安全性機制及工具 - 資通安全研發中心

安全性機制及工具
主講人:曾龍 助理教授
興國管理學院資訊科學系 助理教授
TEL:(06)2870549
E-mail: drbt@pchome.com.tw
btseng@mail.hku.edu.tw
1

OVERVIEW
� O.S Level Security Tools
--Windows XP,2000,2003/LINUX/*BSD/Solaris/…
� Application Security Tools
--SQL server: Oracle,DB2, MS SQL, MySQL, Postgresql
--Mail Server: Exchange server, Sendmail, Qmail,….
--Web/Application server: IIS, Apache, IBM websphere, Tomcat
� Auditing &Trapping Tools
-- Syslog-ng, Honeypot/Honeynet/HoneyWorld
� Enhanced Security Tools(Main Focus)
-- Firewall/IDS/VPN
� Enterprise Security Testing
--Vulnerability Scanner/ Penetration Test
� Digital Forensic
2

1.網路世界上的系統
3

Auditing &Trapping Tools:Syslog-ng
4

Auditing &Trapping Tools:
Honeypot/Honeynet/HoneyWorld
5

Enhanced Security Tools: Firewall
� 1.What is Firewall ?
� 2.Firewall 技術
� 3.著名防火牆介紹
� 4.Firewall 佈署架構
� 5.IPTable 介紹
� 6.Firewall 測試
� 7.Firewall Extend
6

1. What Is an Internet Firewall?
� 防火牆是一種雙向的安全管理機制
� 它只允許一些特定的資料通過,且必須經過一些事先設定
的安全規則和政策才能放行。
� 防火牆能有效地記錄網路傳輸的資料量與種類
� 防火牆不能防護不經過它的連接
� 防火牆不能防止新的威脅且不能完全防止病毒
7

2. Firewall 技術
� 封包過濾式防火牆 (Packet Filter)
� 應用層閘道式防火牆 (Application-Level
Gateway)
� 電路層閘道式防火牆 (Circuit-Level Gateway)
8

2.1 封包過濾式防火牆 (Packet Filter)
9

� 封包過濾是在OSI七層架
構中第三層以下的網路中
運作。封包過濾器的功能
主要是檢查過往的每一個
IP資料封包,如果其表頭
中所含的資料內容符合事
先設定的安全規則和政策
就放行通過。
� 最常見的的封包過濾器就
是(高階)路由器(Router)
10

封包過濾的優點
封包過濾式防火牆的最大優點是速度快(在任何時
候都可以使封包通過)、容易建置、設置成本較低
並具有完全通透性(Transparency)
11

封包過濾的缺點
封包過濾式防火牆的作用層次比較低,一些屬
於OSI 模式中上幾層的功能無法在此類防火牆中
做到,所以無法對所經過的資料流提供較詳細及
較高層的稽核能力,有時也由於必須預先開放某
些埠口,而造成了安全上的大漏洞。
12

2.2 應用層閘道式防火牆
(Application-Level Gateway)
13

2.2 應用層閘道式防火牆
(Application-Level Gateway)
� Application-Level Gateway作
用於OSI模組的應用層,它針
對不同的應用程式如FTP、
HTTP、Telnet等來分別進行
安全的稽核工作。它是利用
閘道或代理器(Proxy)—將內
部網路與外部網路區隔開
來,而存儲轉發(Store-and
Forward) 。
14

2.2 應用層閘道式防火牆
(Application-Level Gateway)
� 防火牆內的Clinet端實際是連接到防火牆之內的FTP伺
服器,再由防火牆之內的FTP伺服器以Client端的身分
去網際網路上真正的FTP伺服器上擷取檔案。
� 應用層閘道器會先將欲通過它的傳輸連接切斷,再建
立另一個連接,它會從這個連接的過程之中獲得一些
必要的資訊,並依照各個應用程式之中所設定的一些
規則,來決定誰可以進出防火牆的內外、誰可以擷取
那些資料。
15

2.2 應用層閘道式防火牆
(Application-Level Gateway)
� 作用在OSI 模式的最高層, Application-Level
Gateway可以了解所有通過封包的資訊。
� 目的端的伺服器無法知道Clinet端主機的實際位址,使
得內部的網路位址可不為外界所知,如此以達到防火
牆的功用。
� 在功能上來說, Application-Level Gateway在各類型
的防火牆技術之中算是最優良的。但它的價格較昂
貴。
� 它不完全具有透通性,有些程式應用很可能會莫名其
妙地被阻檔在門外。
16

2.3 電路層閘道式防火牆
(Circuit-Level Gateway)
17

2.3 電路層閘道式防火牆
(Circuit-Level Gateway)
� Circuit-Level Gateway是作
用於OSI模式中的傳輸層,
是介於封包過濾器和應用層
閘道器之間的防火牆型式。
� 它與應用層閘道器同樣是透
過代理程式來進行安全控
制,但作用於比較低的層
次,並沒有專門針對每一個
應用程式特別設定組態。
� 當一個核可的服務接通之
後,防火牆會建立一個交談
(Session),而且馬上將埠口
關閉。
18

2.3 電路層閘道式防火牆
(Circuit-Level Gateway)
� 有些電路層閘道器具有動態地檢查資料封包狀態的功能,稱之為
狀態檢驗(Statefull Inspection)技術。
� 在閘道器的內部設置了一個連結狀態表,在查驗高層通信協定的
同時,順便將過往交通的狀態記錄下來。
� Circuit-Level Gateway的優點是比Packet Filtering還要安全又可
掌握連線的資訊 ,且網路流量的效能較Application-Level
Gateway更佳。
� Circuit-Level Gateway缺點則為無法監督交談層(session-level)的
活動,且封包流量比 packet filtering 慢。
19

比較 : 運作方式與特色
封包過濾式 應用層閘道式 電路層閘道式
運作層次(OSI) 第三層(網路層) 第七層(應用層) 第四層(傳輸層)
運作機制 路由器 代理程式 代理程式
運作效率 最高 最低
建置價格 最便宜 最昂貴
建置容易度 最容易 最難
通透性 完全通透 不完全通透 完全透通
安全管控能力 最弱 最強
20

