LXLAB by Second Chen

組長：林長諭組員：顏柏舜韋道揚陳卉潔

工作分配

顏柏舜

防火牆的存在  因網路技術的發達，人們透過網路的便利可以達成許多的事情。例如下載影片、搜尋資料、網路遊戲..等等，但使用者在獲得網路資訊的同時，要怎樣不成為駭客所攻擊或利用的對象呢？所以為了增加內部主機的安全性，我們需要架設防火牆，作為保護本機或內部主機的第一道防線。

預期目標 1. 有效的過濾來自網路上封包。 2. 保護內部公司網路不曝露在網路上。 3. 開放特定 Port 給公司對外網路通行服務，如 Mail。

軟體式防火牆  防火牆可分：1. 硬體防火牆 2. 軟體防火牆

 軟體防火牆可分：1. Filter Firewall 2. Application

Firewall  Filter Firewall ：為封包過濾式防火牆，是針對封包表頭進行分析比對的技術，若比對符合結果，在進行下一步的處理。  Application Firewall：最典型為 Proxy ( 代理伺服器 )，是當 Client 有所需求時，會由 Proxy 幫Client 端至 Internet 取回資料。

iptables  iptables 為 Filter Firewall 式的防火牆，是一種針對封

包表頭進行過濾的技術，當網路上的封包欲進入公司內部時，我們可透過預先設定的規則，將封包和規則進行分析如果符合條件，在進一步對封包做處理。  建置上的優點，由於 Linux version2.4 已內建 iptables ，所以成本上的考量，iptables 通常為企業網路中的第一道防線。  功能上的特點，iptables 可搭 Heartbeat 技術達成防火牆備援的功能，而且可跟 Fwbulider 整合成 GUI 的操作，在Application 層也可搭配L7-filter 做處理。

iptables 功能簡介  Tables：

1.Filter – INPUT、OUTPUT、FORWARD。 2.Nat – PREROUTING、POSTROUTING、 OUTPUT。 3.Mangle -- 針對封包內容做修改。  Chains : 將所有規則接成一個序列逐一檢查，在過濾的過程中只要條件符合會立即處理，最大的特點可以縱橫交錯進行過濾。

IPtables 運作過程 Packet IN

ROUTING PREROUTING

TABLE

FORWARD

INPUT

LOCAL

ROUTING Packet OUT

POSTROUTING

TABLE

OUT PUT

韋道揚

Firewall Builder  是一個圖形化界面的多平台防火牆配置和管理工具，

使用者只需看圖及一些 drag and drop 的動作便可以簡單完成安裝防火牆的工作，這對一些不熟悉 iptables 的人來說真的有極大幫助，使我們的工作都可以輕易完成。  支援的軟體： FWSM、ipfilter、ipfw、iptables…等等。

 支援的作業系統： FreeBSD、CiscoIOS、Linux2.4/2.6、MAC OSX、 Solaris ...等等。

Firewall Builder 預期目標  可以使用圖形介面操作完成防火牆規則的設定。  能夠利用 fwbuilder 產生 shell script 檔。  使用該 shell script 檔的防火牆能夠正確的達到需求。

Firewall Builder

林長諭

簡介  Snort是一套Open Source的IDS程式，它的作用主要是針對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報並將其記錄在LOG 檔中。

優點 1. 可以偵測到OSI 7 2. 原始碼簡潔 3. 快速偵測網路攻擊 4. 相容性高，支援 Windows, Linux, Solaris, BSD, IRIX, HP-UX

Model  Anomaly-based (異常偵測)：  監測網路狀態，根據規則資料庫和策略，

尋找異常行為並提出告警訊息。

 Signature-based (特徵比對)：  檢查所有經過的封包，並利用特徵比對的方式判斷是否為入侵行為。

Lib/Winpcap • 收集封包

Decoder • 進行解碼

Oreproccessor • 分析檢測

Detection Engine • 比對

送出正常資訊

紀錄至Log檔送出警訊

林長諭

IPS的必要性根據IDC發佈的案例，美國的一家財務公司，在全球有12個分支機搆，原計劃使用多台防火牆並搭配250個許可證的IDS。最終，該公司僅用了30個許可證的IPS產品就實現了全球網路的入侵防禦，而管理人員只需要 3至4人，效率卻提高了6倍以上。

