CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A

Slides:



Advertisements
Similar presentations
Copyright©2013 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without.
Advertisements

南投縣教育網路專案 建置說明 2016/7/11 D-Link Taiwan 台中技術支援課 工程師 林俊佑 #23 Version 1.03.
第七章 整體安全與存取控制設計. 本章大綱  第一節 電腦犯罪與網路駭客  第二節 整體安全預防控制  第三節 運用資訊科技反制  第四節 安全失控之復原控制.
大學學術聲望排名前三十名 99 年總排名校名平均分數 98 年名次 1 清華大學 台灣大學 交通大學 成功大學 中山大學 中央大學 政治大學 台灣師範大學 中正大學
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
第三章 駭客入侵流程解析.
Curelan公司產品 網路日誌事件監控設備(Flowviewer)
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
MIE-311 Mobile Network Security
BOTNET Detection and Prevention
综合分析—现象类 主讲: 王璇 时间:
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
Information Security Fundamentals and Practices 資訊安全概論與實務
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
校園網路管理實電務 電子計算機中心 謝進利.
第一章 網路攻防概述.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
Curelan公司產品 網路日誌事件監控設備(Flowviewer)
電腦資訊安全管理應注意事項 苗栗縣政府政風處.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
學校網路設備規畫與建置 報告人:莊斯凱.
第9章 電子商務安全防範.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
TCP協定 (傳輸層).
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
經濟部九十年度科技專案 國家資通安全技術服務計劃 入侵偵測系統簡介
访问控制列表(ACL) Version 1.0.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
CS 網路安全 Network Security
HiNet 光世代非固定制 用戶端IPv6設定方式說明
網路安全管理期末報告 DoS與DDoS 指導教授:梁明章 老師 學生:A 施旻宗 2010/1/15.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
第4章 OSI傳輸層.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
電子商務 Electronic Commerce
江西财经大学信息管理学院 《组网技术》课程组
硬體話機設定說明.
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
網路安全期末報告 Arp Spoofing A 謝靜芳 指導教授︰梁明章教授.
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
指導教授:黃三益 教授 學生 洪瑞麟 m 蔡育洲 m 陳怡綾 m
台大計資中心 李美雯 網路安全與管理 台大計資中心 李美雯 /4/6 臺灣大學計資中心網路組.
本院使用建教合作之輔仁大學 圖書館資料庫 設定方式說明
Firewall-pfsense Mars Su
Wireshark DNS&HTTP封包分析
Web Service 1.
網頁程式概論 建國科技大學資管系 饒瑞佶 2015/9 V1 2016/4 V2 2016/9 V3.
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
講師:陳永芳 網際網路與電子郵件應用 講師:陳永芳
緩衝區溢位攻擊 學生:A 羅以豪 教授:梁明章
單元三 資訊安全與保護 Learning Lab.
電腦攻擊與防禦 The Attack and Defense of Computers
科学架设和优化校园组网结构 提升内部网络访问和管理水平
取得與安裝TIDE 從TIBBO網站取得TIDE
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
06/09 DDos 異常事件報告.
第四章 通訊與網路管理 授課老師:褚麗絹.
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
VoIP安全議題 姓名:許雅玲 指導老師:梁明章 老師.
多站台網路預約系統之 AJAX即時資料更新機制
DDoS A 林育全.
電腦網絡與教學.
Homework 3.
信息安全防护技术—— 防火墙和入侵检测 万明
Department of Computer Information Science, NCTU
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Presentation transcript:

CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A 2018/11/23 CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A CURELAN TECHNOLOGY Co., LTD www.CureLan.com

駭客入侵及攻擊所造成的後果? 駭客入侵會造成銀行客戶資料被竊取,及公司商業機密資料被竊取,在國防機密也會被竊取重要資料,甚至影響國家安全。 每個國家的軍事網路都是封閉網路(獨立網路,不跟互聯網有任何交集)。但是,有關人員可能會被敵方收買利用入侵程式並植入木馬程式等方式,來竊取軍事機密。