3. 著名防火牆介紹
� 3.1 軟體防火牆
� WINDOWS XP/2003 ,
� MS Internet Security Acceleration Server
2000/2004 ,
� IPtables,
� Checkpoint
� 3.2 硬體防火牆
� Netscreen ,
� Cisco Pix Firewall
� Nokia(Checkpoint ,ISS…)
21

3.1.1 軟體防火牆 – Windows XP
22
Mouse右鍵內容

設定規則
23

記錄所有通過或禁止的封包,
以便近一步的分析
24

3.1.2 軟體防火牆 –ISA Server
� ISA Server 是一套可擴充的企業用防火牆與網路快取伺服器軟體
� 與 Windows 2000 整合之後,則可提供以原則 (Policy) 為基礎的
安全性、網路的加速、以及網際網路管理等功能。
� ISA Server 提供了兩種緊密整合的模式:
� 多重層級 (Multilayer) 防火牆
� 高效能的網路快取伺服器。
可提供對封包層、電路層、及應用程式層的過濾功能;並提供狀
態檢查功能來檢查通過防火牆的資料;還可控制存取原則並執
行流量的路由工作。快取則可將使用者常要求的網路內容儲存
,以提高網路效能以及使用者的使用經驗。
26

小型、中型、大型 ISA Server 硬體規格
每部伺服
器安裝的
Xeon CPU
數量
每部伺服
器的記憶
體大小
27
每部伺服
器的 URL
快取專用
的磁碟空
間
每一陣列
同一時間
的使用者
數
小型 2 128M 36G 1,500 2
中型 2 128M 54G 5,000 4
大型 4 256M 63G 4,0000 9
每個陣列
的伺服器
數量

3.1.3 軟體防火牆
– Checkpoint Firewall-1
� Checkpoint ,它是目前業界唯一一款具有開
放、整合、能夠相容各平臺的網路安全綜合基
礎設施。
� Checkpoint Firewall-1在全球軟體防火牆產品
中位居第一。
� Checkpoint Firewall-1是一個綜合的、模組化
的安全套件,它是一個基於策略的解決方案,提
供集中管理、訪問控制、授權、加密、網路地
址傳輸、內容顯示服務和服務器負載平衡等功
能。
28

3.1.3 軟體防火牆
– Checkpoint Firewall-1
� CP Firewall-1由3個交互操作的組件構成:控制
組件、加強組件和可選組件。
� 這些組件既可以運行在單機上,也可以部署在跨
平台系統上。
� 控制組件包括Firewall-1管理服務器和圖形化的客戶
端
� 加強組件包含Firewall-1檢測模塊和Firewall-1防火
牆模塊
� 可選組件包括Firewall-1 Encryption Module(主要用
於保護VPN)、Firewall-1 Connect Control
Module(執行服務器負載平衡)和Router Security
Module(管理路由器訪問控制列表)。
29

3.2.1 硬體防火牆 - NetScreen
� NetScreen Technologies Inc.
NetScreen於1997年成立,是整合型網路安全解決方
案的領導者,根據Gartner Dataquest的2001防火牆軟
硬體市場統計報告顯示,NetScreen擁有最大的市場佔
有率。NetScreen提供一系列廣泛的網路安全解決方
案,包括VPN、阻斷攻擊保護(denial of service
protection)、防火牆(firewall)、入侵防護
(intrusion prevention)等,
30

3.2.2 硬體防火牆 –Cisco Pix Firewall
� Cisco Systems的防火牆系列產品,提供了對網路重要
資訊反偷竊、反破壞的優異保護功能;同時 對於一般
駭客的拒絕服務(Denial of Service)攻擊做有效的了
預防。您可以在網路上的不同節點應用不同的安全策
略,以提供公司的網際網路(lnternet)、私有虛擬網路
(Virtual Private Networks)及遠距私有網路(Extranet)
的連結。
� Cisco Systems的防火牆提供的重要安全功能包括
(Perimeter Policy Enforcement)、私有虛擬網路
(VPN)、內容過濾(Content Filtering)以及拒絕服務偵及
保護(Denial of Service Detection And Prevention)。
31

3.2.3 硬體防火牆 - Nokia IP40
� 將人性化的設計帶進防火牆世界
� 四種版本,選擇性更多
� 精簡化的管理介面
32

3.2.3 硬體防火牆 - Nokia IP40
� Nokia 無線虛擬網路 Mobile VPN 解決方案 (包括
Nokia Security Service Manager 和 Nokia Mobile
VPN Client) 能與現有企業基礎架構整合,將
IPSec VPN 的使用範圍延伸到行動通訊裝置。
Nokia 9500 Communicator 也支援其它安全功
能,例如裝置鎖定與網路應用系統 SSL 加密。
33

小結
� 軟體防火牆的主要優點,就是可清楚了解您使用系統
的方式,且更能調整其設定以符合您的需求。
� 但以一般而言,硬體防火牆仍較軟體防火牆效能高。
主要原因是因為硬體防火牆為專職的防火牆,所有的
資源(如CPU、記憶體等)均專門為防火牆設計、使
用。而軟體防火牆則架設於開放作業平台之上(NT或
UNIX),防火牆伺服器中相當多的資源已被作業平台佔
用;所以防火牆軟體真正能使用的資源並不如預期的
多,運作起來便力有未殆了。
34

4. Firewall 佈署架構
� 網路防火牆雖然大多以上述三種技術為基本的
運作基礎,但其實務應用配置的種類及型式十
分繁多。
� 雙介面主機 (Dual-Homed Host)
� 單一路由器防火牆 (screening router )
� 屏障式閘道器防火牆 (Screened Host Gateway)
� 屏障式子網防火牆 (Screened Subnet)
� 雙屏障式子網防火牆 (Belt & Suspenders )
35

