CO1-101 101 網 路 安 全 概 論
課 程 大 綱 網 路 安 全 基 礎 介 紹 網 路 攻 擊 方 式 網 路 安 全 檢 測 與 防 護 無 線 網 路 安 全 結 論
第 一 章 網 路 安 全 基 礎 介 紹
網 路 安 全 之 定 義 意 指 在 網 路 環 境 中, 所 運 作 的 軟 體 硬 體 作 業 系 統 應 受 到 適 當 的 保 護, 避 免 因 人 為 因 素 或 自 然 災 害 而 遭 受 到 損 壞, 且 可 持 續 的 運 行 或 提 供 服 務 資 料 在 通 訊 傳 輸 的 過 程 中, 也 應 該 受 到 適 切 的 保 護, 以 避 免 被 竊 聽 竄 改, 產 生 資 料 機 密 性 與 完 整 性 的 疑 慮
網 路 環 境 的 安 全 概 述 駭 客 分 公 司 或 受 信 任 區 域 網 路 使 用 者 Internet IDS Web Mail DNS VPN FTP 攻 擊 非 軍 事 區 (DMZ) 攻 擊 SSL 攻 擊 防 火 牆 路 由 器 或 ADSL Modem 攻 擊 內 部 網 段 IDS 個 人 電 腦 Intranet Web File Server DataBase Server
來 自 網 路 的 四 大 威 脅 1 病 蟲 感 染 3 網 頁 竄 改 2 伺 服 器 入 侵 4 網 路 竊 聽
來 自 網 路 的 四 大 威 脅 由 於 電 腦 病 毒 / 蠕 蟲 技 術 層 次 進 展 快 速, 使 其 具 有 生 物 特 性 般 的 自 我 變 種 與 混 合 多 種 攻 擊 形 態 ( 如 :NIMDA KLEZ 等 病 毒 除 了 會 透 過 網 路 攻 擊 外 還 會 透 過 電 子 郵 件 傳 播 及 攻 擊 ), 使 管 理 者 防 不 勝 防, 一 旦 病 毒 碼 的 更 新 速 度 比 病 毒 攻 擊 的 散 佈 時 間 來 得 慢, 則 即 使 有 防 火 牆 保 護 的 內 部 網 段, 仍 難 逃 病 毒 / 蠕 蟲 在 區 域 網 路 內 擴 散 的 惡 運 透 過 系 統 的 弱 點 ( 設 計 上 或 設 定 上 的 錯 誤 疏 忽 等 ), 而 造 成 系 統 資 訊 洩 漏 損 毀 不 堪 使 用 與 無 法 提 供 服 務 如 : 路 由 器 或 防 火 牆 的 密 碼 設 定 不 夠 強 固 存 取 控 制 政 策 設 定 不 夠 嚴 謹, 致 使 網 路 設 備 被 入 侵 ; 作 業 系 統 弱 點 未 即 時 修 補, 使 伺 服 器 上 的 資 料 因 入 侵 而 被 竊 取
來 自 網 路 的 四 大 威 脅 因 網 頁 應 用 程 式 設 計 不 當 或 網 站 伺 服 器 的 弱 點 及 設 定 疏 失, 導 致 網 站 上 的 資 料 被 利 用 或 被 竄 改 所 衍 生 的 商 業 上 或 利 益 上 的 損 失 等 威 脅 來 自 通 訊 時 因 竊 聽 擷 取 通 尋 中 的 資 訊, 而 造 成 資 訊 洩 漏 損 毀 不 堪 使 用 等 威 脅 如 : 監 聽 網 路 通 訊, 從 中 竊 取 帳 號 密 碼 攔 截 電 子 郵 件 並 加 以 竄 改 等
網 路 基 本 的 安 全 要 求 來 自 網 路 上 的 各 種 安 全 威 脅, 會 影 響 以 下 各 項 資 訊 安 全 的 要 求 機 密 性 (Confidentiality) 完 整 性 (Integrity) 可 用 性 (Availability) 可 歸 責 性 (Accountability) 可 鑑 別 性 (Authenticity) 可 靠 性 (Reliability) 不 可 否 認 性 (Non-Repudiation)
第 二 章 網 路 攻 擊 方 式
駭 客 入 侵 流 程 分 析 資 訊 蒐 集 目 標 掃 瞄 弱 點 刺 探 取 得 權 限 與 系 統 控 制 權 消 滅 證 據 維 持 存 取 控 制 權 進 行 入 侵 行 為 ( 如 竊 聽 資 料 )