入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 2018/11/23 入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 IPS設備採用特徵值(Pattern)方案,網路駭客為了躲避特徵值(Pattern) 的偵測,平均2天至3天就會改變特徵值(Pattern),所以IPS設備永遠是處於被動(也就是被挨打)。 網路駭客入侵到內部網路電腦後,會再透過被植入的木馬程式來入侵內部網路的其他電腦或Server,也就是內部網路入侵內部網路,以擴充入侵版圖也就是殭屍網路(Botnet) IPS設備是放置在Inline Mode,又不能收集Netflow的IP資料來分析內對內的IP資料,所以對於內對內入侵毫無辦法。 IPS設備的DDOS功能是採用門檻值(threshold)功能來防止駭客攻擊,但是誤判率很高。

入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-2 駭客會以Port Scan程式在Internet進行掃瞄,來發現使用單位所使用的Port Service,所以使用單位改變原有Port Service的號碼來躲避駭客入侵是沒有用,駭客由Port Scan得知使用單位之Port Service後,可藉入侵程式來入侵某特定埠(Port Service),並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電腦。 駭客也會透過SSH (22 Port)、RDP (3389 Port)來入侵使用單位的網 路,並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電 腦。

Flowviewer的功能分類 功能分類 FM-800A為 1G方案/ FM-1500A為 10G方案 防止駭客入侵功能:Port Scan、SSH、RDP等功能 防止駭客攻擊功能:UDP Flood Attacks、DOS Attacks、DNS Attacks、NTP Attacks等功能 動態流量報表可追蹤並查詢IP犯罪記錄

網路入侵 V.S. 網路攻擊 之分析 Cyber-Intrusion (網路入侵) Cyber-Attack (網路攻擊 ) 像小偷一樣 像強盜一樣 使用巨大網路流量及網路Sessions來癱瘓網路 不害怕被發現,因為是假借別人IP來攻擊 像小偷一樣 很小網路封包(Packet) 害怕被發現

Cyber-Attack 駭客攻擊 之分析 The Amount of Traffic A Number of Sessions 產生巨大網路Sessions,所經過網路設備都會產生設備的CPU損耗過高導致癱瘓網路 產生巨大網路流量來佔據網路頻寬導致癱瘓網路

採用網路行為異常分析 IP 技術 Network Behavior Anomaly Detection (NBAD) NBAD Technology Flowviewer 是64位元設備 High Error Rate Picture provided by : free vector graphics Version 1 Version 2 ? TRUE ? FALSE ? 設備可以自動偵測駭客入侵及攻擊,並自動阻斷入侵及攻擊

接收Netflow的IP資料來分析IP的細節 The Flowviewer FM-800A

Flowviewer 自動阻斷駭客入侵及攻擊 Cyber-Intrusion (網路入侵) Port scan SSH RDP Worm Cyber-Attack (網路攻擊) UDP Flood Attack DOS Attack DNS Attack NTP Attack

Flowviewer設備在Inline Mode架構, 來防止駭客入侵及攻擊

以Inline Mode架構自動防止駭客入侵及攻擊 Flowviewer設備提供硬體及軟體故障時Auto By-Pass功能,所以在Inline Mode架構當設備損壞時都不影響內部網路對外連線。 Flowviewer設備提供在設備上自動阻斷駭客入侵及攻擊之IP。 自動阻斷外部IP(當駭客由Internet入侵使用單位內部網路) 可自動下ACL指令在Core Switch來阻斷,駭客內對內的入侵。 Flowviewer 設備遇到駭客入侵及攻擊時阻斷方式,在L3 Core Switch下達ACL指令阻斷駭客入侵及攻擊之IP,運用L3 Core Switch(Cisco、Foundry、Alcatel、Extreme等廠牌)的(Access Control List Entries) ACLs指令將駭客入侵及攻擊的IP斷線處理。

實際案例說明

內部網路 入侵 內部網路 駭客植入木馬程式後內部網路入侵內部網路,如左圖在第4項次,140.xxx.xxx.56利用RDP途徑同一時間入侵內部網路140.xxx.xxx.66等7個IP 如右圖在第1項次,140.xxx.xxx.171利用RDP途徑同一時間入侵內部網路140.xxx.xxx.2 等14個IP。

