閘 道 防 禦 如 何 安 全 地 開 放 內 部 資 源 予 遠 端 用 戶 如 何 快 速 建 置 閘 道 防 禦 工 事, 增 強 上 網 安 全 台 灣 微 軟 特 約 講 師 顧 新 貽 George Ku 邁 格 行 動 有 限 公 司
大 綱 - I 如 何 安 全 地 開 放 內 部 資 源 予 遠 端 用 戶 遠 端 存 取 的 安 全 需 求 Microsoft IAG 的 遠 端 存 取 安 全 設 計 身 分 驗 證 用 戶 端 安 全 檢 測 連 線 安 全 應 用 程 式 安 全
大 綱 - II 如 何 快 速 建 置 閘 道 防 禦 工 事, 增 強 上 網 安 全 上 網 安 全 面 面 觀 我 已 經 有 防 火 牆 了, 為 何 還 需 要 ISA 快 速 為 ISA 擴 充 防 護 機 制 GFI WebMonitor
如 何 安 全 地 開 放 內 部 資 源 予 遠 端 用 戶
傳 統 遠 端 存 取 IPSec VPN 優 點 架 設 簡 單 缺 點 需 要 當 地 網 路 環 境 配 合 用 戶 端 程 式 設 定 不 易 特 定 狀 況 會 造 成 網 路 無 法 連 通 連 線 後 的 安 全 問 題
Microsoft IAG 2007 Intelligent Application Gateway IAG 是 SSL VPN 支 援 任 何 類 型 應 用 程 式, 包 括 Web-enabled, client/server and legacy HTTP APP: reverse proxy Non-HTTP APP: Port/Socket forwarding Network connector IAG 是 Web Application Firewall 抵 禦 SQL injection, Cross Site injection 等 攻 擊 行 為
遠 端 存 取 的 安 全 需 求 你 / 妳 的 設 備 環 境 正 常 嗎? 你 / 妳 可 以 使 用 多 久? 資 料 可 以 留 下 來 嗎? End Point Security Session Security Information Safeguard 你 / 妳 可 以 這 樣 使 用 嗎? Application Security Transport Security Authorization 會 被 別 人 偷 窺 嗎? 你 / 妳 被 允 許 做 哪 些 事? Authentication Strong Authentication 你 / 妳 是 誰? 你 / 妳 真 的 是 他 / 她 嗎?
IAG 安 全 設 計 身 分 驗 證 與 授 權 用 戶 端 安 全 檢 測 連 線 安 全 應 用 程 式 安 全
身 分 驗 證 與 授 權 IAG 內 建 支 援 的 認 證 來 源 Active Directory, LDAP, RADIUS, WINHTTP etc 可 以 設 定 多 重 認 證 來 源, 增 強 安 全 性 根 據 登 入 身 分, 授 權 應 用 程 式 存 取 Single Sign On
用 戶 端 安 全 檢 測 時 機 登 入 前, 應 用 程 式 執 行 前, 應 用 程 式 執 行 時 項 目 個 人 防 火 牆 防 毒 軟 體 etc 可 自 行 增 加 檢 測 項 目 http://itgroup.blueshop.com.tw/ufgeorge/iag?n= convew&i=1162
連 線 安 全 強 制 要 求 以 FQDN 連 線 支 援 HTTP 與 HTTPS (HTTP Redirect HTTPS) Timeout 設 計 無 動 作 Timeout, 強 制 Timeout 連 線 結 束 自 動 清 除 本 連 線 相 關 之 快 取 登 出 時, 瀏 覽 器 正 常 或 異 常 關 閉
應 用 程 式 安 全 Client Server 應 用 程 式 Port/Socket Forwarding 類 型 Network Connector Web 應 用 程 式