第 一 步 : 資 訊 蒐 集 收 集 目 標 單 位 的 資 訊 - E-Mail News Whois 討 論 區 搜 尋 引 擎 等 - Ex. 輸 入 icst.org.tw
第 二 步 : 目 標 掃 瞄 獲 取 目 標 系 統 及 網 路 資 訊 Nmap 判 斷 OS 類 別 及 版 本 偵 測 開 啟 的 Service Cheops 圖 形 化 網 路 探 索 工 具, 可 偵 測 OS 類 別 及 繪 出 網 路 拓 樸 圖 獲 取 系 統 弱 點 資 訊 Nessus HScan 流 光 用 來 偵 測 系 統 可 能 的 弱 點
第 三 步 : 弱 點 刺 探 利 用 掃 瞄 過 程 中 發 現 的 系 統 資 訊 與 弱 點 直 接 對 目 標 系 統 進 行 攻 擊, 以 取 得 系 統 控 制 權 如 利 用 系 統 不 當 的 權 限 設 定 WebDAV RPC 等 弱 點 來 取 得 系 統 控 制 權
第 四 步 : 取 得 權 限 與 系 統 控 制 權 透 過 弱 點 刺 探 取 得 系 統 控 制 權 密 碼 猜 測 不 安 全 的 密 碼 或 空 白 密 碼 字 典 攻 擊 法 Legion, NetBIOS Audition Tool 網 路 監 聽 密 碼 檔 破 解 工 具 Tools: pwdump2, L0phtCrack, John
第 五 步 : 維 持 存 取 控 制 權 為 維 持 所 取 得 的 控 制 權 及 掌 握 狀 況, 駭 客 通 常 會 安 裝 若 干 程 式 於 受 害 電 腦 上 Keylogger: 能 記 錄 使 用 者 所 開 啟 的 程 式 及 鍵 入 的 指 令, 進 而 可 攔 截 如 網 路 交 易 POP3 SMTP FTP 等 的 帳 號 / 密 碼 Winlogon 密 碼 側 錄 程 式 : 能 截 錄 由 圖 形 介 面 登 入 的 帳 號 密 碼 Password Dump 程 式 : 可 配 合 密 碼 攻 擊 來 取 得 系 統 上 所 有 user 的 帳 號 及 密 碼 Rootkit: 用 以 隱 藏 駭 客 所 執 行 的 程 序 及 連 線, 以 防 止 被 系 統 管 理 者 發 現
第 五 步 : 消 滅 證 據 入 侵 成 功 後 為 避 免 被 發 現 或 追 蹤 駭 客 會 試 圖 掩 蓋 任 何 蛛 絲 馬 跡, 以 免 留 下 證 據 關 閉 稽 核 清 除 記 錄 Attrib elusive 隱 藏 檔 案 隱 藏 至 NTFS file streaming
第 六 步 : 進 行 入 侵 在 擴 散 受 害 範 圍 及 維 護 駭 客 所 取 得 之 控 制 權 的 同 時, 駭 客 亦 可 透 過 遠 端 管 理 軟 體 於 受 害 主 機 上 或 透 過 網 路 芳 鄰 進 行 快 速 瀏 覽 搜 尋 及 竊 取 重 要 檔 案 及 資 料
網 路 設 備 的 攻 擊 如 路 由 器 防 火 牆 等 網 路 設 備 於 出 廠 時, 皆 有 預 設 的 密 碼, 提 供 管 理 者 進 入 設 定 相 關 的 組 態, 如 管 理 者 未 更 改 預 設 密 碼 或 密 碼 的 強 度 不 夠 嚴 謹, 駭 客 可 以 透 過 猜 測 密 碼 的 工 具 來 破 解 設 備 的 密 碼, 取 得 相 關 設 定 並 進 行 修 改, 使 原 來 的 存 取 控 制 失 效 網 路 設 備 中 的 軟 體 也 會 有 弱 點 存 在, 駭 客 在 取 得 攻 擊 工 具 後, 亦 可 從 網 路 發 動 攻 擊, 取 得 網 路 設 備 的 管 理 權 限, 使 其 存 取 管 制 的 功 能 失 效 為 避 免 網 路 設 備 遭 受 攻 擊, 最 好 的 方 法 是 避 免 從 網 路 上 直 接 管 理, 尤 其 是 透 過 網 際 網 路 ; 更 改 預 設 密 碼, 並 加 以 複 雜 化 及 定 期 更 新 ; 弱 點 應 勤 於 修 補, 在 修 補 前 應 先 予 以 確 認 無 誤
