CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A

Slides:



Advertisements
Similar presentations
南投縣教育網路專案 建置說明 2016/7/11 D-Link Taiwan 台中技術支援課 工程師 林俊佑 #23 Version 1.03.
Advertisements

深度解析 --- 云安全 申鹤 产品技术顾问 电话: (010) 手机:
第七章 整體安全與存取控制設計. 本章大綱  第一節 電腦犯罪與網路駭客  第二節 整體安全預防控制  第三節 運用資訊科技反制  第四節 安全失控之復原控制.
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
第三章 駭客入侵流程解析.
Curelan公司產品 網路日誌事件監控設備(Flowviewer)
第2章 黑客常用的系统攻击方法.
第6章 计算机网络基础 1.
實驗 9: 無線安全網路之建設.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
MIE-311 Mobile Network Security
無線感測網路監控應用  無線感測器網路覆蓋問題  無線感測器網路資料傳輸協定  無線感測器網路中路由機制之安全與防禦
BOTNET Detection and Prevention
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
進階網路系統 作業 題目: 組別:第二組 組員: 蘇俊吉 盧柏崴 黃明煜 李德偉
第6章 计算机网络基础.
计算机网络的组成 资源子网:   主机 终端 终端控制器   外设 软件资源 信息资源    .
Information Security Fundamentals and Practices 資訊安全概論與實務
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
第一章 網路攻防概述.
無智慧報告—網路導論 義守電機 副教授 黃蓮池 在報告前.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
计算机系统安全 第10章 常用攻击手段.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
學校網路設備規畫與建置 報告人:莊斯凱.
第9章 電子商務安全防範.
第 19 章 遠端管理.
利用 ISA Server 2004 建置應用層防護機制
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
(C) Active Network CO., Ltd
第 16 章 Internet架構.
以網路可視化平台(Network Visibility Platform)為樞紐之網路安全設備佈署策略
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
附錄 通訊協定堆疊.
經濟部九十年度科技專案 國家資通安全技術服務計劃 入侵偵測系統簡介
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
访问控制列表(ACL) Version 1.0.
A VoLTE Traffic Classification Method in LTE Network
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
CS 網路安全 Network Security
什麼是網際網路? 面臨攻擊的網路 網路邊際 總結 網路核心
第4章 OSI傳輸層.
流量管不管 校園網路流量管理與安全防護 --經驗分享--
「寬頻匯流網路管理」教材 模組四: 第一章 網路管理架構
江西财经大学信息管理学院 《组网技术》课程组
網路安全期末報告 Arp Spoofing A 謝靜芳 指導教授︰梁明章教授.
指導教授:黃三益 教授 學生 洪瑞麟 m 蔡育洲 m 陳怡綾 m
台大計資中心 李美雯 網路安全與管理 台大計資中心 李美雯 /4/6 臺灣大學計資中心網路組.
网络工程 苏兆品 QQ:
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
傳輸控制協議 /互聯網協議 TCP/IP.
Smart Switch 智慧網路交換器 特色: 智慧網路交換器為24+2 port L2 Switch 並提供更簡易管理、更安全、更佳效能
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
Speaker : Chang Kai-Jia Date : 2010/04/26
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
科学架设和优化校园组网结构 提升内部网络访问和管理水平
Speaker : 翁瑄伶 Advisor : 柯開維 博士 Date: 2016/07/31
Link Layer &一點點的Physical Layer
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
DDoS A 林育全.
信息安全防护技术—— 防火墙和入侵检测 万明
Presentation transcript:

CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A 2018/12/2 CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A CURELAN TECHNOLOGY Co., LTD www.CureLan.com

IPS 設備技術原理分析 入侵防禦系統(IPS, Intrusion Prevention System): 入侵防禦功能 Signature Pattern(特徵碼) 需要更新特徵碼 防禦DoS功能 Threshold(防禦值) 設定每一個IP,每秒累積封包 (Packet)的次數,也就是數(count)每一個IP所累積的session,例;udp_src_session、udp_dst_session等,此功能容易把正常(normal)封包(Packet)誤判為異常(anomaly)封包(Packet),因為語音(Voice)、多媒體(Media Stream)、DNS(Domain Name System)、NTP(Network Time Protocol)等都是使用UDP封包(Packet)。 一般市場常見的設備有IBM Tivoli ISS 、CISCO Source File、McAfee、FortiGate、PALOALTO 、Juniper、Check Point、Arbor Networks DS_Pravail等設備都是採用上述的技術。 採用

Flowviewer 設備採用技術原理分析 Flowviewer 設備:Inline Mode Structure FM-800A/FM-1500A NBA(Network Behavior Analysis) NBAD(Network Behavior Anomaly Detection) 收集每IP來分析網路(Network)異常(anomaly)封包(Packet) 。 NBAD(Network Behavior Anomaly Detection)的技術,很多廠商都朝這方面來開發產品成效都很差 ,主要是都採用資料庫的架構來收集IP,例;MySQL、Oracle等資料庫,這些資料庫是很好產品但是用不對方向,因為收集網路(Network)的IP資料可能有百億筆IP資料,所以效能都不佳。 Flowviewer 設備採用自行開發的數學演算法,可以快速收集NetFlow或Sflow並且加以歸類及分析每一筆IP,來判斷異常(anomaly)封包(Packet) 。 IEEE有這方面的文章發表 進化

接收Netflow的IP資料來分析IP的細節 The Flowviewer FM-800A / FM-1500A

採用網路行為異常分析 IP 技術 Network Behavior Anomaly Detection (NBAD) NBAD Technology Flowviewer is 64 Bit device Inline Mode Structure 設備可以自動偵測駭客入侵及攻擊,並自動阻斷入侵及攻擊 TRUE ? FALSE ?