4.1雙介面主機
- Dual-Homed Host architecture
36

4.2 單一路由器防火牆配置圖
37

Using a screening router to do
packet filtering
38

4.2 單一路由器防火牆
� 防火牆網路外部的使用者在透過單一路由器的封包過
濾之後,才能接觸到網路內部的網際網路伺服器。
� 通常這種配置下的防火牆管制工作一定要非常嚴格,
只讓那些對擷取有嚴格限制的服務如電子郵件傳遞等
進入內部的網路系統,而一些危險性較高的服務如遠
端載入、檔案傳輸等皆阻檔在外。
39

屏障式閘道器
(Screened Host Gateway)防火牆配置圖
一般小型的網路中,會使用單一防火牆中同時提供封包過濾與代
理程式的雙重功能,它通常是利用內建封包過濾功能的路由器堵
在第一線,而在內部網路另取一個主機作為應用層閘道器,此種
配置方式可稱為屏障式閘道器。如此,位於代理程式前端的路由
器就可以不必先經過複雜的組態設定來過濾封包。此為防火牆產
品的最基本的型態。
40

4.4 屏障式子網防火牆配置圖
41

4.4 屏障式子網防火牆
� 中型網路的保護架構可以採用上述的屏障式閘道器,
一樣是由將單一閘道的防火牆擴展成數部主機,形成
一個屏障式子網(Screened Subnet),提供內外界的各
式服務,可以將風險及效能的負擔分散至數部主機。
� 外來者須經由封包過濾器到公司的代理程式中,而內
部的使用者則可先進到代理程式,再經由封包過濾
器,或選擇直接經由封包過濾器入網際網路。
42

4.5 雙屏障式子網防火牆配置圖
43

4.5 雙屏障式子網防火牆
� 較大型的網路,則可採用具有更高的安全管制的雙屏
障式子網(Belt & Suspenders),在此模式中,利用一
對封包過濾器形成一個非軍事區(DMZ,或稱會客
區),而在內放置代理伺服器與Web伺服器等網路設
備,此區的保護程度較內部網路為低,但一些較安全
顧慮較低的服務可在此區中進行,而它與內部網路還
以另一個封包過濾器相隔,因此能提供更進一步的保
護。
44

5. Linux/IPTable 介紹
� 5.1 預設的原則表與鏈
� 5.2 封包過濾原理
� 5.3 Iptables語法結構
45

Netfilter Architecture
- A Packet Traversing the Netfilter System
� Netfilter is merely a series of hooks in various points in a
protocol stack (at this stage, IPv4, IPv6 and DECnet). The
(idealized) IPv4 traversal diagram looks like the following:
46

5.1 預設的原則表與鏈
47

5.2 封包過濾原理
48

5.3 Iptables語法結構
� Iptables [-t table] command [match] [-j
target/jump]
� 5.3.1 Table 類型
� [-t table]是指目前核心使用的原則表類型
� EX � -t nat , -t mangle , -t filter (預設)
� 5.3.2 Command 命令
� 5.3.3 Match 比對
� 5.3.4 Target 目標
49

5.3.2 Command 命令
� 表示要求iptables程式執行的工作,但只允許一個命令。
除了「help」之外,所有的命令都必須以大寫來表示。
� -A或--append 附加 iptables –A INPUT –I lo –j ACCEPT
� -D或--delete 刪除
� -E或--rename-chain 更名
� -h或--help 說明
� -F或--flush 清除
� -P或--policy 設定原則鏈的目標
� -N或--new-chain 新增使用者定義
50

5.3.3 Match 比對
� 若比對選項加入!則表示否定的意思。
� -c或--set-counters
� -d或--destination或--dst 指定套用原則的目的地主機
� iptables –A INPUT –d 192.168.2.1
� -i或--interface 指定封包進入的網路介面名稱
� iptables –A INPUT –i eth0
� -j或--jump 指定原則的目標與處理動作
� iptables –A INPUT –i eth0 –p tcp –dport 20 –j ACCEPT
� -o,--out-interface,-p,--protocol,-s,--source…etc
51

5.3.4 Target 目標
� 若少了這個選項,此原則就形成虛設,且必須使用大寫來
指定原則的目標。
� ACCEPT 允許
� iptables –I INPUT 1 –dport 80 –j ACCEPT
� DROP 丟棄
� iptables –D INPUT –dport 80 –j DROP
� RETURN 跳離目前的鏈
� iptables –t nat –A PREROUTING –I eth0 –p icmp –j
RETURN
� QUEUE 重導至本機的佇列中
� iptables –t nat –A OUTPUT –j QUEUE
52

6. Firewall 測試
� 6.1 White Box Test設計的角度
� 6.2 Black Box Test使用的角度
� 6.3 實務測試
53

6.1 White Box Test
� 以設計為主要觀點的白盒子測試,通常強調防火牆系
統的整體設計,且具有其一定的假設情況和設計時的
基準網路環境。
� 從設計的角度測試防火牆系統,得要先知道防火牆的
設計原理和設計時的假設等因素,才能做到比較實際
的測試工作。
54

6.2 Black Box Test
� 黑盒子測試則是不管防火牆內部系統是如何設計的,
只要試圖從外面闖入防火牆,看看是否可以將這非法
闖入的測試阻檔在門外,也就是說它從使用者的角度
著手去測試,不管它是如何建造的,只要能防火就
好。
� 黑盒子測試的進行通常會先列出測試的工作清單,如
所有已知的安全漏洞,然後根據清單一項一項地去執
行安全的測試工作。
� 這種黑盒子的測試工作,可以確認防火牆系統或產品
安裝和組態設定的正確性,並偵測出防火牆是否可以
防禦已知的安全漏洞。
55

