第二章 - 雲林科技大學計算機網路研究室
Download
Report
Transcript 第二章 - 雲林科技大學計算機網路研究室
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
第二章 網路常見漏洞探討
國立雲林科技大學
資訊工程系
第二章 網路常見漏洞探討
2.1 安全弱點原理
2.2 安全弱點分析
2.3 弱點評估與滲透測試
2.4 網路設備安全弱點
大綱
2.4.1
2.4.2
交換器之安全弱點
路由器之安全弱點
2.5 網路設備之防護功能設定
2.5.1 交換器之防護功能設定
2.5.2 路由器之防護功能設定
國立雲林科技大學 資訊工程系
2
第二章 網路常見漏洞探討
何謂網路安全?
指資料傳輸過程的安全,包括資料產生、資料接收、處理以及儲存等等。
網路安全跟資訊安全有何不同?
2.1 安全弱點原理
二者的差別在於前者主要是探討各種網路技術 ( 如:加密技術、身份認證等
) ,而後者除了技術層面外,更包含了人為因素、法律規範等方面。
何謂安全弱點?
泛指所有一切會對網路安全或系統造成危害的問題或漏洞。
國立雲林科技大學 資訊工程系
3
第二章 網路常見漏洞探討
安全弱點形成的原因主要有以下四點:
設計階段 (Design Phase)
因疏忽或是設計錯誤所導致的軟體漏洞。
操作階段 (Operation Phase)
在設計時沒有考慮到的問題。
實作階段 (Implementation Phase)
使用者不正確的使用或設定所導致的。
人性 / 習慣 (Human Nature)
2.1 安全弱點原理
人性上的弱點或習慣所導致的。
設計階段
脆弱的演算法 (Weak Algorithm)
設計時有忽略或是沒有考慮到的地方,如早期的密碼演算法。
設計錯誤 (Design Error)
程式的流程或是邏輯錯誤。
國立雲林科技大學 資訊工程系
4
第二章 網路常見漏洞探討
2.2 安全弱點分析
實作階段
輸入驗證的錯誤 (Input Validation Error)
沒 有 檢 查 輸 入 資 料 的 正 確 性 , 例 如 沒 有 檢 查 輸 入 資 料 可 能 會 造 成 SQL
Injection 和 Cross Site Scripting 攻擊。
範圍檢查的錯誤 (Boundary Check Error)
沒有正確檢查資料的長度,導致緩衝區溢位或程式計算錯誤。
競爭情況 (Race Condition)
當多個處理單元同時執行並存取共同資源時,系統會依照排程順序執行,因
此可能會造成資源內資料不一致的問題,例如資料庫使用 Read Lock 及
Write Lock 的觀念來防止競爭情況的發生。
國立雲林科技大學 資訊工程系
5
第二章 網路常見漏洞探討
2.2 安全弱點分析
操作階段
設定錯誤
可能是疏忽或不知道造成的,例
如將 Web Server 設定成瀏覽時以
檔案清單 (Directory Lists) 方式顯
示,讓所有人都可以看到裡面的
資料。
人性 / 習慣
容易破解的密碼
上圖為將Web Server設定成瀏覽時使用Directory Lists
不良的習慣
國立雲林科技大學 資訊工程系
跟帳號相同
生日
預設的密碼,如 admin 、 root
。
將密碼告訴別人
將密碼寫下貼在桌面或其他顯眼
的地方。
6
第二章 網路常見漏洞探討
2.2 安全弱點分析
安全弱點的運用方式
暴力破解 (Bruce force)
秏盡資源 (Resource exhausting)
秏盡運算資源
秏盡記憶體資源
秏盡網路頻寬
緩衝區溢位 (Buffer Overflow)
格式字串 (Format string)
字典攻擊
演算法弱點
SQL Injection
社交工程 (Social Engineering)
利用人性上的弱點,例如同情心。
利用心理上的弱點,例如偽裝欺騙。
國立雲林科技大學 資訊工程系
7
第二章 網路常見漏洞探討
2.2 安全弱點分析
安全弱點可能會造成的影響
程式錯誤 (Program Error)
取得權限 (Gain Privilege)
阻斷服務攻擊 (Denial of Service)
資訊洩漏 / 竊取 / 破壞 / 竄改 (Information Leakage / Corruption)
後門 / 木馬 (Backdoor / Trojan)
國立雲林科技大學 資訊工程系
8
第二章 網路常見漏洞探討
弱點評估
模擬攻擊者發動攻擊,來檢查系統的安全性。
與防毒軟體做法相似,利用「弱點特徵資料庫」來測試是否有已知的漏洞存
在。
可當成網管人員修補漏洞的依據。
弱點評估的重要性
攻擊手法日新月異,使用弱點掃描工具可以
2.3 弱點評估與滲透測試
提供網管人員最新的弱點資訊
修補漏洞的依據
需時常進行弱點掃描與漏洞修補,否則將使系統存在漏洞,使得攻擊者有機
會入侵系統。
弱點掃描工具的缺點
