校園資安管理 引言者： 高健智 2008/12/19

前言 校園常見資安事件 寄垃圾信件 癱瘓網路 監聽網路並入侵 蓄意的入侵系統並破 傳播電腦病毒並破壞 入侵系統竊取資料

攻擊與入侵 「攻擊」，是指有心人士利用各類方式攻擊網路上的主機，使得被攻擊者的網路癱瘓或伺服主機無法提供正常的服務。 「入侵」，則是利用監聽、盜取或是特洛伊木馬程式潛入被入侵者的主機裡，取得最高管理者的權限後，進一步從事破壞系統或恣意胡為的工作。

阻斷式攻擊 古老但有效的網路攻擊方法，是利用Ping 方式發出大量的ICMP回應要求（echo request）封包做攻擊。 攻擊模式又稱為smurf攻擊，利用ICMP封包做攻擊的方式，常見的還有Teardop、Ping of Death…等攻擊模式。

ARP Spoofing Attack 藉由發出標準的ARP請求或ARP回應來擾亂或竄改某電腦或路由器內正常的ARP表，而導致該電腦(或路由器)發出的資料包誤傳目的地，，進而癱瘓網路，就稱ARP欺騙攻擊。 連線劫奪(Session Hijacking) 利用ARP欺騙將使用者正常的連線搶過來。 中間人攻擊則利用ARP同時欺騙使用者(Client)與服務器(Server)兩邊使所有兩邊的交談都要透過入侵人的轉述，達到欺騙、側錄、竄改資料的目的。 網路剪刀手（NetCut）:負責假造ARP封包，提供給目標主機假的MAC位址資訊，Gateway收到後，將錯誤的MAC位址記到ARP 表內，伺服端、Client端的返回封包就無法送達，也就無法上網，達到攻擊的目的。

伺服器安全漏洞 Windows或是Linux系統上的安全漏洞並不多見，會造成安全上的漏洞，幾乎都是透過伺服服務所造成的 。 伺服器訊息區塊（SMB）:所使用的傳輸埠是TCP 139及TCP 445 port，駭客會利用此二port從事不當訊息傳送，或使用NET USE指令、監聽工具取得系統使用者的帳號、密碼。 IIS:資料洩漏、目錄橫越及緩衝區溢位。 SQL Injection :所針對之攻擊目標既非資料庫本身亦非作業系統或網站伺服器本身之漏洞來進行，而是一種未做好輸入驗證 (Input Validation)的問題 。

其它伺服器漏洞 Apache :若您的Apache資料的傳輸需要較高的安全性，別忘了加裝SSL模組，並在防火牆上開啟TCP 443埠。 DNS :DNS的快取區藉以擾亂原本主機名稱與IP位址的正反向對應關係 、給予錯誤的主機名稱與IP對應資訊 。 Mail Server : mail relay寄發大量的垃圾信件 、信件中含病毒。

入侵 冒充者（Masquerader）：利用技術突破系統認證機制，取得合法使用者帳戶侵入系統，或是未經許可使用電腦的人。 濫用職權者（Misfeasor）：是合法的使用者，但在未經授權的情形下，存取系統程式、資料、資源，或操作已超過本身權限以外的動作者。 秘密訪客（Clandestine user）：利用非法手段奪取系統最高控制權，藉以逃避系統權限稽核及存取控制的人。

特洛伊木馬 是一種極為有效又不易被查覺的方式。 所謂特洛依木馬程式是指，駭客為了入侵系統故意發展一些好用的系統工具或是遊戲軟體…等，而將後門程式藏在這些工具、遊戲裡。 使用者在安裝這些程式時必須使用管理者的權限安裝，當安裝完成後執行這些程式時，後門程式隨即啟動，駭客根本不必取得系統管理者的密碼，依樣可大方的登堂入室，使用系統管理者的權限操作系統。 這些披著羊皮的狼的程式就統稱為特洛依木馬程式。