6.3 實務測試:
� TEST 1:防火牆建置與檢視基本規則
56

6.3 實務測試:
� TEST 2:IPtable防火牆自定規則、指令測試
57

6.3 實務測試:
� TEST 3:使用webmin設定IPtable防火牆
58

6.3 實務測試:
� TEST 4:IPtable防火牆port scan
59

實務測試:[作業]
60

實務測試:[作業]
作業1:解決eMule/eDonkey傳檔過慢的問題
一般NAT後面的eMule/eDonkey使用時,會因伺服器
無法連到區域網路內用戶端的TCP4662及UDP4672埠
(預設),會導致用戶端顯示低-ID,而導致下載速度變慢
作業2:解決VNC與pcAnywhere無法連線的問題
由於被遙控的遠端電腦位於私有IP裡,造成無法使用
VNC(port 5900 預設)、pcAnywhere(port 5631、5632 預設)
61

實務測試:[作業]
作業3:解決外面查詢不到DNS伺服器的問題
一般使用NAT架設DNS伺服器常會遇到的問題
作業4:阻擋即時通訊軟體
公司裡,老闆不希望員工上班時間聊天或洩漏公
司商業機密,因此將MSN阻擋。
作業5:阻擋P2P軟體
62

7. 研伸閱讀與進階研究:
� FIREWALLS AND INTERNET SECURITY:REPELLING THE WILY
HACKER,2nd Edition, William R. Cheswick, Steven M. Bellovin, Aviel D.
Rubin
� A Quantitative Study of Firewall Configuration Errors
Wool, A.; Computer , Volume: 37 , Issue: 6 , June 2004 Pages:62 - 67
� Firewalls: an outdated defense
Arbaugh, W.A.; Computer , Volume: 36 , Issue: 6 , June 2003 Pages:112 –
113
� Compiling policy descriptions into reconfigurable firewall processors
Lee, T.K.; Yusuf, S.; Luk, W.; Sloman, M.; Lupu, E.; Dulay, N.;
Field-Programmable Custom Computing Machines, 2003. FCCM 2003.
11th Annual IEEE Symposium on , 9-11 April 2003 Pages:39 – 48
� Implementation of a content-scanning module for an Internet firewall
Moscola, J.; Lockwood, J.; Loui, R.P.; Pachos, M.;
Field-Programmable Custom Computing Machines, 2003. FCCM 2003.
11th Annual IEEE Symposium on , 9-11 April 2003 Pages:31 - 38
63

Enhanced Security Tools: IDS
� What is Intrusion Detection System
� Model and Architecture
� Data Source
� Core technology
� 產品介紹
� Metric and Testing methodology
� Testing Environment and Test reports
� Development methodology: A software-engineering
viewpoint
� Other topics
64

IDS in a Network: NIDS, HIDS, A-IDS
65

Host Intrusion detection system (HIDS)
66

Portsentry/Linux
67

Intrusion Detection System: History
資料來源:http://www.securityfocus.com/infocus/1514
68

Model & Architecture
DENNING’S IDS Model:
Denning, D. E., "An Intrusion-Detection Model,"IEEE Transactions on
Software Engineering, vol. 13, pp. 222-232, 1987.
Hypothesis::
exploitation of a system's vulnerabilities involves abnormal use of
the system; therefore, security violations could be detected from
abnormal patterns of system usage.
The model is independent of any particular system, application
environment, system vulnerability, or type of intrusion, thereby
providing a framework for a general-purpose intrusion-detection
expert system.
69

Six main components
� Subjects: Initiators of activity on a target system- normally users.
� Objects: Resources managed by the system-files, commands,
devices, etc.
� Audit records: Generated by the target system in response to
actions performed or attempted by subjects on objects-user login,
command execution, file access, etc.
� Profiles: Structures that characterize the behavior of subjects with
respect to objects in terms of statistical metrics and models of
observed activity. Profiles are automatically generated and initialized
from templates.
� Anomaly records: Generated when abnormal behavior is detected.
� Activity rules: Actions taken when some condition is satisfied, which
update profiles, detect abnormal behavior, relate anomalies to
suspected intrusions, and produce reports.
70

IDS 的標準化
� Common Intrusion Detection Framework
(CIDF)
� Intrusion Detection Working Group
(IDWG)
� 隸屬於IETF (Internet Engineering Task Force)
� The Intrusion Detection Message
Exchange Format
� draft-ietf-idwg-idmef-xml-14(January 27, 2005 )
71

Intrusion Detection Working Group
(IDWG) http://www.ietf.org/html.charters/idwg-charter.html
72

IDWG
1.A requirements document, which describes the high-level
functional requirements for communication between
intrusion detection systems and requirements for
communication between intrusion detection systems and
with management systems, including the rationale for those
requirements. Scenarios will be used to illustrate the
requirements.
2. A common intrusion language specification, which
describes data formats that satisfy the requirements.
3. A framework document, which identifies existing protocols
best used for communication between intrusion detection
systems, and describes how the devised data formats
relate to them.
73

IDWG Documents
74

The Intrusion Detection Message
Exchange Format
� The purpose of the Intrusion Detection
Message Exchange Format (IDMEF) is
to define data formats and exchange
procedures for sharing information of
interest to intrusion detection and
response systems, and to the
management systems which may need
to interact with them.
75

The Intrusion Detection
Exchange Protocol (IDXP)
� IDXP is specified, in part, as a Blocks Extensible Exchange
Protocol (BEEP) "profile". BEEP is a generic application protocol
framework for connection-oriented, asynchronous interactions.
Features such as authentication and confidentiality are provided
through the use of other BEEP profiles. Accordingly, many
aspects of IDXP (e.g., confidentiality) are provided within the
BEEP framework.
� IDXP provides for the exchange of IDMEF messages,
unstructured text, and binary data between intrusion detection
entities. Addressing the security-sensitive nature of exchanges
between intrusion detection entities, underlying BEEP security
profiles should be used to offer IDXP the required set of security
properties.
� The Intrusion Detection Exchange Protocol (IDXP)
� draft-ietf-idwg-beep-idxp-07(October 22, 2002)
76

Data Source
1.Audit log::
SUN Solaris/BSM(Basic security Module)
WINDOWS/Event log
System log� Linux/*BSD::syslog
App. Log� too many,…..
2.Network packet flow
3.Windows registry:only for Windows
Frank Apap, Andrew Honig, Shlomo Hershkop, Eleazar Eskin, and Sal
Stolfo
(Columbia University), RAID 2002, LNCS 2516, pp. 36–53, 2002.
……
77