弱點特徵資料庫必須時常更新
不正確的使用方式有時反而會更加危險
誤判率高
國立雲林科技大學 資訊工程系
9
第二章 網路常見漏洞探討
弱點掃描工具 ─ Nessus
可遠端遙控,進行系統弱點偵測與掃描。
網管人員可藉此工具,對其管轄內之網路進行安全評估。
官方網站 http://www.nessus.org/nessus/
Nessus分成
2.3 弱點評估與滲透測試
弱點掃描專用的外掛 (Plug-in) 程式
偵測引擎 (Engine)
Nessus會針對系統弱點自動產生評估報告
系統之安全弱點或漏洞訊息
安全弱點及漏洞之相關說明連結
國立雲林科技大學 資訊工程系
10
第二章 網路常見漏洞探討
2.3 弱點評估與滲透測試
下圖為執行 Nessus 弱點掃描後的結果
上圖為Nessus所顯示系統之安全弱點與漏洞訊息
上圖為Nessus所顯示系統之安全弱點及漏洞相關說明連結
國立雲林科技大學 資訊工程系
11
第二章 網路常見漏洞探討
滲透測試
2.3 弱點評估與滲透測試
通過模擬惡意攻擊者的攻擊手法,來評估整個系統的安全性。
惡意攻擊與滲透測試
惡意攻擊
How:如何入侵?
Why:為什麼可以入侵成功?
滲透測試
How:如何入侵?
Why:為什麼可以入侵成功?
What:要測試什麼?
When:最佳的攻擊時機為何?
Which:需要滿足哪些條件或使用哪些工具?
國立雲林科技大學 資訊工程系
12
第二章 網路常見漏洞探討
2.3 弱點評估與滲透測試
滲透測試與弱點掃描
弱點掃描
使用自動化工具檢查系統的安全弱點
不會真正的進行弱點攻擊
只能掃描弱點特徵資料庫上有記錄的安全弱點
滲透測試的其中一個步驟
滲透測試
不只是掃描,也會使用攻擊程式取得系統的控制權
會真正的進行弱點攻擊
會進行完整的入侵及攻擊
測試所有可能存在的安全弱點
國立雲林科技大學 資訊工程系
13
第二章 網路常見漏洞探討
2.3 弱點評估與滲透測試
滲透測試的類型
黑箱測試 (Black Box Penetration Testing)
測試前不提供系統的任何資訊
僅提供部分公開的資訊,如 Domain、IP Address。
模擬惡意攻擊者的攻擊
白箱測試 (White Box Penetration Testing)
測試前提供重要的系統資訊
模擬惡意攻擊者已經知道許多系統的重要資訊
外部駭客
離職員工
內部惡意員工
國立雲林科技大學 資訊工程系
14
第二章 網路常見漏洞探討
2.3 弱點評估與滲透測試
滲透測試的重要性
定義威脅系統安全的各種因素
提供系統各種的安全評估
找出潛在的安全威脅
評估可能面臨的風險
減少花費在系統資訊安全的成本
避免被攻擊後所要花費的處理成本
國立雲林科技大學 資訊工程系
15
第二章 網路常見漏洞探討
2.4.1 交換器之安全弱點
2.4.2 路由器之安全弱點
2.4 網路設備安全弱點
國立雲林科技大學 資訊工程系
16
第二章 網路常見漏洞探討
2.4.1 交換器之安全弱點
惡意攻擊者常用來攻擊交換器的
方法如下
CAM table overflow 的目的
CAM table overflow 攻擊範例
讓交換器在 CAM table 上找不到
訊框的目的端資訊而將訊框送往
所有的連接埠,藉此竊聽所有流
經交換器的訊息。
CAM table overflow 的攻擊方法
藉由大量發送偽造硬體位置的訊
框,讓交換器的 CAM table 填滿
錯誤資訊,而達到竊聽所有流經
資訊工程系 交換器訊息的目的。
17
國立雲林科技大學
CAM table overflow
MAC address spoofing
DHCP starvation
VLAN hopping
STP manipulation
第二章 網路常見漏洞探討
2.4.1 交換器之安全弱點
MAC address spoofing 的目的
攔截送給目標主機的所有訊息
MAC address spoofing 的攻擊方
法
攻擊者藉由發送一個訊框給交換
器,並將該訊框的來源位址偽造
成目標主機的硬體位置,讓交換
器誤以為目標主機是位在攻擊者
主機所在的連接埠,造成 CAM
table 記錄錯誤,之後傳送給目標
主機的訊框都會被送到攻擊者主
機所在的連接埠。
MAC address spoofing 攻擊範例
國立雲林科技大學 資訊工程系
18
第二章 網路常見漏洞探討
2.4.1 交換器之安全弱點
DHCP starvation 的目的
攻擊者偽裝成 DHCP 伺服器分配
IP 給網路上的主機,並告知預設
閘道為攻擊者所擁有的主機位址
, 藉 此 達 到 man-in-the-middle
attack。
DHCP starvation 的攻擊方法
DHCP starvation攻擊範例
國立雲林科技大學 資訊工程系
攻擊者首先會佔用合法 DHCP 伺
服器所有可分配的 IP 位址,讓
合法的 DHCP 伺服器無法提供服
