《[精选]网路安全与管理32526.pptx》由会员分享,可在线阅读,更多相关《[精选]网路安全与管理32526.pptx(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、網路安全與管理資料來源松博 梁仁楷台大計資 邵喻美台大計資 李美雯1梁仁楷首頁目錄前一張後一張大綱n虛擬私人網路VPNn無線網路結合VPNn遠端遙控維護nNATnSNMPn網路攻擊n防火牆nEMAIL OPEN RELAY2梁仁楷首頁目錄前一張後一張VPNn虛擬私人網路連線(Virtual Private Network)VPN的虛擬通道用戶端電腦變成好像直接在公司的內部網路中VPN伺服器用戶端電腦網際網路公司內部區域網路Internet3梁仁楷首頁目錄前一張後一張VPN通訊協定nPPTP(Point-to-Point Tunneling Protocol)n只有在網際網路建立的VPN才能夠使
2、用PPTP通訊協定。電腦透過VPN伺服器來傳送資料時,會先將不同通訊協定的封包封裝成PPP封包,等到另一端接受到後,再由遠端VPN伺服器來還原封包nL2TP(Layer Two Tunneling Protocol)nL2TP和PPTP相似,唯一不同的是L2TP也具備了身分驗證、資料加密和資料壓縮的功能4梁仁楷首頁目錄前一張後一張Windows Server VPNn安裝兩張網路卡,一張內部IP、一張外部IP n系統管理工具/路由及遠端存取n按精靈指示安裝遠端存取(撥號或VPN)n設定用戶端位址分派n設定可撥入VPN連線的使用者5梁仁楷首頁目錄前一張後一張VPN用戶端電腦設定nWindows
3、XP6梁仁楷首頁目錄前一張後一張VPN用戶端電腦設定7梁仁楷首頁目錄前一張後一張用VPN管控無線網路設成無線網路專用IP的網路卡連接AP,運用VPN管制無線網路存取設成內部IP的網路卡連接集線器,管制內部區域網路8梁仁楷首頁目錄前一張後一張無線網路over VPN規劃n兩張網路卡,一張設內部區域網路IP例如192.168.0.135,MASK:255.255.255.0n一張設無線網路專用IP例如192.168.1.1MASK:255.255.255.0n無線用戶端電腦配置好相對的無線網路專用IP(例如 192.168.1.X),這部分可以在無線AP的DHCP功能上做設定9梁仁楷首頁目錄前一張
4、後一張遠端遙控nWindows TerminalnWindows Server內建,二個人用npcAnywheren一個人用,二邊都要有人.被控端可以在防火牆內nNetMeetingnWindows內建,一個人用,二邊都要有人nVNCn一個人用10梁仁楷首頁目錄前一張後一張NAT 網路位址轉譯Internet集線器ADSL ModemNAT集線器外部IP架設Web站外部IP架設FTP站設定外部IP設定內部IP內部IP11梁仁楷首頁目錄前一張後一張Windows Server NATn安裝兩張網路卡,一張內部IP、一張外部IP n系統管理工具/路由及遠端存取n按精靈指示安裝網路位址轉譯n選擇對外
5、連線介面n設定用戶端位址分派12梁仁楷首頁目錄前一張後一張Windows Server NAT13梁仁楷首頁目錄前一張後一張SNMPn資料來源:台大計資 邵喻美n簡單網路管理協定(Simple Network Management Protocol)n要求/回應協定:GET,SETn遠端管理TCP/IP網路上的設備n對不同網路節點進行讀取及寫入狀態資訊n在UDP上執行nPort 161:sending and receiving requestsnPort 162:receiving traps from managed devices14梁仁楷首頁目錄前一張後一張SNMP工作原理SNMP M
6、anager:配備網管軟體的系統,通常是電腦系統+管理程式SNMP Agent:網路設備上的管理對應程式SNMP community:a logical relationship between an SNMP agent and one or more SNMP managers.15梁仁楷首頁目錄前一張後一張MIB Management Information Basen定義網路設備各種資訊的儲存結構Name(OID)Type and syntaxencodingnMIB-IIn所有網路設備皆提供的MIB標準n各家廠商也會提供proprietary MIBn有許多MIB standards
7、ATM MIB、Frame Relay DTE Interface Type MIB、BGP Version 4 MIB、RADIUS Authentication Server MIB、Mail Monitoring MIB、DNS Server MIB16梁仁楷首頁目錄前一張後一張OID:.iso.org.dod.internet.mgmt.mib-2.interface.ifNumber.0.1.3.6.1.2.1.2.1.017梁仁楷首頁目錄前一張後一張SNMP&MIB 相關工具18梁仁楷首頁目錄前一張後一張19梁仁楷首頁目錄前一張後一張20梁仁楷首頁目錄前一張後一張21梁仁楷首頁目錄
