實驗04 安裝及建置Web防毒牆
Download
Report
Transcript 實驗04 安裝及建置Web防毒牆
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
實驗四:安裝及建置Web防毒牆
國立雲林科技大學
電腦與通訊工程系
實驗四 安裝及建置Web防毒牆
實驗目的
實驗簡介
學習如何設定防定Web防毒牆
了解關於SQL Injection及XSS相關的攻擊特徵
實驗設備
BroadWeb OneKeeper 300
電腦數台
Switch
國立雲林科技大學電腦與通訊工程系
2
實驗四 安裝及建置Web防毒牆
OK-300
實驗場景
在網路安全的規劃中,我們會將
防毒牆部署在對外的路由器或是
交換器之前,藉此保護內部資源
不受外部網路的侵犯。
在本實驗中,我們將Web防毒牆
(OK-300)部署在Switch之前,如
左圖所示。
Switch
使用者或伺服器
國立雲林科技大學電腦與通訊工程系
3
實驗四 安裝及建置Web防毒牆
整合式的網路設備
P2P
Streaming
…
針對應用程式之流量控制
Firewall
VPN
入侵偵測與防毒功能
應用程式管理
OneKeeper 300 功能簡介
FTP
P2P
…
備援與負載平衡
網頁內容過濾
賭博
股市
…
國立雲林科技大學電腦與通訊工程系
4
實驗四 安裝及建置Web防毒牆
實驗步驟
實驗步驟
Step 1. 設定Web防毒牆參數
Step 2. 網路介面設定
Step 3. 設定入侵防禦系統
Step 4. 即時監測
國立雲林科技大學電腦與通訊工程系
5
實驗四 安裝及建置Web防毒牆
Step 1. 設定Web防毒牆參數
OneKeeper 300提供三種設定方式
超級終端機模式 (Hyper Terminal)
連接電腦與OneKeeper 300的RS-232 Console埠,並使用Windows XP/2000內
建的超級終端機連線。
遠端連線模式 (Remote Connection by SSH Client)
使用具有SSHv2加密功能的遠端連線軟體來連結OneKeeper 300。
Web連線模式
透過Web瀏覽器來連結OneKeeper 300。
在本實驗中,我們將使用Web連線模式來設定OneKeeper 300。
國立雲林科技大學電腦與通訊工程系
6
實驗四 安裝及建置Web防毒牆
Step 1. 設定Web防毒牆參數
首先,我們利用超級終端機模式將WAN 1的IP位置設定為140.125.32.23(
此後我們便可藉由此IP來登入管理Web防毒牆)。
連線參數相關設定
Web防毒牆各個介面相關的資訊
國立雲林科技大學電腦與通訊工程系
7
實驗四 安裝及建置Web防毒牆
Step 1. 設定Web防毒牆參數
接下來,在瀏覽器的網址列上輸入140.125.32.23。
使用IE瀏覽器登入Web防毒牆管理介面
國立雲林科技大學電腦與通訊工程系
8
實驗四 安裝及建置Web防毒牆
Step 1. 設定Web防毒牆參數
接著輸入帳號跟密碼後,按下登入,即可看到OneKeeper 300的管理介面
。
OneKeeper 300的系統資訊
國立雲林科技大學電腦與通訊工程系
9
實驗四 安裝及建置Web防毒牆
Step 1. 設定Web防毒牆參數
在系統&設定中,我們可以設定的有以下幾項:
設定
防護
可手動備份或更新系統設定。
警示郵件與訊息
設定可使用何種通訊協定登入,例如:http、https、ssh等。
管理者密碼變更
更新與備份
管理者基於特定因素(例如:發現該主機持續發送大量封包)可將該主機之MAC位
址加入OneKeeper MAC資料庫並設定其相對動作(允許或拒絕)。
存取控制
可啟動或停用IPS防護、網頁防護、病毒防護、防火牆防護等等。
MAC資料庫
可設定設備名稱、系統時間、syslog、網路模式、動態埠設定等等。
當開啟入侵防禦系統(IPS)時,若有任何封包符合IPS之政策,則將依警示郵件設
定傳送信件告知管理者。
系統記錄
提供系統相關事件,如修改系統設定、重新啟動等資訊。
國立雲林科技大學電腦與通訊工程系
10
實驗四 安裝及建置Web防毒牆
Step 2. 網路介面設定
選擇系統 網路。
目前OneKeeper 300各個介面的相關資訊
國立雲林科技大學電腦與通訊工程系
11
實驗四 安裝及建置Web防毒牆
LAN設定
可設定LAN IP位址、DHCP Server以及DHCP Relay。
DMZ設定
Step 2. 網路介面設定
可設定非軍事區域IP位址。
WAN設定
可設定靜態IP、動態IP、使用PPPoE或PPTP等。
虛擬介面
虛擬網路介面
國立雲林科技大學電腦與通訊工程系
12
實驗四 安裝及建置Web防毒牆
Step 2. 網路介面設定
LAN
LAN IP位址
DHCP設定
國立雲林科技大學電腦與通訊工程系
13
實驗四 安裝及建置Web防毒牆
入侵防禦系統攻擊特徵可分為下列二種
嵌入式攻擊特徵
個人化攻擊特徵
嵌入式攻擊特徵(Built-in Signature)
