网路安全与管理.ppt

梁仁楷 1 網路安全與管理 資料來源松博梁仁楷台大計資邵喻美台大計資李美雯 梁仁楷 2 大綱 虛擬私人網路VPN無線網路結合VPN遠端遙控維護NATSNMP網路攻擊防火牆EMAILOPENRELAY 梁仁楷 3 VPN 虛擬私人網路連線 VirtualPrivateNetwork VPN的虛擬通道 用戶端電腦變成好像直接在公司的內部網路中 VPN伺服器 用戶端電腦 網際網路 公司內部區域網路 Internet 梁仁楷 4 VPN通訊協定 PPTP Point to PointTunnelingProtocol 只有在網際網路建立的VPN才能夠使用PPTP通訊協定 電腦透過VPN伺服器來傳送資料時 會先將不同通訊協定的封包封裝成PPP封包 等到另一端接受到後 再由遠端VPN伺服器來還原封包L2TP LayerTwoTunnelingProtocol L2TP和PPTP相似 唯一不同的是L2TP也具備了身分驗證 資料加密和資料壓縮的功能 梁仁楷 5 WindowsServerVPN 安裝兩張網路卡 一張內部IP 一張外部IP系統管理工具 路由及遠端存取按精靈指示安裝遠端存取 撥號或VPN 設定用戶端位址分派設定可撥入VPN連線的使用者 梁仁楷 6 VPN用戶端電腦設定 WindowsXP 梁仁楷 7 VPN用戶端電腦設定 梁仁楷 8 用VPN管控無線網路 設成無線網路專用IP的網路卡連接AP 運用VPN管制無線網路存取 設成內部IP的網路卡連接集線器 管制內部區域網路 梁仁楷 9 無線網路overVPN規劃 兩張網路卡 一張設內部區域網路IP例如192 168 0 135 MASK 255 255 255 0一張設無線網路專用IP例如192 168 1 1MASK 255 255 255 0無線用戶端電腦配置好相對的無線網路專用IP 例如192 168 1 X 這部分可以在無線AP的DHCP功能上做設定 梁仁楷 10 遠端遙控 WindowsTerminalWindowsServer內建 二個人用pcAnywhere一個人用 二邊都要有人 被控端可以在防火牆內NetMeetingWindows內建 一個人用 二邊都要有人VNC一個人用 梁仁楷 11 NAT網路位址轉譯 Internet 集線器 ADSLModem NAT 集線器 外部IP架設Web站 外部IP架設FTP站 設定外部IP 設定內部IP 內部IP 梁仁楷 12 WindowsServerNAT 安裝兩張網路卡 一張內部IP 一張外部IP系統管理工具 路由及遠端存取按精靈指示安裝網路位址轉譯選擇對外連線介面設定用戶端位址分派 梁仁楷 13 WindowsServerNAT 梁仁楷 14 SNMP 資料來源 台大計資邵喻美簡單網路管理協定 SimpleNetworkManagementProtocol 要求 回應 協定 GET SET遠端管理TCP IP網路上的設備對不同網路節點進行讀取及寫入狀態資訊在UDP上執行Port161 sendingandreceivingrequestsPort162 receivingtrapsfrommanageddevices 梁仁楷 15 SNMP工作原理 SNMPManager 配備網管軟體的系統 通常是電腦系統 管理程式SNMPAgent 網路設備上的管理對應程式SNMPcommunity alogicalrelationshipbetweenanSNMPagentandoneormoreSNMPmanagers 梁仁楷 16 MIB ManagementInformationBase 定義網路設備各種資訊的儲存結構Name OID TypeandsyntaxencodingMIB II所有網路設備皆提供的MIB標準各家廠商也會提供proprietaryMIB有許多MIBstandardsATMMIB FrameRelayDTEInterfaceTypeMIB BGPVersion4MIB RADIUSAuthenticationServerMIB MailMonitoringMIB DNSServerMIB 梁仁楷 17 OID iso org dod internet mgmt mib 2 interface ifNumber 0 1 3 6 1 2 1 2 1 0 梁仁楷 18 SNMP MIB相關工具 MRTG MultiRouterTrafficGrapher Getif window basedMIBbrowserhttp www wtcs org snmp4tpc FILES Tools SNMP getif getif 2 2 zip 梁仁楷 19 梁仁楷 20 梁仁楷 21 梁仁楷 22 網管系統 網路管理掌握網路主機狀況加速故障排除減少網管人員的負擔網管系統商業軟體系統整合型系統 收集MIB資料 統計分析 繪圖 事件通知功能多樣化 