Chap10网路安全防护概论.ppt

Chap 10 網路安全防護概論,網路安全防護措施,網路安全的重要性 資訊戰(Information Warfare) 攻擊者惡意的攻擊一個組織或是政府單位之網站使其癱瘓，其所造成的損失將不亞於傳統戰爭 防護措施 了解網路攻擊之種類 防禦攻擊措施 偵測攻擊措施 補救措施,網路攻擊之種類,駭客攻擊、蠕蟲和病毒的比較,駭客攻擊(Hacker) 利用系統的弱點取得執行的權限而進行其所要的動作。 人為攻擊。 蠕蟲(Worm） 利用系統的弱點得到權限而自行衍生攻擊其他系統，並執行蠕蟲程式中所定義的動作。 減低整體網路效能。 感染性強,影響遍布整個網域。 駭客攻擊的自動化程式 。 病毒（Virus） 感染單一主機上的某些檔案。 具自我複製及散佈之功能。,網路攻擊的分類,本地端攻擊 取得具有系統管理權限的使用者帳號 提高自己之權限 植入木馬程式 遠端攻擊 攻擊遠端系統弱點 DoS, BufferOverflow 攔截攻擊 Sniff, Session hijacking.,遠端系統攻擊弱點種類,人為因素 Social Engineering 人為的疏失而造成系統安全上的漏洞 軟體漏洞 Buffer Overflow Sendmail, wu-ftpd 針對網路通訊協定之攻擊 Sniff Replay Attack Session Hijacking DoS IP spoof,人為因素,Social Engineering 偽造個人身分, 設法透過社交途徑取得他人基本資料或帳號及密碼 人為的疏失而造成系統安全上的漏洞 帳號密碼記錄在紙上 使用生日或電話等作為密碼 未更改系統預設帳號及密碼 為求使用方便而採取較為寬鬆的管制措施 離職人員之帳號,軟體漏洞 (1/3),緩衝區溢位 (Buffer overflow) 漏洞 使用 C 語言因為指標（pointer）處理不善所特有的漏洞而造成的軟體缺陷。 未對資料的大小做範圍檢查（range-checking），導致不正確的資料被填入系統的堆疊(stack)之中。 影響 系統將堆疊中的內容當成程式碼執行 可以將特定的資料填入堆疊中而讓主機執行外來的程式碼，或是被安裝後門程式在此電腦之中。 所有用 C 語言撰寫的程式都有可能遭受此攻擊。,軟體漏洞(2/3),RPC 漏洞 rpc.statd允許外來使用者查尋某台主機的資訊 rpc.automountd可以在取得rpc的認證後，以系統最高管理者的身分執行任何指令。 影響 先以rpc.statd取得認證，接著再利用rpc.automountd以 root 的身分執行任何指令，就能夠在沒有任何授權的情況下控制這台主機。,軟體漏洞(3/3),ODBC（Open Database Connectivity)資料驅動程式的共通介面）漏洞 漏洞 Windows 系統中的ODBC允許遠端透過此介面執行程式。 影響 若有一個 WWW 系統預設的CGI (Common Gateway Interface)程式可以用來新增ODBC項目時，駭客就可以利用 CGI 及 ODBC 從遠端直接執行任何程式。,Internet 攻擊技術,Internet 攻擊種類,WWW技術的相關攻擊 Cookies CGI程式漏洞 電子郵件攻擊 Mail relay Email covert channel Backdoor, Trojan Worm 自動攻擊網路上主機,WWW 技術的相關攻擊 (1/3),Cookie 特性 使用者在使用Web時瀏覽網路資源時，網頁伺服器端會使用一種稱為Cookies的技術將一些資訊（通常是使用者的認證資訊）儲存在客戶端的瀏覽器。 攻擊方法 若駭客竊取上網使用者的Cookies資訊，就有辦法登入該使用者所在的系統，並且竊取其中的重要資訊。,WWW 技術的相關攻擊 (2/3),動態網頁與 CGI 特性 許多動態網頁的技術如CGI、ASP、PHP、Servlet等可以將WWW由靜態網頁變成動態的、可且即時產生回應的模式。 攻擊方式 當CGI的程式設計不良時，駭客可以利用CGI漏洞從遠端直接閱讀這個WWW主機上的任何檔案，或甚至執行任何程式。 竊取系統的密碼檔案 安裝後門程式,WWW 技術的相關攻擊 (3/3),SQL injection 漏洞 SQL 語法中對於字串引號的處理 網頁設計時疏忽使用者可能故意輸入引號, 導致 SQL 命令執行超乎預期之動作 影響 藉由插入設計過的 SQL 命令, 可對資料庫系統進行未經允許的查詢與更改 可能導致電子商務交易的巨大損失,電子郵件攻擊,特性 電子郵件系統 (SMTP)可以透過中繼(Relay)的方式來傳送郵件。 某些郵件系統可以查詢使用者帳號是否存在。 