BSST依據目前駭客最新入侵手法而制訂,並安裝於系統中,總共有16種攻
擊分類,5級嚴重程度。
BSST (BroadWeb Security Service Team)
威播網路安全專家,專門鑽研駭客入侵手法、蒐集網路安全技術情報,制定最新
的攻擊防禦政策及提供相關技術支援。
個人化攻擊特徵(User-defined Signature)
Step 3.設定入侵防禦系統
主要應用於各種不同環境的需求,根據業務或資安政策而訂定,也能利用個
人化攻擊特徵,檢視網路異常流量的問題。
在本實驗中,主要是利用嵌入式攻擊特徵來達到防禦Web攻擊的目的。
國立雲林科技大學電腦與通訊工程系
14
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
嵌入式攻擊特徵
BSST制訂
5級嚴重程度
16種攻擊分類
5級嚴重程度
Misc
Web Attack
Buffer Overflow
Back Door
Access Ctrl
P2P
IM
Virus
Porn
Dos
Scan
File Transfer
Mail
Stream Media
Tunnel
ACL
16種攻擊分類
國立雲林科技大學電腦與通訊工程系
15
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
嵌入式攻擊特徵
攻擊特徵檢視方式分為三種
依嚴重程度而分之樹狀列表
依種類而分之樹狀列表
表格列表
依嚴重程度而分之樹狀列表
國立雲林科技大學電腦與通訊工程系
16
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
依種類而分之樹狀列表
表格列表
國立雲林科技大學電腦與通訊工程系
17
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
選擇攻擊特徵
啟用或停用攻擊特徵
設定遭受到某種攻擊時相關政策
啟用
停用
啟用或停用攻擊特徵
國立雲林科技大學電腦與通訊工程系
18
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
設定遭受到某種攻擊時相關政策
國立雲林科技大學電腦與通訊工程系
19
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
接下來介紹二種較常見的網站攻擊特徵
SQL Injection
Web 應用程式會執行來自外部 (包括資料庫) 的惡意指令。
Cross-Site Scripting(XSS)
Web 應用程式直接將來自使用者的請求送回瀏覽器執行,使得攻擊者可以
輕易的擷取到使用者的 Cookie 或 Session 資料,而攻擊者就能利用這些資訊
假冒成合法的使用者 。
國立雲林科技大學電腦與通訊工程系
20
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
SQL Injection
MS Windows sql injection command shell execution attempt
WEB Sql injection scan tool attempt
WEB Sql injection command 1=1 attempt
…
國立雲林科技大學電腦與通訊工程系
21
實驗四 安裝及建置Web防毒牆
MS Windows sql injection command shell execution attempt
Step 3.設定入侵防禦系統
攻擊說明:
針對 Windows SQL server 所做的 SQL Injection。
如何改善:
在撰寫資料庫相關應用程式時要過濾使用者輸入的字串。
MS Windows sql injection command shell execution attempt -2
攻擊說明:
針對 Windows SQL server 所做的 SQL Injection。
如何改善:
在撰寫資料庫相關應用程式時要過濾使用者輸入的字串。
國立雲林科技大學電腦與通訊工程系
22
實驗四 安裝及建置Web防毒牆
CGI w3-msql solaris x86 access
攻擊說明:
w3-msql 在處理 SQL Web 連結 CGI 程式時存在一個緩衝區溢位的弱點。這
個弱點是利用 Content-Type 過長的字串讓 scanf() 函數無法處理所產生緩衝
區溢位的弱點,惡意攻擊者可利用這一個弱點,執行任意的程式碼。
如何改善:
修補作業系統的漏洞。
WEB Sql injection scan tool attempt
Step 3.設定入侵防禦系統
攻擊說明:
遭受到 Sql Injection 攻擊檢測工具的掃描。
WEB Sql injection scan tool attempt -2
攻擊說明:
遭受到 Sql Injection 攻擊檢測工具的掃描。
國立雲林科技大學電腦與通訊工程系
23
實驗四 安裝及建置Web防毒牆