阻 絕 服 務 / 分 散 式 阻 絕 服 務 攻 擊 阻 絕 服 務 攻 擊 - DoS 攻 擊 (Denial of Service) 分 散 式 阻 絕 服 務 攻 擊 -DDoS 攻 擊 (Distributed Denial of Service) 2000 年 二 月 份 知 名 網 站 (Yahoo, amazon, ebay, CNN, E-trade) 被 攻 擊 2001 年 七 月 份 美 國 白 宮 網 站 被 攻 擊
阻 絕 服 務 / 分 散 式 阻 絕 服 務 攻 擊 這 類 型 駭 客 攻 擊 的 目 的 並 非 去 盜 取 機 密 的 資 料 或 是 竄 改 通 訊 內 容, 而 是 企 圖 去 阻 斷 一 部 主 機 之 正 常 服 務 機 制, 使 得 合 法 的 使 用 者 無 法 獲 取 該 主 機 的 資 源 系 統 資 源 包 括 主 機 的 CPU 使 用 率 硬 碟 空 間 及 網 路 頻 寬 等 以 網 路 的 方 法 而 言, 通 常 攻 擊 者 會 發 送 巨 量 的 偽 造 封 包, 傳 送 給 欲 攻 擊 的 主 機, 使 得 該 主 機 為 回 應 這 些 封 包 而 付 出 相 當 大 的 心 力, 因 此 整 個 主 機 的 服 務 效 能 便 開 始 下 降, 最 後 因 負 荷 過 重 而 當 機 攻 擊 者 可 分 為 從 單 一 機 器 啟 動, 或 從 多 部 機 器 同 時 啟 動, 後 者 我 們 通 常 稱 為 分 散 式 阻 絕 服 務 攻 擊 (Distributed Denial of Service, DDoS)
DDoS 攻 擊 示 意 圖 DDoS 攻 擊 是 多 層 次 的 DoS 攻 擊 入 侵 其 他 主 機, 安 裝 攻 擊 程 式 具 備 遠 端 遙 控 的 功 能 控 制 在 同 一 時 間 內 發 動 DoS 攻 擊
DoS/DDoS DDoS 的 防 範 方 式 有 關 DoS/DDoS 的 防 範, 僅 提 供 以 下 措 施 供 參 考 : 修 補 程 式 更 新 啟 用 網 路 安 全 設 備 中 有 關 DoS/DDoS 的 屬 性 設 定 在 防 火 牆 或 路 由 器 中 限 定 特 定 IP 的 連 線 ( 但 不 一 定 有 效, 有 時 候 攻 擊 來 源 的 IP 位 址, 一 直 在 改 變 ) 關 閉 不 必 要 的 對 外 網 路 服 務 ( 通 訊 埠 )
網 路 攻 擊 趨 勢 (1/5) 安 全 漏 洞 增 加 的 速 度 更 快, 修 補 時 間 縮 短 微 軟 發 佈 日 期 與 worm 產 生 日 期 的 差 距 天 數 西 元 worm 相 隔 天 數 2001 2003 2003 2004 Nimda( 娜 妲 ) Slammer Blaster( 疾 風 ) Sasser( 殺 手 ) 336 185 26 18
網 路 攻 擊 趨 勢 (2/5) 散 佈 的 速 度 越 來 越 快 2003 年 年 初 Slammer 病 毒 數 小 時 內 就 擴 散 到 全 世 界 2003 年 八 月 的 Blaster 一 小 時 內 感 染 兩 千 五 百 台 電 腦 2004 年 一 月 底 MyDoom MyDoom.A(Novarg 或 Shimgapi ) 是 網 路 上 有 史 以 來 遭 遇 到 傳 播 速 度 最 快 的 電 子 郵 件 病 毒 30 秒 之 內 可 以 發 出 100 個 病 毒 郵 件 1/26 下 午 出 現, 短 短 36 個 小 時 寄 發 讀 約 1 億 封 信
