產出制式報表,以更方便管理者做管理與分析。
國立雲林科技大學電腦與通訊工程系
4
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
NUS-MS2800
本次實驗所用的網路設備MS2800為一個網路型的整合式威脅管理系統, MS2800軟體規格 如下:(資料來源 http://www.nusoft.com.tw/)
完整的VPN解決方案:完整的VPN機制供企業選用。不論是在業務人員常用的SSL VPN、管理人
員從家裡連線至企業的PPTP VPN、還是分公司與總公司連線所用的IPSec VPN...皆一應俱全。
病毒過濾Anti-Virus :內建了雙掃毒引擎:ClamAV、Sophos,有效過濾藏匿於網際網路中的各種
有害程式。目前已可偵測超過四萬種病毒、蠕蟲以及木馬程式,並24小時隨時線上自動更新病毒
碼。ClamAV可永久免費更新病毒碼,而且並無使用人數限制。
入侵防禦偵測系統:內 建入侵防禦偵測(IDP)功能,針對網際網路OSI 4到7層檢測;可以找出隱
藏在應用層裡的惡意攻擊程式(譬如蠕蟲、緩衝溢位),並予以阻擋。內建龐大的 IDP 特徵碼資
料庫,可以有效阻絕已知的攻擊模式。也可透過「異常協定偵測」的方式即時檢查,並將不符合
RFC規範的網路封包丟棄。
郵件稽核備份:協助企業審查與備份郵件,以確保企業重要資料不會從電子郵件管道洩露。管理
人員亦可以輕鬆調閱所備份之信件。如企業在發生溝通方面(透過電子郵件)之糾紛時,可藉此
取得有利的法律地位。
即時通訊 / 點對點 軟體管理功能:擁有即時通訊軟體與點對點軟體管理機制,幫助企業管理員工
使用MSN、ICQ、Yahoo、QQ、Skype...之權限與阻擋點對點軟體下載檔案,不論是e-Mule、BT、
WINMX、e-Donkey、Foxy...。
偵測異常流量:當內部電腦發生中毒之情況,而開始發出DoS、DDoS攻擊,企圖癱瘓企業網路時
,NUS-MS2800會將攻擊加以阻擋,並向網管人員與中毒電腦的使用者提出警告。
垃 圾 郵 件 掃 描 Anti-Spam: 採 用 了 多 層 分 析 掃 描 的 方 式 來 過 濾 郵 件 : 以 指 紋 分 析 法 ( Spam
Fingerprint)、貝氏過濾法(Bayesian Filtering)、垃圾郵件特徵(Spam Signature)…等掃描方式
來對郵件評斷。並擁有學習機制,可自動調整垃圾郵件的判斷條件,以滿足企業需求。且具備個
人化郵件規則 (Personal Rule),使用者可自行調整過濾規則與取回隔離信件,減少管理人員工
作負擔。
國立雲林科技大學電腦與通訊工程系
5
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
管制條例
管制條例
每一個封包在通過 NUS-MS2800 時,需要逐條檢查是否符合管制條例。當封包的條件符合
某條管制條例時,就會按該管制條例的設定來通過 NUS-MS2800,而不會再向下檢查其他
的管制條例。如封包無法符合任何管制條例時,該封包就會被攔截。
NUS-MS2800依據不同來源位址的資料封包,將管制條例設定功能區分為下列六項,以便
利系統主管理員,針對不同資料封包的來源 IP、來源埠、目的IP、目的埠制訂管制規則。
【內部至外部】:來源網路位址是在內部網路區,目的網路位址是在外部網路區。系統管理員在
此功能中,訂定內部網路至外部網路間所有封包的管制、服務項目的管制規則。
【外部至內部】:來源網路位址是在外部網路區,目的網路位址是在內部網路區(如 IP 對映、虛
擬伺服器)。系統管理員在此功能中,訂定外部網路至內部網路間所有封包的管制、服務項目的
管制規則。
【外部至非軍事區】:來源網路區是外部網路區,目的網路區是在DMZ內(如 IP 對映、虛擬伺服
器)。系統管理員在此功能中,訂定外部網路至DMZ間所有封包的管制、服務項目的管制規則。
【內部至非軍事區】:來源網路區是內部網路區,目的網路區是在DMZ內。系統管理員在此功能
中,訂定內部網路至DMZ間所有封包的管制、服務項目的管制規則。
【非軍事區至內部】:來源網路區是DMZ,目的網路區是在內部網路區。系統管理員在此功能中
,訂定DMZ至內部網路間所有封包的管制、服務項目的管制規則。
【非軍事區至外部】:來源網路區是DMZ,目的網路區是在外部網路區。系統管理員在此功能中
,訂定DMZ至外部網路間所有封包的管制、服務項目的管制規則。
國立雲林科技大學電腦與通訊工程系
6
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
設定管制條例
設定管制條例
管制條例的參數包含有來源網路
位址、目的網路位址、服務名稱
、 自 動 排 程 、 認 證 名 稱 、 VPN
Trunk、管制動作,外部網路埠、
流量監控、流量統計、IDP、內
容管制、應用程式管制、病毒偵
測、頻寬管理、每個來源 IP最多
連線數、最多連線數、Quota Per
Session及 Quota Per Day等。系統
管理員可以由這些參數,管理、
設定不同出入埠間的資料傳送以
及服務項目,哪些網路物件、網
路服務或應用程式的封包該予以
攔截或放行。
由於本實驗需要監控與偵測蠕蟲
與電腦病毒之攻擊,因此將【內
部至外部】 和【 外布置內部】
內的 【IDP】及【病毒偵測】的
選項勾選即可。
國立雲林科技大學電腦與通訊工程系
7
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
入侵偵測防禦
入侵偵測防禦
入侵偵測防禦可即時針對異常流量與封包內容檢驗與示警,並加以阻絕、隔離、干擾或發
