Common Security Problems in Business and Standards 小組成員:顏大緯 R90725006 謝坤澤 R90725005 指導老師:莊裕澤 教授 簡報人:謝坤澤 April 11, 2002 Be sure to update the date and to whom the presentation is being shown!
網路安全(Network Security) 簡報大綱 前言 資訊安全的範疇 網路安全 交易安全 管理程序安全 網路安全(Network Security) 網路防火牆 電腦病毒防護措施 安全掃瞄與評估機制 入侵偵測與網路監管 IPSec VPN
前言 駭客、騙子與天災是安全的三大威脅,近年來,由於網際網路的爆炸性成長,企業資訊更容易暴露在全球所有駭客的眼底,另外,騙子利用人為疏忽破壞資訊安全,甚至以所謂社交工程(Social Engineering),利用電話等方式騙取企業內部人員的密碼,也不容輕忽。至於天災部分,921大地震、納莉颱風造成的水災,即是企業所面臨的資訊安全浩劫。 資訊安全(Information Security)的重點在於保護資訊及其支援處理設備、系統和網路的機密性(Confidentiality)、完整性(Integrity)和可獲得性(Availability)不受到各種方式的威脅,使可能發生的損害降至最低,確保企業的永續經營 。 People(人)、Process(流程)與Technology(科技)是安全管理三要素,資訊安全管理也是如此,唯有三個要素緊密結合才能形成資訊安全鐵三角。而其中人事安全則是三個要素中最重要的根據非正式的統計,企業資訊安全問題的源起,超過80﹪以上的比例出於內賊,而企業若能掌握Process順暢,即可掌握80﹪以上的安全 。 資訊安全涵蓋範圍相當廣,大致可分成三部份,分別是網路安全、交易安全及管理程序安全。
資訊安全所涵蓋的範圍
網路安全─網路防火牆─控制進出的機制(一) 防火牆控制進出的機制 現存控制流經防火牆的連線的技術大致有四種:Packet Filter/Stateful Inspection Packet Filter/Circuit Level Gateway/Application Proxy
網路安全─網路防火牆─控制進出的機制(二)
網路安全─網路防火牆─控制進出的機制(三)
網路安全─網路防火牆─控制進出的機制(四)
網路安全─網路防火牆─控制進出的機制(五) Packet Filter 和 Stateful Inspection Packet Filter 以檢查個別封包為出發點, Circuit Level Proxy 及 Application Gateway 則以控制連線為出發點。 Circuit Level Proxy 及 Application Gateway 可以完全控制整個連線,但 Packet Filter 及 Stateful Inspection Packet Filter 則必須仰賴管理者的完善設定方 能降低被攻擊的可能。 在 TCP/IP Model 中所在的位置可以看出各種方式檢查連線的程度,越往高階的控 制方式,其檢查的內容越完整,安全性也越高。四種方式中以Application Proxy 安 全性最高而 Packet Filter 安全性最低。 IP Fragmentation 是最常出現針對 Packet Filter based 的攻擊方式。以下是四種運 作方式在 TCP/IP Stack 監視的位置:
網路安全─網路防火牆─防火牆自身的安全性 硬體型態的防火牆通常使用專屬的系統核心,多半沒有提供任何應用程式在系統上,也僅會使用 Stateful Inspection Packet Filter 或是 Packet Filter 方式,作業系統雖然較不會有疑慮,但是往往缺乏安全的控制機制。 軟體型態的防火牆由於可能受作業系統的安全性影響,有的防火牆廠商會針對其安裝的作業系統進行安全強化,但是每一家防火牆廠商的防護方式還是略有不同。 關閉不必要的服務和乾脆內建提供安全防火牆作業系統是常見的兩種安全控管方式,顯然後者會有較高之安全保護。
