組長:林長諭 組員:顏柏舜 韋道揚 陳卉潔
工作分配
顏柏舜
防火牆的存在 因網路技術的發達,人們透過網路的便利可 以達成許多的事情。例如下載影片、搜尋資 料、網路遊戲..等等,但使用者在獲得網路 資訊的同時,要怎樣不成為駭客所攻擊或利 用的對象呢?所以為了增加內部主機的安全 性,我們需要架設防火牆,作為保護本機或 內部主機的第一道防線。
預期目標 1. 有效的過濾來自網路上封包。 2. 保護內部公司網路不曝露在網路上。 3. 開放特定 Port 給公司對外網路通行服務, 如 Mail。
軟體式防火牆 防火牆可分 :1. 硬體防火牆 2. 軟體防火牆
軟體防火牆可分 :1. Filter Firewall 2. Application
Firewall Filter Firewall :為封包過濾式防火牆,是針對封包 表頭進行分析比對的技術,若比對符合結果,在進 行下一步的處理。 Application Firewall:最典型為 Proxy ( 代理伺服 器 ),是當 Client 有所需求時,會由 Proxy 幫Client 端至 Internet 取回資料。
iptables iptables 為 Filter Firewall 式的防火牆, 是一種針對封
包表頭進行過濾的技術,當網路上的封包欲進入公司內 部時,我們可透過預先設定的規則,將封包和規則進行 分析如果符合條件,在進一步對封包做處理。 建置上的優點,由於 Linux version2.4 已內建 iptables ,所以成本上的考量,iptables 通常為企業網路中的第 一道防線。 功能上的特點,iptables 可搭 Heartbeat 技術達成防 火牆備援的功能,而且可跟 Fwbulider 整合成 GUI 的 操作,在Application 層也可搭配L7-filter 做處理。
iptables 功能簡介 Tables:
1.Filter – INPUT、OUTPUT、FORWARD。 2.Nat – PREROUTING、POSTROUTING、 OUTPUT。 3.Mangle -- 針對封包內容做修改。 Chains : 將所有規則接成一個序列逐一檢查,在 過濾的過程中只要條件符合會立即處理,最大的 特點可以縱橫 交錯進行過濾。
IPtables 運作過程 Packet IN
ROUTING PREROUTING
TABLE
FORWARD
INPUT
LOCAL
ROUTING Packet OUT
POSTROUTING
TABLE
OUT PUT
韋道揚
Firewall Builder 是一個圖形化界面的多平台防火牆配置和管理工具,
使用者只需看圖及一些 drag and drop 的動作便可 以簡單完成安裝防火牆的工作,這對一些不熟悉 iptables 的人來說真的有極大幫助,使我們的工作 都可以輕易完成。 支援的軟體: FWSM、ipfilter、ipfw、iptables…等等。
支援的作業系統: FreeBSD、CiscoIOS、Linux2.4/2.6、MAC OSX、 Solaris ...等等。
Firewall Builder 預期目標 可以使用圖形介面操作完成防火牆規則的設 定。 能夠利用 fwbuilder 產生 shell script 檔。 使用該 shell script 檔的防火牆能夠正確的 達到需求。
Firewall Builder
Firewall Builder
Firewall Builder
Firewall Builder
Firewall Builder
Firewall Builder
Firewall Builder
Firewall Builder
Firewall Builder
林長諭
簡介 Snort是一套Open Source的IDS程式,它的 作用主要是針對網絡傳輸進行即時監視,在 發現可疑傳輸時發出警報並將其記錄在LOG 檔中。
優點 1. 可以偵測到OSI 7 2. 原始碼簡潔 3. 快速偵測網路攻擊 4. 相容性高,支援 Windows, Linux, Solaris, BSD, IRIX, HP-UX
Model Anomaly-based (異常偵測): 監測網路狀態,根據規則資料庫和策略,
尋找異常行為並提出告警訊息。
Signature-based (特徵比對): 檢查所有經過的封包,並利用特徵比對的 方式判斷是否為入侵行為。
Lib/Winpcap • 收集封包
Decoder • 進行解碼
Oreproccessor • 分析檢測
Detection Engine • 比對
送出正常資訊
紀錄至Log檔 送出警訊
林長諭
