2008网管寒训网路安全与病毒防护

,*,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,2008 網管寒訓網路安全與病毒防護,報告人：朱,哥 NCU MENG,2008/1/15,1,喇賽時間,為什麼要談資訊安全?,近來發生的問題,今日作業,2,網路安全,3,網路安全基本介紹,網路安全的基本需求,網路面臨的問題,網路的安全威脅,4,網路安全的基本需求,傳輸的,保密性,(confidentiality),資料的,完整性,(integrity),身分的,鑑別,與,認證,(authentication),雙方的,不可否認,性 (nonrepudiation),5,網路面臨的問題,病毒蠕蟲攻擊,網路癱瘓,垃圾郵件,機密外洩,非法入侵,即時通訊 (MSN.),back,6,網路的安全威脅,系統、漏洞不斷被發現，攻擊手法不斷翻新,更新的速度永遠比不過感染的速度,病毒變種快速,攻擊程式及後門程式氾濫,廣告郵件、垃圾訊息及色情網站充斥整個網路,非法下載,即時通訊,7,隨堂練習,請從網路找出一個近年來的網路攻擊事件,的新聞，並簡單判別它是以上提到的哪種問題?,8,提高網路連線的安全性,資料加密 (Data Encryption),明文(plain text), 密文 (cipher text),認證 (Authorization),通常是要求使用者輸入帳號密碼,權限設定 (Authentication),稽核(Auditing),提供過去事件的相關紀錄利於事後追蹤,9,典型密碼系統,發送方,接收方,加密演算法,解密演算法,加密金鑰,解密,金鑰,明文,密文,明文,10,網路安全設備,入侵防禦系統 ( IPS & IDS ),防火牆（Firewall ),防毒系統 ( Anti-Virus ),11,Firewall,安裝在兩個網路間的裝置,藉著過濾掉某些,不可靠,的,資料封包,來增加系統的安全性,提供,稽核,與,控制存取,等服務,12,Firewall 的基本功能,認證 ( UA, User Authentication ),預警功能 ( Alert ),記錄與記錄分析工具 ( Log & Log Analyzer ),通訊埠的權限設定,13,Firewall 的缺點,易形成網路上的,交通瓶頸,無法防止,內部網路的使用者,用其,合法的身分,做破壞系統的行為,不一定能阻止,開後門,無法有效阻止有心人士利用,原作業系統的漏洞,進行入侵破壞行為,不提供資料完整性驗證,14,三大 Firewall 類型,1. 封包過濾式,2. 應用層閘道式,3. 電路層閘道式,15,封包過濾式防火牆,應用於,網路層,針對每個封包的標頭提供的資訊加以查核,優點： 1. 完全通透性,2. 速度快,缺點： 1. 無法有效防止IP欺騙,2. 有些應用協議不適用 ( EX. HTTP ),16,隨堂練習,1. 請去網路上找出另外兩種防火牆的簡介，,並列出兩種防火牆的優缺點,2. 請完成以下表格,17,防火牆,Comodo 個人防火牆,McAfee Personal Firewall,18,入侵偵測系統 IDS,架設在網路節點與主機間的針孔攝影機,若防火牆是第一道防線,IDS就是第二道防線,可以監控用戶和系統的所有活動,將封包拆開分析再重新組合,19,隨堂練習,使用IDS是否真的萬無一失?,請查閱網路資料並列出IDS的缺點,20,防毒軟體,以特徵碼和行為模式辨別病毒、木馬,並不能 100% 阻擋病毒的入侵,( 因為病毒變種過於快速 ),不怕一萬，只怕萬一,定期更新病毒碼、主程式,21,網路的基本運作原理,I,nternet 世界,TCP/IP 協定,Windows,Port 80,Port 110,Port 25,Port ?,22,Port 的角色與功能,電腦進出 Internet 的大門,一般來說，每個網路軟體都可以打開任一,個 Port ，但為了傳輸順暢，某些軟體就會,固定使用某幾個 Port,所以沒用到、不常用的幾個 Port 就容易成為駭客入侵最常使用的 Port,23,隨堂練習,請找出以下幾個程式或協定所使用的 Port,1. FTP 6. HTTP,2. Telnet 7. DHCP,3. SMTP,4. POP3,5. 網路芳鄰,24,駭客入侵,25,駭客入侵的對象,Server,個人!,26,常見的攻擊手法 ( Server ),猜密碼,利用系統的程式漏洞主動攻擊,利用程式功能的被動攻擊,rootkit蠕蟲或木馬,社交工程,DoS ( Denial of Service ),XSS ( Cross-Site Scripting ),27,猜密碼,取得帳號資訊後猜密碼,常見帳號,admin, administrator, webmaster ,Brute force ( 暴力法 ),利用,字典檔,進行無數次試驗,28,猜密碼,初級 cracker 會使用的方式之一,WINRAR password recovery,費時,防護：,1. 