1、校園資安管理引言者:高健智2008/12/19前言 校園常見資安事件p寄垃圾信件p癱瘓網路p監聽網路並入侵p蓄意的入侵系統並破p傳播電腦病毒並破壞p入侵系統竊取資料 攻擊與入侵 p攻擊,是指有心人士利用各類方式攻擊網路上的主機,使得被攻擊者的網路癱瘓或伺服主機無法提供正常的服務。p入侵,則是利用監聽、盜取或是特洛伊木馬程式潛入被入侵者的主機裡,取得最高管理者的權限後,進一步從事破壞系統或恣意胡為的工作。阻斷式攻擊 p古老但有效的網路攻擊方法,是利用Ping 方式發出大量的ICMP回應要求(echo request)封包做攻擊。p較高明的手法是,駭客先以一偽裝的位址發出大量的ICMP回應要求封包
2、給目的網路的廣播位址。p攻擊模式又稱為smurf攻擊,利用ICMP封包做攻擊的方式,常見的還有Teardop、Ping of Death等攻擊模式。ARP Spoofing Attackp藉由發出標準的ARP請求或ARP回應來擾亂或竄改某電腦或路由器內正常的ARP表,而導致該電腦(或路由器)發出的資料包誤傳目的地,進而癱瘓網路,就稱ARP欺騙攻擊。p連線劫奪(Session Hijacking)利用ARP欺騙將使用者正常的連線搶過來。p中間人攻擊則利用ARP同時欺騙使用者(Client)與服務器(Server)兩邊使所有兩邊的交談都要透過入侵人的轉述,達到欺騙、側錄、竄改資料的目的。p網路剪刀
3、手(NetCut):負責假造ARP封包,提供給目標主機假的MAC位址資訊,Gateway收到後,將錯誤的MAC位址記到ARP 表內,伺服端、Client端的返回封包就無法送達,也就無法上網,達到攻擊的目的。伺服器安全漏洞 pWindows或是Linux系統上的安全漏洞並不多見,會造成安全上的漏洞,幾乎都是透過伺服服務所造成的。p伺服器訊息區塊(SMB):所使用的傳輸埠是TCP 139及TCP 445 port,駭客會利用此二port從事不當訊息傳送,或使用NET USE指令、監聽工具取得系統使用者的帳號、密碼。pIIS:資料洩漏資料洩漏、目錄橫越目錄橫越及緩衝區溢位緩衝區溢位。pSQL Inj
4、ection:所針對之攻擊目標既非資料庫本身亦非作業系統或網站伺服器本身之漏洞來進行,而是一種未做好輸入驗證(Input Validation)的問題。其它伺服器漏洞pApache:若您的Apache資料的傳輸需要較高的安全性,別忘了加裝SSL模組,並在防火牆上開啟TCP 443埠。pDNS:DNS的快取區藉以擾亂原本主機名稱與IP位址的正反向對應關係、給予錯誤的主機名稱與IP對應資訊。pMail Server:mail relay寄發大量的垃圾信件、信件中含病毒。入侵 p冒充者(Masquerader):利用技術突破系統認證機制,取得合法使用者帳戶侵入系統,或是未經許可使用電腦的人。p濫用職
5、權者(Misfeasor):是合法的使用者,但在未經授權的情形下,存取系統程式、資料、資源,或操作已超過本身權限以外的動作者。p秘密訪客(Clandestine user):利用非法手段奪取系統最高控制權,藉以逃避系統權限稽核及存取控制的人。特洛伊木馬 p是一種極為有效又不易被查覺的方式。p所謂特洛依木馬程式是指,駭客為了入侵系統故意發展一些好用的系統工具或是遊戲軟體等,而將後門程式藏在這些工具、遊戲裡。p使用者在安裝這些程式時必須使用管理者的權限安裝,當安裝完成後執行這些程式時,後門程式隨即啟動,駭客根本不必取得系統管理者的密碼,依樣可大方的登堂入室,使用系統管理者的權限操作系統。p這些披著
