1、1結合防毒與入侵偵測之網路阻斷系統研究指導教授:包蒼龍老師研究生:李亮寬July 2009A Study of Network Blocking System Combined with Anti-Virus and IDS緒論l本研究主要希望建立一個聯防系統,協助缺乏網管人力的中小企業或學校網路,當病毒或駭客發動攻擊的第一時間,能即時將攻擊來源阻斷隔離,在外界網管人力支援到達之前,避免傷害擴大,並在後續檢修上協助尋找攻擊來源及問題原因。3簡報大綱l研究動機與目標l系統設計l系統實作l實作結果l結論與未來研究l4研究動機l區域網路頻遭病毒及駭客遙控攻擊l防火牆無法阻檔網路內部相互攻擊l病毒隨行
2、動媒介增加快速擴散l網管人力缺乏之校園網路常成為攻擊跳板l傳統網路檢修效率差l部份網路使用者較無資安觀念5研究目標l建置具彈性的聯防系統加強網路防護l設置蜜罐誘導攻擊並予以偵測阻斷l隔離高危險病毒群以避免擴散l增加網管人員可延遲修護或請求支援時間l協助尋找攻擊來源及原因以增加檢修效率l網路阻斷可使危險使用者重視資安觀念6系統設計網路管理系統(NMS)防毒監控中心Agent入侵偵測系統Agent7網路管理系統(NMS)l蒐集整合區域網路設備基本資訊l輪詢、彙整l阻斷隔離問題位址l透過防火牆阻檔外部入侵攻擊l利用交換器阻斷內部問題主機l協助管理人員尋找問題設備l表列問題主機之交換器埠位置及問題原因
3、l提供遠端管控協助檢修8NMS蒐集區域網路設備基本資訊SwitchipSwitchipIfindexIfindexPort namePort namePortPortMACMACIPIPStatusStatus140.11x.xxx.252200.11.25.ab.df.11Gi0/210102140.111.xxx.1UpMIB-II .3.6.1.2.1.17.4.3.1.2 17.1.4.1.2 31.1.1.1.1 2.2.1.8 4.22.1.2 snmpbulkwalk-v 2c-Cc-c public 140.11x.xxx.252.1.3.6.1.2.1.17.4.3.1.2
4、snmpbulkwalk-v 2c-Cc-c public 140.11x.xxx.252.1.3.6.1.2.1.17.1.4.1.2 snmpbulkwalk-v 2c-Cc-c public 140.11x.xxx.252 1.3.6.1.2.1.31.1.1.1.1 snmpbulkwalk-v 2c-Cc-c public 140.11x.xxx.253.1.3.6.1.2.1.4.22.1.2snmpbulkwalk-v 2c-Cc-c public 140.11x.xxx.253.1.3.6.1.2.1.2.2.1.89外部入侵資訊(IP)內部攻擊資訊(IP)病毒資訊(MAC)l
5、NMS阻斷隔離威脅SwitchipIfindexMACIp140.11x.xxx.2531010200.11.25.ab.df.11140.11x.xxx.1NMS資訊庫snmpset v-2c c private switchip.1.3.6.1.2.1.2.2.1.7.ifindex i 2Iptables A INPUT i eth0 s 123.19x.xx.55 j DROP10NMS協助管理人員尋找問題設備問題來源位址資訊阻斷原因11防毒中心Agent傳遞阻斷位址資訊12入侵偵測Agent傳遞阻斷位址資訊l批次處理l過濾誤判13系統實作實作架構組成元件模擬系統14實作架構蒐收網路資
6、訊防毒與入侵偵測系統可隨時增減元件阻斷系統對外:FW對內:Switch管理者介面協助查修請求支援下達控制檢視網路15組成元件l企業版防毒系統套件lNOD32(client、remote server、server console)l入侵偵測系統lSNORT(NIDS、HIDS)、蜜罐(Honeypot)l網路管理系統lPHP、MySQL、Net-SNMPl待管設備lRouter、Switch、Firewall(Linux iptables)16l防毒軟體 NOD32 Remote Administrator Console 17防毒系統與網路管理系統整合MAC:00.11.25.ab.df.1