務給其他網路上的主機,之後攻
擊者就會偽裝成 DHCP 伺服器,
分配 IP 給使用 DHCP 服務的主
機,藉此達到 man-in-the-middle
attack 。
19
第二章 網路常見漏洞探討
2.4.1 交換器之安全弱點
VLAN hopping 的目的
竊聽或存取不屬於同一個 VLAN
的訊息與網路資源
VLAN hopping 攻擊的方法分為
二種
國立雲林科技大學 資訊工程系
Switch spoofing
攻擊者偽裝成交換器送出 DTP
(Dynamic Trunk Protocol) 訊息至
網路上,讓其他 Cisco 交換器與
攻擊者的系統建立 trunk port ,
之後所有的 VLAN 封包都會經過
攻擊者的系統。
20
第二章 網路常見漏洞探討
2.4.1 交換器之安全弱點
Double tagging 攻擊範例
國立雲林科技大學 資訊工程系
Double tagging
攻擊者在其送出的訊框內封裝
(encapsulation) 兩層 802.1q 的標
頭,藉此躲避路由器的安全檢查
,並經由直接相連交換器的
trunk port 將 封 包 送 往 不 同 的
VLAN 。
21
第二章 網路常見漏洞探討
2.4.1 交換器之安全弱點
STP(Spanning
manipulation
Tree
Protocol)
攻 擊 者 主 機 不 斷 發 送 STP
configuration / topology change
BPDUs(Bridge Protocol Data
Units),要求 STP 上所有的交換
器重新計算路徑,在重新計算時
可能會造成 30 ~ 45 秒的中斷,
藉此達到 DoS 的攻擊效果。
STP manipulation的攻擊範例
國立雲林科技大學 資訊工程系
22
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
路由器在企業網路上是一個相當重要的連結裝置,因此管理者在路由器
上應該啟動相關的安全防禦功能,避免未經授權的使用者任意竄改路由
器的設定值。
管理者可以限制登入路由器的方法,例如:不允許使用Telnet遠端登入;
並且對那些被允許用來登入路由器的方法,做相關安全上的設定,例如:
設定密碼、身份認證、記錄登入路由器使用者的相關資訊等。以下為本
小節將要介紹的內容:
Strong Password Selection
Configuration File Protection
Remote configuration using SSH
Set Up Privileged EXEC and Telnet Passwords
Set Up Telnet and Console Timeout Values
Remote Access Restrain
AAA Access Control
Securing SNMP
國立雲林科技大學 資訊工程系
23
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
Strong Password Selection
設定密碼是最常用也是最基本的安全防禦方法,透過密碼的設定,讓只
有知道密碼的人才能夠登入路由器,管理者設定的密碼至少要滿足下列
要求:
不能夠太容易被猜出來或是可利用暴力破解法得到的密碼。
密碼長度至少要6~10字元,以及不要使用在字典當中查得到的單字當作密碼
或密碼的一部份,因為暴力破解法通常都是利用字典存在的單字做不同的組
合藉以猜出密碼。
容易記憶,不須要靠其它額外的方式來記錄密碼。
國立雲林科技大學 資訊工程系
24
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
Configuration File Protection
路由器的設定檔(configuration file)會儲存管理者對該設備啟動哪些安全
防禦功能的相關資訊,例如密碼的設定;因此設定檔的備份不應該存放
在任何不安全的系統中。
不要將路由器的設定檔存留在TFTP伺服器上,當路由器設定檔傳送到安
全的檔案伺服器後,應立即刪除TFTP伺服器上的路由器設定檔。
國立雲林科技大學 資訊工程系
25
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
Remote configuration using SSH
管理者可藉由遠端登入來管理網路,一般經常使用Telnet遠端登入網路
設備,然而使用Telnet是相當不安全的,因為Telnet在網路上傳輸的內容
皆是以明文的方式傳送,用來登入網路設備的密碼可能會被有心人士竊
聽到。
基於保護登入密碼的考量,建議以Secure Shell (SSH)取代Telnet來遠端管
理網路設備,因為使用SSH連線,訊息在傳輸的過程中是有經過加密,