Flowviewer的功能分類 功能分類 FM-800A為 1G方案/ FM-1500A為 10G方案 防止駭客入侵功能:Port Scan、SSH、RDP等功能 防止駭客攻擊功能:UDP Flood Attacks、DOS Attacks、DNS Attacks、NTP Attacks等功能 動態查詢IP報表可追蹤並查詢IP犯罪記錄

駭客入侵及攻擊所造成的後果? 駭客入侵會造成銀行客戶資料被竊取,及公司商業機密資料被竊取,在國防機密也會被竊取重要資料,甚至影響國家安全。 每個國家的軍事網路都是封閉網路(獨立網路,不跟互聯網有任何交集)。但是,有關人員可能會被敵方收買利用入侵程式並植入木馬程式等方式,來竊取軍事機密。

入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 2018/12/2 入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 IPS設備採用特徵值(Pattern)方案,網路駭客為了躲避特徵值(Pattern) 的偵測,平均2天至3天就會改變特徵值(Pattern),所以IPS設備永遠是處於被動(也就是被挨打)。 網路駭客入侵到內部網路電腦後,會再透過被植入的木馬程式來入侵內部網路的其他電腦或Server,也就是內部網路入侵內部網路,以擴充入侵版圖也就是殭屍網路(Botnet) IPS設備是放置在Inline Mode,又不能收集Netflow的IP資料來分析內對內的IP資料,所以對於內對內入侵毫無辦法。 IPS設備的DDOS功能是採用門檻值(threshold)功能來防止駭客攻擊,但是誤判率很高。

入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-2 駭客會以Port Scan程式在Internet進行掃瞄,來發現使用單位所使用的Port Service,所以使用單位改變原有Port Service的號碼來躲避駭客入侵是沒有用,駭客由Port Scan得知使用單位之Port Service後,可藉入侵程式來入侵某特定埠(Port Service),並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電腦。 駭客也會透過SSH (22 Port)、RDP (3389 Port)來入侵使用單位的網 路,並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電 腦。

網路入侵 V.S. 網路攻擊 之分析 Cyber-Intrusion (網路入侵) Cyber-Attack (網路攻擊 ) 像小偷一樣 像強盜一樣 使用巨大網路流量及網路Sessions來癱瘓網路 不害怕被發現,因為是假借別人IP來攻擊 像小偷一樣 很小網路封包(Packet) 害怕被發現

Cyber-Attack 駭客攻擊 之分析 The Amount of Traffic A Number of Sessions 產生巨大網路Sessions,所經過網路設備都會產生設備的CPU損耗過高導致癱瘓網路 產生巨大網路流量來佔據網路頻寬導致癱瘓網路

Flowviewer 自動阻斷駭客入侵及攻擊 Cyber-Intrusion (網路入侵) Port scan SSH RDP Worm Cyber-Attack (網路攻擊) UDP Flood Attack DOS Attack DNS Attack NTP Attack

Flowviewer設備在Inline Mode架構, 來防止駭客入侵及攻擊

以Inline Mode架構自動防止駭客入侵及攻擊 Flowviewer設備提供硬體及軟體故障時Auto By-Pass功能,所以在Inline Mode架構當設備損壞時都不影響內部網路對外連線。 Flowviewer設備提供在設備上自動阻斷駭客入侵及攻擊之IP。 自動阻斷外部IP(當駭客由Internet入侵使用單位內部網路) 可自動下ACL指令在Core Switch來阻斷,駭客內對內的入侵。 Flowviewer 設備遇到駭客入侵及攻擊時阻斷方式,在L3 Core Switch下達ACL指令阻斷駭客入侵及攻擊之IP,運用L3 Core Switch(Cisco、Foundry、Alcatel、Extreme等廠牌)的(Access Control List Entries) ACLs指令將駭客入侵及攻擊的IP斷線處理。

實際案例說明

內部網路 入侵 內部網路 駭客植入木馬程式後內部網路入侵內部網路,如左圖在第4項次,140.xxx.xxx.56利用RDP途徑同一時間入侵內部網路140.xxx.xxx.66等7個IP 如右圖在第1項次,140.xxx.xxx.171利用RDP途徑同一時間入侵內部網路140.xxx.xxx.2 等14個IP。