Client Server 應 用 程 式 的 安 全 Port/Socket Forwarding 應 用 程 式 僅 針 對 用 戶 端 特 定 Port/Socket 流 量 導 引 至 後 端 應 用 程 式 例 如 導 引 用 戶 端 遠 端 桌 面 流 量 至 特 定 伺 服 器 之 port 3389 終 端 機 服 務 Network Connector 開 放 Layer 3 流 量, 但 可 限 定 導 向 至 特 定 範 圍 之 伺 服 器 http://itgroup.blueshop.com.tw/ufgeorge/iag?n= convew&i=748
Web 應 用 程 式 的 安 全 -I 搭 配 事 件 導 向 規 則 的 正 向 邏 輯 過 濾 引 擎 可 以 使 用 的 HTTP method 允 許 的 URL 合 法 的 URL 與 參 數 危 險 字 元 的 過 濾
Web Application Firewall 技 術 分 類 反 向 邏 輯 過 濾 如 同 防 毒 軟 體 一 般, 比 對 已 知 攻 擊 的 各 項 特 徵 碼 正 向 邏 輯 過 濾 依 據 一 份 特 徵 表 以 允 許 符 合 的 連 線 要 求 通 過 動 態 規 則 過 濾 動 態 掃 描 每 一 個 送 出 網 頁 的 內 容 結 構, 藉 此 建 立 規 則 搭 配 事 件 導 向 規 則 的 正 向 邏 輯 過 濾 正 向 邏 輯 為 主 的 過 濾 機 制 兼 具 多 項 動 態 過 濾 的 優 勢 ( 並 且 避 免 大 多 數 的 缺 點 )
Web 應 用 程 式 的 安 全 -II Application Wrapper 改 變 HTTP Response Header, 避 免 資 訊 洩 漏 資 訊 遮 罩 與 動 態 修 改 網 頁 內 容 Script Insert 攻 擊 與 防 禦 SQL Injection 攻 擊 與 防 禦
強 大 的 應 用 程 式 攻 擊 之 防 禦 能 力 可 以 防 禦 的 攻 擊 技 術 類 型 參 數 竄 改 除 錯 設 定 緩 衝 區 溢 位 編 碼 攻 擊 程 式 碼 注 入 跨 網 站 攻 擊 資 料 隱 碼 作 業 系 統 指 令 攻 擊 專 屬 通 訊 協 定 攻 擊 不 適 當 的 HTTP 方 法 非 預 期 的 檔 案 上 傳 其 他 應 用 層 攻 擊
演 練 架 構 Scan Tool Burpsuite Paros iag.magg.com.tw (192.168.221.17) Internet 代 替 原 主 機 IP 接 受 攻 擊 沒 有 真 的 網 站 系 統 沒 有 真 的 應 用 程 式 防 火 牆 強 迫 使 用 者 利 用 網 域 名 稱 連 接 (domain name) IAG 2007 討 論 區 Web.magg.com.tw (192.168.221.102)
改 變 Response Header 資 訊 避 免 資 訊 洩 漏
目 的 外 部 駭 客 透 過 網 頁 之 標 頭 (header) 取 得 伺 服 器 資 訊 得 知 伺 服 器 資 訊 後, 即 可 藉 由 該 伺 服 器 種 類 之 特 有 攻 擊 方 式 嘗 試 攻 擊 隱 藏 特 定 資 訊 可 以 增 加 駭 客 攻 擊 的 難 度
Client 端 直 接 連 線 Web Server 之 網 頁
Client 端 透 過 IAG 2007 連 線 網 頁
資 訊 遮 罩 與 動 態 修 改 網 頁 內 容
目 的 透 過 IAG 在 response 網 頁 前, 動 態 修 改 網 頁 內 容 原 始 AP 程 式 不 需 做 任 何 更 動 通 常 用 於 將 原 本 明 碼 輸 入 的 文 字 欄 位 修 改 成 隱 碼 方 式 輸 入 ( 例 如 身 分 證 字 號 ) 隱 藏 部 分 連 結, 藉 此 限 制 員 工 由 公 司 外 使 用 時 的 功 能, 避 免 不 必 要 的 資 訊 暴 露 置 換 某 些 文 字 內 容
原 始 網 頁 明 碼
透 過 IAG 2007 瀏 覽 相 同 網 頁 主 旨 修 改 為 password 欄 位
Script Insert 攻 擊