組成  IPS = Snort + Guardian + iptables 在結合 Guardian 及 iptables 後，使得原有的系統轉為主動防禦，可以自動化地檢視並直接做出反應的手段，有效降低管理上的不便。

Guardian  讀取並分析 Alert Event  修改 iptables 的設定  主動阻擋攻擊的行為

AlertEvent

Database

Guardian

add Strategy

Iptables

IP blocking

優勢  Real-time Interdiction ：

即時對入侵活動和攻擊性行為進行攔截。  Advanced Detection Technology ：根據不同的特徵與攻擊，同時處理檢測和重組分析，並對重組後的封包進行比對。

優勢  Build-in Special Rule ：

允許手動建立特殊的的規則、策略。  Self-study & Self-adaptation Ability ：根據網路被入侵的狀況，分析和紀錄攻擊特徵並更新資料庫，制定新的安全防禦策略。

預定目標  更完善的防禦機制

 即時自動的防禦功能  降低管理人員的負擔

陳卉潔

何謂弱點？  弱點指的是在軟體程式開發時的一些有意或無意的程式設計錯誤，或系統管理者的一些不當安裝設定軟體的方式，使得攻擊者可以在有安裝這些軟體的機器上，利用這些尚未修補的錯誤來入侵，獲取到系統的機密資訊或是系統的權限。尤其是當軟體越裝越多，系統服務開啟的越多，那麼被攻擊的可能性就越大。

為何需要弱點掃描？  風險：  組織單位環境若存在越多弱點就越容易遭受攻

擊。

 事實：  99% 的駭客利用已知的漏洞入侵。

 策略：  定期的弱點評估有助於掌握及降低遭受攻擊入

侵的風險。

Nessus 介紹  Nessus 是一套免費、功能強大、支援即時更新且容易使用的安全性稽核軟體。  可針對指定的網域、主機，找出隱藏的弱點所在，讓系統管理者對系統主機進行錯誤的更正或防護，以避免被入侵者攻擊。  提供模擬真實的攻擊以測試系統漏洞，回報找到的漏洞並提供解決方法。

Nessus 特性  Client – Server 架構： 1. Client 端主要是一個前端介面，能提供

使用者登入 Nessus Server，選擇欲執行的檢測。 2. Server 端負責測試掃描，掃描後提供完整的報告及可能的解決方案給 Client 端檢視、修復。 3. Server 端執行複檢作業。

Nessus 特性  聰明的通信埠識別能力：Nessus 在測試目標並不會依循 IANA 所指派的通信埠編號。例如：Nessus 能辨別出一個開在 port 6386 的網頁伺服器。  重覆服務的檢測：一台主機同時架設兩個網頁伺服器，Nessus 會將兩個通信埠都測試出來。

Nessus 特性  同時偵測多台電腦：視伺服器主機的能力而異，但 Nessus 系統可同時測試多台目標伺服器。  遠端掃描：Nessus 可同時在本機或遠端上搖控，進行系統的漏洞分析掃描。  完全支援 SSL ( Secure Socket Layer )

Nessus 特性  弱點偵測 Plug-ins：每一個 Plug-in 可針對每一個安全漏洞提供稽核並提供此漏洞的相關修補資訊；目前以提供 40000 個以上。  時常性更新弱點資料庫

 NASL 擴充語言：NASL ( Nessus Attack Scripting Language ) 可用來寫入 Nessus 的安全測試選項，亦可給使用者可以自行開發新的 Plug-ins。

架構圖

Ethernet Nessus Window Client Nessus Server

Nessus UNIX-like Client

Server 主要安裝在 UNIX-like 的系統環境，而 Client 可以安裝在 UNIX-like 的作業系統或是微軟的 Windows 作業系統底下。

Nessus 特性  完整的報告： 1. 安全紀錄（Notes）：可獲得某些系統資訊的

資料報表。 2. 安全警告（Warning）：會提供影響系統安全的資料報表。 3. 安全漏洞（Hole）：會提供嚴重影響系統安全的資料報表。