Download
1 / 78
780 likes | 882 Views
家庭和小型企業網路. Chapter 8 基本安全性. CCNA Discovery S1. 8.1.1 網路入侵風險. 電腦網路,不論是有線還是無線網路,都已迅速成為人們日常活動中不可或缺的一部份。 個人與組織都依賴於電腦和網路來處理電子郵件、財務、組織和檔案管理之類的工作。 不速之客的入侵可能導致代價高昂的網路中斷和工作成果的遺失。 針對網路的攻擊有時具有相當的破壞性,可能造成重要資訊或資產的損壞或失竊,導致時間上和金錢上的損失。
E N D
家庭和小型企業網路 Chapter 8 基本安全性 CCNA Discovery S1
8.1.1 網路入侵風險 • 電腦網路,不論是有線還是無線網路,都已迅速成為人們日常活動中不可或缺的一部份。 • 個人與組織都依賴於電腦和網路來處理電子郵件、財務、組織和檔案管理之類的工作。 • 不速之客的入侵可能導致代價高昂的網路中斷和工作成果的遺失。 • 針對網路的攻擊有時具有相當的破壞性,可能造成重要資訊或資產的損壞或失竊,導致時間上和金錢上的損失。 • 入侵者可透過軟體漏洞、硬體攻擊甚至一些不需要高科技的方法(例如猜測某人的使用者名稱和密碼)來獲得對網路的存取權。透過修改或利用軟體漏洞來獲取存取權的入侵者通常被稱為駭客。 • 一旦駭客取得網路的存取權,就可能給網路帶來以下四種威脅: • 資訊盜竊(Information theft) • 身份盜竊(Identity theft) • 資料遺失/操縱(Data loss / manipulation) • 服務中斷(Disruption of service)
8.1.2 網路入侵的來源 • 網路入侵者造成的安全威脅可能來自網路內部和外部兩個源頭。 • 外部威脅 • 外部威脅是由組織外部活動的個人引起的。 • 他們沒有存取組織電腦系統或網路的權限。 • 外部攻擊者主要透過網際網路、無線連結或撥號存取伺服器進入網路。 • 內部威脅 • 內部威脅是由具備授權使用者帳戶的個人,或能夠實際接觸網路設備的人員導致的。 • 內部攻擊者瞭解內部的政策和人員。 • 他們往往清楚的知道,什麼資訊有價值而且易受攻擊,以及如何獲得該資訊。 • 並非所有內部攻擊都是故意的。 • 在某些情況下,一個受信任的員工在公司外部工作時可能會感染上病毒或安全威脅,然後在不知情的情況下將它帶到內部網路中,從而造成內部威脅。 • 許多公司都在防禦外部攻擊上花費了大量資源,但大多數威脅其實來自內部。據 FBI 調查顯示,在報告的安全入侵事件中,約有70% 都是因內部存取和電腦系統帳戶使用不當造成的。
8.1.3 社交工程和網路釣魚 • 對於內外兩個源頭的入侵者而言,要想獲得存取權,最簡單的一種方法就是利用人類行為的弱點。 • 利用人類弱點的常見方法之一便是「社交工程」(Social Engineering)。 • 社交工程 • 術語「社交工程」指代某事或某人影響某個人群的行為的能力。 • 在電腦和網路安全方面,社交工程代表一種用來欺騙內部使用者執行特定操作或暴露機密資訊的技術。 • 透過採用這些技術,攻擊者可利用沒有設防的合法使用者來獲取內部資源和私密資訊(例如銀行帳戶或密碼)的存取權。 • 使用者通常被認為是安全體系中最薄弱的環節之一,社交工程攻擊正是利用了這一點。社交工程者可能位於組織內部或外部,但通常不會與受害者面對面打交道。 • 社交工程中最常用的三種技術有:冒名申請(pretexting)、網路釣魚(phishing)和語音網路釣魚(vishing)。
