實驗五 監控與偵測網路蠕蟲攻擊與電腦病毒
This presentation is the property of its rightful owner.
Sponsored Links
1 / 16

實驗五 監控與偵測網路蠕蟲攻擊與電腦病毒 PowerPoint PPT Presentation


  • 107 Views
  • Uploaded on
  • Presentation posted in: General

實驗五 監控與偵測網路蠕蟲攻擊與電腦病毒. 前言. 本實驗整合多個網路設備來偵測 Worms 、 Spyware/Adware 、 Network Viruses 等事件,即時阻擋上述非法之封包,並產生警告及記錄。 本實驗用來分析網路異常的硬體設備為 NUSOFT 的 NUS-MS2800 , NUS-MS2800 是網路型的整合式威脅管理系統 (Unified Threat Management) ,可有效防止電腦病毒、特洛依木馬 ... 的威脅,並能偵測及阻擋網路惡意攻擊程式 ( 蠕蟲、緩衝溢位 ... ) 以及產生警告及記錄。 下圖為本實驗的網路連結示意圖。.

Download Presentation

實驗五 監控與偵測網路蠕蟲攻擊與電腦病毒

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


5720296

實驗五 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

前言

本實驗整合多個網路設備來偵測Worms、Spyware/Adware、Network Viruses等事件,即時阻擋上述非法之封包,並產生警告及記錄。

本實驗用來分析網路異常的硬體設備為NUSOFT的NUS-MS2800, NUS-MS2800是網路型的整合式威脅管理系統(Unified Threat Management),可有效防止電腦病毒、特洛依木馬...的威脅,並能偵測及阻擋網路惡意攻擊程式 ( 蠕蟲、緩衝溢位... )以及產生警告及記錄。

下圖為本實驗的網路連結示意圖。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒

Internet

LAN(NAT):

192.168.1.2/24 ~ 192.168.1.254/24

MS-2800

WAN:140.125.32.240/24

實驗場景


Unified threat management utm

Unified Threat Management(UTM)

Unified Threat Management(UTM) (資料參考來源 http://tw.juniper.net/)

「UTM」一詞首先出現在 2003 年 IDC 的研究告報告中,其被定義為具有額外網路防禦機制的防火牆平台,能夠抵禦 DoS / DDoS (阻斷服務/分散式阻斷服務)、病毒和其他惡意軟體、垃圾郵件以及網路釣魚的攻擊,很多UTM解決方案還具有網頁過濾的功能。 根據這個對「UTM」裝置的定義,市面上許多網路安全解決方案廠商都提供了類似的產品。

在 UTM 的概念出現之前,企業為了防禦各式各樣的威脅,必須配置多項單功能產品,例如防火牆、防毒閘道器、防垃圾郵件裝置以及 URL 閘道器。企業還必須同時兼顧這些平台和其他 IT 解決方案的管理,員工也必須熟悉這些各不相同的介面、指令和差異性。林林總總一堆的安全解決方案代表著必須購買多項產品,經常費用也更高,對資金預算和營 運預算都是一個很大的負擔。

UTM 的概念解決了企業必須管理多項單功能產品的難題,透過單一的作業系統與管理介面,提供一個能夠滿足多方面安全需求的全功能架構。這不但在學習新系統方面節省下可觀的時間,也提高 IT 人員在阻撓攻擊時的有效性。

UTM 的價值在於簡化管理,以最精簡的單一設備來得到企業所需要的網管水準,並具有快速搬遷、集中控管、節省成本的優勢,建置 UTM 的意義主要是基於公司業務考量,而非只是純粹以 IT 技術的眼光來思考。使用 UTM 解決方案該有的觀念應該是,將其放在最適當的地方,讓其發揮適所的功能,而非只是硬要將其賦予的各項功能,拿來與業界單一功能最優秀的產品做比較。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


Unified threat management utm1

Unified Threat Management(UTM)

  • 就許多廠商對UTM 的看法來說,UTM 設備定義是:多種安全功能整合到單一硬體設備,其中必然會有必備的防火牆,入侵偵測系統與防毒閘道除此之外,因應市場需求,再將VPN 垃圾郵件防治、網頁過濾、IMControl、P2P Control 等功能也包括其中、我們再細部將UTM 需提供的功能定義如下: (資料參考來源 http://www.sti.com.tw/)

