论文口试简报课件

1結合防毒與入侵偵測之網路阻斷系統研究指導教授：包蒼龍老師研究生：李亮寬July2009AStudyofNetworkBlockingSystemCombinedwithAnti-VirusandIDS1結合防毒與入侵偵測之網路阻斷系統研究指導教授：包蒼龍老師緒 論本研究主要希望建立一個聯防系統，協助缺乏網管人力的中小企業或學校網路，當病毒或駭客發動攻擊的第一時間，能即時將攻擊來源阻斷隔離，在外界網管人力支援到達之前，避免傷害擴大，並在後續檢修上協助尋找攻擊來源及問題原因。緒 論本研究主要希望建立一個聯防系統，協助缺乏網管人力的中小3簡報大綱研究動機與目標系統設計系統實作實作結果結論與未來研究Ｑ＆Ａ3簡報大綱4研究動機區域網路頻遭病毒及駭客遙控攻擊防火牆無法阻檔網路內部相互攻擊病毒隨行動媒介增加快速擴散網管人力缺乏之校園網路常成為攻擊跳板傳統網路檢修效率差部份網路使用者較無資安觀念4研究動機區域網路頻遭病毒及駭客遙控攻擊5研究目標建置具彈性的聯防系統加強網路防護設置蜜罐誘導攻擊並予以偵測阻斷隔離高危險病毒群以避免擴散增加網管人員可延遲修護或請求支援時間協助尋找攻擊來源及原因以增加檢修效率網路阻斷可使危險使用者重視資安觀念5研究目標建置具彈性的聯防系統加強網路防護6系統設計網路管理系統(NMS)防毒監控中心Agent入侵偵測系統Agent6系統設計網路管理系統(NMS)7網路管理系統(NMS)蒐集整合區域網路設備基本資訊輪詢、彙整阻斷隔離問題位址透過防火牆阻檔外部入侵攻擊利用交換器阻斷內部問題主機協助管理人員尋找問題設備表列問題主機之交換器埠位置及問題原因提供遠端管控協助檢修7網路管理系統(NMS)蒐集整合區域網路設備基本資訊8NMS蒐集區域網路設備基本資訊SwitchipIfindexPortnamePortMACIPStatus140.11x.xxx.252200.11.25.ab.df.11Gi0/210102140.111.xxx.1UpMIB-II.3.6.1.2.1.17.4.3.1.217.1.4.1.231.1.1.1.12.2.1.84.22.1.2snmpbulkwalk-v2c-Cc-cpublic140.11x.xxx.252.1.3.6.1.2.1.17.4.3.1.2

