CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A

Presentation on theme: "CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A"— Presentation transcript:

1 CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
2018/11/23 CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A CURELAN TECHNOLOGY Co., LTD

2 駭客入侵及攻擊所造成的後果？ 駭客入侵會造成銀行客戶資料被竊取，及公司商業機密資料被竊取，在國防機密也會被竊取重要資料，甚至影響國家安全。
每個國家的軍事網路都是封閉網路(獨立網路，不跟互聯網有任何交集)。但是，有關人員可能會被敵方收買利用入侵程式並植入木馬程式等方式，來竊取軍事機密。

3 入侵防護系統（IPS，Intrusion Prevention System)設備的盲點-1
2018/11/23 入侵防護系統（IPS，Intrusion Prevention System)設備的盲點-1 IPS設備採用特徵值(Pattern)方案，網路駭客為了躲避特徵值(Pattern) 的偵測，平均2天至3天就會改變特徵值(Pattern)，所以IPS設備永遠是處於被動(也就是被挨打)。 網路駭客入侵到內部網路電腦後，會再透過被植入的木馬程式來入侵內部網路的其他電腦或Server，也就是內部網路入侵內部網路，以擴充入侵版圖也就是殭屍網路(Botnet) IPS設備是放置在Inline Mode，又不能收集Netflow的IP資料來分析內對內的IP資料，所以對於內對內入侵毫無辦法。 IPS設備的DDOS功能是採用門檻值(threshold)功能來防止駭客攻擊，但是誤判率很高。

4 入侵防護系統（IPS，Intrusion Prevention System)設備的盲點-2
駭客會以Port Scan程式在Internet進行掃瞄，來發現使用單位所使用的Port Service，所以使用單位改變原有Port Service的號碼來躲避駭客入侵是沒有用，駭客由Port Scan得知使用單位之Port Service後，可藉入侵程式來入侵某特定埠(Port Service)，並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電腦。 駭客也會透過SSH (22 Port)、RDP (3389 Port)來入侵使用單位的網 路，並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電 腦。

5 Flowviewer的功能分類 功能分類 FM-800A為 1G方案／ FM-1500A為 10G方案
防止駭客入侵功能：Port Scan、SSH、RDP等功能 防止駭客攻擊功能：UDP Flood Attacks、DOS Attacks、DNS Attacks、NTP Attacks等功能 動態流量報表可追蹤並查詢IP犯罪記錄

6 網路入侵 V.S. 網路攻擊 之分析 Cyber-Intrusion (網路入侵) Cyber-Attack (網路攻擊 ) 像小偷一樣
像強盜一樣 使用巨大網路流量及網路Sessions來癱瘓網路 不害怕被發現，因為是假借別人IP來攻擊 像小偷一樣 很小網路封包(Packet) 害怕被發現

7 Cyber-Attack 駭客攻擊 之分析 The Amount of Traffic A Number of Sessions
產生巨大網路Sessions，所經過網路設備都會產生設備的CPU損耗過高導致癱瘓網路 產生巨大網路流量來佔據網路頻寬導致癱瘓網路

8 採用網路行為異常分析 IP 技術 Network Behavior Anomaly Detection (NBAD)
NBAD Technology Flowviewer 是64位元設備 High Error Rate Picture provided by : free vector graphics Version 1 Version 2 ? TRUE ? FALSE ? 設備可以自動偵測駭客入侵及攻擊，並自動阻斷入侵及攻擊

9 接收Netflow的IP資料來分析IP的細節 The Flowviewer FM-800A

10 Flowviewer 自動阻斷駭客入侵及攻擊
Cyber-Intrusion (網路入侵) Port scan SSH RDP Worm Cyber-Attack (網路攻擊) UDP Flood Attack DOS Attack DNS Attack NTP Attack

11 Flowviewer設備在Inline Mode架構， 來防止駭客入侵及攻擊

12 以Inline Mode架構自動防止駭客入侵及攻擊
Flowviewer設備提供硬體及軟體故障時Auto By-Pass功能，所以在Inline Mode架構當設備損壞時都不影響內部網路對外連線。 Flowviewer設備提供在設備上自動阻斷駭客入侵及攻擊之IP。 自動阻斷外部IP(當駭客由Internet入侵使用單位內部網路) 可自動下ACL指令在Core Switch來阻斷，駭客內對內的入侵。 Flowviewer 設備遇到駭客入侵及攻擊時阻斷方式，在L3 Core Switch下達ACL指令阻斷駭客入侵及攻擊之IP，運用L3 Core Switch(Cisco、Foundry、Alcatel、Extreme等廠牌)的(Access Control List Entries) ACLs指令將駭客入侵及攻擊的IP斷線處理。

