CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A 2018/11/12 CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A CURELAN TECHNOLOGY Co., LTD www.CureLan.com
IPS 設備技術原理分析 入侵防禦系統(IPS, Intrusion Prevention System): 入侵防禦功能 Signature Pattern(特徵碼) 需要更新特徵碼 防禦DoS功能 Threshold(防禦值) 設定每一個IP,每秒累積封包 (Packet)的次數,也就是數(count)每一個IP所累積的session,例;udp_src_session、udp_dst_session等,此功能容易把正常(normal)封包(Packet)誤判為異常(anomaly)封包(Packet),因為語音(Voice)、多媒體(Media Stream)、DNS(Domain Name System)、NTP(Network Time Protocol)等都是使用UDP封包(Packet)。 一般市場常見的設備有IBM Tivoli ISS 、CISCO Source File、McAfee、FortiGate、PALOALTO 、Juniper、Check Point、Arbor Networks DS_Pravail等設備都是採用上述的技術。 採用
Flowviewer 設備採用技術原理分析 Flowviewer 設備:Inline Mode Structure FM-800A/FM-1500A NBA(Network Behavior Analysis) IP NBAD(Network Behavior Anomaly Detection) 收集每IP來分析網路(Network)異常(anomaly)封包(Packet) 。 NBAD(Network Behavior Anomaly Detection)的技術,很多廠商都朝這方面來開發產品成效都很差 ,主要是都採用資料庫的架構來收集IP,例;MySQL、Oracle等資料庫,這些資料庫是很好產品但是用不對方向,因為收集網路(Network)的IP資料可能有百億筆IP資料,所以效能都不佳。 Flowviewer 設備採用自行開發的數學演算法,可以快速收集NetFlow或Sflow並且加以歸類及分析每一筆IP,來判斷異常(anomaly)封包(Packet) 。 IEEE有這方面的文章發表 進化
接收Netflow的IP資料來分析IP的細節 The Flowviewer FM-800A / FM-1500A
採用網路行為異常分析 IP 技術 Network Behavior Anomaly Detection (NBAD) NBAD Technology Flowviewer is 64 Bit device Inline Mode Structure 設備可以自動偵測駭客入侵及攻擊,並自動阻斷入侵及攻擊 TRUE ? FALSE ?
Flowviewer的功能分類 功能分類 FM-800A為 1G方案/ FM-1500A為 10G方案 防止駭客入侵功能:Port Scan、SSH、RDP等功能 防止駭客攻擊功能:UDP Flood Attacks、DOS Attacks、DNS Attacks、NTP Attacks等功能 動態查詢IP報表可追蹤並查詢IP犯罪記錄
駭客入侵及攻擊所造成的後果? 駭客入侵會造成銀行客戶資料被竊取,及公司商業機密資料被竊取,在國防機密也會被竊取重要資料,甚至影響國家安全。 每個國家的軍事網路都是封閉網路(獨立網路,不跟互聯網有任何交集)。但是,有關人員可能會被敵方收買利用入侵程式並植入木馬程式等方式,來竊取軍事機密。
入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 2018/11/12 入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 IPS設備採用特徵值(Pattern)方案,網路駭客為了躲避特徵值(Pattern) 的偵測,平均2天至3天就會改變特徵值(Pattern),所以IPS設備永遠是處於被動(也就是被挨打)。 網路駭客入侵到內部網路電腦後,會再透過被植入的木馬程式來入侵內部網路的其他電腦或Server,也就是內部網路入侵內部網路,以擴充入侵版圖也就是殭屍網路(Botnet) IPS設備是放置在Inline Mode,又不能收集Netflow的IP資料來分析內對內的IP資料,所以對於內對內入侵毫無辦法。 IPS設備的DDOS功能是採用門檻值(threshold)功能來防止駭客攻擊,但是誤判率很高。
入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-2 駭客會以Port Scan程式在Internet進行掃瞄,來發現使用單位所使用的Port Service,所以使用單位改變原有Port Service的號碼來躲避駭客入侵是沒有用,駭客由Port Scan得知使用單位之Port Service後,可藉入侵程式來入侵某特定埠(Port Service),並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電腦。 駭客也會透過SSH (22 Port)、RDP (3389 Port)來入侵使用單位的網 路,並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電 腦。