網 路 攻 擊 趨 勢 (3/5) 攻 擊 目 標 轉 向 企 業 內 部 的 個 人 電 腦 及 利 用 寬 頻 上 網 的 個 人 電 腦 藉 由 入 侵 個 人 用 戶 並 操 縱 其 電 腦 達 到 危 害 企 業 網 路 的 目 的 造 成 網 路 壅 塞 甚 至 癱 瘓 的 阻 絕 服 務 攻 擊 (Denial of Service) 事 件 中, 個 人 電 腦 可 能 是 數 以 萬 計 攻 擊 的 共 犯 之 一
網 路 攻 擊 趨 勢 (4/5) 及 時 傳 訊 (Instant Message) 及 peer-to-peer networking 惡 意 邀 請 需 求 阻 斷 服 務 攻 擊 惡 性 程 式 執 行 缺 乏 加 密 及 認 證 如 MSN ICQ Kuro
網 路 攻 擊 趨 勢 (5/5) 無 線 網 路 成 為 下 一 波 攻 擊 目 標 無 線 網 路 (Wireless Local Network Area, WLAN) 開 放 系 統 認 證 (Open System Authentication) 沒 有 任 何 安 全 防 護 WEP 認 證 的 問 題 Ad Hoc 網 路 出 現 一 種 安 全 性 風 險 路 過 式 的 入 侵 (drive-by hacking)
第 三 章 網 路 安 全 檢 測 與 防 護
弱 點 掃 瞄 用 以 判 斷 網 路 或 作 業 系 統 安 全 與 否 之 工 具 模 擬 攻 擊 者 發 出 的 攻 擊 動 作, 檢 查 網 路 設 備 作 業 系 統 及 應 用 程 式 的 安 全 性 提 供 網 管 人 員 對 所 負 責 的 環 境 的 安 全 作 一 體 檢 網 管 人 員 可 依 據 所 得 結 果 進 行 弱 點 修 補, 提 昇 安 全 性 Note: 很 多 攻 擊 程 式 是 利 用 已 知 的 弱 點 所 撰 寫 的, 若 系 統 無 已 知 的 弱 點, 自 可 避 免 大 部 分 的 攻 擊
弱 點 掃 瞄 結 果 範 例 - 以 Nessus Nessus 為 例 (1/2) 掃 瞄 結 果 的 風 險 程 度 分 佈 圖 分 為 critical serious high medium low 等 級
弱 點 掃 瞄 結 果 範 例 - 以 Nessus Nessus 為 例 (2/2) 弱 點 描 述 與 解 法 例 : Vulnerability found on port microsoft-ds (445/tcp) The hotfix for the 'Malformed request to index server' problem has not been applied. This vulnerability can allow an attacker to execute arbitrary code on the remote host. Solution : See http://www.microsoft.com/technet/security/bulletin/ms01-025.asp Risk factor : Serious CVE : CVE-2001-0244
何 謂 防 火 牆? 安 裝 在 兩 個 網 路 之 間 的 一 網 路 裝 置 藉 著 過 濾 掉 某 些 不 可 靠 的 資 料 封 包 來 增 加 電 腦 系 統 的 安 全 性 提 供 稽 核 及 控 制 存 取 網 路 資 源 等 服 務
防 火 牆 基 本 存 取 控 制 政 策 管 制 政 策 全 面 管 制 : 只 允 許 有 存 取 權 限 的 封 包 進 出, 其 它 封 包 一 律 過 濾 並 禁 止 進 出 開 放 架 構 : 過 濾 且 禁 止 某 些 來 源 可 疑 的 封 包 進 出 網 路, 其 它 封 包 則 可 正 常 進 出 需 先 對 整 個 網 路 環 境 有 完 整 的 了 解 認 識, 才 能 設 定 出 完 善 的 安 全 政 策 化 繁 為 簡, 降 低 系 統 效 能 浪 費 將 檢 查 流 量 愈 大 的 封 包 種 類 的 規 則 放 在 愈 優 先 檢 查 的 位 置