Data source(1): WINDOWS/Event Log
78

Data source(2): NETWORK Packets
79

Data source(3): Windows registry
80

Core technology:Anomaly detection vs
Misuse detection
Anomaly detectors:
(1)identify abnormal unusual behavior (anomalies) on a host
or network.
(2)Assumption:attacks are different from “normal” (legitimate)
activity and can therefore be detected by systems that
identify these differences.
(3)Anomaly detectors construct profiles representing normal
behavior of users, hosts, or network connections. These
profiles are constructed from historical data collected over
a period of normal operation. The detectors then collect
event data and use a variety of measures to determine
when monitored activity deviates from the norm.
82

Anomaly detection
� statistical methods::(NIDES,…)
� Rule induction::(ASAX,..)
� (artificial) neural networks::(many,…C.S.Laih)
� fuzzy set theory::(T.Y.Lin1994)
� machine learning algorithms(Lane, Brodley1997,)
� artificial immune systems::(Forrest, Hofmeyr,..)
� signal processing methods
� temporal sequence learning::(Lane, Brodley1999)
� Data mining::(W.Lee..)……..
83

Misuse detectors
(1)analyze system activity, looking for events or sets of events
that match a predefined pattern of events that describe a
known attack.
(2)“signature-based detection.”
The most common form of misuse detection used in
commercial products specifies each pattern of events
corresponding to an attack as a separate signature.
(3)Technique:
� Expert System::
� “state-based” analysis techniques
� Genetic algorithm::(GASSATA1998,..)
� …………………………..
84

IDS Product
� AXENT (acquired by Symantec): Enterprise Security Manager(HVAT),
NetRecon(NVAT); Intruder Alert(HIDS), NetProwler(NIDS)
� CyberSafe: Centrax(Hybrid-IDS with basic VAT)
� Cisco Systems: Cisco Secure Scanner(NVAT, formerly NetSonar); Cisco Secure
IDS(NIDS, formerly Netranger)
� Intrusion.com: SecureNet Pro(NIDS), Kane Security Enterprise(HIDS);
SecurityAnalyst(Hybrid VAT)
� Internet Security Systems(ISS): RealSecure(Hybrid IDS); Internet
Scanner(NVAT), System Scanner(HVAT)
� Network ICE; BlackICE Defender(HIDS)
� Network Flight Recorder; NFR(NIDS)
� Network Security Wizards (acquired by Enterasys Networks): Dragon
Sensor(NIDS), Dragon Squire(HIDS), Dragon Server(Management)
� PGP Security (acquired by Network Associates): CyberCop Scanner(HVAT);
CyberCop Monitor(Hybrid IDS); CyberCop Sting(Honeypot),
� Tripwire: TripWire(Host-based File Integrity Assessment Tool)
85

Testing Environment and Test reports
� Mitre(1997):Netranger, Realsecure, ASIM
� Information Warfare Conf.(1998):
Realsecure, NFR
� MIT/Lincoln Labs(1998/1999): DARPA-funded
� SANS 2000 ID-NET(2000.3):Intrusiondetection-focused
conf.
� ……………………………..
86

•1998 DARPA Intrusion Detection Evaluation
•1999 DARPA Intrusion Detection Evaluation
87

1998 DARPA Intrusion Detection Evaluation
Simulation Network for Off-line Off line Evaluation
Ultra Ultra
486 Sparc
P2 Sparc
P2
P2
Solaris 2.5.1
Simulation
Linux 2.0.27 SunOS 4.1.4 Solaris 2.5.1
Status Target Machines
Locke
172.16.112.10
dm: last modified 3/24/98
= Pentium II pcs running modified Linux kernel (based on 2.0.32)
which allows these machines to spoof many different ip addresses
Marx
172.16.114.50
“Inside Inside”
172.16 => eyrie.af.mil
Zeno
172.16.113.50
Pascal
172.16.112.50
Inside
Traffic
Generator
Hobbes
172.16.112.20
Ethernet Hub Info
A: AsanteHub 1012 (no ip)
B: HP EtherTwist Hub PLUS (ip = 192.168.1.5)
hub hub
Router
Cisco
A AGS+ B
88
SunOS 5.6
Sniffer
Solomon
192.168.1.90
Router Interface Info
A: 172.16.112.1
B: 198.168.1.1
“Outside Outside”
192.168.1 => world.net
194.27.251 => plum.net
197.218.177 => grape.mil
(plus all other domains used)
Outside
Traffic
Generator
Calvin
192.168.1.10
MIT Lincoln Laboratory
Web
Server
Aesop
192.168.1.20

�
89

1998 Training Data Attack
90

1998 Anomaly Training Data
The simulation featured
6 users whose activity
can be used to test
anomaly detection systems.
91

Test the following types of misuse
1. Denial of service
2. Unauthorized access from a remote machine
3. Unauthorized transition to root by an
unprivileged user
4. Surveillance and probing
5. Anomalous user behavior
92

aesop
192.168.1.20
Web Server
Linux Linux
attacker
1999 DARPA Intrusion Detection
Evaluation::Simulation Network 99
calvin
192.168.1.10
Gateway
attacker
solomon
192.168.1.90
Sniffer
Linux Linux NT
Cisco 2514
Router
CISCO
192.168.1.1 172.16.0.1
HP HP
locke
172.16.112.10
Sniffer
plato
SunOS MacOS 192.168.1.2 172.16.112.5 SunOS Linux Solaris SunOS Linux NT Win98
NT
attacker
monitor
192.168.1.30
SNMP Monitor
Virtual Outside
Hosts
. . .
attacker
hobbes
172.16.112.20
Gateway
attacker
pascal
172.16.112.50
Victim
zeno
172.16.113.50
Victim
. . .
Virtual Inside
Hosts
marx
172.16.114.50
Victim
NT 98
hume
172.16.112.100
Victim
Ethernet Hub
Router
kant
172.16.112.110
Victim

