Maxc@sysware com tw
Download
1 / 93

網路安全的探討及防範 精誠資訊 錢宜中 [email protected] - PowerPoint PPT Presentation


  • 131 Views
  • Uploaded on

網路安全的探討及防範 精誠資訊 錢宜中 [email protected] 內容大綱. 網路安全的範圍 --- 防火牆 主動偵測網路入侵事件 --- 入侵偵測系統 防範網路駭客攻擊 --- 弱點評估. 網路安全的範圍 --- 防火牆. 網路安全的範圍 --- 防火牆. 防火牆的世代種類. 封包過濾防火牆- Packet filtering Firewall 代理伺服器(應用層)防火牆- Proxy ( Application Layer ) Firewall 狀態檢驗式防火牆- Stateful Inspection Firewall. 防火牆的世代種類.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 網路安全的探討及防範 精誠資訊 錢宜中 [email protected]' - jerold


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

內容大綱

  • 網路安全的範圍---防火牆

  • 主動偵測網路入侵事件---入侵偵測系統

  • 防範網路駭客攻擊---弱點評估




防火牆的世代種類

  • 封包過濾防火牆-Packet filtering Firewall

  • 代理伺服器(應用層)防火牆-Proxy (Application Layer)Firewall

  • 狀態檢驗式防火牆-Stateful Inspection Firewall


防火牆的世代種類

  • 封包過濾防火牆


防火牆的世代種類

  • 封包過濾防火牆優點

    1.便宜

    2. 快速

  • 封包過濾防火牆缺點

    1.僅能取得部分封包header的資訊進行檢驗

    2.網路層以上各層的資訊無法檢查

    3.管理資訊的能力有限

    4.不易設定、監控、及管理

    5.紀錄及警示的機制不強


防火牆的世代種類

  • 封包過濾防火牆範例


防火牆的世代種類

  • 代理伺服器(應用層)防火牆


防火牆的世代種類

  • 代理伺服器(應用層)防火牆優點

    1.安全性佳

    2.可完全檢驗至應用層的資訊


防火牆的世代種類

  • 代理伺服器(應用層)防火牆缺點(1)

    1.提供額外的通訊協定或網路服務檢查處理的延展性很差

    2.因為將封包拆解檢驗至第7層,至檢查效能不佳

    3.大部分代理伺服器防火牆無法檢查UDP、RPC、或其他一些網路服務

    4.大部分代理伺服器防火牆不具透通性


防火牆的世代種類

  • 代理伺服器(應用層)防火牆缺點(2)

    5.取得太多不需要的資訊

    6.效能成本太高

    7.連線成本加倍


防火牆的世代種類

  • 狀態檢驗式防火牆



防火牆的架構

  • 兩個網段建置架構(Internal and External)


防火牆的架構

  • 兩個網段建置架構優點

    • 建置容易,架構簡單

    • 內部網段機器與對外服務伺服器間的連線不會受到防火牆干擾

    • 防火牆若因故障或維護而停止服務時,內部網段機器仍可與對外服務伺服器進行連線

    • 防火牆負載較小


防火牆的架構

  • 三個網段建置架構(Internal 、DMZ and External)


防火牆的架構

  • 三個網段建置架構優點(1)

    • 安全,因對外服務伺服器是允許外部直接進行連線,一旦對外服務伺服器因系統漏洞遭駭客或病毒攻擊,防火牆可阻絕利用對外服務伺服器為跳板對內部網段機器進行的攻擊

    • 可利用防火牆有效控制內部網段機器與對外服務伺服器間的連線,僅開放特定必要的通訊協定至特定對外服務伺服器,而非讓內部網段機器與任意對外服務伺服器進行任意連線


防火牆的架構

  • 三個網段建置架構優點(2)

    • 內部網段機器受到病毒感染時,可將災害控制而不易影響對外服務伺服器,對外服務伺服器仍可正常對外服務

    • 在允許外部連線使用對外服務伺服器時,不影響內部網段機器安全

    • 利用防火牆阻絕兩個網段間大量無意義的廣播封包


Security policy
安全政策(Security Policy)

  • 最重要需嚴謹考慮

  • 考慮問題

    • 網路架構裡有那些網路設備?