防 火 牆 (Firewall) 防 火 牆 型 態 分 類 一 般 可 分 為 封 包 過 濾 器 及 代 理 伺 服 器 兩 種, 實 際 市 面 上 大 多 混 合 這 兩 種 基 本 型 態 加 以 建 構 封 包 過 濾 器 (Packet Filter) 屬 於 網 路 層 的 防 火 牆, 它 會 針 對 封 包 的 表 頭 加 以 檢 查, 藉 以 過 濾 掉 非 法 封 包 檢 查 每 個 封 包 表 頭 內 的 四 項 欄 位 : Source IP Address Destination IP Address Source TCP/UDP Port Destination TCP/UDP Port
代 理 伺 服 器 (Proxy Server) 代 理 伺 服 器 (Proxy Server) 屬 應 用 層 的 防 火 牆, 針 對 每 一 種 網 路 應 用 服 務 設 計 其 特 定 的 代 理 服 務 端 及 代 理 顧 客 端 軟 體, 對 各 種 不 同 的 網 路 應 用 服 務 來 作 封 包 過 濾 管 理 者 可 針 對 其 系 統 的 安 全 政 策 作 較 細 部 且 複 雜 的 設 定
防 火 牆 的 問 題 易 形 成 網 路 上 的 交 通 瓶 頸 防 火 牆 一 旦 被 攻 破, 入 侵 者 將 可 肆 無 忌 憚 地 為 所 欲 為 無 法 防 止 內 部 網 路 的 使 用 者 利 用 其 合 法 的 身 份 作 破 壞 系 統 的 行 為 無 法 有 效 阻 止 開 後 門 的 行 為 無 法 有 效 阻 止 有 心 人 士 利 用 原 作 業 系 統 的 漏 洞 進 行 入 侵 破 壞 行 為 防 火 牆 不 提 供 資 料 完 整 性 驗 證 的 功 能
入 侵 偵 測 系 統 (IDS( IDS)(1/2) 分 析 網 路 或 系 統 上 傳 輸 之 資 料 封 包, 以 偵 測 是 否 有 入 侵 或 癱 瘓 服 務 之 攻 擊 性 封 包 一 般 入 侵 偵 測 系 統 包 含 3 個 功 能 元 件 資 訊 來 源 提 供 一 連 串 的 事 件 記 錄 分 析 引 擎 找 出 入 侵 的 訊 號 反 應 元 件 根 據 分 析 引 擎 的 輸 出 來 採 取 應 有 的 行 動 可 分 為 : 被 動 反 應 - 系 統 簡 單 的 發 出 通 知 和 回 報 問 題 主 動 反 應 - 系 統 採 取 行 動 阻 止 或 是 影 響 攻 擊 活 動 的 進 行
入 侵 偵 測 系 統 (IDS( IDS)(2/2) 依 照 偵 測 方 法 分 為 : 異 常 偵 測 (Anomaly Detection) 以 系 統 正 常 運 作 為 基 準, 建 立 標 準 值 比 對 標 準 值, 所 有 不 依 照 協 定 規 範 運 作 的 事 件 都 會 被 視 為 是 異 常 的 事 件, 不 是 攻 擊 就 是 程 式 異 常 誤 用 偵 測 (Misuse Detection) 將 各 種 已 知 的 入 侵 模 式 或 特 徵 (signatures) 建 成 資 料 庫 比 對 資 料 庫 的 pattern, 以 判 斷 是 否 有 入 侵 行 為 現 今 大 部 分 的 入 侵 偵 測 系 統 都 是 採 用 此 方 法 一 般 分 為 主 機 型 (Host) 與 網 路 型 (Network) 兩 種
主 機 型 偵 測 (Host-Based Detection) 收 集 電 腦 內 部 的 資 料, 通 常 都 是 作 業 系 統 層 次, 包 括 作 業 系 統 的 稽 核 軌 跡 和 系 統 日 誌 可 直 接 與 主 機 伺 服 器 上 的 作 業 系 統 與 應 用 程 式 做 密 切 的 整 合, 因 此 可 偵 測 出 許 多 網 路 型 IDS 所 察 覺 不 出 的 攻 擊 模 式 ( 如 網 頁 置 換 作 業 系 統 的 kernel 竄 改 )