防火牆系統通常不擋 SMTP 郵件封包。 攻擊方式 發送攻擊程式或者偽造使用者帳號的電子郵件。 發送垃圾信件。 E-Mail over Channel - 成為駭客在入侵被攻擊電腦系統後，避開防火牆系統將所竊取的密碼或資訊傳送回去給入侵者的通道。 利用得知系統帳號資訊設法入侵。,Backdoor and Trojan Horse,後門程式（又稱木馬程式） 由遠端操控被攻擊主機的軟體。 可以與正常的執行檔結合，使不慎執行該程式(如Flash動畫)的使用者在不知不覺中被植入後門程式。 也把系統的程式庫替換掉（例如是Windows系統中的winsock.dll，該檔案為Windows的基礎網路程式庫）。 可自動執行 使被攻擊主機成為telnet的伺服器端。 用telnet的方式來連線到該被入侵的主機來操控該台主機。,Worm,具有智慧能力的攻擊程式 可視為一種電腦攻擊的行動代理人（Mobile Agent）。 可以在成功侵入一台電腦之後，繼續自動化的攻擊其他電腦。 若將一個電腦系統的常見的漏洞搭配蠕蟲的設計，入侵者很有可能在短暫時間內使廣泛攻擊範圍裡的電腦主機癱瘓。 影響的範圍難以控制，常常會造成整個網際網路嚴重的傷害。,攻擊時的匿蹤技術 (1/2),避開入侵偵測系統(IDS) 追查之技術 插入干擾 IDS 偵測之封包 IP fragment 假造的來源IP位址 製造可變動之程式碼以避開偵測 Assembly code Change “mov ax,0” to ”xor ax,ax” E-Mail 更改信件 Header 相關資訊 採用加密技術 Encryption,攻擊時的匿蹤技術 (2/2),使用隱藏傳輸通道(Covert Channel) 將攻擊程式以HTTP、SMTP、POP3、DNS、ICMP、VoIP等通訊協定予以包裝 修改可查詢系統狀態之指令 ps, who, w, last, netstat 破壞系統稽核紀錄 關閉稽核紀錄 修改稽核紀錄 使稽核紀錄失效(佔滿檔案系統),偵測攻擊措施,網路攻擊流程,網路攻擊預防與偵測,入侵偵測機制 弱點檢測機制 遠端弱點檢測 Remote scanner 本地端弱點檢測 Check file integrity 封包過濾機制 防火牆 TCP wrapper 系統紀錄檔檢測機制,入侵偵測系統,Intrusion Detection System (IDS) 功能 辨認已知攻擊活動的模式（pattern）。 以統計的技巧分析不正常的系統狀況。 評估系統和檔案資料的完整性。 監視並分析使用者和系統的活動。 監控是否有使用者作違反權限的存取。 審查系統的設定檔和弱點。 種類 Host-based IDS Network-based IDS,遠端弱點檢測,掃描主機透過網路對受測主機作遠端弱點檢測。 按照檢測的結果產生遠端弱點檢測報告，系統管理者藉此報告以作為未來系統補強的方向。,本地端弱點檢測 (1/2),設定本地端系統完整性檢查規則 系統管理者需要設定對哪些目錄作檢查，和檢查的方式。 依照檢查規則檢查 檢查系統管理者所指定的檔案資料是否遭到修改。 寫入紀錄檔 依照紀錄檔得到本地端系統完整性檢查所檢測到已被修改檔案的資訊，並判斷是否為合法的修改 更新檔案系統資料 將現在的檔案資料狀況重設為下次檢查的基準。 採取安全因應措施。 注重攻擊後提醒系統管理者檔案系統已經遭到修改，以提醒系統管理者必須要修補系統。,本地端弱點檢測 (2/2),防火牆與封包過濾機制,隔絕網路系統環境與攻擊者，使得攻擊者無法順利透過網路來攻擊受脆弱的主機。 良好的封包過濾機制將會對系統造成屏蔽而隔絕開外界的攻擊的作用。,系統紀錄檔檢測,很多軟體的開發都有留下軟體執行時的紀錄檔，提供系統管理者查看。 紀錄檔中往往記錄著系統遭受攻擊的相關資訊。 微軟IIS伺服器遭到Directory Traversal攻擊時紀錄檔可能會記載下列異常資訊： GET /_vti_bin/%5c/%5c/%5c/winnt/system32/cmd.exe?/c+dir GET /scripts/xc1x1c/winnt/system32/cmd.exe?/c+dir GET /scripts/xc0/winnt/system32/cmd.exe?/c+dir GET /scripts/xc0xaf/winnt/system32/cmd.exe?/c+dir GET /scripts/xc1x9c/winnt/system32/cmd.exe?/c+dir GET /scripts/%35c/winnt/system32/cmd.exe?/c+dir GET /scripts/%35c/winnt/system32/cm