snmpbulkwalk-v2c-Cc-cpublic140.11x.xxx.252.1.3.6.1.2.1.17.1.4.1.2

snmpbulkwalk-v2c-Cc-cpublic140.11x.xxx.2521.3.6.1.2.1.31.1.1.1.1

snmpbulkwalk-v2c-Cc-cpublic140.11x.xxx.253.1.3.6.1.2.1.4.22.1.2snmpbulkwalk-v2c-Cc-cpublic140.11x.xxx.253.1.3.6.1.2.1.2.2.1.88NMS蒐集區域網路設備基本資訊SwitchipIfinde9外部入侵資訊(IP)內部攻擊資訊(IP)病毒資訊(MAC)NMS阻斷隔離威脅SwitchipIfindexMACIp140.11x.xxx.2531010200.11.25.ab.df.11140.11x.xxx.1NMS資訊庫snmpset–v-2c–cprivateswitchip.1.3.6.1.2.1.2.2.1.7.ifindexi2Iptables–AINPUT–ieth0–s123.19x.xx.55–jDROP9外部入侵資訊(IP)內部攻擊資訊(IP)病毒資訊(MAC)10NMS協助管理人員尋找問題設備問題來源位址資訊阻斷原因10NMS協助管理人員尋找問題設備問題來源位址資訊阻斷原因11防毒中心Agent傳遞阻斷位址資訊11防毒中心Agent傳遞阻斷位址資訊12入侵偵測Agent傳遞阻斷位址資訊批次處理過濾誤判12入侵偵測Agent傳遞阻斷位址資訊批次處理13系統實作實作架構組成元件模擬系統13系統實作實作架構14實作架構蒐收網路資訊防毒與入侵偵測系統可隨時增減元件阻斷系統對外：FW對內：Switch管理者介面協助查修請求支援下達控制檢視網路14實作架構蒐收網路資訊防毒與入侵偵測系統阻斷系統管理者介面15組成元件企業版防毒系統套件NOD32(client、remoteserver、serverconsole)入侵偵測系統SNORT(NIDS、HIDS)、蜜罐(Honeypot)網路管理系統PHP、MySQL、Net-SNMP待管設備Router、Switch、Firewall(Linuxiptables)15組成元件企業版防毒系統套件16防毒軟體NOD32RemoteAdministratorConsole16防毒軟體NOD32RemoteAdministra17防毒系統與網路管理系統整合MAC:00.11.25.ab.df.11CriticalWarning00.11.25.ab.df.1100.11.25.ab.df.11NOD32Client00.11.25.ab.df.11CriticalWarningSwitch1port210.0.1.20NOD32ClientNOD32ClientNOD32ClientNOD32ClientNOD32ClientNOD32Server17防毒系統與網路管理系統整合MAC:00.11.25.18SNORT簡介入侵偵測系統最便宜解決方案輕量級不影響到網路正常操作作業系統依賴性低多樣性探測即時性通訊分析記錄通訊協定分析、內容搜索緩衝溢出、埠掃描、CGI攻擊、入侵嘗試18SNORT簡介入侵偵測系統最便宜解決方案19SNORT安裝網路型(NIDS)連接至交換器監聽埠varHOME_NET192.168.1.0/24以監聽埠監聽封包保護整個網段主機型(HIDS)可與蜜罐共同運作varHOME_NET192.168.1.0分析檔案完整性偵測網路型IDS無法解析之加密通訊19SNORT安裝網路型(NIDS)連接至交換器監聽埠20外部入侵攻擊偵測阻斷123.19X.XX.55123.19X.XX.55123.19X.XX.55123.19X.XX.55DROP123.19X.XX.55iptables–AINPUT–Ieth0–s123.19x.xx.55–jDROP外部攻擊20外部入侵攻擊偵測阻斷123.19X.XX.55123.121內部對外部攻擊偵測阻斷10.0.2.2010.0.2.20Switch2port221內部對外部攻擊偵測阻斷10.0.2.2010.0.2.222內部對內部攻擊偵測阻斷(一)10.0.1.1010.0.1.10Switch1port110.0.1.1022內部對內部攻擊偵測阻斷(一)10.0.1.1010.0.23內部對內部攻擊偵測阻斷(二)MonitorportMonitorportMonitorport10.0.1.1010.0.3.2023內部對內部攻擊偵測阻斷(二)MonitorportMo24結論「聯防系統」是最有效的防禦方式必要的阻斷與隔離可保護網路阻斷問題可延長網路管理人員應變時間協助網路管理人員搜尋問題位置與來源24結論「聯防系統」是最有效的防禦方式未來發展提供更簡單的安裝程序以利推廣透過agent整合更多偵測、檢測及防禦系統未來發展提供更簡單的安裝程序以利推廣26Ｑ＆Ａ26Ｑ＆Ａ论文口试简报课件蜜罐為引誘駭客分析其行為而刻意曝露漏洞之系統互動性區分低互動：模擬系統，探測及嘗試入侵行為中互動：模擬系統，部份互動性高互動：實體系統，蒐集資料多，風險高安全保護措施提高最高管理權限密碼強度最高管理權限限制本機登入網路型IDS監聽蜜罐封包安裝還原系統蜜罐為引誘駭客分析其行為而刻意曝露漏洞之系統IDS偵測結果(一)(7/13~7/18)來源位址埠目的位址埠協定140.11x.xxx.19910841086207.4x.77.161443TCP140.11x.xxx.581063~3591210.65.xxx.166443TCP140.11x.xxx.122164518201884140.11x.xx.140443TCP140.11x.xxx.152979210.65.xxx.205443TCP140.11x.xxx.1891204~1233140.11x.xxx.102445TCP140.11x.xxx.171181~1333207.4x.7x.161443TCP140.11x.xxx.19911011102207.4x.5x.123443TCP140.11x.xxx.381109~1565207.46.5x.123443TCPIDS偵測結果(一)(7/13~7/18)來源位址埠目的位址IDS偵測結果(二)(7/13~7/18)來源位址埠目的位址埠協定140.11x.xxx.1401442140.11x.6x.140443TCP140.11x.xxx.2132873501140.11x.xx.140218.21x.xx.126210.6x.xxx.142443443443TCP140.11x.xxx.361043~5000207.4x.5x.124140.11x.xx.140207.4x.7x.161443443443TCP140.11x.xxx.743452~247872.1x.2x3.99443TCP140.11x.xxx.2018051807207.4x.xx.123443TCP140.11x.xxx.1211666207.4x.xx.124443TCPIDS偵測結果(二)(7/13~7/18)來源位址埠目的位址IDS偵測結果(三)(7/13~7/18)來源位址埠目的位址埠協定58.21x.2x5.592908140.11x.xxx.23306TCP1