因此使用SSH能夠讓管理者在一個不安全的網路環境下建立安全的連線
來遠端管理網路設備。
國立雲林科技大學 資訊工程系
26
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
Set Up Privileged EXEC and Telnet Passwords
管理者除了設定密碼以防止任何人遠端登入網路設備之外,還應該執行
權限控管,要求登入者若要執行Privileged EXEC,則需要進一步的認證
;管理者可以在網路設備設定使用不同於登入密碼的另一個密碼來作權
限控管,或是建立AAA TACACS+或是RADIUS認證伺服器來執行合法
登入者的身份認證及權限控管。
國立雲林科技大學 資訊工程系
27
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
Set Up Telnet and Console Timeout Values
管理者應該設定Console、Telnet連線至網路設備的閒置時間(idle time),
若網路設備在閒置時間內沒有收到登入者的任何訊息,則自動斷線,避
免登入網路設備者因某些因素暫時離開,而讓其他人有機會藉此取得網
路設備的控制權。
國立雲林科技大學 資訊工程系
28
第二章 網路常見漏洞探討
192.168.2/24
Internet
192.168.1/24
2.4.2 路由器之安全弱點
Remote Access Restrain
管理者可以利用設定ACL(Access
Control List)的方式,限制可登入
網路設備的IP範圍與可使用的通
訊協定。如左圖所示,若網路管
理 部 門 所 使 用 的 IP 範 圍 為
192.168.1.0/24,管理者可以利用
ACL來限制只有此IP範圍的主機
才能夠登入路由器,還可以限制
登入者只能使用SSH通訊協定執
行登入,不允許使用Telnet通訊
協定登入。
Manage department
設定ACL 限制可登入路由器的IP範圍
國立雲林科技大學 資訊工程系
29
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
AAA Access Control
管理者可以採用TACACS+或是RADIUS這兩個業界標準,建立AAA伺服
器,對網路設備的存取認證方式及權限控管作更嚴謹的保護措施 。
AAA 伺 服 器 提 供 認 證 (authentication) 、 授 權 (authorization) 以 及 稽 核
(accounting)服務,使用AAA Access Control的優點如下:
有支援AAA通訊協定的網路設備稱為AAA Client,經管理者設定後,即可使
用AAA伺服器提供的服務。
集中式管理網路使用者帳號與密碼。
集中式事件記錄 (logging)。
集中式授權。
國立雲林科技大學 資訊工程系
30
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
TACACS+
RADIUS
Functionality
Separates AAA
Combines
Authentication/Authorization
Transport
Protocol
TCP
UDP
CHAP
Bidirectional
Unidirectional
Protocol
Support
Multi-protocol
support
No ARA
No NetBEUI
Confidentiality
Entire PacketEncrypted
Password-Encrypted
Accounting
Limited
Extensive
雖然TACACS+與RADIUS有許多
相同的功能,但兩者之間還是存
在著差異,如左表所示:
TACACS+將整個TACACS+的封
包做加密,而RADIUS僅對封包
中password的部分做加密。
TACACS+能夠將authentication、
authorization、 accounting服務分
開使用。
TACACS+與RADIUS的功能差異
資料來源: www.cisco.com
國立雲林科技大學 資訊工程系
31
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
Securing SNMP
SNMP簡易網管通訊協定為Simple Network Management Protocol的縮寫,
SNMP通訊協定是目前使用最為普遍的網路管理通訊協定,它讓管理者
可以在TCP/IP網路上遠端監控及設定其管轄範圍內各網路節點的狀態。
在 SNMP 的 網 管 架 構 中 , 網 路 上 的 設 備 可 分 成 兩 大 類 : (1) 管 理 器
(Manager),(2)接受管理的代理器(Agent) 。