批判性文章:
DARPA Intrusion Detection Evaluation
� John McHugh:(2000)ACM TISSEC會議
發表厚達33頁的批判性文章
� Philip K. Chan(Florida Institute of Technology)
and Matthew V. Mahoney
An Analysis of the 1999 DARPA/Lincoln Laboratory Evaluation
Data for Network Anomaly Detection
RAID2003
96

研伸閱讀與進階研究:IDS/IDP
� A fast pattern matching algorithm for network processor-based intrusion
detection system
Rong-Tai Liu; Nen-Fu Huang; Chia-Nan Kao; Chih-Hao Chen;
Performance, Computing, and Communications, 2004 IEEE International
Conference on , April 15-17, 2004 Pages:271 – 276
� Intrusion detection in wireless ad hoc networks
Mishra, A.; Nadkarni, K.; Patcha, A.;
Wireless Communications, IEEE [see also IEEE Personal
Communications] , Volume: 11 , Issue: 1 , Feb. 2004 Pages:48 - 60
� Intrusion sensor data fusion in an intelligent intrusion detection system
architecture
Siraj, A.; Vaughn, R.B.; Bridges, S.M.;
System Sciences, 2004. Proceedings of the 37th Annual Hawaii International
Conference on , 5-8 Jan. 2004 Pages:279 - 288
� Indra: a peer-to-peer approach to network intrusion detection and prevention
Janakiraman, R.; Waldvogel, M.; Qi Zhang;
Enabling Technologies: Infrastructure for Collaborative Enterprises, 2003. WET
ICE 2003. Proceedings. Twelfth IEEE International Workshops on , 9-11 June
2003
97
Pages:226 - 231

Snort介紹
� Network-Based IDS
� Three main modes
1) Sniffer Mode
2) Packet Logger Mode
3) Network Intrusion Detection Mode
� NIDS Mode : snort.conf
1) Set the network variables for your network
2) Configure preprocessors
3) Configure output plugins
4) Customize your rule set
Command: snort -c snort.conf
98

NIDS Mode運作流程
99

Snort架構
100

IDS測試
� TEST 1: SNORT安裝與基本執行測試
Sniffer Mode 、 Packet Logger Mode 、
Network Intrusion Detection Mode
� TEST 2: Scanning Attack偵測測試
Nmap Scan
� TEST 3: Buffer Overflow Attack偵測測試
微軟安全性公告MS04011:LSASS服務存在
Buffer Overflow漏洞
� TEST 4: Snort rule新增與實測
針對HTTP存取設計一規則
101

TEST 2:
IDS測試
10.0.0.1
192.168.24.1 192.168.25.1
192.168.24.2
TEST 3:
TEST 4:
10.0.0.2
102
192.168.25.2

Enhanced Security Tools: VPN
� What Is VPN?
� VPN 應用
� VPN 技術
� VPN 產品介紹
� VPN 建置實例
103

Virtual Private Networks
� Virtual Private Networks可以實現將不同
網域的電腦設為相同網域,使之間相互
連接。
� 構建加密通道,並提供與專用網路一樣
的虛擬專用網路能夠利用Internet或其它
安全和功能保障。
104

何謂VPN(Virtual Private Networks)?
傳統與現今私有網路的比較
傳統的私有網路方式是使用P-to-P網路連線
VPNs (虛擬私有網路)
A企業 T3 專線
B企業
VPN連線
105
Internet
C企業 D企業

VPN的成長
106

VPN 應用:
通過Internet達到遠端訪問
107

通過Internet達到遠端內部主機訪問
108

通過區域網路與伺服器達到私有
連線
109

通過區域網路進行內部VPN
110

VPN 技術:通道技術
� CPE (Customer Premises Equipment) -
Based VPN協定可分為
� 通道技術
� Layer 2: PPTP、L2TP
� Layer 3: IPsec
� Layer 5: SOCKS v5
� 安全技術
� Network-based VPN
111

驗證方式
� PAP
� PAP是一種簡單的公開驗證方式。要求用戶提供用戶名稱和密碼,
PAP以公開方式回覆用戶資訊。
� CHAP
� CHAP 通過使用 MD5(文件的數字簽名) 來協商的一種加密身份驗證
之安全形式
� MS-CHAP
� 由微軟開發,為了對遠端 Windows 工作站進行身份驗證
� MS-CHAP v2
� 第二版的質詢握手身份驗證協議,支援在用戶端和伺服器之間進行
相互驗證 。
� EAP
� 由IETF所提出可延伸驗證通訊協定,允許連接使用任意方式對PPP連
接的有效性進行驗證。
� SSL
� Secure Sockets Layer Protocol,是基於公開金鑰和對稱金鑰加密,
以及數位簽名和認證的技術。
112

點到點通道協議 –PPTP(Point-to-
Point Tunneling Protocol )
� 內建的通道通訊協定
� LAN-to-LAN以及遠端存取的VPN
� 採用PPP協議(PAP、 CHAP、 MS-
CHAP )
� EAP(可延伸驗證通訊協定 )憑證(可有可
無)
� 相容性問題
113

PPTP 封包
資料連結標頭
GRE 標頭
PPP 標頭
IP 標頭
加密的 PPP 資料(IP、IPX、NetBEUI)
114

第二層通道協議 -L2TP(Layer
Two Tunneling Protocol )
� L2TP是國際標準隧道協議,它結合了PPTP協議
� 第二層轉發L2F協議的優點,能以隧道模式使PPP
� L2TP沒有任何加密措施
� 趨勢是將L2TP和IPSec結合起來: 用L2TP部分VPN採用這
類技術
115

L2TP Message Header
116

IPSec協議
� 在Layer 3網路層
� 將二台電腦之間傳送的所有資料加密,提供訊息的機密性
� 提供二台電腦之間訊息的完整性 (不加密資料)
� 提供二台電腦之間的相互驗證
� 限制能夠相互通信的電腦
� IPsec的封裝機制
� Transport mode:host-to-host
� Tunnel mode:gateway-to-[host/gateway]
117