    • 防火牆功能:為UTM 必備功能、通常在規劃上也大多以配合防火牆最適合放置之位置來部署、並且必須具備有NAT 及VPN 之功能、效能上也必須與單一防火牆匹敵。

    • 入侵偵測功能:因防火牆只能執行即定之政策、若政策上允許之協定與Port,例如HTTP、防火牆會將之充許通過卻無法防止駭客從HTTP 來破壞或入侵內部目標伺服器、因此UTM 也必須具備IPS(主動阻斷式入侵偵測)功能、來偵測及阻斷類似這種利用防火牆先天上弱點之入侵行為、至於IDS(被動式入侵偵測)功能因僅能偵測出入侵行為,並發出警訊、但無法主動阻斷來源,漸漸成為UTM 之附加功能。

    • 防毒功能:UTM 需提供防毒功能原因不外乎是,在閘道端來做防毒過濾、能預防同樣來自於網路上並且經過防火牆之病毒,並且也能配合伺服器端以及PC 端之防毒軟體系統、以防止各種不同的管道在企業內部流竄、預防企業遭受病毒感染、也因此為UTM 提供之功能之一。

    • 防垃圾郵件:此一議題為在電子郵件成功地成為資訊時代不可或缺的工具時,許多商業或非商業之廣告、病毒、非法信件便也從網路上蔓延開來,許多企業早期靠的是郵件伺服器上被動地定義黑白名單、將企業不歡迎之信件阻擋下來,但因郵件散佈與規避技巧越來越完美,垃圾郵件防治也單獨成為一個資安議題,更一步步成為必備之主流,因此將UTM 納入功能之一,其一點都不為過,如此便可解決外部垃圾郵件問題。

    • 其他功能:有部份 UTM 廠商更加入了具有頻寬管理,或對多線路做負載平衡等等功能,並且集中且統一產出制式報表,以更方便管理者做管理與分析。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


Nus ms2800

NUS-MS2800

  • 本次實驗所用的網路設備MS2800為一個網路型的整合式威脅管理系統, MS-2800軟體規格 如下:(資料來源 http://www.nusoft.com.tw/)

    • 完整的VPN解決方案:完整的VPN機制供企業選用。不論是在業務人員常用的SSL VPN、管理人員從家裡連線至企業的PPTP VPN、還是分公司與總公司連線所用的IPSec VPN...皆一應俱全。

    • 病毒過濾Anti-Virus :內建了雙掃毒引擎:ClamAV、Sophos,有效過濾藏匿於網際網路中的各種有害程式。目前已可偵測超過四萬種病毒、蠕蟲以及木馬程式,並24小時隨時線上自動更新病毒碼。ClamAV可永久免費更新病毒碼,而且並無使用人數限制。

    • 入侵防禦偵測系統:內 建入侵防禦偵測(IDP)功能,針對網際網路OSI 4到7層檢測;可以找出隱藏在應用層裡的惡意攻擊程式(譬如蠕蟲、緩衝溢位),並予以阻擋。內建龐大的 IDP 特徵碼資料庫,可以有效阻絕已知的攻擊模式。也可透過「異常協定偵測」的方式即時檢查,並將不符合RFC規範的網路封包丟棄。

    • 郵件稽核備份:協助企業審查與備份郵件,以確保企業重要資料不會從電子郵件管道洩露。管理人員亦可以輕鬆調閱所備份之信件。如企業在發生溝通方面(透過電子郵件)之糾紛時,可藉此取得有利的法律地位。

    • 即時通訊 / 點對點 軟體管理功能:擁有即時通訊軟體與點對點軟體管理機制,幫助企業管理員工使用MSN、ICQ、Yahoo、QQ、Skype...之權限與阻擋點對點軟體下載檔案,不論是e-Mule、BT、WINMX、e-Donkey、Foxy...。