6、羊皮的狼的程式就統稱為特洛依木馬特洛依木馬程式。電腦病毒 如何判斷電腦受到病毒感染如何判斷電腦受到病毒感染 p電腦執行速度比平常緩慢。p不尋常的錯誤訊息出現。p程式載入時間比平常久。p可執行檔的大小改變系統。p記憶體容量忽然大量減少。p記憶體內增加來路不明的常駐程式。p磁碟壞軌突然增加。p磁碟可利用的空間突然減少。p檔案名稱、副檔名、日期、屬性被更改過。p檔案的內容多出了一些奇怪的資料。安全防護策略 一.一.事前的預防事前的預防 二.二.事件的發生與緊急處理事件的發生與緊急處理三.三.事後的檢討與修復事後的檢討與修復 事前的預防事前的預防 p組織資安緊急應變小組p設備、人員的管控p路由器與防火
7、牆設定p設定防毒機制p建立入侵偵測機制(使用IDS)p定期主動更新伺服器安全漏洞p伺服主機的存取控制p記錄檔的分析 p內部的監控與管理 p定期做好資料備份 p建置容錯系統 事件的發生與緊急處理事件的發生與緊急處理 p通知資安緊急應變小組p路由器與防火牆的處理p伺服主機的處理p病毒的處理p記錄事件p通報事後的檢討與修復事後的檢討與修復 p記錄檔的分析p修補系統安全漏洞p復原系統p證據存檔p持續的偵測、觀察p再次的安全策略擬定校園網管常碰到之問題Switch 功能 基本連通+Security 功能 nLoop 迴圈連結問題迴圈連結問題 -癱瘓網路癱瘓網路 n私接DHCP Server的問題 -無法
8、管理私接電腦之威脅n私接AP 的問題 -無法管理私接電腦之威脅nARP 攻擊 避免IP spoofing問題 -避免偽冒Gateway 位址 網路無法正常運作-無法有效管理 PC,Notebook等 -網路資訊安全 無法有效管理IP 管理策略pIMP(IP-MAC-Port)Binding v3(DHCP Snooping)192.168.1.100E0-0211-1111Port1192.168.1.200E0-0211-2222Port2IMP Binding v3 EnabledAddress LearningWhite ListAssigned by DHCP192.168.1.100
9、E0-0211-1111192.168.1.200E0-0211-2222192.168.1.100E0-0211-3333ABC(IP is Manually configured by user)ARP Spoofing Attack解決方式IP MAC Port R r26 A a 2 B b12 C c16pIP-MAC-Port BindingRouterIP:RMAC:rPC-AIP:AMAC:aPC-BIP:BMAC:bPC-CIP:CMAC:cIm PC-A Faked ARPIP:AMAC:cIm RouterYoure not PC-AFaked ARPIP:RMAC:cY
10、oure not Router網路安全防護設備pARP攻擊的防禦需要依賴安全的L2交換器。如NBAD switch,提供了ARP掃描偵測、ARP異常偵測及ARP攻擊偵測三種防護裝置。p弱點掃描:中華網龍(要錢)、Nessus(免費)pSteelArmor:內部資安控管p防火牆+IPS+防毒+防堵垃圾信件(無Mail Server)pMail Server+防毒+防堵垃圾信件(有Mail Server)p不當資訊過濾:Blue coat、8e6 R3000(市網處理)p負載平衡及頻寬管理交換器(L3、L4):可選購含容錯(備援)處理。結 論 p偵測與防護是系統管理者極弱的一環。p常常是因為系統人員沒有系統防禦的整體概念。p也因為駭客的攻擊與入侵不常發生,使得網路攻擊與入侵事件不斷的發生。p只要有電腦網路及服務存在,駭客的攻擊與入侵行為是永無止境的。p唯有時時的提高警覺與學習新的防護概念,並建設好防護機制,方能降低風險。p台灣電腦網路危機處理暨協調中心:http:/www.cert.org.tw/