13 實際案例說明

14 內部網路 入侵 內部網路 駭客植入木馬程式後內部網路入侵內部網路，如左圖在第4項次，140.xxx.xxx.56利用RDP途徑同一時間入侵內部網路140.xxx.xxx.66等7個IP 如右圖在第1項次，140.xxx.xxx.171利用RDP途徑同一時間入侵內部網路140.xxx.xxx.2 等14個IP。

15 UDP Attack 真實案例，UDP通訊協定是沒有連線數(Sessions)觀念(TCP才有連線數觀念)。但是，駭客運用”跳Port Service”的觀念來產生連線數(Sessions)，如下圖，駭客假借140.xxx.xxx.197來攻擊對外IP，被假借的使用單位一樣被癱瘓內部網路，但是，有Flowviewer設備會自動偵測攻擊IP並阻斷，避免網路癱瘓。 舉例：美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路，可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。

16 駭客如何躲避IPS設備之偵測 上述之駭客攻擊產生40.72GB網路流量及2,390,917 Sessions數，但是；每秒最大Sessions數為743，目的就是為了躲避IPS設備的偵測。 IPS設備的門檻值(Threshold)功能，就是防止DDOS攻擊的功能，可以設門檻值(Threshold)一般都設在5,000，此真實案例只產生743，就可躲避IPS設備的偵測。

17 數學概念來分析駭客攻擊 S: session Psrc n: source port number
Pdst n: destination port number Tn: some time ∵ ∵

18 動態流量即時查詢功能 可任意調整任何區段時間範圍來查詢個別IP有跟那些IP有連絡(也就是去了那些IP的網站或伺服器) ，此功能可以追蹤犯罪行為證據。 來源位置IP 120.XXX.XXX.39在2010年1月20日11點10分到12點10分，這個時間範圍區間跟那些IP有連絡就是目的位置IP ，藍色的IP表示經過80埠，綠色的IP表示非經過80埠。

19 結 論 駭客會運用Port Scan在網際網路(Internet)掃瞄 Port Service 65,535(網路服務埠),發現漏洞就會植入木馬程式,Flowviewer設備有這方面偵測防止功能. 駭客有專門程式針對SSH(22 Port)及RDP(3389 Port)來入侵並植入木馬程式,這是台灣國家網路中心 研究發現駭客會從此路徑入侵, Flowviewer設備有這方面偵測防止功能. 全世界防止駭客入侵無解方式有1.Spear phishing(魚叉式網路釣魚) 2.下載APP程式 3.微軟作業系統漏洞,而Flowviewer設備第二道防線就是針對這些入侵所造成的後果來防衛,如何防衛呢? Flowviewer設備有UDP Flood Attack偵測功能: a.駭客透過無解方式植入木馬程式後,一定會借用使用單位的網路流量來攻擊使用單位以外的IP,也就是假借IP來攻擊外部IP,用UDP封包的網路流量來攻擊,想要攻擊的目標IP,因為使用單位被借網路流量所以使用單位也會被癱瘓網路,所以已經不是自掃門前雪的問題，舉例；美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路，可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。 b.當駭客發動UDP Flood Attack攻擊使用單位,Flowviewer設備也會偵測到此攻擊. 同上述駭客也會以大量Sessions(Flows)來攻擊,跟上述一樣,駭客會假借IP來攻擊或使用單位直接受到大量Sessions(Flows)來攻擊,Flowviewer設備有DOS Attack功能可以偵測此方面的攻擊.

20 成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學
2018/11/23 成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 嶺東科技大學、中州科技大學、弘光科技大學 吳鳳科技大學、中正預校、國防大學(主校區，政治作戰，中正理工) 台中護專、彰化縣網中心、台東縣網中心 醫院 彰化秀傳醫院、台南奇美醫院 政府單位 國家高速網路中心(5台) 、立法院、國立台中美術館、苗栗警局 嘉義市政府資訊中心(針對GSN出口監控) 銀行 兆豐國際商銀(三重分行) 企業 MAERSK (貨櫃公司) 、台糖實業量販部、台灣現代商船

21 Customers

22 總 結 Demo site for Flowviewer series 同時具備接收sFlow及NetFlow 之logs功能。
2018/11/23 總 結 Demo site for Flowviewer series Account: curelan01 Password: 同時具備接收sFlow及NetFlow 之logs功能。 具備動態調整時段區間來查詢歷史犯罪記錄。 設備的技術採用收集網路流量來分析IP行為模式，而不是採用特徵碼(Pattern)，所以不用管駭客攻擊的名稱，因此網路管理者根本不用花時間研究駭客攻擊的名稱。 自動阻斷SSH及RDP入侵途徑，防止駭客以此途徑入侵。 可以偵測UDP Flood Attacks、DOS Attacks 、DNS Attacks及NTP Attacks事件，並以搭配Core Switch下ACL指令來阻斷駭客攻擊。