8.1.3 社交工程和網路釣魚 • 冒名申請 • 冒名申請 (Pretexting) 是一種社交工程方式,攻擊者會對受害人編造虛假情景(冒名申請),以使受害人洩漏資訊或執行某種操作。 • 通常是透過電話聯絡攻擊目標。 • 要使冒名申請起作用,攻擊者必須能夠與目標人員或受害人建立合理聯絡。為此,攻擊者一般需要預先進行一些瞭解或研究。 • 例如,如果攻擊者知道攻擊目標的社會保險號碼,他們就會使用該資訊來獲取攻擊目標的信任。那麼攻擊目標便很有可能進一步洩漏資訊。
8.1.3 社交工程和網路釣魚 • 網路釣魚(phishing) • 網路釣魚是一種社交工程方式,網路釣魚者將自己偽裝成外部機構的合法人員。 • 他們通常透過電子郵件聯絡攻擊目標個人(網路釣魚受害者)。 • 網路釣魚者可能會聲稱,為了避免某些糟糕的後果,要求攻擊目標提供確認資訊(例如密碼或使用者名稱)。 • 語音網路釣魚/電話網路釣魚 • 一種使用 IP 語音 (VoIP) 的新式社交工程被稱為「語音網路釣魚」(vishing)。 • 在語音網路釣魚攻擊中,使用者會收到一封語音郵件,郵件中指示他們撥打一個看上去像是正規電話銀行服務的電話號碼。 • 隨後,沒有設防的使用者撥打該號碼時,通話會被竊賊截聽。 • 為了進行確認而透過電話輸入的銀行帳戶號碼或密碼便會被攻擊者竊取。
8.2.1 病毒、蠕蟲和特洛伊木馬 • 社交工程是一種常見的安全威脅,主要利用人類的弱點來獲得所需的結果。 • 除社交工程外,還存在一些其他類型的攻擊,這些攻擊借助電腦軟體的漏洞來執行。 • 此類攻擊技術包括:病毒(viruses)、蠕蟲(worms)和特洛伊木馬(Trojan horses)。 • 所有這些都是侵入主機的惡意軟體。它們會損壞系統、破壞資料以及拒絕對網路、系統或服務的存取。 • 它們還可將資料和個人詳細資訊從沒有設防的 PC 使用者轉送到犯罪者手中。在許多情況下,它們會自身複製,然後傳播至連接到該網路的其他主機。 • 有時會結合社交工程使用,欺騙沒有設防的使用者執行攻擊。
8.2.1 病毒、蠕蟲和特洛伊木馬 • 病毒 • 病毒是透過修改其他程式或檔案來執行和傳播的一種程式。 • 病毒無法自行啟動,而需要被啟動。 • 有的病毒一旦啟動,便會迅速自我複製並四處傳播,但不會執行其他操作。 • 這類病毒雖然很簡單,但仍然非常危險,因為它們會迅速佔用所有可用記憶體,導致系統停機。 • 編寫的更為惡毒的病毒可能會在傳播前刪除或破壞特定的檔案。 • 病毒可透過電子郵件附件、下載的檔案、即時訊息或磁片、CD 或 USB 裝置傳送。
8.2.1 病毒、蠕蟲和特洛伊木馬 • 蠕蟲 • 蠕蟲類似於病毒,與病毒不同的是它無需將自身附加到現有的程式中。 • 蠕蟲使用網路將自己的副本傳送到所連接的所有主機中。蠕蟲可獨立執行並迅速傳播,它並不一定需要啟動或人為干預才會發作。 • 自我傳播的網路蠕蟲所造成的影響可能比單個病毒更為嚴重,而且可迅速造成網際網路大面積感染。
8.2.1 病毒、蠕蟲和特洛伊木馬 • 特洛伊木馬 • 特洛伊木馬是一種非自我複製型程式,它以合法程式的面貌出現,但實質上卻是一種攻擊工具。 • 特洛伊木馬依賴於其合法的外表來欺騙受害人啟動該程式。 • 它的危害性可能相對較低,但也可能包含可損壞電腦硬碟內容的程式碼。 • 特洛伊木馬還可為系統建立後門,從而使駭客獲得存取權。
8.2.2 阻斷服務和暴力攻擊 • 有時,攻擊者的目的是停止網路的正常運作。此類攻擊的目的通常是中斷某組織的運作。 • 阻斷服務 (DoS, Denial of Service) • DoS 攻擊是針對單個電腦或一組電腦執行的一種侵略性攻擊,目的是拒絕為特定使用者提供服務。 • DoS 攻擊可針對使用者系統、伺服器、路由器和網路連結發起。 • 一般而言,DoS 攻擊的意圖是: • 用流量淹沒系統或網路,以阻止正常網路流量通行。 • 中斷用戶端與伺服器之間的連接,以阻止對服務的存取。