    • 那些網路服務是允許經由防火牆出入的?

    • 有那些使用者在我的網路內?又分別使用何種認證方式?擁有何種權限?


Security policy1
安全政策(Security Policy)

  • 安全政策的制定種類

    • 內定值是‘拒絕’

    • 內定值是‘允許’


Security policy2
安全政策(Security Policy)

  • 安全政策的調校

    • 需先對整個網路環境有完整的了解認識,才能設定出完善的安全政策

    • 化繁為簡,降低系統效能浪費

    • 將檢查流量愈大的封包種類的規則放在愈優先檢查的位置


防火牆的進階功能

  • 網址轉換(NAT)

  • 認證

  • 虛擬私人網路(VPN)

  • 叢集負載平衡等功能

  • 防範入侵和蠕蟲攻擊

  • ……



主動偵測網路入侵事件---入侵偵測系統


建置架構

  • Sniffer模式

    --使用網路交換器

    --使用網路集線器

    --使用Tap

  • In-Line模式


建置架構

  • Sniffer模式 --使用網路交換器


建置架構

  • Sniffer模式 --使用網路集線器


建置架構

  • Sniffer模式 --使用Tap


建置架構

  • Sniffer模式--使用Tap


建置架構

  • Sniffer模式--使用Tap


建置架構

  • In-Line模式


偵測運作原理

  • 特徵比對(signature match)

  • 通訊協定異常偵測


偵測運作原理

  • 特徵比對(signature match)


偵測運作原理

  • 通訊協定異常偵測


入侵偵測系統的類型

  • 網路型(Network-Based)

  • 主機型(Host-Based)


入侵偵測系統的類型

  • 網路型(Network-Based)


入侵偵測系統的類型

  • 主機型(Host-Based)