    • 偵測異常流量:當內部電腦發生中毒之情況,而開始發出DoS、DDoS攻擊,企圖癱瘓企業網路時,NUS-MS2800會將攻擊加以阻擋,並向網管人員與中毒電腦的使用者提出警告。

    • 垃圾郵件掃描Anti-Spam:採 用了多層分析掃描的方式來過濾郵件:以指紋分析法(Spam Fingerprint)、貝氏過濾法(Bayesian Filtering)、垃圾郵件特徵(Spam Signature)…等掃描方式來對郵件評斷。並擁有學習機制,可自動調整垃圾郵件的判斷條件,以滿足企業需求。且具備個人化郵件規則 (Personal Rule),使用者可自行調整過濾規則與取回隔離信件,減少管理人員工作負擔。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

管制條例

  • 管制條例

    每一個封包在通過 NUS-MS2800 時,需要逐條檢查是否符合管制條例。當封包的條件符合某條管制條例時,就會按該管制條例的設定來通過 NUS-MS2800,而不會再向下檢查其他的管制條例。如封包無法符合任何管制條例時,該封包就會被攔截。

    NUS-MS2800依據不同來源位址的資料封包,將管制條例設定功能區分為下列六項,以便利系統主管理員,針對不同資料封包的來源 IP、來源埠、目的IP、目的埠制訂管制規則。

    • 【內部至外部】:來源網路位址是在內部網路區,目的網路位址是在外部網路區。系統管理員在此功能中,訂定內部網路至外部網路間所有封包的管制、服務項目的管制規則。

    • 【外部至內部】:來源網路位址是在外部網路區,目的網路位址是在內部網路區(如 IP 對映、虛擬伺服器)。系統管理員在此功能中,訂定外部網路至內部網路間所有封包的管制、服務項目的管制規則。

    • 【外部至非軍事區】:來源網路區是外部網路區,目的網路區是在DMZ內(如 IP 對映、虛擬伺服器)。系統管理員在此功能中,訂定外部網路至DMZ間所有封包的管制、服務項目的管制規則。

    • 【內部至非軍事區】:來源網路區是內部網路區,目的網路區是在DMZ內。系統管理員在此功能中,訂定內部網路至DMZ間所有封包的管制、服務項目的管制規則。

    • 【非軍事區至內部】:來源網路區是DMZ,目的網路區是在內部網路區。系統管理員在此功能中,訂定DMZ至內部網路間所有封包的管制、服務項目的管制規則。

    • 【非軍事區至外部】:來源網路區是DMZ,目的網路區是在外部網路區。系統管理員在此功能中,訂定DMZ至外部網路間所有封包的管制、服務項目的管制規則。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

設定管制條例

設定管制條例

管制條例的參數包含有來源網路位址、目的網路位址、服務名稱、自動排程、認證名稱、VPN Trunk、管制動作,外部網路埠、流量監控、流量統計、IDP、內容管制、應用程式管制、病毒偵測、頻寬管理、每個來源 IP最多連線數、最多連線數、Quota Per Session及 Quota Per Day等。系統管理員可以由這些參數,管理、設定不同出入埠間的資料傳送以及服務項目,哪些網路物件、網路服務或應用程式的封包該予以攔截或放行。

由於本實驗需要監控與偵測蠕蟲與電腦病毒之攻擊,因此將【內部至外部】 和【 外布置內部】內的 【IDP】及【病毒偵測】的選項勾選即可。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

入侵偵測防禦

  • 入侵偵測防禦

    入侵偵測防禦可即時針對異常流量與封包內容檢驗與示警,並加以阻絕、隔離、干擾或發出警訊通知管理者的處置,以預防可疑程式碼入侵目標主機。所以當入侵偵測防禦偵測到來自內部或外部的攻擊行為時,可即時提供保護網路與阻絕攻擊行為的措施,使企業網路依然可運行暢通,並提高資訊傳輸的安全性。

  • NUS-MS2800入侵偵測防禦設定 說明如下:

    • 入侵偵測防禦之特徵定義檔每隔 30分鐘就會自動更新,或可手動做立即更新。同時會顯示特徵定義檔之更新時間和版本。

    • 可針對未加密和壓縮的檔案做病毒偵測的動作。

    • 病毒掃描引擎為:

      ‹ Clam:系統預設可立即免費使用。

    • 於偵測到攻擊行為和病毒檔案時,可透過寄送 E-mail和發出警訊給管理員。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

設定入侵偵測防禦

攻擊行為依其威脅性可分為:高風險、中風險和低風險三類。可以分別對預設特徵中,不同風險的攻擊行為做通行、阻擋、記錄或警示的動作。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

特徵設定

  • 針對各種不同的攻擊行為,提供相對映的比對規則,包含三個部份:【異常偵測】、【預設特徵】和【自訂特徵】。

    • 【異常偵測】會隨著定義檔的更新,來針對目前所能發現的異常封包與流量做偵測和防禦。

    • 【預設特徵】亦會隨著定義檔的更新,來針對目前所能發現的入侵模式做偵測和防禦。以上特徵不能修改也不可刪除。

    • 【自訂特徵】讓使用者可依自己的需求,來偵測和防禦【預設特徵】和【異常偵測】以外的攻擊行為和異常封包、流量。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

異常偵測

  • 異常偵測

    • „NUS-MS2800可對16種異常封包特徵做偵測。

    • „使用者可依需求,啟動欲偵測防禦的異常封包特徵。

    • „可針對特定封包所產生之異常流量做控管的動作。

    • „可變更各項特徵之處理動作:通行、阻擋、記錄或警示。

    • 可顯示所有異常偵測特徵的名稱、啟動狀態、風險、動作、記錄和警示等屬性。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

預設特徵

  • 預設特徵

    • „„NUS-MS2800可對Attack Responses, Backdoor, Bad Traffic, Chat, DDoS, Deleted, DNS, DoS, Exploit, Finger, FTP, ICMP, IMAP, Info, Misc, Multimedia, MySQL,NetBIOS, NNTP, Oracle, P2P, Policy, POP2, POP3, Porn, RPC, Rservices, Scan, Sellcode, SMTP, SNMP, Spyware, SQL, Telnet, TFTP, Web Acctacks, Web CGI, Web Client, Web Coldfusion, Web Frontpage, Web IIS, Web Misc, Web PHP和X11等類別,於各大類別中包含了所屬的攻擊特徵。

    • 可變更各大類別及其所屬特徵之處理動作:通行、阻擋、記錄或警示。

    • „可顯示所有攻擊特徵的名稱、風險、動作、記錄和警示等屬性。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

設定自訂特徵

  • 對於新增自訂特徵內的欄位說明:

    • 特徵名稱:系統管理員可在此為自訂的特徵命名。

    • 通訊協定:設定欲偵測和防禦的通訊協定,分為 TCP, UDP, ICMP和IP。

    • 來源埠:設定攻擊端電腦使用的埠號(範圍 0~65535)。

    • 目地埠:設定被攻擊端電腦的埠號(範圍 0~65535)。

    • 風險:定義攻擊封包的威脅性。

    • 動作:對攻擊封包的處理動作。

    • 內容:設定攻擊封包所夾帶的內容。

    • 進階選項:可針對攻擊封包的方向(Inbound、Outbound)來做過濾並且設定是否要依照封包內容的大小寫來做過濾。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

入侵防禦報告

統計

在統計的選項中,可以看到一段時間中(一日、一週、一月、一年)的異常事件發生次數、異常事件發生總數、異常事件的通訊協定型、攻擊與被攻擊位址總數以及各界面攻及次數,下方更有詳細的圖表,表示一整來的攻擊事件排名、介面排名以及攻擊與被攻擊介面排名等資訊。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

入侵防禦報告

  • 日誌

    • 在日誌中,將會顯示過去時間在網路上所被偵測出的網路異常行為,列出詳細的發生時間、事件、特徵分類、發現的介面、攻擊與被攻擊位址以及UTM所做出的處理動作。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


5720296

參考資料

「http://www.sti.com.tw/」敦陽科技。

「 http://tw.juniper.net/company/presscenter/features/2007/0119.html 」練就UTM的金剛不壞之身。

「MS2800_Manual_v4.06_tw.pdf」NUS-MS2800使用手冊。

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒


  • Login