UDP Attack 真實案例,UDP通訊協定是沒有連線數(Sessions)觀念(TCP才有連線數觀念)。但是,駭客運用”跳Port Service”的觀念來產生連線數(Sessions),如下圖,駭客假借140.xxx.xxx.197來攻擊對外IP,被假借的使用單位一樣被癱瘓內部網路,但是,有Flowviewer設備會自動偵測攻擊IP並阻斷,避免網路癱瘓。 舉例:美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。

駭客如何躲避IPS設備之偵測 上述之駭客攻擊產生40.72GB網路流量及2,390,917 Sessions數,但是;每秒最大Sessions數為743,目的就是為了躲避IPS設備的偵測。 IPS設備的門檻值(Threshold)功能,就是防止DDOS攻擊的功能,可以設門檻值(Threshold)一般都設在5,000,此真實案例只產生743,就可躲避IPS設備的偵測。

數學概念來分析駭客攻擊 S: session Psrc n: source port number Pdst n: destination port number Tn: some time ∵ ∵

動態流量即時查詢功能 可任意調整任何區段時間範圍來查詢個別IP有跟那些IP有連絡(也就是去了那些IP的網站或伺服器) ,此功能可以追蹤犯罪行為證據。 來源位置IP 120.XXX.XXX.39在2010年1月20日11點10分到12點10分,這個時間範圍區間跟那些IP有連絡就是目的位置IP ,藍色的IP表示經過80埠,綠色的IP表示非經過80埠。

結 論 駭客會運用Port Scan在網際網路(Internet)掃瞄 Port Service 65,535(網路服務埠),發現漏洞就會植入木馬程式,Flowviewer設備有這方面偵測防止功能. 駭客有專門程式針對SSH(22 Port)及RDP(3389 Port)來入侵並植入木馬程式,這是台灣國家網路中心 研究發現駭客會從此路徑入侵, Flowviewer設備有這方面偵測防止功能. 全世界防止駭客入侵無解方式有1.Spear phishing(魚叉式網路釣魚) 2.下載APP程式 3.微軟作業系統漏洞,而Flowviewer設備第二道防線就是針對這些入侵所造成的後果來防衛,如何防衛呢? Flowviewer設備有UDP Flood Attack偵測功能: a.駭客透過無解方式植入木馬程式後,一定會借用使用單位的網路流量來攻擊使用單位以外的IP,也就是假借IP來攻擊外部IP,用UDP封包的網路流量來攻擊,想要攻擊的目標IP,因為使用單位被借網路流量所以使用單位也會被癱瘓網路,所以已經不是自掃門前雪的問題,舉例;美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。 b.當駭客發動UDP Flood Attack攻擊使用單位,Flowviewer設備也會偵測到此攻擊. 同上述駭客也會以大量Sessions(Flows)來攻擊,跟上述一樣,駭客會假借IP來攻擊或使用單位直接受到大量Sessions(Flows)來攻擊,Flowviewer設備有DOS Attack功能可以偵測此方面的攻擊.

成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 2018/12/2 成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 嶺東科技大學、中州科技大學、弘光科技大學 吳鳳科技大學、中正預校、國防大學(主校區,政治作戰,中正理工) 台中護專、彰化縣網中心、台東縣網中心 醫院 彰化秀傳醫院、台南奇美醫院 政府單位 國家高速網路中心(5台) 、立法院、國立台中美術館、苗栗警局 嘉義市政府資訊中心(針對GSN出口監控) 銀行 兆豐國際商銀(三重分行) 企業 MAERSK (貨櫃公司) 、台糖實業量販部、台灣現代商船

Customers

Performance and Function Flowviewer Models Form Factor Attack Mitigation Performance and Function Inline Mode NIC FM-800A 2 U MRTG MAX: ~2Gbps Quota Management function and current traffic monitor Netflow or sFlow traffic report worm detection (NBAD) Automatic ACL block infected IPs SSH and RDP Password Guess Attacks Report UDP Flood Attacks Report DOS Relay Attack Report DNS Relay Attack Report NTP Relay Attack Report Automatic block Worm, Port Scan, SSH and RDP Password Guess, Port Scan, UDP Flood Attack, DOS Attack, NTP Attack and DNS Attack. Hardware & Software Bypass 2 Port 10/100/1000 BaseT or 2 Port 1000 Base-SX

總 結 Demo site for Flowviewer series 同時具備接收sFlow及NetFlow 之logs功能。 2018/12/2 總 結 Demo site for Flowviewer series http://140.130.102.146 Account: curelan01 Password: 123456789 同時具備接收sFlow及NetFlow 之logs功能。 具備動態調整時段區間來查詢歷史犯罪記錄。 設備的技術採用收集網路流量來分析IP行為模式,而不是採用特徵碼(Pattern),所以不用管駭客攻擊的名稱,因此網路管理者根本不用花時間研究駭客攻擊的名稱。 自動阻斷SSH及RDP入侵途徑,防止駭客以此途徑入侵。 可以偵測UDP Flood Attacks、DOS Attacks 、DNS Attacks及NTP Attacks事件,並以搭配Core Switch下ACL指令來阻斷駭客攻擊。