網路入侵 V.S. 網路攻擊 之分析 Cyber-Intrusion (網路入侵) Cyber-Attack (網路攻擊 ) 像小偷一樣 像強盜一樣 使用巨大網路流量及網路Sessions來癱瘓網路 不害怕被發現,因為是假借別人IP來攻擊 像小偷一樣 很小網路封包(Packet) 害怕被發現
Cyber-Attack 駭客攻擊 之分析 The Amount of Traffic A Number of Sessions 產生巨大網路Sessions,所經過網路設備都會產生設備的CPU損耗過高導致癱瘓網路 產生巨大網路流量來佔據網路頻寬導致癱瘓網路
Flowviewer 自動阻斷駭客入侵及攻擊 Cyber-Intrusion (網路入侵) Port scan SSH RDP Worm Cyber-Attack (網路攻擊) UDP Flood Attack DOS Attack DNS Attack NTP Attack
Flowviewer設備在Inline Mode架構, 來防止駭客入侵及攻擊
以Inline Mode架構自動防止駭客入侵及攻擊 Flowviewer設備提供硬體及軟體故障時Auto By-Pass功能,所以在Inline Mode架構當設備損壞時都不影響內部網路對外連線。 Flowviewer設備提供在設備上自動阻斷駭客入侵及攻擊之IP。 自動阻斷外部IP(當駭客由Internet入侵使用單位內部網路) 可自動下ACL指令在Core Switch來阻斷,駭客內對內的入侵。 Flowviewer 設備遇到駭客入侵及攻擊時阻斷方式,在L3 Core Switch下達ACL指令阻斷駭客入侵及攻擊之IP,運用L3 Core Switch(Cisco、Foundry、Alcatel、Extreme等廠牌)的(Access Control List Entries) ACLs指令將駭客入侵及攻擊的IP斷線處理。
實際案例說明
內部網路 入侵 內部網路 駭客植入木馬程式後內部網路入侵內部網路,如左圖在第4項次,140.xxx.xxx.56利用RDP途徑同一時間入侵內部網路140.xxx.xxx.66等7個IP 如右圖在第1項次,140.xxx.xxx.171利用RDP途徑同一時間入侵內部網路140.xxx.xxx.2 等14個IP。
從內對內入侵探討駭客勒索事件(Ransomware Attackers ) 駭客無論透過何種方式入侵到內部網路,一定再會透過內對內入侵尋找Server Farm,為什麼?因為個人電腦沒有比較重要檔案,重要檔案都放置在Server,而駭客勒索事件(Ransomware Attackers )就是入侵企業的File Server,將File Server的資料加密後來勒索企業主,想要解開File Server資料的密碼就必須付錢給駭客。以2013年Facebook被東歐駭客集團竊取使用Facebook的使用者資料情況來分析,據外電新聞報導,Facebook的員工下載APP軟體後被駭客植入木馬程式,然後Facebook使用者資料庫就被竊取。 我們來分析駭客入侵的流程,Facebook的員工有使用者資料庫嗎?答案是,Facebook的員工一定沒有使用者資料庫,駭客只是透過Facebook員工的途徑將木馬程式植入到Facebook的內部網路,接下來還會透過內對內入侵尋找File Server來竊取資料庫的資料,同樣;駭客勒索事件(Ransomware Attackers )只是將內對內入侵尋找到File Server的資料加密,並要求企業主的贖款才能將加密的檔案解密。 我們Flowviewer設備除了具備有Port Scan、SSH、RDP等功能來防止駭客入侵,還具備偵測駭客內對內入侵功能,如此才能防止駭客勒索事件(Ransomware Attackers )。
UDP Attack 真實案例,UDP通訊協定是沒有連線數(Sessions)觀念(TCP才有連線數觀念)。但是,駭客運用”跳Port Service”的觀念來產生連線數(Sessions),如下圖,駭客假借140.xxx.xxx.197來攻擊對外IP,被假借的使用單位一樣被癱瘓內部網路,但是,有Flowviewer設備會自動偵測攻擊IP並阻斷,避免網路癱瘓。 舉例:美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。
駭客如何躲避IPS設備之偵測 上述之駭客攻擊產生40.72GB網路流量及2,390,917 Sessions數,但是;每秒最大Sessions數為743,目的就是為了躲避IPS設備的偵測。 IPS設備的門檻值(Threshold)功能,就是防止DDOS攻擊的功能,可以設門檻值(Threshold)一般都設在5,000,此真實案例只產生743,就可躲避IPS設備的偵測。
數學概念來分析駭客攻擊 S: session Psrc n: source port number Pdst n: destination port number Tn: some time ∵ ∵