8、前一張後一張網管系統n網路管理n掌握網路主機狀況n加速故障排除n減少網管人員的負擔n網管系統n商業軟體系統整合型系統:收集MIB資料,統計分析,繪圖,事件通知功能多樣化,價格昂貴n免費軟體網管系統的一部份功能22梁仁楷首頁目錄前一張後一張網路攻擊n資料來源:台大計資李美雯n網路監聽n網路掃描n漏洞利用n密碼破解n惡意程式植入nDoS/DDoS攻擊23梁仁楷首頁目錄前一張後一張網路監聽n取得攻擊或入侵目標的相關資訊nSinffern攔截網路上的封包nDistributed Network SniffernClient將收集的資訊傳給Server24梁仁楷首頁目錄前一張後一張網路掃描n遠端掃描目標
9、主機的系統n取得目標主機的資訊n利用系統漏洞入侵n網路管理者重視此問題25梁仁楷首頁目錄前一張後一張漏洞利用n利用程式或軟體的不當設計或實做n利用漏洞取得權限,進而破壞系統n緩衝區溢位(buffer overflow)n網路安全網站公佈漏洞訊息26梁仁楷首頁目錄前一張後一張密碼破解n利用系統弱點入侵取得密碼檔n利用破解程式破解使用者密碼n密碼的破解速度n取得使用者密碼可入侵該主機n取得系統管理者密碼可操控該主機27梁仁楷首頁目錄前一張後一張惡意程式碼植入-1n病毒(Virus)n自我複製性與破壞性n後門程式(Backdoor)n動機n遠端遙控n建立管理者權限之帳號n更改主機的系統啟動檔28梁仁
10、楷首頁目錄前一張後一張惡意程式碼植入-2n利用電子郵件/MSN植入木馬程式n駭客利用木馬程式聆聽的port遠端遙控n更改木馬程式名稱與聆聽的port29梁仁楷首頁目錄前一張後一張DoS/DDoS攻擊nDoS攻擊(Denial of Service)-阻絕服務攻擊nDDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊n2000年二月份知名網站(Yahoo,amazon,ebay,CNN,E-trade)被攻擊n2001年七月份美國白宮網站被攻擊30梁仁楷首頁目錄前一張後一張DoS攻擊nDoS:系統資源被佔用,使得系統無法提供正常服務n系統資源包括主機的C
11、PU使用率,硬碟空間,網路頻寬nDoS攻擊利用同時傳送大量封包,造成網路或伺服器癱瘓31梁仁楷首頁目錄前一張後一張DDoS攻擊nDDoS攻擊是多層次的DoS攻擊n入侵其他主機,安裝攻擊程式n具備遠端遙控的功能n控制在同一時間內發動DoS攻擊32梁仁楷首頁目錄前一張後一張防禦機制n防火牆(Firewall)的架設n入侵偵測系統(Intrusion Detection System)的架設nIP Spoof的防治n伺服器的妥善管理n網路流量的即時分析33梁仁楷首頁目錄前一張後一張防火牆的架設-1n防火牆架設的位置n必須熟知攻擊或入侵的手法n防火牆影響網路效率n規劃DMZ(De-Militarize
12、d Zone)區n防火牆的缺點n無法阻擋新的攻擊模式n無法阻擋層出不窮的新病毒34梁仁楷首頁目錄前一張後一張防火牆的架設-2n無法防範來自內部的破壞或攻擊n無法阻擋不經過防火牆的攻擊35梁仁楷首頁目錄前一張後一張DMZ區示意圖36梁仁楷首頁目錄前一張後一張入侵偵測系統n依照偵測方法分為:nAnomaly Detection:建立使用者與系統的正常使用標準比對標準值,以判斷是否有入侵行為nMisuse Detection:將各種已知的入侵模式或特徵建成資料庫比對資料庫的pattern,以判斷是否有入侵行為37梁仁楷首頁目錄前一張後一張入侵偵測系統(cont.)n相關功能:n攻擊程式多數為Open
13、 Source,可建立封包過濾的patternn阻隔可能的攻擊來源n對可能的來源攻擊下“停止攻擊”指令38梁仁楷首頁目錄前一張後一張IP Spoof的防治nIP Spoof:偽造封包的來源IP位址n以送RAW Socket方式偽造來源IP位址n防治方式:在router或防火牆設定ACL管理規則n禁止外來封包的來源位址是內部網路的位址n禁止非內部網路位址的封包流到外部39梁仁楷首頁目錄前一張後一張伺服器的妥善管理n管理不善的伺服器=駭客攻擊跳板n系統管理者應做好系統的修補工作n網路管理人員評估校園網路安全與否:n弱點評估工具n掃描工具40梁仁楷首頁目錄前一張後一張SNMP v1 安全漏洞41梁仁
14、楷首頁目錄前一張後一張SNMP v1 安全漏洞n更改SNMP預設群組名稱n預設名稱:snmp-server community public ROsnmp-server community private RWn以防火牆或router ACL過濾SNMP連線n過濾或阻擋SNMP相關的161、162、1993等TCP/UDP port的存取access-list 101 deny tcp any any eq 161 logaccess-list 101 deny udp any any eq 161 logaccess-list 101 permit ip any any42梁仁楷首頁目錄前一
15、張後一張SNMP v1 安全漏洞n限制特定IP可存取naccess-list 10 permit 140.112.3.100nsnmp-server community ntu RO 10n啟動入侵偵測系統進行監控43梁仁楷首頁目錄前一張後一張EMAIL OPEN RELAY44梁仁楷首頁目錄前一張後一張EMAIL OPEN RELAY 測試n測試ntelnet 140.112.3.90 25nhelo mlinmail from:mliccms.ntu.edu.twnrcpt to:mliccms.ntu.edu.twndatantestn.45梁仁楷首頁目錄前一張後一張演讲完毕,谢谢观看!