網路安全 (Network Security)
本章內容 11.1 前言 11.2 網路安全的威脅 11.3 防火牆 11.4 入侵偵測系統
11.1 前言 網路可看成是將許多分散各地的電腦主機連接起來,彼此間可以互傳訊息及共享資訊。 Web sever Intranet 區域網路 Domain name sever 區域企業內部網路 internet 區域內部網路 工作站 伺服器 防火牆
美國電腦網路危機機處理中心每年處理之危機事件數
11.2 網路安全的威脅 常見的網路系統安全威脅來自三個來源: 1) 來自外部的駭客(Hackers):駭客可能透過網 路登入到未經授權的主機去竊取機密或進行 破壞。 2) 惡意的訊息:可是病毒或垃圾訊息藉以癱瘓 系統。 3) 內部惡意的使用者:安全威脅可能是經由授 權合法的使用者所引起。
一般電腦網路攻擊事件之完整流程圖
經由網路的攻擊 中斷、攔截(Interruption) 破壞系統使之不能正常及有效使用。 例如:破壞硬體設備使系統不能運轉;發送大量封包以癱瘓網站;刪除系統之程式或系統需用到之資料檔……。(Denial of Service DOS) 發送端 接受端
經由網路的攻擊(續) 中途竊聽(Interception) 未經授權之團體或個人竊聽不該知道之機密資料。基本上這類威脅不會破壞整個系統,但會將機密資料洩露出去。 發送端 接受端
經由網路的攻擊(續) 竄改(Modification) 不法之徒未經許可篡改資料。這類威脅有時比洩露機密資料造成更大損失。 發送端 接受端
經由網路的攻擊(續) 偽造(Fabrication) 最後一類威脅稱為偽造假資料。與篡改威脅之不同點,在於篡改之資料為已經存在之資料,偽造假資料則是無中生有。 發送端 接受端
網路攻擊模式 主動式攻擊 中途奪取 中斷 竄改 偽造 (隱密性) (可靠性) (完整性) 來源認證 被動式攻擊
主動攻擊與被動攻擊實例 掃描偵測弱點攻擊法 - 偽造來源位址 - 竊聽網路資訊 - 猜測通行碼 經由掃描弱點之程式,掃描特定主機或網路 的弱點。 偽造來源位址 - 偽造入侵者來源位置,避免被追查。 竊聽網路資訊 - 利用網路協定(如Ethernet)之特性,竊聽並 複製網路層之封包。 猜測通行碼
11.3 防火牆 網路安全管理 - 防火牆 Internet 傳入或傳出的封包 是否傳送或阻擋 Screen 由站台的安全策略 Router 網路安全管理 - 防火牆 Internal Net Screen Router 傳入或傳出的封包 是否傳送或阻擋 由站台的安全策略 決定 Internet
防火牆安全策略 所有進入或外出的封包都必須經過防火牆的檢驗,控制封包進出的方式分為: 1) 服務控制(Service Control): 決定網路上的哪些服務可被存取。 (FTP, Telnet可否存取內部資料?) 2) 流向控制(Direction Control): 決定哪些特定方向的服務可被允許通過防火牆。 3) 使用者控制 (User Control): 根據使用者的存取權限來控制使用者所能取得的網路服務。但在執行這項服務前先要對使用者的身份進行認證。 4) 行為控制 (Behavior Control): 針對某些特定的事件來進行控制。(廣告郵件,內部行為限制)
防火牆的種類 防火牆的種類: 封包過濾(Packet Filtering) 狀態檢視防火牆(Stateful Inspection Firewalls) 應用階層閘道(Application Level Gateways) 網路位址轉譯(Network Address Translation, NAT)
封包過濾防火牆 檢查封包標頭資訊是否符合安全策略 來源IP 2. 目的IP 3. Port 4. Protocol
狀態檢視防火牆(動態封包檢視) 封包標頭檢查外,進一步檢查封包間之關連性。
應用階層閘道 所有應用層協定封包均由防火牆代理程式來服務。
網路位址轉譯
網路位址轉譯(續) NAT (Network Address Translation)是將內部網路伺服器的主要位置隱藏起來,避免成為駭客下手攻擊的目標。 二個優點:1)可解決合法IP位址不足的缺失。 2)將內部的IP位址隱藏起來,避免遭到 攻擊。
防火牆的架構 三種基本防火牆的架構: (由上述4種防火牆措施搭配產生) 1)單介面防禦主機架構 2)雙介面防禦主機架構 3)屏蔽式子網路架構