SNMP管理器主要是負責監視與收集代理器傳回的網路狀態並作分析,
而SNMP代理器則負責收集本身所在網域的網路狀態並回報給SNMP管理
器。
國立雲林科技大學 資訊工程系
32
第二章 網路常見漏洞探討
由於使用不安全的認證方式,SNMP已成為入侵者用來收集網路資訊的
主要工具之一,利用SNMP的弱點可以搜集到的資訊包含:
2.4.2 路由器之安全弱點
MAC address bindings
IP address bindings
Type of hardware and version of operating system
Router interface information
Router tables
ARP tables
Device up time
利用這些資訊,入侵者可以很容易搜索出網路設備使用的系統版本資訊
,然後利用該系統版本某些已知的弱點來做攻擊或是入侵系統的動作。
國立雲林科技大學 資訊工程系
33
第二章 網路常見漏洞探討
2.4.2 路由器之安全弱點
雖然SNMP有上述之弱點,但管理者可以使用下列幾種方式來增加使用
SNMP的安全性:
使用最新版本SNMPv3。
利用ACL來限制SNMP訊息的來源處及傳送範圍。
指定SNMP代理器的哪些介面接受SNMP管理器的存取。
阻擋來自外部網路的SNMP管理器對SNMP代理器的存取。
國立雲林科技大學 資訊工程系
34
第二章 網路常見漏洞探討
2.5.1 交換器之防護功能設定
2.5.2 路由器之防護功能設定
2.5 網路設備之防護功能設定
國立雲林科技大學 資訊工程系
35
第二章 網路常見漏洞探討
2.5.1 交換器之防護功能設定
接下來本節將講解如何設定Port Security、DHCP Snooping、BPDU Guard
等方法來抵御下列幾種攻擊:
CAM table overflow
MAC address spoofing
DHCP starvation
STP manipulation
國立雲林科技大學 資訊工程系
36
第二章 網路常見漏洞探討
2.5.1 交換器之防護功能設定
Port Security
用來指定在交換器上任何一個實體連接埠允許哪些MAC address可以使用以
及最大可容納的MAC address數量。
利 用 Port Security 可 以 用 來 防 禦 CAM table Overflow attacks 、 MAC
Spoofing attacks。
Port Security分為三種方式
Static secure MAC address
Dynamic secure MAC addresses
在交換器的實體連接埠上手動設定只有哪些MAC address 可以使用。
在交換器的實體連接埠上指定最大可容納的MAC address數量。
Sticky secure MAC addresses
Static secure MAC addresses與Dynamic secure MAC addresses的結合,全由手動設
定會增加管理者的負擔,因此我們只需要針對某些提供重要服務的設備指定MAC
address,其餘的部分就交由Dynamic secuire MAC addresses的方式管理。
國立雲林科技大學 資訊工程系
37
第二章 網路常見漏洞探討
2.5.1 交換器之防護功能設定
當交換器連接埠上MAC address數量達到限制的數量時 (port security
violation),有以下三種處理方式:
Protect
Restrict
當交換器連接埠上MAC address數量達到限制的數量時,如果接下來的封包上的
來源MAC address不在已學習到的清單內,則將封包丟棄,直到某些MAC address
因閒置過久而從清單中被移除或是當最大限制的數量增加時,才可讓新加入的
MAC address使用。使用此種方式的話當發生security violation時並不會做任何的
通知。
當交換器連接埠上MAC address數量達到限制的數量時,如果接下來的封包上的
來源MAC address不在已學習到的清單內,則將封包丟棄,直到某些MAC address
因閒置過久而從清單中被移除或是當最大限制的數量增加時,才可讓新加入的
MAC address使用。當發生security violoation時會送通知到SNMP伺服器以及產生
syslog message。
Shutdown
當交換器連接埠上MAC address數量達到限制的數量時,該連接埠會被停用,並
顯示為err-disabled,同時會發送SNMP trap以及產生syslog message。
國立雲林科技大學 資訊工程系
38
第二章 網路常見漏洞探討
2.5.1 交換器之防護功能設定
DHCP Snooping
用來過濾來路不明的DHCP messages並保護使用者不會從網路上不合法的