網 路 型 偵 測 (Network-Based Detection) 網 路 型 式 的 入 侵 偵 測 系 統 以 原 始 網 路 封 包 作 為 資 料 來 源 網 路 設 備 會 被 設 定 成 混 亂 模 式 (promiscuous mode) 偵 測 及 分 析 所 有 過 往 的 網 路 封 包, 藉 此 收 集 相 關 攻 擊 特 徵 駭 客 消 除 入 侵 證 據 較 困 難 Internet IDS Web 其 他 Internet Server DNS FTP 路 由 器 路 由 器 非 軍 事 區 (DMZ) 非 軍 事 區 (DMZ) 防 火 牆 內 部 網 段 (INTRANET) IDS 個 人 電 腦 Intranet Web File Server DataBase Server
入 侵 偵 測 系 統 反 應 機 制 (1/2) 寄 送 電 子 郵 件 通 知 網 路 管 理 者 傳 送 文 字 警 訊 至 網 路 管 理 者 的 手 機 / 呼 叫 器 將 事 件 紀 錄 至 log 檔 中, 以 便 日 後 分 析 執 行 特 定 程 式 或 程 序 稿 (Script) 如 針 對 SQL Slammer 病 毒 執 行 特 定 的 程 序 稿 將 SQL Service 停 止 發 送 TCP Reset 指 令 給 發 動 攻 擊 主 機 與 被 攻 擊 主 機, 以 終 止 TCP 會 話 連 結 依 據 所 偵 測 的 攻 擊 種 類 而 自 動 修 改 防 火 牆, 以 阻 擋 後 續 的 相 同 攻 擊 封 包
入 侵 偵 測 系 統 反 應 機 制 (2/2) IDS 反 應 機 制 示 意 圖
入 侵 偵 測 系 統 問 題 (1/2) 只 能 偵 測 出 已 知 的 攻 擊 模 式 以 比 對 特 徵 為 基 礎 (Signature-based) 的 安 全 機 制 只 能 辨 識 出 資 料 庫 中 有 相 對 應 的 攻 擊 特 徵 之 非 法 行 為, 所 以 攻 擊 特 徵 (Signature) 的 開 發 速 度 會 影 響 安 全 機 制 的 有 效 性 誤 判 率 誤 判 率 ( 將 正 常 的 網 路 存 取 行 為 誤 認 為 攻 擊 行 為 ; 或 無 法 精 確 的 辨 識 出 攻 擊 行 為 ) 過 高, 致 使 管 理 人 員 疲 於 調 查 追 蹤 錯 誤 的 警 訊, 使 得 安 全 設 備 與 安 全 管 理 人 員 的 效 率 降 低 誤 判 的 狀 況, 在 軟 體 式 的 網 路 型 入 侵 偵 測 系 統 最 為 嚴 重 因 軟 體 式 網 路 型 入 侵 偵 測 系 統 多 半 有 效 能 上 的 瓶 頸, 當 效 能 跟 不 上 網 路 流 量 的 速 度, 就 會 開 始 掉 封 包 (Drop packets), 導 致 封 包 資 訊 不 完 全 而 容 易 造 成 誤 判
入 侵 偵 測 系 統 問 題 (2/2) 缺 乏 立 即 有 效 的 回 應 目 前 的 入 侵 偵 測 系 統 如 果 偵 測 到 攻 擊 行 為, 能 夠 馬 上 通 知 管 理 者 並 提 供 即 時 分 析, 但 卻 普 遍 缺 乏 立 即 回 應 與 阻 止 攻 擊 的 能 力
入 侵 防 禦 系 統 (IPS( IPS)(1/2) 入 侵 防 禦 系 統 IPS(Intrusion Prevention System) 深 層 檢 測 (deep packet inspection) 檢 視 對 應 OSI 模 型 4 到 7 層 裡 的 封 包 內 容 ( 相 當 於 TCP/IP 模 型 的 應 用 層 ) 串 連 模 式 (in-line mode) IPS 必 須 置 於 企 業 網 路 入 口 的 閘 道 位 置, 所 有 進 出 企 業 內 部 網 路 的 封 包 都 需 經 過 IPS 作 深 層 檢 測 的 工 作 IDS 只 能 在 網 路 的 一 旁 以 監 聽 模 式 (sniff mode) 監 聽 網 路 封 包, 當 IDS 監 聽 到 惡 意 攻 擊 封 包 時, 這 些 攻 擊 封 包 早 已 入 侵 企 業 內 部 網 路 In-line mode 又 稱 閘 道 器 模 式 或 者 在 線 模 式
