网路安全与管理精编版

资源描述

《网路安全与管理精编版》由会员分享，可在线阅读，更多相关《网路安全与管理精编版（46页珍藏版）》请在金锄头文库上搜索。

1、網路安全與管理,資料來源松博梁仁楷台大計資邵喻美,1,大綱,虛擬私人網路VPN 無線網路結合VPN 遠端遙控維護 NAT SNMP 網路攻擊防火牆 EMAIL OPEN RELAY,2,梁仁楷,VPN,虛擬私人網路連線（Virtual Private Network）,VPN的虛擬通道,用戶端電腦變成好像直接在公司的內部網路中,VPN伺服器,用戶端電腦,網際網路,公司內部區域網路,Internet,3,梁仁楷,VPN通訊協定,PPTP(Point-to-Point Tunneling Protocol) 只有在網際網路建立的VPN才能夠使用PPTP通訊協定。電腦透過VPN伺服器來傳送

2、資料時，會先將不同通訊協定的封包封裝成PPP封包，等到另一端接受到後，再由遠端VPN伺服器來還原封包 L2TP(Layer Two Tunneling Protocol) L2TP和PPTP相似，唯一不同的是L2TP也具備了身分驗證、資料加密和資料壓縮的功能,4,梁仁楷,Windows Server VPN,安裝兩張網路卡，一張內部IP、一張外部IP 系統管理工具/路由及遠端存取按精靈指示安裝遠端存取（撥號或VPN）設定用戶端位址分派設定可撥入VPN連線的使用者,5,梁仁楷,VPN用戶端電腦設定,Windows XP,6,梁仁楷,VPN用戶端電腦設定,7,梁仁楷,用VPN管控無線網路,設

3、成無線網路專用IP的網路卡連接AP，運用VPN管制無線網路存取,設成內部IP的網路卡連接集線器，管制內部區域網路,8,梁仁楷,無線網路over VPN規劃,兩張網路卡，一張設內部區域網路IP例如192.168.0.135, MASK: 255.255.255.0 一張設無線網路專用IP例如192.168.1.1MASK: 255.255.255.0 無線用戶端電腦配置好相對的無線網路專用IP (例如 192.168.1.X)，這部分可以在無線AP的DHCP功能上做設定,9,梁仁楷,遠端遙控,Windows Terminal Windows Server內建, 二個人用 pcAnywhere 一

4、個人用, 二邊都要有人. 被控端可以在防火牆內 NetMeeting Windows內建, 一個人用, 二邊都要有人 VNC 一個人用,10,梁仁楷,NAT 網路位址轉譯,Internet,集線器,ADSL Modem,NAT,集線器,外部IP架設Web站,外部IP架設FTP站,設定外部IP,設定內部IP,內部IP,11,梁仁楷,Windows Server NAT,安裝兩張網路卡，一張內部IP、一張外部IP 系統管理工具/路由及遠端存取按精靈指示安裝網路位址轉譯選擇對外連線介面設定用戶端位址分派,12,梁仁楷,Windows Server NAT,13,梁仁楷,SNMP,資料來源:台大

5、計資邵喻美簡單網路管理協定（Simple Network Management Protocol）要求/回應協定：GET，SET 遠端管理TCP/IP網路上的設備對不同網路節點進行讀取及寫入狀態資訊在UDP上執行 Port 161 : sending and receiving requests Port 162: receiving traps from managed devices,14,梁仁楷,SNMP工作原理,SNMP Manager:配備網管軟體的系統, 通常是電腦系統+管理程式 SNMP Agent: 網路設備上的管理對應程式 SNMP community: a log

6、ical relationship between an SNMP agent and one or more SNMP managers.,15,梁仁楷,MIB Management Information Base,定義網路設備各種資訊的儲存結構 Name (OID) Type and syntax encoding MIB-II 所有網路設備皆提供的MIB標準各家廠商也會提供proprietary MIB 有許多MIB standards ATM MIB、Frame Relay DTE Interface Type MIB、BGP Version 4 MIB 、RADIUS Authe

7、ntication Server MIB 、Mail Monitoring MIB 、DNS Server MIB,16,梁仁楷,OID : .iso.org.dod.internet.mgmt.mib-2.interface.ifNumber.0 .1.3.6.1.2.1.2.1.0,17,梁仁楷,SNMP & MIB 相關工具,MRTG （Multi Router Traffic Grapher） Getif window-based MIB browser,18,梁仁楷,19,梁仁楷,20,梁仁楷,21,梁仁楷,網管系統,網路管理掌握網路主機狀況加速故障排除減少網管人員的負擔網管

8、系統商業軟體系統整合型系統：收集MIB資料，統計分析，繪圖，事件通知功能多樣化，價格昂貴免費軟體網管系統的一部份功能,22,梁仁楷,網路攻擊,資料來源: 台大計資李美雯網路監聽網路掃描漏洞利用密碼破解惡意程式植入 DoS/DDoS攻擊,23,梁仁楷,網路監聽,取得攻擊或入侵目標的相關資訊 Sinffer 攔截網路上的封包 Distributed Network Sniffer Client將收集的資訊傳給Server,24,梁仁楷,網路掃描,遠端掃描目標主機的系統取得目標主機的資訊利用系統漏洞入侵網路管理者重視此問題,25,梁仁楷,漏洞利用,利用程式或軟體的不當設計或

