© The McGraw-Hill Companies, Inc., 2007 網路安全 (Network Security)
-
date post
20-Dec-2015 -
Category
Documents
-
view
256 -
download
4
Transcript of © The McGraw-Hill Companies, Inc., 2007 網路安全 (Network Security)
3
網路安全
© The McGraw-Hill Companies, Inc., 2007
11.1 前言 網路可看成是將許多分散各地的電腦主機連
接起來,彼此間可以互傳訊息及共享資訊。
Web Web seversever
IntranetIntranet
區域網路區域網路DomainDomain
name severname sever
區域企業內部網路區域企業內部網路internetinternet區域內部網路區域內部網路
工作站工作站
伺服器伺服器
防火牆防火牆
5
網路安全
© The McGraw-Hill Companies, Inc., 2007
常見的網路系統安全威脅來自三個來源: 1) 來自外部的駭客 (Hackers) :駭客可能透過網 路登入到未經授權的主機去竊取機密或進行 破壞。
2) 惡意的訊息:可是病毒或垃圾訊息藉以癱瘓 系統。
3) 內部惡意的使用者:安全威脅可能是經由授 權合法的使用者所引起。
11.2 網路安全的威脅
7
網路安全
© The McGraw-Hill Companies, Inc., 2007
中斷、攔截 (Interruption)
破壞系統使之不能正常及有效使用。 例如:破壞硬體設備使系統不能運轉;發送大量
封包以癱瘓網站;刪除系統之程式或系統需用到之資料檔……。 (Denial of Service DOS)
發送端 接受端
經由網路的攻擊
8
網路安全
© The McGraw-Hill Companies, Inc., 2007
中途竊聽 (Interception)
未經授權之團體或個人竊聽不該知道之機密資料。基本上這類威脅不會破壞整個系統,但會將機密資料洩露出去。
發送端 接受端
經由網路的攻擊(續)
9
網路安全
© The McGraw-Hill Companies, Inc., 2007
竄改 (Modification) 不法之徒未經許可篡改資料。這類威脅有
時比洩露機密資料造成更大損失。
發送端 接受端
經由網路的攻擊(續)
10
網路安全
© The McGraw-Hill Companies, Inc., 2007
偽造 (Fabrication)
最後一類威脅稱為偽造假資料。與篡改威脅之不同點,在於篡改之資料為已經存在之資料,偽造假資料則是無中生有。
發送端 接受端
經由網路的攻擊(續)
11
網路安全
© The McGraw-Hill Companies, Inc., 2007
被動式攻擊
主動式攻擊
中途奪取 中斷 竄改 偽造
(隱密性) (可靠性)(完整性)(完整性)
來源認證
網路攻擊模式
12
網路安全
© The McGraw-Hill Companies, Inc., 2007
掃描偵測弱點攻擊法 - 經由掃描弱點之程式,掃描特定主機或網路 的弱點。
偽造來源位址 - 偽造入侵者來源位置,避免被追查。
竊聽網路資訊 - 利用網路協定(如 Ethernet )之特性,竊聽並
複製網路層之封包。
猜測通行碼
掃描偵測弱點攻擊法 - 經由掃描弱點之程式,掃描特定主機或網路 的弱點。
偽造來源位址 - 偽造入侵者來源位置,避免被追查。
竊聽網路資訊 - 利用網路協定(如 Ethernet )之特性,竊聽並
複製網路層之封包。
猜測通行碼
主動攻擊與被動攻擊實例
13
網路安全
© The McGraw-Hill Companies, Inc., 2007
網路安全管理 - 防火牆
11.3 防火牆
Internal Net
ScreenRouter
傳入或傳出的封包是否傳送或阻擋 由站台的安全策略
決定
Internet
14
網路安全
© The McGraw-Hill Companies, Inc., 2007
防火牆安全策略 所有進入或外出的封包都必須經過防火牆的檢驗,控制封
包進出的方式分為: 1) 服務控制( Service Control):
決定網路上的哪些服務可被存取。 (FTP, Telnet 可否存取內部資料 ?)