IPSec Between Host
118

Tunnel Mode
119

SOCKS v5
� 工作在OSI(Open System Internet)模型中
的第五層
� 優勢在於訪問控制
� 能同低層協議
� 必須制定更複雜的安全管理策略
120

四種通道技術在OSI七層模型的位置
121

VPN標準
� 目前VPN標準是以IETF制定的IPSec(Internet
Protocol Security)為主,它是將密碼學的技術應用在
網路層IPv4及IPv6上的一種標準,可保護IP資料封包
的安全,並達到網路層(Network Layer)中的安全通
訊。IPSec協定主要包括以下三種:
� AH(Authentication Header):可為IP封包提供資料完整
性、資料原始身分認證和抗重送攻擊(Anti-replay)等安全服
務。
� ESP(Encapsulation Security Payload):可為IP封包提供
機密性、資料來源身分認證、抗重送攻擊以及資料完整性等
安全服務。
� IKE(Internet Key Exchange):可協商程序為IPSec產生金
鑰。IKE是在IPSec通信雙方之間,建立起SA,並維護更新
SAD(Security Association Database)。
122

VPN 產品介紹
� 硬體式的VPN VS. 軟體式的VPN
� 昱德科技股份有限公司
� RideWay Station / MCT
� RideWay Station / SOHO10
� 友冠資訊
� NetScreen Secure Access SSL VPN
� Cisco
� IPSEC IOS & IOS FIREWALL
� Cisco VPN 3000 Concentrator
� CISCO PIX 500 SERIES FIREWALLS
� ASI
� Filanet InterJak200
123

軟體式的VPN產品
� 賽門鐵克Enterprise VPN
� Cisco Security & VPN Software
� FreeSwan
� CIPE
� OpenVPN
� 宏碁 UU100
� SonicWALL Global VPN Client
� 美國趨勢科技 VPN-1 SecureClient
124

產品說明
� Cisco VPN 3000 Concentrator
� 提供的VPN連接技術包括 IPSec、 PPTP、結合IPSec的L2TP和Cisco的
WebVPN。
� CISCO PIX 500 SERIES FIREWALLS
� 支援各式各樣的遠程訪問VPN Client,包括Cisco軟體VPN Client(關於很多
政綱包括微軟公司Window、 Linux、Solaris 和Apple OS X) 、 Cisco硬體
VPN Client,在Microsoft Windows. 系統裡提供Point-to-Point Tunneling
Protocol 與 Layer 2 Tunneling Protocol clients。
� NetScreen Secure Access SSL VPN
� 產品的應用層安全閘道具有新的存取管理功能,包括以表單(forms)與標頭
(header)為基礎之網路單一簽入(single sign-on;SSO)、密碼管理整合
以及跨企業線上會議的功能等。這也使得NetScreen除了在現有的遠端存取
安全、IPSec VPN、防火牆、入侵偵測與防護系統市場外,進一步開拓新業
務範疇。
� FreeSwan
� FreeS/WAN是目前口碑最好的VPN軟體,支援IPSsec,可以設定多個
tunnel,對不同的destination的packet 做不同的加密工作。
� OpenVPN
� 使用的是最先進的SLL技術,比其他IPsec的VPN更加安全
125

VPN 建置與測試:環境配置
126

VPN基本要求
� 用戶驗證
VPN必須能夠驗證用戶名稱,顯示何人在何時的身份並
嚴格控制只有授權用戶才能訪問了何種資訊。
� 地址管理
VPN方案必須能夠為用戶分配專用網路上的位址並確保
位址的安全性。
� 數據加密
對通過Internet傳遞的資料必須經過加密,確保網路其他
未授權的用戶無法讀取該資訊。
� 密鑰管理
VPN必須建立並更新用戶端和伺服器的加密密碼。
127

配置內容
� 將內部網路分為三個網段
� VPN Server同時具備Router、防火牆功能
� DNZ 具備網域控制站、「網域名稱系統 (DNS)」
伺服器、「動態主機設定通訊協定 (DHCP)」伺服
器及憑證授權單位 (CA)、「遠端驗證撥入使用者
服務 (RADIUS)」伺服器、Web 與檔案伺服器(IIS)
� Client為企業內部網路的一台電腦
128

實驗目的
� 正常連線至企業時,能瀏覽企業網站(不
能存取企業內部網路資源)。
� 以VPN連線至企業時,不僅能瀏覽企業
網站,更能夠存取企業內部網路資源。
129

Route print
130

實務測試:
� TEST 1:
路由對路由 PPTP VPN架設與連線測試
� TEST 2:
區域網路PPTP VPN架設與連線測試
� TEST 3:
NAT 與 PPTP 結合的VPN架設與連線測
試(Point-to-Router )
131

延伸閱讀與進階研究:VPN
� Making the Gigabit IPsec VPN Architecture Secure
Friend, R.;
Computer , Volume: 37 , Issue: 6 , June 2004
Pages:54 - 60
� Virtual private network services: scenarios, requirements
and architectural constructs from a standardization
perspective
Carugi, M.; De Clercq, J.;
Communications Magazine, IEEE , Volume: 42 , Issue: 6 , June
2004
Pages:116 - 122
� Kory Hamzeh、Gurdeep Singh Pall、William Verthein、Jeff
Taarud、and W. Andrew Little,“Point-to-Point Tunneling
Protocol (PPTP)”, IETF RFC 2637, July 1999.
� RUN!PC 2004年2月號 特企專欄-2004資安研討會資安技術篇
132

Enterprise Security Testing
:Vulnerability Scanner(弱點掃描)
� 網路安全的防護策略
-防火牆(Firewall)、入侵偵測/防護(IDS/IDP)
� 自行主動找出安全漏洞並修補
-弱點掃描
� 降低風險
-進行漏洞修補
駭客也會善用弱點掃描偵測系統
133

Why:為何需要弱點掃描器
What
Security scanner=
Integrate all available tools into a
All_in_one supertools.
Why:For What…
to test your system/environment
or
to learn the attack technique
134