WEB Sql injection command 1=1 attempt
攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真(True)。
如何改善:
更新資料庫版本。
WEB Sql injection command '-- attempt
Step 3.設定入侵防禦系統
攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真(True)。
如何改善:
更新資料庫版本。
WEB Sql injection command '-- attempt -2
攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真(True)。
如何改善:
更新資料庫版本。
國立雲林科技大學電腦與通訊工程系
24
實驗四 安裝及建置Web防毒牆
WEB Sql injection command 1=1 attempt -2
攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真(True)。
如何改善:
更新資料庫版本。
WEB Sql injection command 1=1 attempt -3
Step 3.設定入侵防禦系統
攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真(True)。
如何改善:
更新資料庫版本。
WEB Sql injection command 1=2 attempt
攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真(True)。
如何改善:
更新資料庫版本。
國立雲林科技大學電腦與通訊工程系
25
實驗四 安裝及建置Web防毒牆
EXPLOIT phpBB Highlighting command execution
Step 3.設定入侵防禦系統
攻擊說明:
phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對
使用者的輸入參數做確認的動作,導致攻擊者可利用該弱點在伺服器上執行
任意的指令。
如何改善:
更新 phpBB 至最新的版本。
EXPLOIT phpBB Highlighting Code Execution Attempt
攻擊說明:
phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對
使用者的輸入參數做確認的動作,導致攻擊者可利用該弱點在伺服器上執行
任意的指令。
如何改善:
更新 phpBB 至最新的版本。
國立雲林科技大學電腦與通訊工程系
26
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
EXPLOIT phpBB Highlighting Code Execution - Santy.A
攻擊說明:
phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對
使用者的輸入參數做確認的動作,導致攻擊者可利用該弱點在伺服器上執行
任意的指令。
如何改善:
更新 phpBB 至最新的版本。
國立雲林科技大學電腦與通訊工程系
27
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
Cross-Site Scripting(XSS)
WEB-PHP rolis guestbook arbitrary command execution attempt
WEB-PHP rolis guestbook access
WEB-PHP phpMyAdmin db_details_importdocsql.php access
國立雲林科技大學電腦與通訊工程系
28
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
WEB-PHP rolis guestbook arbitrary command execution attempt
攻擊說明:
該攻擊主要是利用 PHP 已知的弱點去攻擊 MediaWiki 。由於 MediaWiki 在使用
者輸入資料時沒有執行嚴謹的字串過濾,因此攻擊者可以利用該弱點得到管理者
的權限。
如何改善:
將軟體升級至最新的版本。
WEB-PHP rolis guestbook access
攻擊說明:
該攻擊是由於程式設計者在使用者輸入資料時沒有執行嚴謹的字串過濾,造成攻
擊者可以利用該弱點得到管理者的權限。
如何改善:
將軟體升級至最新的版本。
國立雲林科技大學電腦與通訊工程系
29
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
WEB-PHP phpMyAdmin db_details_importdocsql.php access
攻擊說明:
該攻擊是利用 phpMyAdmin 已知的弱點,使得攻擊者可以使用字典攻擊技巧得
到敏感的系統檔案。
如何改善:
將軟體升級至最新的版本。
國立雲林科技大學電腦與通訊工程系
30
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
除了使用系統預設的攻擊特徵外,我們也可以手動設定防禦特徵,下圖
為手動設定防禦特徵的頁面。
使用者自訂防禦特徵
國立雲林科技大學電腦與通訊工程系
31
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
個人化攻擊特徵 (User-defined Signature) 進階選項
IP 標頭參數設定
比對運算參數
共有五種選項,分別為Ignored(忽略)、less than(小於)、large than(大於)、Not
equal(不等於)與Equal(等於) 。
各協定標頭參數
封包內容比對特徵
比對運算參數
Case sensitive (分辨大小寫,大寫與小寫視為不同字元。) 、Case insensitive (忽略
大小寫,大寫與小寫視為相同字元。) 、 URL string ( URL 字串,特徵內容為
URL 字串。) 、 Hex value(十六進位, 特徵內容為十六進位字元。)。
比對特徵內容,最大長度為128,可輸入ASCII字串或十六進位字串 。
國立雲林科技大學電腦與通訊工程系
32
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
上圖為 IP 標頭參數設定的頁面
上圖為封包內容比對特徵的頁面
國立雲林科技大學電腦與通訊工程系
33
實驗四 安裝及建置Web防毒牆
網頁內容過濾
Step 3.設定入侵防禦系統
主要是針對網站分類與網頁連結位址進行阻擋,如賭博、色情、暴力等等網
站,也可利用自訂的方式將需要阻擋的網頁進行阻絕上網的行為,通常依據
公司政策的訂定,來禁止員工利用上班時間瀏覽不必要的網站,進而提昇工
作效率並且降低接觸惡意網站,而遭受駭客入侵或下載病毒程式。
啟用使用者自訂之白名單 (URL允許列表) 與黑名單 (URL封鎖列表)
白名單功能在於「允許」內部電腦或使用者連結列在其上的外部網址。
黑名單則「阻擋」內部電腦或使用者連結列在其上的外部網址。
國立雲林科技大學電腦與通訊工程系
34
實驗四 安裝及建置Web防毒牆
Step 3.設定入侵防禦系統
網頁內容過濾器
透過查詢外部SurfControl伺服器 (CPA伺服器) 將網址分類的功能,可以提高
您的員工或網路使用者的工作效率,並且瞭解其瀏覽網頁之行為。
網頁內容過濾器
國立雲林科技大學電腦與通訊工程系
35
實驗四 安裝及建置Web防毒牆
Step 4. 即時監測
OneKeeper 300 可監測的項目如下:
網路流量監測
硬體使用率
入侵防禦系統監測報告
應用程式流量統計
防毒監測報告
網頁內容過濾監測報告
防火牆流量統計
虛擬私有網路連線狀況
國立雲林科技大學電腦與通訊工程系
36
實驗四 安裝及建置Web防毒牆
Step 4. 即時監測
網路流量監測
可看到防毒牆各個介面 (WAN1、WAN2、LAN、DMZ) 目前的流量使用量。
國立雲林科技大學電腦與通訊工程系
37
實驗四 安裝及建置Web防毒牆
硬體使用率
Step 4. 即時監測
可看到防毒牆目前使用的 CPU 及記憶體使用狀況。
入侵防禦系統監測報告
可看到防毒牆目前偵測到何種攻擊。
入侵防禦系統監測報告
國立雲林科技大學電腦與通訊工程系
38
實驗四 安裝及建置Web防毒牆
應用程式流量統計
各種應用程式所使用的流量,共分 12 種 (IM、P2P、Streaming Media、
Games等等)。
防毒監測報告
Step 4. 即時監測
可看到防毒牆目前偵測到的所有病毒。
分成 HTTP Virus 、 FTP Virus 、 SMTP Virus 、 POP3 Virus 、 IMAP Virus
。
網頁內容過濾監測報告
可看到防毒牆目前過濾的網頁統計。
國立雲林科技大學電腦與通訊工程系
39
實驗四 安裝及建置Web防毒牆
防火牆流量統計
Step 4. 即時監測
防火牆流量圖
封包丟棄統計
現行連線
虛擬私有網路連線狀況
可看到目前防毒牆上虛擬私有網路的類型、傳輸資料量、接收資料量等等資
訊。
國立雲林科技大學電腦與通訊工程系
40
實驗四 安裝及建置Web防毒牆
參考資料
「BroadWeb OneKeeper 300 光碟」
「http://ens.rising.com.cn/qyaq_qyaq01.shtml」 網路防毒牆應用
「http://www.dragonsoft.com.tw/」中華龍網
「http://www.broadweb.com/chinese/03_support/01_tech_report.php」
「http://www.zyxeltech.de/previews/zyw35w403wz0/IDP_Signature-WebAttacks.html」
國立雲林科技大學電腦與通訊工程系
41