8.2.2 阻斷服務和暴力攻擊 • DoS 攻擊包括多種類型。 • 安全管理者需要對可能發生的 DoS 攻擊類型保持警惕,確保網路受到嚴密保護。 • 兩種常見的 DoS 攻擊為: • SYN(併發, synchronous): Flooding氾濫攻擊 — 向伺服器傳送大量請求用戶端連接的封包。 • 這些封包中包含無效的來源 IP 位址。伺服器會因為試圖回應這些虛假請求而變得極為忙碌,導致無法回應合法請求。 • 死亡之 ping:向裝置傳送超過 IP 所允許的最大值(65,535 位元組)的封包。 • 這可導致接收系統崩潰。
8.2.2 阻斷服務和暴力攻擊 • 分散式阻斷服務 (DDoS) • DDoS 是一種更為狡猾且更具破壞性的 DoS 攻擊形式,其目的是使用無用的資料淹沒網路連結。 • DDoS 的執行規模遠比 DoS 攻擊更大,通常會有成百上千個攻擊點試圖同時淹沒攻擊目標。 • 攻擊點可能是之前沒有設防而感染了 DDoS 程式碼的電腦。感染 DDoS 程式碼的系統會在被呼叫時攻擊目標站台。
8.2.2 阻斷服務和暴力攻擊 • 暴力攻擊(Brute Force) • 並不是所有導致網路中斷的攻擊都是 DoS 攻擊,暴力攻擊是另一種可能造成阻斷服務的攻擊。 • 在暴力攻擊中,攻擊者使用執行速度很快的電腦來嘗試猜測密碼或破解加密金鑰。 • 攻擊者會在短時間內嘗試大量可能的密碼來獲取存取權或破解金鑰。 • 暴力攻擊可引起針對特定資源的流量過大或使用者帳戶鎖定,從而導致阻斷服務。
8.2.3 間諜軟體、追蹤 Cookie • 不是所有攻擊都會造成損害或阻止合法使用者存取資源。 • 許多威脅的目的是收集使用者的相關資訊以用於廣告、行銷和研究目的。 • 這些威脅包括間諜軟體、追蹤 Cookie、廣告軟體和快顯。 • 儘管它們可能不會損壞電腦,但仍會侵犯隱私,而且非常招人反感。 • 間諜軟體(Spyware) • 間諜軟體是一種程式,用於在未得到使用者認可或使用者不知情的情況下從電腦中收集個人資訊。 • 然後,這些個人資訊會傳送至網際網路上的廣告商或第三方,其中可能包含密碼和帳戶號碼。 • 間諜軟體通常是在下載檔案、安裝其他程式或按一下快顯時暗中安裝。 • 它會降低電腦速度,變更內部設定,導致更多的漏洞暴露給其他威脅。 • 此外,間諜軟體也難以刪除。
8.2.3 間諜軟體、追蹤 Cookie • 追蹤 Cookie(Tracking Cookies) • Cookie 是間諜軟體的一種形式,但也有一些 Cookie 起到積極的作用。 • Cookie 用於在網際網路使用者存取網站時記錄使用者的資訊。 • 由於它允許個性化定制以及其他一些節省時間的方法,所以可能相當有用並受人歡迎。 • 許多網站都要求使用者啟用 cookie 後才能進行連接。
8.2.3 廣告軟體 • 廣告軟體(Adware)是另一種形式的間諜軟體,它透過使用者存取的網站收集使用者資訊。 • 這些資訊之後會被利用進行針對性的廣告宣傳。 • 廣告軟體一般是作為使用者使用「免費」產品的交換條件而安裝的。 • 使用者開啟瀏覽器視窗時,廣告軟體會啟動新的瀏覽器視窗,根據使用者的上網瀏覽行為推銷產品或服務。 • 這個使用者不希望看到的瀏覽器視窗會重複開啟,給使用者的上網瀏覽變帶來很大不便,特別是在網際網路連接速度很慢時。 • 廣告軟體也難以解除安裝。