網路安全─網路防火牆─防火牆的架構及安全政策(一) 錯誤的安全政策可能讓防火牆完全失去效用,而防火牆的安全政策制定一般有兩種方 向可以遵循: 除非特別限制某種服務,否則所有的服務都是允許的 除非特別開放某種服務,否則所有的服務都是不允許的 以一個具有兩個網路界面的防火牆為例:內部網路存取外部網路、外部網路存取內 部網路、內部網路存取防火牆以及外部網路存取防火牆四種方向。
網路安全─網路防火牆─防火牆的架構及安全政策(二)
網路安全─網路防火牆─防火牆的產品認證 目前有四個主要認證,三個為私人機構認證(ICSA/CHECK-MARK/NSS),一個為 國際認可的官方認證( Common Criteria,ISO/IEC Standard 15408 標準) Common Criteria 則是一個由超過二十個國家的官方機構認可的正式產品認證 ,根據安全要求區分了七個安全等級:EAL1 ~。EAL7,其中最低的是 EAL1, 最高的是 EAL7 (EAL 是 Evaluation Assurance Level的縮寫)。 目前並沒有任何產品可以取得接受EAL5 以上的安全等級的檢驗資格,但是, 一些主流的防火牆產品已經通過了 EAL1 到EAL4+不等的Common Criteria 安全檢驗認可 根據 Common Criteria 定義,EAL1適用於安全威脅並不嚴重的環境,EAL2 適 用於需要低度到中度安全等級需求的環境,EAL3適用於需要中度安全等級需求 的環境,EAL4: 適用於需要中度到高度安全保障的環境。是目前所有的商業產 品所達到的最高等級。 EAL5: 適用於需要高度安全保障的環境。EAL6:適用於資產具一定價值且有高度 風險的環境。EAL7: 適用於高價值的資產及極高風險的環境。
網路安全─網路防火牆─電腦病毒的防護措施 Internet的盛行讓病毒的傳輸有了更方便的管道,傳統的檔案型及開機型病毒已逐 漸地被巨集型病毒和類似 Code Red 及 Nimda 等蠕蟲程式所取代,且隨著 Internet 的使用人口增加,這些病毒的破壞力也越來越驚人。 企業組織可以透過在每一個使用者的使用平台,或是公用的檔案伺服器上安裝病毒 掃描軟體以檢查系統或個人超作平台是否出現病毒,並進行清除。 整體的病毒防治機制若能透過企業的集中政策:如制定病毒碼的更新週期、檢查出 病毒時的處理流程:清除、隔離或刪除檔案等,並將這些安全政策直接實行到每一 個用戶端,將可以更有效的控制病毒的擴散。 雖然檔案型病毒、開機型病毒、和巨集型病毒或是木馬程式一般均可以透過防毒軟 體完成保護,但是蠕蟲因為通常透過系統的安全漏洞,防毒軟體即便能夠清除蠕蟲 感染之後之後門或惡意程式,然而系統上的安全缺失若不能解決,將必須不斷的在 受感染和清除其遺留的惡意程式間游移。這方面的預防則必須透過網路防火牆以及 接下來將提到的安全掃描及評估軟體和應用防火牆來解決。
網路安全─網路防火牆─安全掃描與評估機制 許多的作業系統、應用程式和網路設備都出現過或多或少的安全問題,這些安全缺 失除了可能出現在一般的作業系統上之外,連部分的防火牆產品也出現過嚴重的安 全缺失。 錯誤的設定或防火牆安全政策也可能造成安全危害,企業組織需要一套有效的機制 來檢驗自身的網路、系統、網路防火牆、VPN 等機制的安全狀況以及架構完整性。 早期提供這種稽核機制的方式多半是靠市面上存在的安全評估軟體。安全掃瞄及評 估軟體(Network Assessment)通常內建數以百計甚至上千個的各式作業系統或應 用程式的安全漏洞資料庫,管理者若使用這類工具檢查自己的系統可能會嚇一大 跳,一個剛安裝好的 Windows NT Server 加上最新的 Service Pack 之後,可能 還是可以檢查出十餘種甚至數十種不同危險程度的安全問題。 近期,由專業的安全顧問廠商所提供的安全檢查服務已經逐漸取代這些安全檢查軟 體的角色,由專業的人員進行檢查、判斷、並且據此提出建議。這可以解決 IT 人員 面對厚厚的一疊報告,卻不知如何判斷那些問題對自己的安全威脅最為重要,