DHCP伺服器取得錯誤的網路設定資訊。
DHCP Snooping透過建立DHCP Snooping Binding資料庫來過濾掉非合法
的使用者。DHCP Snooping啟動之後會監聽流經的DHCP封包,利用使用
者要與DHCP Server取得位址時所發送的DHCP Reques與DHCP Ack記錄
此使用者的資訊將之儲存於DHCP Snooping binding table,此表中會紀錄
,使用者對應的MAC位址、IP位址、租用時間、vlan編號等等的資訊。
DHCP Snooping會設定交換器中哪些Port或是哪些vlan為trust的介面,只
有trust的介面才可以收送DHCP Offer封包。區別trust與untrust介面的依據
是 根 據 連 接 埠 是 否 直 接 連 接 到 end-user , 如 果 是 連 接 到 end-user 則 為
untrust的介面,若是接到DHCP Server或是另一臺交換器的話,則為trust
的介面。
國立雲林科技大學 資訊工程系
39
第二章 網路常見漏洞探討
2.5.1 交換器之防護功能設定
運作STP的交換器在告知其它的交換器自已的priority時,是利用BPDU封
包,因此我們可以利用BPDU Guard來防止STP manipulation attack。
BPDU Guard
假設我們知道目前整個網路的topology,知道交換器的哪些連接埠是有連接
參與STP的交換器,只允許這些連接埠發送BPDU封包,禁止沒有參與STP的
連接埠發送BPDU封包,如果在這些連接埠上接收到BPDU的封包則視為異
常狀況,會將該連接埠disable。
國立雲林科技大學 資訊工程系
40
第二章 網路常見漏洞探討
路由器的安全設定
2.5.2 路由器之防護功能設定
Strong Password Selection
Configuration File Protection
Remote configuration using SSH
Set Up Privileged EXEC and Telnet Passwords
Set Up Telnet and Console Timeout Values
Remote Access Control
AAA Access Control
Securing SNMP
Strong Password Selection
不能夠輕易的被猜出來
密碼長度至少要6 ~ 10個字元
容易記憶
不要將完整的密碼記錄在紙
國立雲林科技大學 資訊工程系
41
第二章 網路常見漏洞探討
2.5.2 路由器之防護功能設定
Configuration File Protection
Remote configuration using SSH
使用 Telnet 遠端入來管理網路是
非常不安全的
以 Secure Shell (SSH) 取代 Telnet
來遠端管理網路
SSH Version 1 (SSHv1)
SSH Version 2 (SSHv2)
Set Up Privileged EXEC and
Telnet Passwords
實施權限管控,若要執行
Privileged EXEC ,則需要進一步
資訊工程系 的認證
42
國立雲林科技大學
不要將設定檔留在 TFTP 伺服器
上
應將路由器的設定檔儲存一個安
全的檔案伺服器中
第二章 網路常見漏洞探討
Set Up Telnet and Console Timeout Values
利用 ACL 限制可登入網路設備的 IP 範圍與可使用的通訊協定
AAA Access Control
若網路設備在閒置時間內沒有收到登入者的訊息,則自動斷線
避免攻擊者有機會取得網路設備控制權
Remote Access Control
2.5.2 路由器之防護功能設定
認證 (authentication)
授權 (authorization)
稽核 (accounting)
集中式管理網路使用者帳號、密碼
集中式事件記錄
集中式授權
Securing SNMP
SNMP為簡易網管通訊協定,Simple Network Managenment
國立雲林科技大學 資訊工程系
43
第二章 網路常見漏洞探討
2.5.2 路由器之防護功能設定
除了上述設定外,我們還要將沒有使用到的服務停用 (disable) ,避免攻
擊者利用額外服務的漏洞進行攻擊或入侵。
美國 National Security Agency 建議管理者,除非必要,否則應該將下列
服務停用
Telnet
Web Management Interface
SNMP (Read-Only)
Source Routing
IP Directed Broadcast
ICMP
NTP
TCP and UDP Small Servers
Finger Service
Bootp Server