動態流量即時查詢功能 可任意調整任何區段時間範圍來查詢個別IP有跟那些IP有連絡(也就是去了那些IP的網站或伺服器) ,此功能可以追蹤犯罪行為證據。 來源位置IP 120.XXX.XXX.39在2010年1月20日11點10分到12點10分,這個時間範圍區間跟那些IP有連絡就是目的位置IP ,藍色的IP表示經過80埠,綠色的IP表示非經過80埠。
結 論 駭客會運用Port Scan在網際網路(Internet)掃瞄 Port Service 65,535(網路服務埠),發現漏洞就會植入木馬程式,Flowviewer設備有這方面偵測防止功能. 駭客有專門程式針對SSH(22 Port)及RDP(3389 Port)來入侵並植入木馬程式,這是台灣國家網路中心 研究發現駭客會從此路徑入侵, Flowviewer設備有這方面偵測防止功能. 全世界防止駭客入侵無解方式有1.Spear phishing(魚叉式網路釣魚) 2.下載APP程式 3.微軟作業系統漏洞,而Flowviewer設備第二道防線就是針對這些入侵所造成的後果來防衛,如何防衛呢? Flowviewer設備有UDP Flood Attack偵測功能: a.駭客透過無解方式植入木馬程式後,一定會借用使用單位的網路流量來攻擊使用單位以外的IP,也就是假借IP來攻擊外部IP,用UDP封包的網路流量來攻擊,想要攻擊的目標IP,因為使用單位被借網路流量所以使用單位也會被癱瘓網路,所以已經不是自掃門前雪的問題,舉例;美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。 b.當駭客發動UDP Flood Attack攻擊使用單位,Flowviewer設備也會偵測到此攻擊. 同上述駭客也會以大量Sessions(Flows)來攻擊,跟上述一樣,駭客會假借IP來攻擊或使用單位直接受到大量Sessions(Flows)來攻擊,Flowviewer設備有DOS Attack功能可以偵測此方面的攻擊.
成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 2018/11/12 成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 嶺東科技大學、中州科技大學、弘光科技大學 吳鳳科技大學、中正預校、國防大學(主校區,政治作戰,中正理工) 台中護專、彰化縣網中心、台東縣網中心 醫院 彰化秀傳醫院、台南奇美醫院 政府單位 國家高速網路中心(5台) 、立法院、國立台中美術館、苗栗警局 嘉義市政府資訊中心(針對GSN出口監控) 銀行 兆豐國際商銀(三重分行) 企業 MAERSK (貨櫃公司) 、台糖實業量販部、台灣現代商船
Customers
Performance and Function Flowviewer Models Form Factor Attack Mitigation Performance and Function Inline Mode NIC FM-800A 2 U MRTG MAX: ~2Gbps Quota Management function and current traffic monitor Netflow or sFlow traffic report worm detection (NBAD) Automatic ACL block infected IPs SSH and RDP Password Guess Attacks Report UDP Flood Attacks Report DOS Relay Attack Report DNS Relay Attack Report NTP Relay Attack Report Automatic block Worm, Port Scan, SSH and RDP Password Guess, Port Scan, UDP Flood Attack, DOS Attack, NTP Attack and DNS Attack. Hardware & Software Bypass 2 Port 10/100/1000 BaseT or 2 Port 1000 Base-SX
總 結 Demo site for Flowviewer series 同時具備接收sFlow及NetFlow 之logs功能。 2018/11/12 總 結 Demo site for Flowviewer series http://140.130.102.28 Account: curelan01 Password: 123456789 同時具備接收sFlow及NetFlow 之logs功能。 具備動態調整時段區間來查詢歷史犯罪記錄。 設備的技術採用收集網路流量來分析IP行為模式,而不是採用特徵碼(Pattern),所以不用管駭客攻擊的名稱,因此網路管理者根本不用花時間研究駭客攻擊的名稱。 自動阻斷SSH及RDP入侵途徑,防止駭客以此途徑入侵。 可以偵測UDP Flood Attacks、DOS Attacks 、DNS Attacks及NTP Attacks事件,並以搭配Core Switch下ACL指令來阻斷駭客攻擊。