網路安全─網路防火牆─入侵偵測與網路監督(一) 入侵偵測系統的設計主要在針對可疑的活動進行分析以及偵測,因此不同 於防火牆或是存取控制機制所採取的”檢查是否合法,然後決定是否授權” 的思考模式,入侵偵測系統採取的是”分析每一個發生事件(無論是合法或 是非法)底層所顯示的行為模式,並根據這些行為模式判斷是否為入侵事件” 的思考模式。 由於這種深入的分析方式,入侵偵測系統可以判斷出更多的可疑的動作, 這點無疑可以彌補防火牆的設計所缺乏的部份,就好像除了在住家或是公 司的大門安裝門鎖之外,又另外安裝了警報或是監視器。對於住家或公司 的安全性無疑可以更有效的提昇。 常見的入侵偵測系統存在兩種型式:網路型態的入侵偵測系統(Network Based Intrusion Detection, 簡稱NID)以及主機型態的入侵偵測系統(Host Based Intrusion Detection, 簡稱 HID)。
網路安全─網路防火牆─入侵偵測與網路監督(二) NID網路型態的入侵偵測軟體基本上是一種網路監聽程式,它會接受所有經過其監聽 設備的網路通訊,分析其中資料的內容:如來源、目的、使用的網路應用、以及實 際傳輸內容。 由這些內容中判讀出可疑的攻擊動作或是誤用情形。其判讀能力的主要關鍵在於其 內建的攻擊特徵資料庫 (Attack Signature), 市面上的入侵偵測軟體可判讀的攻擊特徵差異極大,最多的號稱可以判讀千餘種, 有的則只能判讀數十種,有的可以提供自訂攻擊特徵的能力,有的則不行, 網路型態的入侵偵測系統具有可以監視整個網段的特性,因此其建置的工作以及所 能涵蓋的範圍一般而言較系統型的入侵偵測系統為單純。但是,網路型入侵偵測系 統因不可能完全模擬所有目的端的運作方式,因此也有可能形成誤判的狀況。 當網路流量大到某種程度時,網路型的入侵偵測系統可能會因為來不及處理封包, 而無法完全分析當時發生的所有事件。但是這並不代表當時的網路效能會因此而受 到影響,
網路安全─網路防火牆─入侵偵測與網路監督(二) HID系統型態的入侵偵測系統所監督的是其所在安裝的系統上產生的活動, 一樣從中分析可疑的事件。 和網路型態入侵偵測系統不同的是,它所監督的對象是它所在的系統而不 是像網路監測系統一樣可以監督整個網路。因此,主機型態的入侵偵測系 統可能可以更清楚的瞭解系統上的所有活動狀況,卻不像網路型態入侵偵 測系統一樣可以涵蓋更完整的範圍。 HID系統型態的入侵偵測軟體一般採用監督對系統上的重要檔案的存取、 是否有監聽程式在執行、系統程式是否被更動、每一個使用者的使用習慣 以及那些程式有透過網路傳送資料出去等方式判斷其監督的系統上是否有 可疑的入侵者。每一個系統入侵偵測軟體只能監視自己所在系統,但軟體 廠商可提供集中管理工具接受各個系統上監督程式傳回之結果。
網路安全─網路防火牆─入侵偵測與網路監督(三) 無論是 NID 或 HID,入侵偵測系統一般都是透過感應器(Sensor)和管理中心的運作 方式運作:由 NID Sensor 負責蒐集流經其感應器的網路通訊進行分析,由 HID Sensor 負責蒐集其所在系統上發生的事件,各個 Sensor 再透過管理介面分別監督 或是透過集中管理中心監督所有的感應器。
網路安全─網路防火牆─IPSec VPN(一) IPSec VPN 為一開放的協定,不同廠商所提供的 IPSec VPN 理論上可以互相連通,具有開放的 特性。 IPSec VPN 的運作區分為:Host to Host、Host to Gateway 及 Gateway to Gateway 三種形 式。上述三種形式,分別指的是單一端點(client) 對另一端點,一個端點對一個網路,以及一 個網路對一個網路等三種型態。 IPSec VPN 是一個整體的協定,並不要求必須提供所有的加密演算法,只需VPN 的兩端都具備 同樣的演算法即可。在過去,由於美國司法部的出口限制,僅有 56 bits DES 演算法可以使用, 目前這個限制在大部分地區都已經解除,因此在台灣也可以使用 168 bits 的3DES 演算法。 一般而言,Key 的長度越長,其被破解所需要花費的時間會越長,安全度也越高。IPSec VPN 也可以透過動態改變加解密的 Key 協定以降低設定的複雜度及增加破解的難度,目前 IKE 是 多數IPSec VPN 會採用的方式。 大部分的IPSec VPN 採取透通的運作方式,當 IPSec VPN 的兩端建立 VPN 通道之後,兩端將 模擬成一個 TCP/IP Router,也就是兩端將可以透過 TCP/IP 協定互相透通的存取。
網路安全─網路防火牆─IPSec VPN(二)
Thank You for your time 顏大緯 、 謝坤澤 非常感謝你