Script Insert 攻 擊 攻 擊 手 法 : 利 用 網 頁 的 輸 入 欄 位, 插 入 一 段 Script, 當 後 人 瀏 覽 相 同 網 頁 時, 瀏 覽 器 即 會 執 行 該 Script 危 害 : Script Insert 本 身 並 無 危 害, 但 若 駭 客 利 用 Script 將 網 頁 導 向 至 有 害 網 頁, 或 透 過 Script 竊 取 cookie 後, 搭 配 跨 網 站 指 令 碼 攻 擊 ( 通 稱 XSS), 就 可 以 造 成 危 害 例 如 <script>location.href= http://www.microsoft.com ;</script>
防 禦 概 念 瀏 覽 器 關 閉 Java Script 支 援 功 能 程 式 碼 輸 出 至 瀏 覽 器 前, 先 進 行 HTML 消 毒 ( 不 同 程 式 語 言 有 不 同 的 消 毒 函 式 ) 接 收 外 部 資 料 時, 若 知 道 資 料 型 別, 例 如 Integer, 直 接 先 行 轉 換 ; 對 於 String 型 別, 濾 除 不 該 出 現 的 字 及 限 制 字 數 ( 限 制 在 30 字 元 通 常 即 能 有 效 防 禦 )
SQL Injection 攻 擊
SQL Injection 攻 擊 攻 擊 手 法 : 攻 擊 者 直 接 使 用 危 險 的 URI 展 開 攻 擊 危 害 : 被 進 行 任 何 資 料 庫 操 作 被 竊 取 密 碼 等 資 料 資 料 篡 改
防 禦 概 念 在 任 何 Web AP 產 生 SQL query 的 地 方 進 行 輸 入 資 料 型 態 檢 查 資 料 長 度 檢 查 與 資 料 內 容 檢 查 SQL Server 權 限 管 理 妥 善 處 理 等 易 造 成 SQL query 跳 脫 之 字 元
以 工 具 掃 描 原 始 網 站
以 工 具 掃 描 透 過 IAG 2007 所 保 護 的 網 站
暫 停 一 下 Microsoft IAG appliance Celestix WSA
如 何 快 速 建 置 閘 道 防 禦 工 事 增 強 上 網 安 全
上 網 安 全 面 面 觀 為 什 麼 上 網 是 不 安 全 的? 下 載 的 檔 案 安 全 嗎? 連 結 的 網 站 真 實 嗎? 網 站 的 內 容 安 全 嗎? SSL 保 證 安 全 嗎?
我 已 經 有 防 火 牆 了, 為 何 還 需 要 ISA 傳 統 防 火 牆 不 會 過 濾 上 網 的 內 容 傳 統 防 火 牆 不 會 管 理 下 載 檔 案 的 類 型 傳 統 防 火 牆 不 能 針 對 使 用 者 設 定 上 網 規 則 傳 統 防 火 牆 沒 有 代 理 機 制 傳 統 防 火 牆 沒 有 快 取 設 計
如 何 佈 署 ISA Edge Firewall Back to Back Firewall Single NIC Proxy mode
從 網 路 架 構 來 看 已 經 擁 有 新 型 的 硬 體 防 火 牆 做 為 邊 界 防 火 牆 維 持 網 路 架 構 下 提 升 使 用 者 上 網 安 全 單 一 網 卡 範 本 網 路 架 構 最 佳 安 全 性 後 端 防 火 牆 從 管 理 角 度 來 看 主 要 管 理 使 用 者 上 網 行 為 單 一 網 卡 範 本 管 理 所 有 通 訊 協 定 防 火 牆 範 本
快 速 為 ISA 擴 充 防 護 機 制 GFI WebMonitor 釣 魚 網 站 防 治 網 頁 內 容 安 全 網 站 分 類 資 料 庫 多 重 防 毒 引 擎 機 制 最 專 業 的 管 理 報 表 充 分 利 用 ISA Server, 不 須 改 變 網 路 架 構
釣 魚 網 站 防 治
網 頁 內 容 安 全
網 站 分 類 資 料 庫
多 重 防 毒 引 擎 機 制
頻 寬 監 控 流 量 統 計
即 時 監 控 瀏 覽 之 網 站 可 以 直 接 block 檔 案 下 載 或 connection
網 站 排 名 可 點 選 繼 續 往 下 Drill Down 時 間 統 計
使 用 者 排 名
最 專 業 的 管 理 報 表 - ReportPack
報 表 範 例 - 各 防 毒 引 擎 攔 截 病 毒 報 告
報 表 範 例 - 閘 道 病 毒 攔 截 趨 勢 圖
報 告 範 例 - 使 用 者 頻 寬 使 用 排 行 榜
2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.