價格昂貴免費軟體網管系統的一部份功能 梁仁楷 23 網路攻擊 資料來源 台大計資李美雯網路監聽網路掃描漏洞利用密碼破解惡意程式植入DoS DDoS攻擊 梁仁楷 24 網路監聽 取得攻擊或入侵目標的相關資訊Sinffer攔截網路上的封包DistributedNetworkSnifferClient將收集的資訊傳給Server 梁仁楷 25 網路掃描 遠端掃描目標主機的系統取得目標主機的資訊利用系統漏洞入侵網路管理者重視此問題 梁仁楷 26 漏洞利用 利用程式或軟體的不當設計或實做利用漏洞取得權限 進而破壞系統緩衝區溢位 bufferoverflow 網路安全網站公佈漏洞訊息 梁仁楷 27 密碼破解 利用系統弱點入侵取得密碼檔利用破解程式破解使用者密碼密碼的破解速度取得使用者密碼可入侵該主機取得系統管理者密碼可操控該主機 梁仁楷 28 惡意程式碼植入 1 病毒 Virus 自我複製性與破壞性後門程式 Backdoor 動機遠端遙控建立管理者權限之帳號更改主機的系統啟動檔 梁仁楷 29 惡意程式碼植入 2 利用電子郵件 MSN植入木馬程式駭客利用木馬程式聆聽的port遠端遙控更改木馬程式名稱與聆聽的port 梁仁楷 30 DoS DDoS攻擊 DoS攻擊 DenialofService 阻絕服務攻擊DDoS攻擊 DistributedDenialofService 分散式阻絕服務攻擊2000年二月份知名網站 Yahoo amazon ebay CNN E trade 被攻擊2001年七月份美國白宮網站被攻擊 梁仁楷 31 DoS攻擊 DoS 系統資源被佔用 使得系統無法提供正常服務系統資源包括主機的CPU使用率 硬碟空間 網路頻寬DoS攻擊利用同時傳送大量封包 造成網路或伺服器癱瘓 梁仁楷 32 DDoS攻擊 DDoS攻擊是多層次的DoS攻擊入侵其他主機 安裝攻擊程式具備遠端遙控的功能控制在同一時間內發動DoS攻擊 梁仁楷 33 防禦機制 防火牆 Firewall 的架設入侵偵測系統 IntrusionDetectionSystem 的架設IPSpoof的防治伺服器的妥善管理網路流量的即時分析 梁仁楷 34 防火牆的架設 1 防火牆架設的位置必須熟知攻擊或入侵的手法防火牆影響網路效率規劃DMZ De MilitarizedZone 區防火牆的缺點無法阻擋新的攻擊模式無法阻擋層出不窮的新病毒 梁仁楷 35 防火牆的架設 2 無法防範來自內部的破壞或攻擊無法阻擋不經過防火牆的攻擊 梁仁楷 36 DMZ區示意圖 梁仁楷 37 入侵偵測系統 依照偵測方法分為 AnomalyDetection 建立使用者與系統的正常使用標準比對標準值 以判斷是否有入侵行為MisuseDetection 將各種已知的入侵模式或特徵建成資料庫比對資料庫的pattern 以判斷是否有入侵行為 梁仁楷 38 入侵偵測系統 cont 相關功能 攻擊程式多數為OpenSource 可建立封包過濾的pattern阻隔可能的攻擊來源對可能的來源攻擊下 停止攻擊 指令 梁仁楷 39 IPSpoof的防治 IPSpoof 偽造封包的來源IP位址以送RAWSocket方式偽造來源IP位址防治方式 在router或防火牆設定ACL管理規則禁止外來封包的來源位址是內部網路的位址禁止非內部網路位址的封包流到外部 梁仁楷 40 伺服器的妥善管理 管理不善的伺服器 駭客攻擊跳板系統管理者應做好系統的修補工作網路管理人員評估校園網路安全與否 弱點評估工具掃描工具 梁仁楷 41 SNMPv1安全漏洞 補救方法掃描SNMP服務工具SNScan 梁仁楷 42 SNMPv1安全漏洞 更改SNMP預設群組名稱預設名稱 snmp servercommunitypublicROsnmp servercommunityprivateRW以防火牆或routerACL過濾SNMP連線過濾或阻擋SNMP相關的161 162 1993等TCP UDPport的存取access list101denytcpanyanyeq161logaccess list101denyudpanyanyeq161logaccess list101permitipanyany 梁仁楷 43 SNMPv1安全漏洞 限制特定IP可存取access list10permit140 112 3 100snmp servercommunityntuRO10啟動入侵偵測系統進行監控 梁仁楷 44 EMAILOPENRELAY EMAILServer被當作跳板 散發垃圾郵件ORDB http www ordb org submit UnixSystem測試 www edu tw tanet spam html請升級sendmail版本至8 9以上建立正確的accessfile makemapExampleforaccessfile 140 112relayntu edu twr