入侵偵測系統與入侵預防系統

  • 入侵偵測系統

  • 入侵預防系統


入侵偵測系統與入侵預防系統

  • 入侵偵測系統

Floor

switch

Internet

Finance

IP 1

Router

Floor

switch

IP 2

Perimeter

Firewall

R&D

Floor

switch

QA

Backbone

switch

IDS


入侵偵測系統與入侵預防系統

  • 入侵偵測系統

    • 需專人監控

    • 誤判多致不堪其擾及遺漏攻擊

    • 資料量過多

    • 處理效能無法跟上封包量

    • 入侵發生,管理人員才收到警示


入侵偵測系統與入侵預防系統

  • 入侵偵測系統

Floor

switch

Internet

Finance

IP 1

Router

Floor

switch

IP 2

Perimeter

Firewall

R&D

Floor

switch

IPS

QA

Backbone

switch


入侵偵測系統與入侵預防系統

  • 入侵預防系統

Floor

switch

Internet

Finance

IP 1

Router

Floor

switch

IP 2

Perimeter

Firewall

R&D

Floor

switch

QA

Backbone

switch

IPS



防範網路駭客攻擊---弱點評估


弱點評估

  • Introduction


弱點及威脅分析

  • 軟體本身之漏洞

    • Buffers overflow 、Unexpected combinations 、Unhandleded input

  • 系統之設定問題

    • Default configurations 、Lazy administrators、Hole creation、Trust relationships

  • 監看未經加密的流量

  • 設計的瑕疵

    • TCP/IP protocol


駭客入侵流程分析

  • 九大步驟

    • 資料蒐集

    • 目標掃描

    • 弱點刺探

    • 取得初步權限

    • 提昇權限

    • 進行破壞

    • 建立後門

    • 消滅證據


九大步驟--資料蒐集

  • 目的:找出目標網路與主機的位址與名稱。駭客會無所不用其極盡可能蒐集最多的目標資料。


九大步驟--資料蒐集

針對特定對象網頁蒐集資訊


九大步驟--資料蒐集

利用 Whois 在 InterNIC 及 ARIN 蒐集


九大步驟--資料蒐集

利用 Whois 在 TWNIC 蒐集


九大步驟--資料蒐集

  • DNS zone transfer

  • nslookup

  • A record : IP; HINFO record : OS type


九大步驟--資料蒐集

  • Network Topology – traceroute or tracert


九大步驟--目標掃描

  • 目的:辨識目標主機與網路所開放與提供的網路服務與所使用的作業系統版本。


九大步驟--目標掃描

  • ping: gping and fping

    $gping 203.74.128.1 254 | fping -a

  • nmap

    $nmap –sp 192.168.1.0/24

  • Icmpenum: icmp echo, icmp time stamp request, and icmp info

    $icmpenum –i2 –c 192.168.1.0

    192.168.1.1 is up

    192.168.1.5 is up


九大步驟--目標掃描

  • Strobe

  • Udp_scan

  • netcat

  • nmap

  • NetScan Tool Pro 2000

  • SuperScan


九大步驟--目標掃描

  • Port Scan –Tcp and Udp


九大步驟--目標掃描

  • 作業系統偵查

    • 主動性

    • 被動性


九大步驟--目標掃描

  • 主動性作業系統偵查

    • FIN 封包試探, ISN辨識, 監視“Don’t fragment bit”, 追蹤TCP initial window size, ACK value, icmp 錯誤訊息, TOS(type of service), 重複封包分割處理, TCP選項

    • nmap

    • queso


九大步驟--目標掃描

  • 被動性作業系統偵查

    • TTL, Window Size, DF, TOS

    • snort

    • siphon


九大步驟--目標掃描

  • 社交工程

    • 詐騙手段


九大步驟--弱點刺探

  • 目的:更進一步找出目標主機的使用者帳號或是未受保護的網路分享資料。


九大步驟--弱點刺探

  • 積極向目標連線和查詢。

  • 尋找資訊種類

    • 網路資源與分享

    • 使用者與群組

    • 應用程式與標誌


九大步驟--弱點刺探

  • Win NT/2000

  • 目標

    • CIFS/SMB

    • NetBIOS

  • 工具

    • Win Resource Kit

    • Null Session

    • others


九大步驟--弱點刺探

  • Null Session

    • net use \\x.x.x.x\IPS$ “ “ /u:” “

    • Block TCP/UDP 135-139

    • Disable NetBIOS Over

    • RestrictAnonymous

      • HKey_LOCAL_MACHINE\SYSTEM\CurrentContrilSet\Control\LSA

      • MMC -> 本機原則 ->安全性選項


九大步驟--弱點刺探

  • 網路資源與分享

    • 找出網域, 節點, 及服務

    • Net view, nbtstat, nbtscan, nltest, Legion,…

    • Epdump, getmac, netdom, netviewx, enum,…


九大步驟--弱點刺探

  • 使用者與群組

    • nbtstat, nbtscan, enum

    • sid2user, user2sid

      • security identifier

      • rid: 500, 501, 1000


九大步驟--弱點刺探

  • 應用程式與標誌

    • telnet, netcat


九大步驟--取得初步權限

  • 目的:利用以上所收集來的資料嘗試登入目標主機,以取得系統使用者帳號密碼與存取權。


九大步驟--取得初步權限

  • 密碼猜測

    • 空的密碼

      • NTIS

    • admin, test, password,…..