Configuration Auto-Loading
Proxy ARP
Restrict DNS Service 國立雲林科技大學
資訊工程系
44
第二章 網路常見漏洞探討
Disable Telnet
攻擊者能利用 SNMP 得到網路設備的設定檔
Disable IP Source Routing
管理者使用 Http 方式登入網路設備時,輸入的帳號、密碼在傳輸過程中通常
是以明文傳送。
Disable SNMP
不安全的遠端存取方式
Disable Web Management Interface
2.5.2 路由器之防護功能設定
攻擊者可以利用 IP Source Routing 進行 Network topology 的情資收集或攻擊
Disable IP Directed Broadcast
一些阻斷式服務攻擊 (如smurf) 常會利用 Directed broadcast 達到癱瘓目標主
機或網路
國立雲林科技大學 資訊工程系
45
第二章 網路常見漏洞探討
Disable NTP Service
攻擊者可利用這項服務得知目前網路設備有誰登入
Disable Bootp Server
在 TCP 及 UDP 的通訊協定標準,規範許多不必要的服務,管理者應關閉這
些服務,減少入侵管道。
Disable Finger Service
攻擊者可利用 Network Time Protocol (NTP) code 的缺陷進行 buffer overflow
的攻擊,造成執行 NTP 的網路設備當機。
Disable TCP and UDP Small Servers
2.5.2 路由器之防護功能設定
攻擊者可藉此服務下載網路設備的作業系統
Disable Configuration Auto-Loading
路由器可經由網路或是記憶體載入 startup configuration ,但是經由網路載入
設定檔是非常不安全的。
國立雲林科技大學 資訊工程系
46
第二章 網路常見漏洞探討
Disable Proxy ARP
2.5.2 路由器之防護功能設定
若目的端主機與送出 ARP request 封包的主機不是屬於同一個 LAN ,且路由
器有啟動 Proxy ARP 的服務,那麼路由器會代替目的端主機回覆 ARP
response 的封包。
Restrict DNS Service
若攻擊者假冒 DNS Server ,路由器可能會得到錯襄的回應資料。
國立雲林科技大學 資訊工程系
47
第二章 網路常見漏洞探討
2.5.2 路由器之防護功能設定
除此之外,我們亦可使用具有認證機制的路由協定 (routing protocols) 來
保護路由器上的 routing table 。
保護路由器上的 routing table 完整性
使用 static routes
只適用於小型網路
使用提供認證機制的路由協定
OSPF
RIPv2
Enhanced IGRP
BGP
國立雲林科技大學 資訊工程系
48
第二章 網路常見漏洞探討
參考資料
「Securing Network Switches.ppt」。
「Mitigating Network Attacks.ppt」。
「Mitigating Layer 2 Attacks.pdf」。
「Network Attacks and Mitigation.ppt」。
「Preventing STP Forwarding Loops.ppt」。
「Protecting Against VLAN Attacks.ppt」。
「Protecting Against Spoof Attacks.ppt」。
「Configuring AAA on Cisco Routers.ppt」。
「Describing STP Security Mechanisms.ppt」。
「Securing Management and Reporting Features.ppt」。
「Mitigating Threats and Attacks with Access Lists.ppt」。
「Securing Cisco Router Installations and Administrative Access.ppt」。
「Disabling Unused Cisco Router Network Services and Interfaces.ppt 」。
Cisco (http://www.cisco.com/) 。
「安全弱點.ppt」。
「企業網路弱點偵測.ppt」。
「弱點評估與滲透測試.ppt」。
「交換器 、路由器之安全特性.ppt」。
「 Layer 2 交換器裝置之安全性設定與操作.ppt 」。
「 http://isms.nutn.edu.tw/isms_web/leadin_1.htm 」 資安導入。
國立雲林科技大學 資訊工程系
49