建立較嚴格的密碼設定規則,2. 密碼輸入次數限制,back,29,利用系統的程式漏洞主動攻擊,軟體撰寫方式的問題,bug,( 可能會造成系統的不穩定或當機 ),Security,( 程式碼撰寫方式會導致系統的使用權限被惡意者所掌握,),cracker 會嘗試撰寫一些針對這個漏洞的攻擊程式,攻擊者只要拿到攻擊程式就可以進行攻擊,SQL injection,30,SQL injection,(,資料隱碼,),利用使用者輸入的東西來控制你的 SQL,Example :,select * from member where UID = & request(ID) & ,And Passwd = & request(Pwd) & ,正常：,select * from member where UID=A123456789 And,Passwd=1234,31,SQL injection,使用者帳號, or 1=1 -，,密碼隨便打,結果：,select * from member where UID = or 1=1 - ,And Passwd = asdf1234,邏輯成立, 跳過驗證密碼過程,( p.s. - 符號後的任何敘述都會被當作註解,),32,隨堂練習,請運用,剛剛所提到,的內容,寫出一段資料隱碼攻擊的程式碼,33,利用系統的程式漏洞主動攻擊,最常見,不需要猜密碼,由攻擊開始到取得你系統的 root 權限不需要兩分鐘，就能夠立刻入侵成功,防護：,1.,關閉不需要的網路服務 & Port,2.,隨時保持更新,back,34,利用程式功能的被動攻擊,惡意網站提供軟體下載與安裝,瀏覽器主動的答應對方 WWW 主機所提供的各項程式功能， 或者是自動安裝來自對方主機的軟體,瀏覽器漏洞讓對方得以傳送惡意程式碼給你的主機來執行,ActiveX 主動式內容 ( IE core )：,EX.讀寫檔案、病毒掃瞄等,但是有讓對方網站控制本機的危險,35,利用程式功能的被動攻擊,防護：,1.,隨時更新,2.,讓瀏覽器在安裝軟體時，要通過你,的確認後才安裝,3.,不要連上惡意網站,(難 !),back,36,rootkit蠕蟲或木馬,蠕蟲 ( Worm ),惡性程式碼,感染整個網路,木馬間諜程式 ( Trojan ),附著在可執行檔案裡,開後門爽,( 側錄、跳板、破壞. ),Rootkit 即為取得root權限的工具包,途徑：漏洞與社交工程.等,37,社交工程 (Social Engineering),簡介,過人與人的互動來達到入侵 的目的,偽裝、謊言,時間可能長以年計,釣魚法,推薦書目：藍色駭客 ( 出版社：皇冠文化 ),MSN photo 系列病毒,38,社交工程 (Social Engineering),防護：,1.,帳號密碼記在腦子裡不要說,2.,不要隨便相信他人 ( ? ),3.,追蹤對談者,back,39,隨堂練習,情境題：如果你是一個駭客，你會怎樣利用社交工程來騙取現在坐在你旁邊同學的郵局帳號密碼 ?,( 請用50100字簡單敘述流程 ),40,DoS ( Denial of Service ),阻斷式攻擊,SYN：當主機接收了一個帶有 SYN 的 TCP 封包之後，就會啟用對方要求的 port 來等待連線,SYN flood：透過軟體功能，在短短的時間內持續發送出SYN 封包， Server 就會持續不斷的發送確認封包，並且開啟大量的 port 在空等,CPU使用率飆高、頻寬被吃光,掰,機關槍打坦克,41,補充: 三方交握 ( Three-Way Handshaking ),Client端發出連線要求時，必須要提供下列資訊：,Client,自己的,IP,位址,所使用的,Port,號,最大容許的,TCP Segment,大小,其他訊息,三方交握：,1.,Clioent,想要與,Server,連線，因此,Host1,將,SYN,旗標設定為,1,，同時將目前的,Segment,序號,(x),傳送給,Host2,。,2. Server,接收到此要求後，會對此連線要求加以回應，因此將,SYN,設定為,1,，此外附上目前序號,(y),，及確認序號,(x+1),給,Client,。（在此，確認號碼為發送端序號加一）。,3. Client,收到此訊號後，會將序號設定為,(x+1),，然後確認序號設定為,(y+1),。（確認序號仍為對方的序號加一）。