2) 流向控制( Direction Control):
決定哪些特定方向的服務可被允許通過防火牆。 3) 使用者控制 (User Control):
根據使用者的存取權限來控制使用者所能取得的網路服務。但在執行這項服務前先要對使用者的身份進行認證。
4) 行為控制 (Behavior Control):
針對某些特定的事件來進行控制。 (廣告郵件,內部行為限制 )
15
網路安全
© The McGraw-Hill Companies, Inc., 2007
防火牆的種類 防火牆的種類:
封包過濾 (Packet Filtering)
狀態檢視防火牆 (Stateful Inspection Firewalls) 應用階層閘道 (Application Level Gateways)
網路位址轉譯 (Network Address Translation, NAT)
16
網路安全
© The McGraw-Hill Companies, Inc., 2007
封包過濾防火牆檢查封包標頭資訊是否符合安全策略
1. 來源 IP 2. 目的 IP 3. Port 4. Protocol
20
網路安全
© The McGraw-Hill Companies, Inc., 2007
網路位址轉譯(續) NAT (Network Address Translation) 是將內部網路伺服器的主要位置隱藏起來,避免成為駭客下手攻擊的目標。
二個優點: 1) 可解決合法 IP 位址不足的缺失。
2) 將內部的 IP 位址隱藏起來,避免遭到
攻擊。
21
網路安全
© The McGraw-Hill Companies, Inc., 2007
三種基本防火牆的架構: ( 由上述 4種防火牆措施搭配產生 )
1)單介面防禦主機架構 2)雙介面防禦主機架構 3)屏蔽式子網路架構
防火牆的架構
22
網路安全
© The McGraw-Hill Companies, Inc., 2007
此架構防火牆包含過濾防火牆及防禦主機兩種系統。可視為是封包過濾與代理器的一個結合。
防禦主機是具有驗證及代理程式的功能,它是外部網路與內部網路通訊的媒介,凡外部網路要跟內部網路作通訊,都要透過防禦主機來交涉。
單介面防禦主機架構
24
網路安全
© The McGraw-Hill Companies, Inc., 2007
雙介面防禦主機與單介面防禦主機主要不同在於雙介面的防禦主機安裝了兩片網路卡:一片連結內部網路,另一片連結到外部網路。
安裝兩片網路卡其目的就是隔離外部網路及內部網路,避免直接作封包傳遞。
雙介面防禦主機架構
26
網路安全
© The McGraw-Hill Companies, Inc., 2007
前面兩種架構均是在外部及內部網路間的通道上建一個檢查哨來過濾封包,一旦這個檢查哨遭破解,那麼外部封包便可進到內部網路。
屏蔽式子網路架構由一個外部封包過濾路由器、一個內部封包過濾路由器、及一個防禦主機所構成。 (多一層保護)
屏蔽式子網路架構
28
網路安全
© The McGraw-Hill Companies, Inc., 2007
11.4 入侵偵測系統
防火牆的功能主要是阻絕不符合規定的封包,以 防止惡意軟體進內部網路,可說是網路系統的第 一道防線。但有些情況,防火牆也無能為力。
(內賊難防 ) 入侵偵測技術正是要彌補防火牆的不足。 入侵偵測系統可說是網路系統的第二道防線。 主要任務就是協助管理者找出異常行為以降低損 失並協助復原。
29
網路安全
© The McGraw-Hill Companies, Inc., 2007
入侵偵測系統的功能 入侵偵測系統判定是否為異常行為 (依據使用者行為是否合乎常規,來判斷該行為是否異常 ) ,有下列四種情況:
1) 正確判定異常 (True Positives) :
當一個異常行為發生,入侵偵測系統可正確判定為異常行為。
2) 正確判定正常 (True Negatives) :
當一個正常行為發生,入侵偵測系統可正確判定為正常行為。
3) 誤判正常 (False Positives):
當一個異常行為發生,入侵偵測系統卻將此異常行為誤判為正常行為。
4) 誤判異常 (False Negatives): 當一個異常行為發生,入侵偵測系統卻將此正常行為誤判為異常
行為。
30
網路安全
© The McGraw-Hill Companies, Inc., 2007
入侵偵測系統主要功能可分為三個部分: 1) 資料收集: 執行入侵偵測技術,要先從系統、網路、及使用者的相關使用情況來收集資訊。
2) 資料分析: 將收集到的各項資訊,透過模式匹配、統計分析 (real
time) 、和完整性分析 ( 事後 ) 來作攻擊模式管理者的分析。 3) 回應: 當入侵偵測系統偵測出可能出現異常行為時,系統會即時做出回應。主要回應模式有:立刻切斷連線、通知管理者、紀錄行為、及發出警告聲等。
入侵偵測系統
31
網路安全
© The McGraw-Hill Companies, Inc., 2007
異常行為入侵偵測 是一種負面行為模式的偵測技術 (判斷是否為異常行
為 ) 藉由使用者過去行為模式的統計資料為依據,若與正常
的行為模式相差過大,則視為是異常行為並加以回報。 這種統計型的入侵偵測系統主要分為:
1) 門檻偵測:統計在一段時間內某個事件所發生的次數 (次數是否合理,如不斷嘗試登入某個系統 ) 。門檻值過高 : 誤判正常增加
門檻值過低 : 誤判異常增加2) 紀錄檔偵測:
32
網路安全
© The McGraw-Hill Companies, Inc., 2007
紀錄檔偵測:• 針對每一使用者過去的行為來建立一個紀錄檔,若該
使用者的行為與紀錄檔中過去的行為模式有極大差異時,此人便可能是入侵者。
• 消耗大量系統資源對所有使用者進行監控與比對。• 評估行為差異的項目 :
– 次數 : 單位時間內執行某些指令的次數,例如登入系統次數或錯誤密碼輸入次數。
– 間隔時間 : 登入的時間間隔,或使用特定系統的時間間隔。
– 資源使用率 : 單位時間內的資源使用量,例如單位時間內列印次數或上傳或下載資料量。
33
網路安全
© The McGraw-Hill Companies, Inc., 2007
錯誤行為入侵偵測 是一種正面行為模式的偵測技術 (比對是否為紀錄有案之異常行為 )
將已知的任何一種攻擊行為加以紀錄,系統再以 網路上為活動與之比較,以斷定是否屬於類似的 攻擊行為。
這種入侵偵測系統需建立一知識庫來儲存這些攻 擊模式,故這類入侵偵測方式又稱之為規則之分 析偵測或特徵入侵偵測。
這類入侵偵測技術優點是不會發生將合法的事件 誤判成非法事件,缺點是未被收錄在知識庫裡的 攻擊模式系統將無法被偵測出來。
35
網路安全
© The McGraw-Hill Companies, Inc., 2007
主機端入侵偵測系統持續的監控主機上的各種行為,進而判斷是否有異常發生。
缺點 : 效能較差 (佔用主機資源 ) ,成本較貴 ( 每台主機都要安裝,且不同作業系統所使用之偵測系統不相同 )