弱點掃描分類
� 主動掃描(Active Scanning)
送出資料至目標機器,收集、分析回傳的訊息來取得目標資訊
� 被動掃描(Passive Scanning)
監看網路封包來取得訊息。
主動掃描 1. 資訊收集快。
2. 較精確。
被動掃描 1. 資訊收集慢。
被動掃描的遠景:
優點 缺點
2. 目標無網路流量時,
便無法獲得訊息。
135
1. 很難掩蓋紀錄。
2. 越來越多目標受到防火牆
的保護。
1. 隱密性高。
發展新的演算法,提高被動掃描的速度和正確性。
部分新演算法的發展,使用正常方式使目標產生流量。
2. 不會受到防火牆的影響。

Commercial Vulnerability Scanning Tools
產品 網站
ISS Internet Scanner www.iss.net
Retina www.eEye.com
FoundScan www.foundstone.com
QualysGuard Intranet
Scanner
136
www.qualys.com
Typhon II www.nextgenss.com

Retina security scanner
137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

N-Stealth: Web scanner
158

159

160

161

162

163

164

165

Enterprise Security Testing
:Penetration Test
� Penetration Test:
透過模擬駭客方式的入侵模式,測試你的資訊系
統架構的安全強度。與駭客攻擊最大不同在於
滲透測試在測試完後會產生一份報告說明安全
程度,主機並不會遭受破壞,而駭客攻擊則相
反。
� Vulnerability Scanning:
漏洞掃描是由內部去掃描內部主機的漏洞,與
滲透測試的外部不同。
166

OSSTMM
167

Digital forensic analysis : the goal
� is to identify digital evidence for an
investigation. An investigation typically uses
both physical and digital evidence with the
scientific method to draw conclusions.
Examples of investigations that use digital
forensics include computer intrusion,
unauthorized use of corporate computers,
child pornography, and any physical crime
whose suspect had a computer.
168

What about “Forensics”?
� “Relating to the use of science or
technology in the investigation and
establishment of facts or evidence in a
court of law”
� American Heritage Dictionary
� Digital Investigation vs. Digital Forensic
Investigation: The legal requirements
169

Digital Forensic Investigation
A process that uses science and
technology to examine digital objects
and that develops and tests theories,
which can be entered into a court of law,
to answer questions about events that
occurred.
170

Digital Forensic Science
� The use of scientifically derived and proven
methods toward the preservation, collection,
validation, identification, analysis,
interpretation, documentation and
presentation of digital evidence derived from
digital sources for the purpose of facilitating
or furthering the reconstruction of events
found to be criminal, or helping to anticipate
unauthorized actions shown to be disruptive
to planned operations.
Gary Palmer, A Road Map for Digital Forensic Research. Technical
Report DTR-T0010-01, DFRWS, November 2001. Report from the First
Digital Forensic Research Workshop (DFRWS).
171

http://www.e-evidence.info/b.html
172

173

174

175

http://www.ijde.org/ [2002]
176

Computer Forensics Tool Testing
(CFTT) Project
177

The Big Picture
An Event-based Event based Digital Forensic Investigation
Framework, Brian D. Carrier ,Eugene H. Spafford
178

Digital Crime Scene
Investigation
� Goal: To determine what digital events
occurred by recognizing digital evidence
� Three Phases:
� Crime Scene Preservation & Documentation
� Evidence Search & Documentation
� Event Reconstruction & Documentation
179

Phase 1: Scene Preservation
& Documentation
� Goal: Preserve the state of as many
digital objects as possible and
document the crime scene.
� Methods:
� Shut system down and copy it
� Unplug from network & kill processes
� Do nothing
180

Is it Necessary?
� An investigation does not need preservation
� A forensic investigation may need
preservation
� Are bitwise-images needed?
� Do we take buildings as evidence?
� Legal requirements dictate the technical
requirements of this phase
181

Phase 2:Digital Evidence
Searching and Documentation
� Need to find evidence of events
� Goal: To recognize the digital objects
that may contain information about the
incident and document them.
182

183

Existing Research (1)
� Target definition
� Stallard & Levitt - Automated Analysis for Digital
Forensic Science: Semantic Integrity Checking
� Carrier & Spafford - Defining Searches of Digital
Crime Scenes
� Manually - experience and training
� Stego & malware signatures
� Many others….
184

Existing Research (2)
� Extraction
� All current “forensic” tools
� Carrier - Defining Digital Forensic
Examination and Analysis Tools
� Comparison
� Visual (most tools)
� Equality (keyword searching)
185

Phase 3:Digital Event Reconstruction and
Documentation
� Need to translate evidence into events
� Goal: To determine and document the
events for which evidence exists and
has been collected
� Not currently supported by many tools
186

187

Evidence
Examination
188
Role
Classification

Event Construction Event Sequencing
189

Existing Research
� Carney & Rogers - The Trojan Made Me Do It: A First
Step in Statistical Based Computer Forensics Event
Reconstruction - IJDE
� Carrier & Spafford - Defining Digital Crime Scene
Event Reconstruction - JFS
� Gladyshev & Patel - Finite State Machine Approach
to Digital Event Reconstruction - JDI
� Stephenson - Modeling of Post-Incident Root Cause
Analysis - IJDE
190

作業
� digital forensic analysis of e-mails
� digital forensic analysis of BT,P2P
DIGITAL MUSIC DEVICE FORENSICS
Automated Analysis for Digital Forensic Science
digital forensic and honeypot
Ryan C. Barnett
Using SWATCH for Forensic Analysis of VMware & DD Images(2002)
Monitoring VMware Honeypots
191

延伸閱讀
� Hacking Exposed Computer Forensics,
Chris Davis, Aaron Philipp, David Cowen
McGraw-Hill; (November, 2004)
� Windows Forensics and Incident Recovery
,Harlan Carvey, Addison-Wesley (July 21, 2004)
� File System Forensic Analysis, Brian
Carrier,Addison-Wesley (March 17, 2005)
192