出警訊通知管理者的處置,以預防可疑程式碼入侵目標主機。所以當入侵偵測防禦偵測到
來自內部或外部的攻擊行為時,可即時提供保護網路與阻絕攻擊行為的措施,使企業網路
依然可運行暢通,並提高資訊傳輸的安全性。
NUS-MS2800入侵偵測防禦設定 說明如下:
入侵偵測防禦之特徵定義檔每隔 30分鐘就會自動更新,或可手動做立即更新。同時會
顯示特徵定義檔之更新時間和版本。
可針對未加密和壓縮的檔案做病毒偵測的動作。
病毒掃描引擎為:
‹Clam:系統預設可立即免費使用。
於偵測到攻擊行為和病毒檔案時,可透過寄送 E-mail和發出警訊給管理員。
國立雲林科技大學電腦與通訊工程系
8
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
設定入侵偵測防禦
攻擊行為依其威脅性可分為:高風險、中風險和低風險三類。可以分別對預設特
徵中,不同風險的攻擊行為做通行、阻擋、記錄或警示的動作。
國立雲林科技大學電腦與通訊工程系
9
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
特徵設定
針對各種不同的攻擊行為,提供相對映的比對規則,包含三個部份:【異常偵測
】、【預設特徵】和【自訂特徵】。
【異常偵測】會隨著定義檔的更新,來針對目前所能發現的異常封包與流量做偵測和
防禦。
【預設特徵】亦會隨著定義檔的更新,來針對目前所能發現的入侵模式做偵測和防禦
。以上特徵不能修改也不可刪除。
【自訂特徵】讓使用者可依自己的需求,來偵測和防禦【預設特徵】和【異常偵測】
以外的攻擊行為和異常封包、流量。
國立雲林科技大學電腦與通訊工程系
10
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
異常偵測
異常偵測
„NUS-MS2800可對16種異常封包特徵做偵測。
„ 用者可依需求,啟動欲偵測防禦的異常封包特徵。
使
„可針對特定封包所產生之異常流量做控管的動作。
„可變更各項特徵之處理動作:通行、阻擋、記錄或警示。
可顯示所有異常偵測特徵的名稱、啟動狀態、風險、動作、記錄和警示等屬性。
國立雲林科技大學電腦與通訊工程系
11
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
預設特徵
預設特徵
„NUS-MS2800可對Attack Responses, Backdoor, Bad Traffic, Chat, DDoS, Deleted, DNS,
DoS, Exploit, Finger, FTP, ICMP, IMAP, Info, Misc, Multimedia, MySQL, NetBIOS,
NNTP, Oracle, P2P, Policy, POP2, POP3, Porn, RPC, Rservices, Scan, Sellcode, SMTP,
SNMP, Spyware, SQL, Telnet, TFTP, Web Acctacks, Web CGI, Web Client, Web
Coldfusion, Web Frontpage, Web IIS, Web Misc, Web PHP和X11等類別,於各大類別中
包含了所屬的攻擊特徵。
可變更各大類別及其所屬特徵之處理動作:通行、阻擋、記錄或警示。
„可顯示所有攻擊特徵的名稱、風險、動作、記錄和警示等屬性。
國立雲林科技大學電腦與通訊工程系
12
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
設定自訂特徵
對於新增自訂特徵內的欄位說明:
特徵名稱:系統管理員可在此為自訂的特徵命名。
通訊協定:設定欲偵測和防禦的通訊協定,分為 TCP, UDP, ICMP和IP。
來源埠:設定攻擊端電腦使用的埠號(範圍 0~65535)。
目地埠:設定被攻擊端電腦的埠號(範圍 0~65535)。
風險:定義攻擊封包的威脅性。
動作:對攻擊封包的處理動作。
內容:設定攻擊封包所夾帶的內容。
進階選項:可針對攻擊封包的方向(Inbound、Outbound)來做過濾並且設定是否要依照
封包內容的大小寫來做過濾。
國立雲林科技大學電腦與通訊工程系
13
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
入侵防禦報告
統計
在統計的選項中,可以看到一段時間中(一日、一週、一月、一年)的異常事件
發生次數、異常事件發生總數、異常事件的通訊協定型、攻擊與被攻擊位址總數
以及各界面攻及次數,下方更有詳細的圖表,表示一整來的攻擊事件排名、介面
排名以及攻擊與被攻擊介面排名等資訊。
國立雲林科技大學電腦與通訊工程系
14
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
入侵防禦報告
日誌
在日誌中,將會顯示過去時間在網路上所被偵測出的網路異常行為,列出詳
細的發生時間、事件、特徵分類、發現的介面、攻擊與被攻擊位址以及UTM
所做出的處理動作。
國立雲林科技大學電腦與通訊工程系
15
實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒
參考資料
「http://www.sti.com.tw/」敦陽科技。
「 http://tw.juniper.net/company/presscenter/features/2007/0119.html 」練就UTM的金剛不壞
之身。
「MS2800_Manual_v4.06_tw.pdf」NUS-MS2800使用手冊。
國立雲林科技大學電腦與通訊工程系
16