UDP Attack 真實案例,UDP通訊協定是沒有連線數(Sessions)觀念(TCP才有連線數觀念)。但是,駭客運用”跳Port Service”的觀念來產生連線數(Sessions),如下圖,駭客假借140.xxx.xxx.197來攻擊對外IP,被假借的使用單位一樣被癱瘓內部網路,但是,有Flowviewer設備會自動偵測攻擊IP並阻斷,避免網路癱瘓。 舉例:美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。

駭客如何躲避IPS設備之偵測 上述之駭客攻擊產生40.72GB網路流量及2,390,917 Sessions數,但是;每秒最大Sessions數為743,目的就是為了躲避IPS設備的偵測。 IPS設備的門檻值(Threshold)功能,就是防止DDOS攻擊的功能,可以設門檻值(Threshold)一般都設在5,000,此真實案例只產生743,就可躲避IPS設備的偵測。

數學概念來分析駭客攻擊 S: session Psrc n: source port number Pdst n: destination port number Tn: some time ∵ ∵

動態流量即時查詢功能 可任意調整任何區段時間範圍來查詢個別IP有跟那些IP有連絡(也就是去了那些IP的網站或伺服器) ,此功能可以追蹤犯罪行為證據。 來源位置IP 120.XXX.XXX.39在2010年1月20日11點10分到12點10分,這個時間範圍區間跟那些IP有連絡就是目的位置IP ,藍色的IP表示經過80埠,綠色的IP表示非經過80埠。

結 論 駭客會運用Port Scan在網際網路(Internet)掃瞄 Port Service 65,535(網路服務埠),發現漏洞就會植入木馬程式,Flowviewer設備有這方面偵測防止功能. 駭客有專門程式針對SSH(22 Port)及RDP(3389 Port)來入侵並植入木馬程式,這是台灣國家網路中心 研究發現駭客會從此路徑入侵, Flowviewer設備有這方面偵測防止功能. 全世界防止駭客入侵無解方式有1.Spear phishing(魚叉式網路釣魚) 2.下載APP程式 3.微軟作業系統漏洞,而Flowviewer設備第二道防線就是針對這些入侵所造成的後果來防衛,如何防衛呢? Flowviewer設備有UDP Flood Attack偵測功能: a.駭客透過無解方式植入木馬程式後,一定會借用使用單位的網路流量來攻擊使用單位以外的IP,也就是假借IP來攻擊外部IP,用UDP封包的網路流量來攻擊,想要攻擊的目標IP,因為使用單位被借網路流量所以使用單位也會被癱瘓網路,所以已經不是自掃門前雪的問題,舉例;美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。 b.當駭客發動UDP Flood Attack攻擊使用單位,Flowviewer設備也會偵測到此攻擊. 同上述駭客也會以大量Sessions(Flows)來攻擊,跟上述一樣,駭客會假借IP來攻擊或使用單位直接受到大量Sessions(Flows)來攻擊,Flowviewer設備有DOS Attack功能可以偵測此方面的攻擊.

成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 2018/11/23 成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 嶺東科技大學、中州科技大學、弘光科技大學 吳鳳科技大學、中正預校、國防大學(主校區,政治作戰,中正理工) 台中護專、彰化縣網中心、台東縣網中心 醫院 彰化秀傳醫院、台南奇美醫院 政府單位 國家高速網路中心(5台) 、立法院、國立台中美術館、苗栗警局 嘉義市政府資訊中心(針對GSN出口監控) 銀行 兆豐國際商銀(三重分行) 企業 MAERSK (貨櫃公司) 、台糖實業量販部、台灣現代商船

Customers

總 結 Demo site for Flowviewer series 同時具備接收sFlow及NetFlow 之logs功能。 2018/11/23 總 結 Demo site for Flowviewer series http://140.130.102.146 Account: curelan01 Password: 123456789 同時具備接收sFlow及NetFlow 之logs功能。 具備動態調整時段區間來查詢歷史犯罪記錄。 設備的技術採用收集網路流量來分析IP行為模式,而不是採用特徵碼(Pattern),所以不用管駭客攻擊的名稱,因此網路管理者根本不用花時間研究駭客攻擊的名稱。 自動阻斷SSH及RDP入侵途徑,防止駭客以此途徑入侵。 可以偵測UDP Flood Attacks、DOS Attacks 、DNS Attacks及NTP Attacks事件,並以搭配Core Switch下ACL指令來阻斷駭客攻擊。