网路安全与管理

梁仁楷1網路安全與管理資料來源松博梁仁楷台大計資邵喻美台大計資李美雯首頁目錄前一張後一張梁仁楷2大綱虛擬私人網路VPN無線網路結合VPN遠端遙控維護NATSNMP網路攻擊防火牆EMAILOPENRELAY首頁目錄前一張後一張梁仁楷3VPN虛擬私人網路連線（VirtualPrivateNetwork）VPN的虛擬通道用戶端電腦變成好像直接在公司的內部網路中VPN伺服器用戶端電腦網際網路公司內部區域網路Internet首頁目錄前一張後一張梁仁楷4VPN通訊協定PPTP(Point-to-PointTunnelingProtocol)只有在網際網路建立的VPN才能夠使用PPTP通訊協定。電腦透過VPN伺服器來傳送資料時，會先將不同通訊協定的封包封裝成PPP封包，等到另一端接受到後，再由遠端VPN伺服器來還原封包L2TP(LayerTwoTunnelingProtocol)L2TP和PPTP相似，唯一不同的是L2TP也具備了身分驗證、資料加密和資料壓縮的功能首頁目錄前一張後一張梁仁楷5WindowsServerVPN安裝兩張網路卡，一張內部IP、一張外部IP系統管理工具/路由及遠端存取按精靈指示安裝遠端存取（撥號或VPN）設定用戶端位址分派設定可撥入VPN連線的使用者首頁目錄前一張後一張梁仁楷6VPN用戶端電腦設定WindowsXP首頁目錄前一張後一張梁仁楷7VPN用戶端電腦設定首頁目錄前一張後一張梁仁楷8用VPN管控無線網路設成無線網路專用IP的網路卡連接AP，運用VPN管制無線網路存取設成內部IP的網路卡連接集線器，管制內部區域網路首頁目錄前一張後一張梁仁楷9無線網路overVPN規劃兩張網路卡，一張設內部區域網路IP例如192.168.0.135,MASK:255.255.255.0一張設無線網路專用IP例如192.168.1.1MASK:255.255.255.0無線用戶端電腦配置好相對的無線網路專用IP(例如192.168.1.X)，這部分可以在無線AP的DHCP功能上做設定首頁目錄前一張後一張梁仁楷10遠端遙控WindowsTerminalWindowsServer內建,二個人用pcAnywhere一個人用,二邊都要有人.被控端可以在防火牆內NetMeetingWindows內建,一個人用,二邊都要有人VNC一個人用首頁目錄前一張後一張梁仁楷11NAT網路位址轉譯Internet集線器ADSLModemNAT集線器外部IP架設Web站外部IP架設FTP站設定外部IP設定內部IP內部IP首頁目錄前一張後一張梁仁楷12WindowsServerNAT安裝兩張網路卡，一張內部IP、一張外部IP系統管理工具/路由及遠端存取按精靈指示安裝網路位址轉譯選擇對外連線介面設定用戶端位址分派首頁目錄前一張後一張梁仁楷13WindowsServerNAT首頁目錄前一張後一張梁仁楷14SNMP資料來源:台大計資邵喻美簡單網路管理協定（SimpleNetworkManagementProtocol）「要求/回應」協定：GET，SET遠端管理TCP/IP網路上的設備對不同網路節點進行讀取及寫入狀態資訊在UDP上執行Port161:sendingandreceivingrequestsPort162:receivingtrapsfrommanageddevices首頁目錄前一張後一張梁仁楷15SNMP工作原理SNMPManagerSNMPAgentget-requestget-responseget-next-requestget-responsetrapManagementInformationBase(MIB)ManagementInformationBase(MIB)SNMPCommunitySNMPManager:配備網管軟體的系統,通常是電腦系統+管理程式SNMPAgent:網路設備上的管理對應程式SNMPcommunity:alogicalrelationshipbetweenanSNMPagentandoneormoreSNMPmanagers.首頁目錄前一張後一張梁仁楷16MIB–ManagementInformationBase定義網路設備各種資訊的儲存結構•Name(OID)•Typeandsyntax•encodingMIB-II所有網路設備皆提供的MIB標準各家廠商也會提供proprietaryMIB有許多MIBstandards•ATMMIB、FrameRelayDTEInterfaceTypeMIB、BGPVersion4MIB、RADIUSAuthenticationServerMIB、MailMonitoringMIB、DNSServerMIB首頁目錄前一張後一張梁仁楷17rootiso(1)ccitt(0)joint-iso-ccitt(2)org(3)dod(6)internet(1)directory(1)mgmt(2)experimental(3)private(4)mib-2(1)system(1)interface(2)at(3)ip(4)icmp(5)tcp(6)udp(7)ifNumber(1)ifTable(2)enterprises(1)cisco(9)microsoft(311)...OID:.iso.org.dod.internet.mgmt.mib-2.interface.ifNumber.0.1.3.6.1.2.1.2.1.0首頁目錄前一張後一張梁仁楷18SNMP&MIB相關工具MRTG（MultiRouterTrafficGrapher）Getif–window-basedMIBbrowser首頁目錄前一張後一張梁仁楷19首頁目錄前一張後一張梁仁楷20首頁目錄前一張後一張梁仁楷21首頁目錄前一張後一張梁仁楷22網管系統網路管理掌握網路主機狀況加速故障排除減少網管人員的負擔網管系統商業軟體系統•整合型系統：收集MIB資料，統計分析，繪圖，事件通知•功能多樣化，價格昂貴免費軟體•網管系統的一部份功能首頁目錄前一張後一張梁仁楷23網路攻擊資料來源:台大計資李美雯網路監聽網路掃描漏洞利用密碼破解惡意程式植入DoS/DDoS攻擊首頁目錄前一張後一張梁仁楷24網路監聽取得攻擊或入侵目標的相關資訊Sinffer攔截網路上的封包DistributedNetworkSnifferClient將收集的資訊傳給Server首頁目錄前一張後一張梁仁楷25網路掃描遠端掃描目標主機的系統取得目標主機的資訊利用系統漏洞入侵網路管理者重視此問題首頁目錄前一張後一張梁仁楷26漏洞利用利用程式或軟體的不當設計或實做利用漏洞取得權限，進而破壞系統緩衝區溢位(bufferoverflow)網路安全網站公佈漏洞訊息首頁目錄前一張後一張梁仁楷27密碼破解利用系統弱點入侵取得密碼檔利用破解程式破解使用者密碼密碼的破解速度取得使用者密碼可入侵該主機取得系統管理者密碼可操控該主機首頁目錄前一張後一張梁仁楷28惡意程式碼植入-1病毒(Virus)自我複製性與破壞性後門程式(Backdoor)動機遠端遙控建立管理者權限之帳號更改主機的系統啟動檔首頁目錄前一張後一張梁仁楷29惡意程式碼植入-2利用電子郵件/MSN植入木馬程式駭客利用木馬程式聆聽的port遠端遙控更改木馬程式名稱與聆聽的port首頁目錄前一張後一張梁仁楷30DoS/DDoS攻擊DoS攻擊(DenialofService)-阻絕服務攻擊DDoS攻擊(DistributedDenialofService)-分散式阻絕服務攻擊2000年二月份知名網站(Yahoo,amazon,ebay,CNN,E-trade)被攻擊2001年七月份美國白宮網站被攻擊首頁目錄前一張後一張梁仁楷31DoS攻擊DoS:系統資源被佔用，使得系統無法提供正常服務系統資源包括主機的CPU使用率，硬碟空間，網路頻寬DoS攻擊利用同時傳送大量封包，造成網路或伺服器癱瘓首頁目錄前一張後一張梁仁楷32DDoS攻擊DDoS攻擊是多層次的DoS攻擊入侵其他主機，安裝攻擊程式具備遠端遙控的功能控制在同一時間內發動DoS攻擊首頁目錄前一張後一張梁仁楷33防禦機制防火牆(Firewall)的架設入侵偵測系統(IntrusionDetectionSystem)的架設IPSpoof的防治伺服器的妥善管理網路流量的即時分析首頁目錄前一張後一張梁仁楷34防火牆的架設-1防火牆架設的位置必須熟知攻擊或入侵的手法防火牆影響網路效率規劃DMZ(De-MilitarizedZone)區防火牆的缺點無法阻擋新的攻擊模式無法阻擋層出不窮的新病毒首頁目錄前一張後一張梁仁楷35防火牆的架設-2無法防範來自內部的破壞或攻擊無法阻擋不經過防火牆的攻擊首頁目錄前一張後一張梁仁楷36Internet防火牆ftpServerWebServerIntranetDMZ區示意圖首頁目錄前一張後一張梁仁楷37入侵偵測系統依照偵測方法分為:AnomalyDetection:•建立使用者與系統的正常使用標準•比對標準值，以判斷是否有入侵行為MisuseDetection:•將各種已知的入侵模式或特徵建成資料庫•比對資料庫的pattern，以判斷是否有入侵行為首頁目錄前一張後一張梁仁楷38入侵偵測系統(cont.)相關功能:攻擊程式多數為OpenSource，可建立封包過濾的pattern阻隔可能的攻擊來源對可能的來源攻擊下“停止攻擊”指令首頁目錄前一張後一張梁仁楷39IPSpoof的防治IPSpoof:偽造封包的來源IP位址以送RAWSocket方式偽造來源IP位址防治方式:在router或防火牆設定ACL管理規則禁止外來封包的來源位址是內部網路的位址禁止非內部網路位址的封包流到外部首頁目錄前一張後一張梁仁楷40伺服器的妥善管理管理不善的伺服器=駭客攻擊跳板系統管理者應做好系統的修補工作網路管理人員評估校園網路安全與否:弱點評估工具掃描工具首頁目錄前一張後一張梁仁楷41SNMPv1安全漏洞補救方法掃描SNMP服務工具•SNScan–••SNMPing–•安裝廠商提供的修補程式關閉SNMP服務首頁目錄前一張後一張梁仁楷42SNMPv1安全漏洞更改SNMP預設群組名稱預設名稱:•snmp-servercommunitypublicRO•snmp-servercommunityprivateRW以防火牆或routerACL過濾SNMP連線過濾或阻擋SNMP相關的161、162、1993等TCP/UDPport的存取•access-list101denytcpanyanyeq161log•access-list101denyudpanyanyeq161log•access-list101permitipanyany首頁目錄前一張後一張梁仁楷43SNMPv1安全漏洞限制特定IP可存取access-list10permit140.112.3.100snmp-servercommunityntuRO10啟動入侵偵測系統進行監控首頁目錄前一張後一張梁仁楷44EMAILOPENRELAYEMAILServer被當作跳板,散發垃圾郵件ORDB:UnixSystem測試:請升級sendm