网路安全精要应用与标准课件

1、密碼學與網路安全第18章 入侵者1入侵者被駭客擅自闖入是網路系統重要的安全問題，不論駭客是懷有敵意或是無意入侵可能藉由網路，或是從本機進入入侵者可以分成三種等級：偽裝者masquerader (突破機制取得合法使用者帳戶之人)濫權者misfeasor (合法使用者帳戶使用超過自己權限的資源)秘密客clandestine user (奪取系統管理員而加以利用者)2入侵者入侵者威脅已經充分地公佈於世1986-1987 Wily Hacker著名事件明顯升高的CERT(Computer Emergency Response Team)統計數據許多看似無害的入侵，但依然耗費資源許多入侵還會植入其他攻擊

2、程式3入侵技巧入侵者的目標是為了得到存取系統的權力，或是擴大在系統上所能取得的存取權限取得通行碼(password)經常是入侵的目的保護通行碼檔的方法單向加密存取控制系統管理者應該只取予使用者適當的權限4猜測通行碼最常見的攻擊方式之一常見的方式包括： 嘗試以標準帳戶的預設通行碼登入系統用窮舉法嘗試所有一到三個字元的短通行碼試著使用系統的線上字典來猜通行碼收集使用者的資訊，例如全名、配偶和小孩的名字、與嗜好有關的書籍等等嘗試使用者的各種號碼嘗試這區域所有合法的汽車牌照號碼5擷取通行碼其他攻擊的方式還包括擷取通行碼監看使用者輸入的通行碼利用木馬程式蒐集通行碼(如一般使用者請系統管理員玩內含木馬的遊

3、戲使此遊戲有權存取password檔並將其複製到一般使用者的目錄)監看不安全的登入（例如telnet、FTP等）6入侵偵測最有效的入侵預防，也有失效的時候系統防禦的第二道防線就是入侵偵測：若能快速偵測到入侵，就能阻擋入侵有效的入侵偵測是威懾入侵的力量收集大量的資訊以提高安全性假設入侵者的行為與合法使用者不同；但不能期待入侵者的攻擊行動和經過授權的資源使用行為之間會有精確的不同78偵測入侵的方法異常統計偵測法: 一段時間內收集合法使用者資料而產生檢驗規則偵測門檻(事件發生頻率)以個人檔案為基礎規則偵測法(定義規則)偵測異常現象(比對往常與目前之差異)侵入辨識法(Penetration ident

4、ification)建構專家系統找可疑行為。9稽核記錄(Audit Record)稽核記錄是入侵偵測的基本工具系統原始的稽核記錄多使用者作業系統內建的功能優點：不需額外安裝軟體即可使用缺點：稽核記錄可能沒有包含所需的資訊，或者沒有以方便、合宜的形式記錄資訊具偵測特性的稽核記錄可以只包含入侵偵測系統所需資訊的稽核記錄需要額外的負擔10異常統計偵測法偵測門檻在特定時間內計算特殊事件類別出現的數量如果總數大於合理數量，則假定為入侵只能算是簡陋、沒有效率的檢驗器以個人檔案為基礎描述使用者或使用者的相關群組的過去行為藉此偵測有意義的異常現象個人檔案通常是由一組參數構成11分析稽核記錄(略)統計方法的基礎

5、分析記錄，並以公制單位量測使用者行為計數器、估計範圍、間隔計時器、資源執行各種測試，用來決定現在的行為是否與可接受的範圍一致平均值與標準差、綜合評量、Markov程序、時間序列、操作行為最大的優點是不需事先具備安全漏洞的知識12規則偵測法觀察系統事件並應用規則來偵測入侵，以這些規則檢視給予的行為模式是否可疑規則偵測異常分析歷史稽核記錄以識別行為模式並自動產生規則然後觀察目前行為並與規則比對，檢查是否符合觀察到的行為模式與統計偵測法一樣，規則偵測法也不需要關於系統安全漏洞的知識13規則偵測法以專家系統為基礎的技術使用可以識別的已知侵入當作規則，或是識別那些利用已知弱點的入侵系統所使用的規則是針對

6、特定的機器和作業系統規則都是由專家產生，而不是由稽核記錄的自動分析所產生方法的效力必須仰賴建立這些規則的技巧14基數比例謬誤為達實用，入侵偵測應該能偵測出相當比例的入侵行為，並要將誤判的數量維持在可接受的範圍若只能偵測少數的入侵行為，就不是安全的系統若時常發出錯誤警訊，可能導致管理者不理會警訊，或費時分析錯誤警訊但由於隨機使然，很難在高偵測率又維持低誤判率除非系統極具辨識力，否則入侵行為的數量比系統正常行為少很多，誤判率就會升高15分散式入侵偵測傳統入侵偵測大都將焦點放在單一系統但典型的組織系統需要防護網路提供的大量分散式主機有效率的作法是靠網路各節點入侵偵測系統的互助合作分散式入侵偵測系統的

7、主要議題分散式入侵偵測系統可能需要處理不同的稽核記錄格式網路上一個或多個節點將提供收集資訊的服務並分析資料可能使用集中式架構或是分散的架構16分散式入侵偵測系統的架構17分散式入侵偵測的代理架構18蜜罐(Honeypots)吸引攻擊者的誘捕系統：轉移而別讓攻擊者存取重要的系統收集攻擊者的活動資訊誘使攻擊者在系統停留夠長的時間，以便管理者能有所行動蜜罐內都是偽造的資訊任何存取蜜罐的行為都是可疑的可以是單一或由數個網路系統組成蜜罐19通行碼管理通行碼系統是防禦入侵者的第一道防線使用者同時以：登入名稱，判斷使用者的權限通行碼，認證使用者通行碼經常會先加密再儲存：UNIX系統使用數個DES加密通行碼許多較新的系統利用加密雜湊函數加密通行碼202122管理通行碼使用通行碼需要正確的策略，並教育使用者(很難)確保每個帳號都有預設通行碼確保使用者已經更改預設通行碼保護通行碼檔不被任意存取強制使用者設定好通行碼的規則：至少8個字元必須混合使用大小寫、數字及標點符號禁止以常見字當作通行碼23管理通行碼定期在系統上執行通行碼破解程式來找出容易被推測的通行碼強制使用者定期更改通行碼監視系統失敗的登入，若在短時間內發生較多的登入失敗，應該暫時鎖定該帳號應教育使用者正確的通行碼觀念，並給予協助應該在使用者接受度與通行碼強度之間找到平衡點24事先審核通行碼事