入 侵 防 禦 系 統 (IPS( IPS)(2/2) 即 時 偵 測 (real-time detection) IPS 必 須 對 所 有 進 出 企 業 內 部 網 路 的 封 包 做 到 即 時 偵 測 IDS 無 法 做 到 即 時 偵 測, 其 主 要 功 能 是 記 錄 入 侵 的 網 路 封 包, 並 在 發 覺 大 量 可 疑 的 攻 擊 封 包 後 發 出 警 訊, 或 者 提 供 封 包 記 錄 供 相 關 人 員 事 後 分 析 主 動 防 禦 (proactive prevention) 發 現 惡 意 攻 擊 封 包 時, 即 時 將 封 包 丟 棄, 而 之 後 與 惡 意 封 包 相 關 的 所 有 封 包 都 會 被 直 接 丟 棄, 不 需 要 再 作 檢 查 線 速 運 行 (wire-line speed) 不 能 因 為 IPS 的 存 在 而 讓 資 料 傳 輸 有 明 顯 的 延 滯 現 象, 所 以 IPS 必 須 要 有 極 高 的 執 行 效 能, 方 能 讓 過 往 傳 輸 的 封 包 到 達 線 速 的 境 界
虛 擬 私 有 網 路 (VPN) 為 避 免 網 際 網 路 傳 輸 資 料 的 通 訊 安 全 問 題, 使 用 密 道 及 加 密 在 公 共 Internet 上 建 立 一 個 宛 如 私 人 的 安 全 網 路 (Virtual Private Network) 虛 擬 私 有 網 路 普 遍 的 定 義 就 是 利 用 Internet 或 其 他 的 公 眾 數 據 網 路, 來 做 有 效 且 安 全 的 傳 輸 交 換 私 有 的 資 訊 也 就 是 說 不 再 使 用 長 途 數 據 專 線 建 立 私 有 數 據 網 路, 而 是 將 其 建 立 在 擁 有 完 善 架 構 的 Internet 上
VPN 相 關 技 術 在 網 際 網 路 上 建 立 VPN, 是 透 過 以 下 技 術 達 成 Tunneling 建 立 通 道 技 術 Encryption 資 料 加 密 技 術 Authentication 身 份 辨 識 技 術
虛 擬 私 有 網 路 架 構 (1/2) 企 業 總 部 本 地 ISP ADSL Cable 服 務 本 地 ISP T1 高 速 專 線 Internet 客 戶 及 供 應 商 安 全 的 VPN 通 道 撥 接 本 地 ISP 服 務 本 地 ISP ADSL Cable T1 服 務 通 勤 及 全 球 出 差 漫 遊 員 工 遠 地 分 公 司
虛 擬 私 有 網 路 架 構 (2/2) 無 線 網 路 使 用 者 認 證 機 制 未 加 密 認 證 : 主 要 以 SSID(Service Set ID) 作 為 基 本 認 證 方 式, 只 要 使 用 者 提 出 正 確 的 SSID, 存 取 點 (Access Point;AP) 即 接 受 用 戶 端 的 登 入 請 求 開 放 系 統 認 證 : 存 取 點 會 對 用 戶 端 空 白 的 SSID 回 應 封 閉 系 統 認 證 : 存 取 點 不 會 對 用 戶 端 空 白 的 SSID 回 應 加 密 認 證 : 使 用 分 享 金 鑰 ( 或 稱 為 挑 戰 與 回 應 ) 的 方 式 進 行 身 份 認 證 使 用 WEP(wired equivalent privacy) 密 鑰 作 為 分 享 金 鑰 網 卡 硬 體 位 址 (MAC Address) 認 證 : 驗 證 用 戶 端 的 網 卡 硬 體 位 址 是 否 位 於 存 取 點 內 的 存 取 清 單 內
第 四 章 無 線 網 路 安 全