,42,43,44,DDoS (Distributed Denial of Service),進化版, 集合眾人之力,先散播惡意軟體 ( 透過後門等方式 ), 同步所有攻擊程式，於同時間朝同目標,攻擊, 效率為 DoS 的數倍,單純惡意行為 ( 不是為了取得root ),目前無較好方法防堵,45,back,46,Cross-Site Scripting ( XSS ),跨站腳本攻擊,十大攻擊之首,利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言,利用,釣魚式,攻擊,將使用者的cookie資料導入到駭客網站並儲存,無名小站 ( 2006 ),47,Cross-Site Scripting ( XSS ),EX.,location.replace(+document.cookie),防護,1.,Black List,缺點：過濾不乾淨,2.,White List,缺點：Client 變化性少,48,隨堂練習,請從網路上找出一種阻斷式攻擊的方法,( 講義上沒提到的 ),49,病毒與木馬防護,50,木馬 ?,51,木馬 病毒 傻傻分不清楚,病毒 進入電腦中進行軟硬體的損壞、無,法操作等破壞行為,木馬 進入電腦中蒐集各種資訊，甚至完,全控制寄主,52,木馬的功用,遠端遙控,轉向入侵 ( or 跳板 ),截取封包,獲得帳號密碼,DDoS,53,木馬怎麼防 ?,最佳方式 不要讓它植入你的電腦,不幸中了怎麼辦 ?,1. 想辦法清除,2. 利用之前的備份重灌,54,簡易中毒自救法,1. 先拔網路線,2. 使用防毒軟體檢察,3. 檢查開機自動執行與系統服務,4. 檢查已執行的程式,5. 查看Port連線情況,6. 上網求救,-,進階： 監控封包,55,使用防毒軟體檢察,平時就要定期更新病毒碼,防毒軟體只是,疫苗，,不一定是解藥,p.s. Spybot Search & Destroy,56,檢查開機自動執行,1. 啟動資料夾,57,檢查開機自動執行,2. Win.ini 或是 System.ini,在Windows的資料夾裡,Win.ini 通常不會有任何的,run,和,load,參數,System.ini 裡的shell參數的 Explorer.exe不會有,別的程式名稱,58,檢查開機自動執行,3. 檢察機碼 ( Registry ),執行,regedit,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce,HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun,HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce,通常只有系統運行所需之程式或是自己灌的應用程式,Startup,59,HKEY_USERSS-1-5-21-.SoftwareMicrosoftWindow NTCurrentVersionWindows,裡面通常沒有run的機碼,HKEY_LOCAL_MachineSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,裡面的Shell機碼值應該只有 explorer.exe,60,檢察系統服務,控制台,系統服務,停用可疑或自己不認識的服務,61,檢查已執行的程式,工作管理員,TaskInfo ( 共享軟體 ),可以上網查不知道是什麼的程式,一些WinXP的系統程式：,smss.exe lsass.exe csrss.exe winlogon.exe,Explore.exe regsvc.exe svchost.exe(會有很多個),進入安全模式將可疑執行檔刪除,62,查看Port狀況,CurrPort,將可疑程式的位置鎖定後刪除,63,隨堂作業,請去網路上找出以下幾個程式的發行公司,及用途,alg.exe mplayerc.exe,WinMgmt.exe wmiprvse.exe,Internat.exe,daemon.exe,pdesk.exe,64,上網求救,各大防毒公司網頁,ptt AntiVirus 板,65,隨身碟病毒,利用隨身碟插入時，電腦自動執行的功能執行木馬安裝程式,變種異常迅速,防護： 關閉自動執行,改用檔案總管開啟隨身碟,WowUSBProtector,66,隨堂練習,請查出關閉自動執行的機碼,67,結論,網路很可怕,做好防護措施, 快樂上網,68,作好系統帳號安全管理,系統的第一道防線,密碼就像牙刷- 天天要用，而且要常常換,拒用 weak password,69,系統安全漏洞防護,留意來自網路上及軟體廠商的系統安全漏洞報告,定期 Windows update ( 自動執行 ),應用程式版本更新,70,安裝安全防護程式,防毒,防火牆,定期更新病毒碼及掃描,port掃描,71,培養好的使用習慣,1. 不要執行不明程式 ( .exe .scr .rmvb 注意 ),2. 大陸、外國破解網站與成人網站不要輕易,嘗試,3. 管理者設定帳號密碼,4. 公用電腦很毒 ! 不要輕易在上面留下帳號,密碼,72,災難恢復計畫,天有不測風雲,完善的備份, 異地備援,有備無患,73,入侵恢復工作,立即拔除網路線,分析弱點與感染途徑,備份資料,(,平時,),重新安裝,資料回復,防毒防火牆先上,上網更新,74,下課了!,75,