電腦病毒 如何判斷電腦受到病毒感染 電腦執行速度比平常緩慢。 不尋常的錯誤訊息出現。 程式載入時間比平常久。 可執行檔的大小改變系統。 記憶體容量忽然大量減少。 記憶體內增加來路不明的常駐程式。 磁碟壞軌突然增加。 磁碟可利用的空間突然減少。 檔案名稱、副檔名、日期、屬性被更改過。 檔案的內容多出了一些奇怪的資料。

安全防護策略 事前的預防 事件的發生與緊急處理 事後的檢討與修復

事前的預防 組織資安緊急應變小組 設備、人員的管控 路由器與防火牆設定 設定防毒機制 建立入侵偵測機制(使用IDS) 定期主動更新伺服器安全漏洞 伺服主機的存取控制 記錄檔的分析 內部的監控與管理 定期做好資料備份 建置容錯系統

事件的發生與緊急處理 通知資安緊急應變小組 路由器與防火牆的處理 伺服主機的處理 病毒的處理 記錄事件 通報

事後的檢討與修復 記錄檔的分析 修補系統安全漏洞 復原系統 證據存檔 持續的偵測、觀察 再次的安全策略擬定

校園網管常碰到之問題 Switch 功能 – 基本連通 + Security 功能 Loop 迴圈連結問題 -- 癱瘓網路 私接DHCP Server的問題 --無法管理私接電腦之威脅 私接AP 的問題 --無法管理私接電腦之威脅 ARP 攻擊 – 避免IP spoofing問題 --避免偽冒Gateway 位址 網路無法正常運作 --無法有效管理 PC,Notebook等 -- 網路資訊安全 無法有效管理

IP 管理策略 IMP (IP-MAC-Port) Binding v3 (DHCP Snooping) 192.168.1.1 IMP Binding v3 Enabled A 192.168.1.1 00E0-0211-1111 Assigned by DHCP 192.168.1.2 00E0-0211-2222 B 192.168.1.1 00E0-0211-3333 C Address Learning ( IP is Manually configured by user ) White List 192.168.1.1 00E0-0211-1111 Port1 192.168.1.2 00E0-0211-2222 Port2

ARP Spoofing Attack解決方式 IP-MAC-Port Binding IP MAC Port R r 26 A a 2 B b 12 C c 16 … Router IP: R MAC: r You’re not Router You’re not PC-A I’m Router I’m PC-A Faked ARP IP: A MAC: c Faked ARP IP: R MAC: c PC-A PC-B PC-C IP: A MAC: a IP: B MAC: b IP: C MAC: c

網路安全防護設備 弱點掃描:中華網龍(要錢)、Nessus(免費) ARP攻擊的防禦需要依賴安全的L2交換器。如NBAD switch，提供了ARP掃描偵測、ARP異常偵測及ARP攻擊偵測三種防護裝置。 弱點掃描:中華網龍(要錢)、Nessus(免費) SteelArmor:內部資安控管 防火牆+IPS+防毒+防堵垃圾信件(無Mail Server) Mail Server+防毒+防堵垃圾信件(有Mail Server) 不當資訊過濾:Blue coat、8e6 R3000(市網處理) 負載平衡及頻寬管理交換器(L3、L4):可選購含容錯(備援)處理。

結 論 偵測與防護是系統管理者極弱的一環。 常常是因為系統人員沒有系統防禦的整體概念。 結 論 偵測與防護是系統管理者極弱的一環。 常常是因為系統人員沒有系統防禦的整體概念。 也因為駭客的攻擊與入侵不常發生，使得網路攻擊與入侵事件不斷的發生。 只要有電腦網路及服務存在，駭客的攻擊與入侵行為是永無止境的。 唯有時時的提高警覺與學習新的防護概念，並建設好防護機制，方能降低風險。 台灣電腦網路危機處理暨協調中心 : http://www.cert.org.tw/