單介面防禦主機架構 此架構防火牆包含過濾防火牆及防禦主機兩種系統。可視為是封包過濾與代理器的一個結合。 防禦主機是具有驗證及代理程式的功能,它是外部網路與內部網路通訊的媒介,凡外部網路要跟內部網路作通訊,都要透過防禦主機來交涉。
單介面防禦主機架構(續)
雙介面防禦主機架構 雙介面防禦主機與單介面防禦主機主要不同在於雙介面的防禦主機安裝了兩片網路卡:一片連結內部網路,另一片連結到外部網路。 安裝兩片網路卡其目的就是隔離外部網路及內部網路,避免直接作封包傳遞。
雙介面防禦主機架構(續)
屏蔽式子網路架構 前面兩種架構均是在外部及內部網路間的通道上建一個檢查哨來過濾封包,一旦這個檢查哨遭破解,那麼外部封包便可進到內部網路。 屏蔽式子網路架構由一個外部封包過濾路由器、一個內部封包過濾路由器、及一個防禦主機所構成。(多一層保護)
屏蔽式子網路架構(續)
11.4 入侵偵測系統 防火牆的功能主要是阻絕不符合規定的封包,以 防止惡意軟體進內部網路,可說是網路系統的第 一道防線。但有些情況,防火牆也無能為力。 (內賊難防) 入侵偵測技術正是要彌補防火牆的不足。 入侵偵測系統可說是網路系統的第二道防線。 主要任務就是協助管理者找出異常行為以降低損 失並協助復原。
入侵偵測系統的功能 入侵偵測系統判定是否為異常行為(依據使用者行為是否合乎常規,來判斷該行為是否異常),有下列四種情況: 1) 正確判定異常(True Positives): 當一個異常行為發生,入侵偵測系統可正確判定為異常行為。 2) 正確判定正常(True Negatives): 當一個正常行為發生,入侵偵測系統可正確判定為正常行為。 3) 誤判正常(False Positives): 當一個異常行為發生,入侵偵測系統卻將此異常行為誤判為正常行為。 4) 誤判異常(False Negatives): 當一個異常行為發生,入侵偵測系統卻將此正常行為誤判為異常行為。
入侵偵測系統 入侵偵測系統主要功能可分為三個部分: 1) 資料收集: 執行入侵偵測技術,要先從系統、網路、及使用者的相關使用情況來收集資訊。 2) 資料分析: 將收集到的各項資訊,透過模式匹配、統計分析(real time)、和完整性分析(事後)來作攻擊模式管理者的分析。 3) 回應: 當入侵偵測系統偵測出可能出現異常行為時,系統會即時做出回應。主要回應模式有:立刻切斷連線、通知管理者、紀錄行為、及發出警告聲等。
異常行為入侵偵測 是一種負面行為模式的偵測技術(判斷是否為異常行為) 藉由使用者過去行為模式的統計資料為依據,若與正常的行為模式相差過大,則視為是異常行為並加以回報。 這種統計型的入侵偵測系統主要分為: 1) 門檻偵測:統計在一段時間內某個事件所發生的次數(次數是否合理,如不斷嘗試登入某個系統)。 門檻值過高: 誤判正常增加 門檻值過低: 誤判異常增加 2) 紀錄檔偵測:
紀錄檔偵測: 針對每一使用者過去的行為來建立一個紀錄檔,若該使用者的行為與紀錄檔中過去的行為模式有極大差異時,此人便可能是入侵者。 消耗大量系統資源對所有使用者進行監控與比對。 評估行為差異的項目: 次數: 單位時間內執行某些指令的次數,例如登入系統次數或錯誤密碼輸入次數。 間隔時間: 登入的時間間隔,或使用特定系統的時間間隔。 資源使用率: 單位時間內的資源使用量,例如單位時間內列印次數或上傳或下載資料量。
錯誤行為入侵偵測 是一種正面行為模式的偵測技術(比對是否為紀錄有案之異常行為) 將已知的任何一種攻擊行為加以紀錄,系統再以 網路上為活動與之比較,以斷定是否屬於類似的 攻擊行為。 這種入侵偵測系統需建立一知識庫來儲存這些攻 擊模式,故這類入侵偵測方式又稱之為規則之分 析偵測或特徵入侵偵測。 這類入侵偵測技術優點是不會發生將合法的事件 誤判成非法事件,缺點是未被收錄在知識庫裡的 攻擊模式系統將無法被偵測出來。
入侵偵測的系統架構 入侵偵測的系統類型分為: 1) 主機端的入侵偵測系統 2) 網路端的入侵偵測系統
主機端入侵偵測系統 持續的監控主機上的各種行為,進而判斷是否有異常發生。 缺點: 效能較差(佔用主機資源),成本較貴(每台主機都要安裝,且不同作業系統所使用之偵測系統不相同)
網路端入侵偵測系統 以封包為偵測之目標,分析封包來偵測入侵行為。所以設置在內網與外網連接之通道上。