8.2.3 快顯和背顯式廣告 • 快顯和背顯式廣告是使用者在瀏覽網站時顯示的附加廣告宣傳視窗。 • 與廣告軟體不同,快顯和背顯式廣告並不收集關於使用者的資訊,而且通常只與所存取的網站關聯。 • 快顯(Pop-ups):在目前瀏覽器視窗的前端開啟。 • 背顯式廣告(pop-unders):在目前瀏覽器視窗的後端開啟。 • 這些廣告非常招人反感,而且其宣傳的產品或服務往往令人不快。
8.2.4 垃圾郵件(Spam) • 人們對電子通訊方式的依賴程度日益上升,這一現象造成了大量煩人的電子郵件四處傳播。 • 有時,商家在行銷時不想費時間細分目標,他們的打算是向盡可能多的使用者傳送電子郵件,期待其中某些人會對他們的產品或服務感興趣。 • 透過網際網路大量散發郵件進行行銷的方法稱為垃圾郵件。 • 垃圾郵件是非常嚴重的網路威脅,可導致 ISP、電子郵件伺服器和使用者系統不堪重負。 • 傳送垃圾郵件的個人或組織稱為垃圾郵件傳送者。 • 垃圾郵件傳送者通常利用未受安全保護的電子郵件伺服器來轉送電子郵件。
8.2.4 垃圾郵件 • 垃圾郵件傳送者可能使用駭客技術(例如病毒、蠕蟲和特洛伊木馬)來控制家用電腦。 • 受控的這些電腦就會被用來在主人毫不知情的情況下傳送垃圾郵件。 • 垃圾郵件可透過電子郵件傳送,如今它們還可透過即時訊息軟體傳送。 • 據估計,網際網路上的每個使用者每年收到的垃圾電子郵件超過 3,000 封。 • 垃圾郵件消耗了大量的網際網路頻寬,此問題的嚴重性已引起了許多國家的重視,各國紛紛出台法律管制垃圾郵件的使用。
8.3.1 常用安全措施 • 安全風險無法徹底消除或預防。 • 但有效的風險管理和評估可顯著減少現有的安全風險。 • 要將風險降至最低,人們必須認識到一點:沒有任何一件產品可為組織提供絕對的安全保護。 • 要獲得真正的網路安全,需要結合採用多種產品和服務、制定全面的安全政策並嚴格實作該政策。 • 安全政策是對規則的正式聲明,使用者在存取技術和資訊資產時必須遵守這些規則。 • 它可能像合理使用規定一樣簡單,也可能長達數百頁,對使用者連接和網路使用步驟的每個方面都做了詳細規定。
8.3.1 常用安全措施 • 在考慮如何保護、監控、測試和改進網路等問題時,安全政策應成為核心部份。 • 儘管大多數家庭使用者沒有書面的正式安全政策,但隨著網路的規模和範圍不斷擴張,為所有使用者定義一份適當的安全政策變得日益重要。 • 安全政策中應包含以下內容:識別和驗證政策、密碼政策、合理使用規定、遠端存取政策和事件處理步驟等。 • 制定安全政策後,網路中的所有使用者都必須支援和遵守該政策。這樣,安全政策才能真正發揮作用。
8.3.1 常用安全措施 • 在考慮如何保護、監控、測試和改進網路等問題時,安全政策應成為核心部份。 • 安全政策透過安全程序來實施。 • 這些程序定義了主機和網路裝置的設定、登入、稽核和維護過程。 • 其中包括使用預防性措施來降低風險,以及採用主動措施來處理已知安全威脅。安全程序形式多樣,包括從簡單、成本低廉的工作(例如維持最新軟體版本)到實作複雜的防火牆和入侵偵測系統等。 • 可保護網路安全的一些安全工具和應用程式有: • 軟體修補程式和更新/病毒防護/間諜軟體防護/垃圾郵件攔截器/快顯封鎖程式/防火牆(Software patches and updates/Virus protection/Spyware protection/Spam blockers/Pop-up blockers/Firewalls)