開 放 式 系 統 認 證 弱 點 無 線 網 卡 將 服 務 域 名 (SSID) 設 定 成 ANY, 此 時 無 線 網 卡 會 發 出 訊 號 詢 問 週 遭 是 否 有 無 線 網 路 存 取 點 的 存 在 若 存 取 點 被 設 定 為 對 此 類 詢 問 有 所 反 應, 則 此 存 取 點 就 會 送 出 回 應 給 此 無 線 網 路 卡, 而 此 回 應 就 包 含 存 取 點 上 的 SSID War Driving- 網 路 上 可 找 到 許 多 利 用 上 述 原 理 撰 寫 而 成 的 掃 瞄 程 式, 搭 配 筆 記 型 電 腦 無 線 網 卡 加 上 高 功 率 的 天 線, 駕 車 在 市 區 內 掃 瞄 可 用 的 無 線 網 路, 配 合 全 球 衛 星 定 位 系 統 標 記 出 所 有 可 用 的 無 線 網 路 有 War Chalking- 選 擇 在 可 用 無 線 網 路 的 附 近 人 行 道 上 畫 上 標 記 以 提 醒 同 好
封 閉 式 系 統 認 證 弱 點 不 讓 無 線 網 路 存 取 點 對 ANY 的 要 求 回 應 以 及 SSID 的 名 稱 複 雜 化, 仍 難 以 避 免 駭 客 的 攻 擊 因 為 攻 擊 者 可 以 監 聽 附 近 無 線 網 路 的 通 訊 內 容, 這 些 通 訊 內 容 包 含 兩 種 重 要 的 封 包 讓 攻 擊 者 可 以 取 得 SSID 這 兩 種 資 訊 都 是 在 沒 有 任 何 加 密 系 統 保 護 下 傳 遞 因 此 若 攻 擊 者 可 以 在 無 線 區 網 訊 號 範 圍 內 監 聽 到 這 些 消 息 攻 擊 者 取 得 SSID 相 關 資 訊 後, 只 要 將 SSID 值 填 入 系 統 設 定 內, 即 可 使 用 無 線 上 網
加 密 認 證 弱 點 存 取 點 回 應 給 使 用 者 挑 戰 用 的 訊 息 時 並 未 加 密, 因 此 一 個 監 聽 無 線 網 路 的 攻 擊 者 就 可 以 同 時 獲 得 未 加 密 的 原 文 與 加 密 後 的 密 文 這 些 資 料 有 助 於 解 密 分 析 (Cryptanalysis), 可 以 幫 助 攻 擊 者 找 出 可 能 的 密 鑰 或 解 開 其 他 加 密 過 的 封 包
增 進 無 線 網 路 安 全 的 方 法 修 改 預 設 的 設 定 預 設 存 取 點 (Access Point) 設 備 密 碼 預 設 SSID 預 設 的 通 訊 頻 道 修 改 網 路 設 定 網 路 卡 號 管 理 防 火 牆 區 隔 網 段 802.1X 使 用 者 認 證
第 五 章 結 論
結 論 (1/2) 所 謂 知 己 知 彼, 才 能 百 戰 百 勝, 由 於 攻 擊 發 生 無 所 不 在, 相 關 技 術 也 不 斷 地 進 步, 資 訊 人 員 惟 有 透 過 各 種 學 習 管 道 加 強 在 資 安 領 域 的 能 力, 才 能 應 付 來 自 各 方 面 的 攻 擊 在 網 路 環 境 中 建 置 安 全 防 護 設 備 的 同 時, 善 盡 管 理 責 任 才 是 決 定 安 全 措 施 是 否 發 揮 效 用 的 最 大 因 素, 包 括 存 取 控 制 設 定 設 備 管 理 密 碼 的 強 度 及 設 備 本 身 的 弱 點 更 新 機 制 等
結 論 (2/2) 為 避 免 網 際 網 路 傳 輸 重 要 資 料 時, 遭 到 竊 聽 的 疑 慮, 英 使 用 如 SSL VPN 等 安 全 加 密 機 制, 可 獲 得 有 效 保 障 由 於 無 線 網 路 的 存 取 控 制 機 制 不 甚 完 善, 在 使 用 無 線 網 路 時, 應 先 了 解 存 取 點 所 提 供 的 種 種 安 全 認 證 機 制 及 其 弱 點, 採 取 相 對 應 的 防 護 措 施, 尤 其 是 存 取 點 應 避 免 使 用 原 廠 的 預 設 設 定 值