    • 字典攻擊法

      • Legion, NetBIOS Audition Tool,…


九大步驟--取得初步權限

  • 網路監聽密碼雜湊

    • Chanllege/Response

    • Lanman hash

    • Tools: L0phtCrack, John


九大步驟--取得初步權限

  • 緩衝區溢位攻擊

    • 針對 IIS 及 Outlook


九大步驟--提昇權限

  • 目的:如果駭客從上一步驟所得僅是一般使用者帳號密碼,那駭客會更進一步破解取得管理者帳號密碼,以完全控制被入侵主機。


九大步驟--提昇權限

  • 密碼猜測

  • 網路監聽密碼雜湊

  • 密碼檔破解工具

    • 破解SAM: %systemroot%\system32\config

    • Tools: pwdump2, L0phtCrack, John

  • 將已知使用者加入管理者群組

    • getadmin, Sechole,

  • 鍵盤敲擊記錄


九大步驟--進行破壞

  • 目的:取得權限後,進行破壞,或利用被入侵主機更進一步入侵目標網路上的其他系統,如更換網頁或竊取資料。


九大步驟--進行破壞

  • 擴大戰果

    • 搜尋目標網路上其他目標,以跳板方式,繼續攻擊其他主機。

  • 竊取破壞


九大步驟--建立後門

  • 目的:在目標主機上植入後門,以方便下次繼續登入或控制該主機,並利用該受駭主機為跳板,繼續攻擊其他目標,隱藏自己的位址。


九大步驟--建立後門

  • 啟動的操控

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion,

    • \Run, \RunOnce, \RunOnceEx, \RunServices

  • 遠端控制

    • Telnet service


九大步驟--消滅證據

  • 目的:入侵成功後、為避免被發現或追蹤、駭客會試圖掩蓋任何蛛絲馬跡,以免留下證據。


九大步驟--消滅證據

  • 關閉稽核

  • 清除記錄

    • elsave

  • 隱藏檔案

    • Attrib

    • 隱藏至NTFS file streaming


九大步驟--癱瘓目標

  • 目的:如果無法成功入侵目標主機或網路,駭客只好訴諸阻斷服務以癱瘓目標的系統與網路服務。


九大步驟--癱瘓目標

  • 阻斷服務

    • SYN Flood

    • IP Spoofing

    • DDOS

    • 郵件炸彈

  • Tools

    • Ping of death、land、teardrop、mailbomb、spam mail


資訊安全弱點評估方法

  • 弱點評估

  • 評估八步驟

    • 目標資訊搜集(Footprinting)

    • 網路主機辨識(Host Identification)

    • 網路服務辨識(Service Identification)

    • 網路服務列舉分析(Service Enumeration)

    • 網路主機列舉分析(Host Enumeration)

    • 網路架構拓樸(Topology Mapping)

    • 安全弱點與漏洞評估(Vulnerability Assessment)

    • 進階掃描與測試(Active Assessment )


目標資訊搜集

  • 目標資訊搜集

    • 辨識企業組織網域

    • WHOIS、 ARIN、 DNS及Internet網路查詢

    • 找尋洩漏資訊

    • 判斷洩漏資訊


網路主機辨識

  • 網路主機辨識

    • 掃瞄辨識,ICMP、UDP、TCP ping 及 tracert

    • 繪製目標網路環境


網路服務辨識

  • 網路服務辨識

    • TCP掃瞄安全性暴露

    • UDP掃瞄安全性暴露


網路服務列舉分析

  • 網路服務列舉分析

    • 嘗試聯接並辨識網路服務

    • 收集網路服務相關資訊


網路主機列舉分析

  • 網路主機列舉分析

    • 辨識分析目標主機


網路架構拓樸

  • 網路架構拓樸

    • 建立拓樸網路架構

    • 整合掃描資訊


安全弱點與漏洞評估

  • 安全弱點與漏洞評估

    • 分析評估監聽的服務以發覺潛在的弱點

    • 交叉比對不同作業系統平台及網路服務弱點暴露


進階掃描與測試

  • 進階掃描與測試

    • 進階的探測

    • 利用已知的漏洞進一步探測

    • 具危險性


Thank you
THANK YOU!

  • Questions?


ad