8.3.2 更新和修補程式Software patches and updates) • 駭客用來獲取主機和(或)網路存取權的最常見方法之一便是利用軟體漏洞,因而及時對軟體應用程式應用最新安全性修正程式和更新以阻止威脅極為重要。 • 修補程式是修復特定問題的一小段程式碼。 • 更新則可能包含要新增到套裝軟體中的附加功能以及針對特定問題的修補程式。 • 作業系統(例如 Linux、Windows 等)和應用程式廠商會不斷提供更新和安全性修補程式,以更正軟體中已知的漏洞。 • 此外,廠商通常還會發佈修補程式和更新的集合,稱為服務套件。 • 許多作業系統都具有自動更新功能,可在主機上自動下載和安裝作業系統與應用程式更新。
8.3.3 防病毒軟體(偵測病毒)Virus protection • 即使作業系統和應用程式安裝了所有最新的修補程式和更新,仍然容易遭到攻擊。 • 任何連接到網路的裝置都可能會感染上病毒、蠕蟲和特洛伊木馬。 • 攻擊可損壞作業系統程式碼、影響電腦效能、變更應用程式和毀壞資料。 • 感染病毒、蠕蟲或特洛伊木馬後,可能出現的症狀有: • 電腦行為開始變得不正常。 • 程式不回應滑鼠和按鍵 • 程式自行啟動或關閉 • 電子郵件程式開始外發大量電子郵件。 • CPU 使用率非常高。 • 有不認識的或大量的程序執行 • 電腦速度顯著下降或崩潰。
8.3.3 防病毒軟體 • 防病毒軟體可用作預防工具和反應工具。它可預防感染,並能偵測和刪除病毒、蠕蟲和特洛伊木馬。連接到網路的所有電腦都應安裝防病毒軟體。市面上存在許多防病毒程式。 • 防病毒程式可具有以下功能: • 電子郵件檢查— 掃描傳入和傳出電子郵件,辨識可疑的附件。 • 常駐動態掃描— 在存取可執行檔和文件時對它們進行檢查。 • 計畫掃描— 可根據計畫按固定的間隔執行病毒掃描以及檢查特定的磁碟機或整個電腦。 • 自動更新— 檢查和下載已知的病毒特徵碼和樣式,並可設為定期檢查更新。 • 防病毒軟體需瞭解病毒的情況才能將病毒刪除。 • 因此,在辨識病毒後,應該向網路管理者報告該情況或任何疑似病毒的行為,這一點非常重要。通常,可根據公司的網路安全政策來提交事件報告。 • 網路管理者也可將新的威脅實例報告給處理安全問題的當地政府機構。 • 例如,美國的相關機構為:https://forms.us-cert.gov/report/。該機構負責針對新病毒開發反病毒措施,並將這些措施提供給防病毒軟體開發者。
8.3.4 反垃圾郵件Spam blockers • 垃圾郵件不僅惹人討厭,還可能造成電子郵件伺服器超載,有時還攜帶有病毒和其他安全威脅。 • 垃圾郵件傳送者還可以透過在主機上植入病毒或特洛伊木馬程式碼來控制主機。 • 讓受控主機在使用者毫不知情的情況下傳送垃圾郵件。 • 受到這種形式感染的電腦稱為「垃圾郵件製造廠」。 • 反垃圾郵件軟體可鑑別垃圾郵件並執行相應操作(例如將其放置到垃圾郵件資料夾或刪除),從而為主機提供保護。 • 此類軟體可在機器本地載入,也可在電子郵件伺服器上載入。 • 許多 ISP 也提供垃圾郵件過濾器。 • 反垃圾郵件軟體無法辨識所有的垃圾郵件,因此開啟電子郵件時仍須非常謹慎。有時候,有用的電子郵件也會被錯誤地當作垃圾郵件處理了。
8.3.4 反垃圾郵件 • 除了使用垃圾郵件攔截器以外,還可使用其他預防措施來防止垃圾郵件傳播,這些措施包括: • 及時安裝現有的作業系統和應用程式更新。 • 定期執行防病毒程式,並始終保持最新版本。 • 不要轉送可疑的電子郵件。 • 不要開啟電子郵件附件,尤其是來自陌生人的郵件附件。 • 設定電子郵件規則,刪除繞過反垃圾郵件軟體的垃圾郵件。 • 鑑別垃圾郵件來源,並將其報告給網路管理者以便阻隔該來源。 • 將事件報告給處理垃圾郵件濫用的政府機構。