7、1Critical Warning00.11.25.ab.df.1100.11.25.ab.df.11NOD32 Client00.11.25.ab.df.11Critical WarningSwitch1 port210.0.1.20NOD32 ClientNOD32 ClientNOD32 ClientNOD32 ClientNOD32 ClientNOD32 Server18SNORT簡介l入侵偵測系統最便宜解決方案l輕量級不影響到網路正常操作l作業系統依賴性低l多樣性探測l即時性通訊分析記錄l通訊協定分析、內容搜索l緩衝溢出、埠掃描、CGI攻擊、入侵嘗試19SNORT安裝l網路型(NI
8、DS)連接至交換器監聽埠lvar HOME_NET 192.168.1.0/24l以監聽埠監聽封包保護整個網段l主機型(HIDS)可與蜜罐共同運作lvar HOME_NET 192.168.1.0l分析檔案完整性l偵測網路型IDS無法解析之加密通訊20外部入侵攻擊偵測阻斷123.19X.XX.55123.19X.XX.55123.19X.XX.55123.19X.XX.55DROP 123.19X.XX.55 iptables A INPUT I eth0 s 123.19x.xx.55 j DROP外部攻擊外部攻擊21內部對外部攻擊偵測阻斷10.0.2.2010.0.2.20Switch2
9、port 222內部對內部攻擊偵測阻斷(一)10.0.1.1010.0.1.10Switch1 port 110.0.1.1023內部對內部攻擊偵測阻斷(二)Monitor portMonitor portMonitor port10.0.1.1010.0.3.2024結論l聯防系統是最有效的防禦方式l必要的阻斷與隔離可保護網路l阻斷問題可延長網路管理人員應變時間l協助網路管理人員搜尋問題位置與來源未來發展l提供更簡單的安裝程序以利推廣l透過agent整合更多偵測、檢測及防禦系統26蜜罐l為引誘駭客分析其行為而刻意曝露漏洞之系統l互動性區分l低互動:模擬系統,探測及嘗試入侵行為l中互動:模擬系
10、統,部份互動性l高互動:實體系統,蒐集資料多,風險高l安全保護措施l提高最高管理權限密碼強度l最高管理權限限制本機登入l網路型IDS監聽蜜罐封包l安裝還原系統IDS偵測結果(一)(7/137/18)來源位址埠目的位址埠協定140.11x.xxx.1991084 1086207.4x.77.161443TCP140.11x.xxx.5810633591210.65.xxx.166443TCP140.11x.xxx.1221645 1820 1884140.11x.xx.140443TCP140.11x.xxx.152979210.65.xxx.205443TCP140.11x.xxx.18912
11、041233140.11x.xxx.102445TCP140.11x.xxx.1711811333207.4x.7x.161443TCP140.11x.xxx.1991101 1102207.4x.5x.123443TCP140.11x.xxx.3811091565207.46.5x.123443TCPIDS偵測結果(二)(7/137/18)來源位址埠目的位址埠協定140.11x.xxx.1401442140.11x.6x.140443TCP140.11x.xxx.2132873501140.11x.xx.140218.21x.xx.126210.6x.xxx.142443443443TCP1
12、40.11x.xxx.3610435000207.4x.5x.124140.11x.xx.140207.4x.7x.161443443443TCP140.11x.xxx.743452247872.1x.2x3.99443TCP140.11x.xxx.201805 1807207.4x.xx.123443TCP140.11x.xxx.1211666207.4x.xx.124443TCPIDS偵測結果(三)(7/137/18)來源位址埠目的位址埠協定58.21x.2x5.592908140.11x.xxx.23306TCP140.11x.xxx.4612411243207.4x.xx.160140.11x.xx.140443443TCP140.11x.xxx.72160665.5x.1x5.215443TCP140.11x.xxx.451055 108518852007 1083207.4x.xx.160443TCP140.11x.xxx.114624140.11x.xxx.72445TCP