IPS的必要性 根據IDC發佈的案例,美國的一家財務公 司,在全球有12個分支機搆,原計劃使用多 台防火牆並搭配250個許可證的IDS。最終, 該公司僅用了30個許可證的IPS產品就實現 了全球網路的入侵防禦,而管理人員只需要 3至4人,效率卻提高了6倍以上。
組成 IPS = Snort + Guardian + iptables 在結合 Guardian 及 iptables 後,使得原有的 系統轉為主動防禦,可以自動化地檢視並直 接做出反應的手段,有效降低管理上的不便。
Guardian 讀取並分析 Alert Event 修改 iptables 的設定 主動阻擋攻擊的行為
AlertEvent
Database
Guardian
add Strategy
Iptables
IP blocking
優勢 Real-time Interdiction :
即時對入侵活動和攻擊性行為進行攔截。 Advanced Detection Technology : 根據不同的特徵與攻擊,同時處理檢測和重 組分析,並對重組後的封包進行比對。
優勢 Build-in Special Rule :
允許手動建立特殊的的規則、策略。 Self-study & Self-adaptation Ability : 根據網路被入侵的狀況,分析和紀錄攻擊 特徵並更新資料庫,制定新的安全防禦策 略。
預定目標 更完善的防禦機制
即時自動的防禦功能 降低管理人員的負擔
陳卉潔
何謂弱點? 弱點指的是在軟體程式開發時的一些有意或 無意的程式設計錯誤,或系統管理者的一些 不當安裝設定軟體的方式,使得攻擊者可以 在有安裝這些軟體的機器上,利用這些尚未 修補的錯誤來入侵,獲取到系統的機密資訊 或是系統的權限。尤其是當軟體越裝越多, 系統服務開啟的越多,那麼被攻擊的可能性 就越大。
為何需要弱點掃描? 風險: 組織單位環境若存在越多弱點就越容易遭受攻
擊。
事實: 99% 的駭客利用已知的漏洞入侵。
策略: 定期的弱點評估有助於掌握及降低遭受攻擊入
侵的風險。
Nessus 介紹 Nessus 是一套免費、功能強大、支援即時 更新且容易使用的安全性稽核軟體。 可針對指定的網域、主機,找出隱藏的弱點 所在,讓系統管理者對系統主機進行錯誤的 更正或防護,以避免被入侵者攻擊。 提供模擬真實的攻擊以測試系統漏洞,回報 找到的漏洞並提供解決方法。
Nessus 特性 Client – Server 架構: 1. Client 端主要是一個前端介面,能提供
使用者登入 Nessus Server,選擇欲執 行的檢測。 2. Server 端負責測試掃描,掃描後提供完 整的報告及可能的解決方案給 Client 端 檢視、修復。 3. Server 端執行複檢作業。
Nessus 特性 聰明的通信埠識別能力:Nessus 在測試目 標並不會依循 IANA 所指派的通信埠編號。 例如:Nessus 能辨別出一個開在 port 6386 的網頁伺服器。 重覆服務的檢測:一台主機同時架設兩個網 頁伺服器,Nessus 會將兩個通信埠都測試 出來。
Nessus 特性 同時偵測多台電腦:視伺服器主機的能力而 異,但 Nessus 系統可同時測試多台目標伺 服器。 遠端掃描:Nessus 可同時在本機或遠端上 搖控,進行系統的漏洞分析掃描。 完全支援 SSL ( Secure Socket Layer )
Nessus 特性 弱點偵測 Plug-ins:每一個 Plug-in 可針對 每一個安全漏洞提供稽核並提供此漏洞的相 關修補資訊;目前以提供 40000 個以上。 時常性更新弱點資料庫
NASL 擴充語言:NASL ( Nessus Attack Scripting Language ) 可用來寫入 Nessus 的安全測試選項,亦可給使用者可以自行開 發新的 Plug-ins。
架構圖
PC
PC
Ethernet Nessus Window Client Nessus Server
PC
PC
Nessus UNIX-like Client
Server 主要安裝在 UNIX-like 的系統環境,而 Client 可以安裝 在 UNIX-like 的作業系統或是微軟的 Windows 作業系統底下。
Nessus 特性 完整的報告: 1. 安全紀錄(Notes):可獲得某些系統資訊的
資料報表。 2. 安全警告(Warning):會提供影響系統安全 的資料報表。 3. 安全漏洞(Hole):會提供嚴重影響系統安 全的資料報表。
檢查結果可使用 HTML、純文本、XML 等 格式保存。
Add Policy
Add Scan
Report
Report
Report
HTML Report
HTML Report