9、實做利用漏洞取得權限，進而破壞系統緩衝區溢位(buffer overflow) 網路安全網站公佈漏洞訊息,26,梁仁楷,密碼破解,利用系統弱點入侵取得密碼檔利用破解程式破解使用者密碼密碼的破解速度取得使用者密碼可入侵該主機取得系統管理者密碼可操控該主機,27,梁仁楷,惡意程式碼植入-1,病毒(Virus) 自我複製性與破壞性後門程式(Backdoor) 動機遠端遙控建立管理者權限之帳號更改主機的系統啟動檔,28,梁仁楷,惡意程式碼植入-2,利用電子郵件/MSN植入木馬程式駭客利用木馬程式聆聽的port遠端遙控更改木馬程式名稱與聆聽的port,29,梁仁楷,DoS / D

10、DoS攻擊,DoS攻擊(Denial of Service)-阻絕服務攻擊 DDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊 2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊 2001年七月份美國白宮網站被攻擊,30,梁仁楷,DoS攻擊,DoS : 系統資源被佔用，使得系統無法提供正常服務系統資源包括主機的CPU使用率，硬碟空間，網路頻寬 DoS攻擊利用同時傳送大量封包，造成網路或伺服器癱瘓,31,梁仁楷,DDoS攻擊,DDoS攻擊是多層次的DoS攻擊入侵其他主機，安裝攻擊程式具備遠端遙控的

11、功能控制在同一時間內發動DoS攻擊,32,梁仁楷,防禦機制,防火牆(Firewall)的架設入侵偵測系統(Intrusion Detection System)的架設 IP Spoof的防治伺服器的妥善管理網路流量的即時分析,33,梁仁楷,防火牆的架設-1,防火牆架設的位置必須熟知攻擊或入侵的手法防火牆影響網路效率規劃DMZ(De-Militarized Zone)區防火牆的缺點無法阻擋新的攻擊模式無法阻擋層出不窮的新病毒,34,梁仁楷,防火牆的架設-2,無法防範來自內部的破壞或攻擊無法阻擋不經過防火牆的攻擊,35,梁仁楷,DMZ區示意圖,36,梁仁楷,入侵偵測系統,依照

12、偵測方法分為 : Anomaly Detection : 建立使用者與系統的正常使用標準比對標準值，以判斷是否有入侵行為 Misuse Detection : 將各種已知的入侵模式或特徵建成資料庫比對資料庫的pattern，以判斷是否有入侵行為,37,梁仁楷,入侵偵測系統(cont.),相關功能: 攻擊程式多數為Open Source，可建立封包過濾的pattern 阻隔可能的攻擊來源對可能的來源攻擊下“停止攻擊”指令,38,梁仁楷,IP Spoof的防治,IP Spoof : 偽造封包的來源IP位址以送RAW Socket方式偽造來源IP位址防治方式 : 在router或防火牆設定

13、ACL管理規則禁止外來封包的來源位址是內部網路的位址禁止非內部網路位址的封包流到外部,39,梁仁楷,伺服器的妥善管理,管理不善的伺服器 = 駭客攻擊跳板系統管理者應做好系統的修補工作網路管理人員評估校園網路安全與否: 弱點評估工具掃描工具,40,梁仁楷,SNMP v1 安全漏洞,補救方法掃描SNMP服務工具 SNScan SNMPing 安裝廠商提供的修補程式關閉SNMP服務,41,梁仁楷,SNMP v1 安全漏洞,更改SNMP預設群組名稱預設名稱: snmp-server community public RO snmp-server community private RW

14、以防火牆或router ACL過濾SNMP連線過濾或阻擋SNMP相關的161、 162、 1993等TCP/UDP port的存取 access-list 101 deny tcp any any eq 161 log access-list 101 deny udp any any eq 161 log access-list 101 permit ip any any,42,梁仁楷,SNMP v1 安全漏洞,限制特定IP可存取 access-list 10 permit 140.112.3.100 snmp-server community ntu RO 10 啟動入侵偵測系統進行監控

15、,43,梁仁楷,EMAIL OPEN RELAY,EMAIL Server被當作跳板, 散發垃圾郵件 ORDB: Unix System 測試: 請升級send mail版本至 8.9 以上建立正確的access file & makemap Example for access file: 140.112 relay ntu.edu.tw relay 利用makemap建立sendmail的database MailScanner:,44,梁仁楷,EMAIL OPEN RELAY 測試,測試 telnet 140.112.3.90 25 helo mli mail from:mliccms

16、.ntu.edu.tw rcpt to:mliccms.ntu.edu.tw data test .,45,梁仁楷,1、有时候读书是一种巧妙地避开思考的方法。20.9.1720.9.17Thursday, September 17, 2020 2、阅读一切好书如同和过去最杰出的人谈话。09:41:5209:41:5209:419/17/2020 9:41:52 AM 3、越是没有本领的就越加自命不凡。20.9.1709:41:5209:41Sep-2017-Sep-20 4、越是无能的人，越喜欢挑剔别人的错儿。09:41:5209:41:5209:41Thursday, September 17, 2020 5、知人者智，自知者明。胜人者有力，自胜者强。20.9.1720.9.1709:41:5209:41:52September 17, 2020 6、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2020年9月17日星期四上午9时41分52秒09:41:5220.9.17 7、最具挑战性的挑战莫过于提升自我。2020年9月上午9时41分20.9.1709:41Septe

展开阅读全文