1 區域合作共抗病毒威脅 李 思 宏 國立暨南國際大學 [email protected]...
Post on 21-Dec-2015
270 views
TRANSCRIPT
11
區域合作共抗病毒威脅區域合作共抗病毒威脅
李 思 宏李 思 宏國立暨南國際大學國立暨南國際大學 [email protected]@ncnu.ed
u.twu.tw
南投縣九十二學年度網管教師研習
22
內容大綱內容大綱 資訊安全資訊安全 區域合作及任務分配區域合作及任務分配 啟用多道防線計劃啟用多道防線計劃 設立蜜蜂罐誘敵設立蜜蜂罐誘敵 由網管機制探測病毒由網管機制探測病毒
33
資訊安全資訊安全
44
防毒技術的探討防毒技術的探討逢甲大學資訊工程系 蔡秉欣逢甲大學資訊工程系 蔡秉欣
http://www.e-user.net/ 防毒技術的探討 .zip
台中網路安全威脅與防護趨勢全國研討會 (10/31)
55
賽門鐵克 賽門鐵克 http://www.symantec.comhttp://www.symantec.com//
66
趨勢 趨勢 http://www.trendmicro.com/http://www.trendmicro.com/
77
http://www.microsoft.com/technet/treeview/default.ahttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/alerts/default.aspsp?url=/technet/security/alerts/default.asp
20032003
88
http://www.microsoft.com/technet/treeview/default.ahttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/alerts/default.aspsp?url=/technet/security/alerts/default.asp
20022002
99
1111 月月 1010 日日 -- -- 前五大病毒威脅前五大病毒威脅 Win32.Swen.AWin32.Swen.A Win32.Klez.HWin32.Klez.H Win32.Mimail.GWin32.Mimail.G Win32.Agobot.AJWin32.Agobot.AJ Win32.Bugbear.B Win32.Bugbear.B
http://www3.ca.com/virusinfo/
1010
Win32.Nachi.AWin32.Nachi.A Also known as:Also known as:
Win32/Nachi.WormWin32/Nachi.WormMS03-026 Exploit.TrojanMS03-026 Exploit.TrojanW32.Welchia.Worm (Symantec)W32.Welchia.Worm (Symantec)W32/Nachi.worm (McAfee)W32/Nachi.worm (McAfee)WORM_MSBLAST.D (Trend)WORM_MSBLAST.D (Trend)Category:Category: Win32 Win32Type:Type: Worm WormWild:Wild: Medium MediumDestructiveness:Destructiveness: Low LowPervasiveness:Pervasiveness: Medium MediumAugust 18, 2003August 18, 2003
DLLHOST.EXEDLLHOST.EXE - - 10,240 bytes the main replication routine that 10,240 bytes the main replication routine that utilizes the RPC exploit.utilizes the RPC exploit.SVCHOST.EXESVCHOST.EXE - - 19,728 bytes, a renamed version of TFTPD.EXE. 19,728 bytes, a renamed version of TFTPD.EXE. This is a legitimate FTP server misused by the worm.This is a legitimate FTP server misused by the worm.
1111
3 Ways to Help Ensure Your System 3 Ways to Help Ensure Your System Is ProtectedIs Protected
Protecting Your Networks: Wireless, Protecting Your Networks: Wireless, Firewalls, and Perimeter SecurityFirewalls, and Perimeter Security
Patch Management, Security Updates, and Patch Management, Security Updates, and DownloadsDownloads
Virus Protection StrategiesVirus Protection Strategies
微軟的建議微軟的建議http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tips/pcprotec.asp
1212
微軟提供三種修正服務微軟提供三種修正服務
Windows® Update (WU), Software Update Services (SUS) 1.0 SP1, and Systems Management Server (SMS) 2.0 with the SUS Feature Pack
1313
DNS Cache Poisoning DNS Cache Poisoning
http://www.securityfocus.com/guest/17905
1414
DNS Cache PoisoningDNS Cache Poisoning
http://www.securityfocus.com/guest/17905
1515
區域合作及任務分配區域合作及任務分配
1616
資通安全區域聯防中心資通安全區域聯防中心 區域聯防主要採用分散式系統架構,將全國分為區域聯防主要採用分散式系統架構,將全國分為
北區﹝苗栗以北、台北市除外﹞、中區﹝台中縣北區﹝苗栗以北、台北市除外﹞、中區﹝台中縣市、南投地區、彰化地區﹞、南區﹝台南縣市、市、南投地區、彰化地區﹞、南區﹝台南縣市、雲林地區、嘉義地區﹞、高屏區﹝高雄縣市、屏雲林地區、嘉義地區﹞、高屏區﹝高雄縣市、屏東地區及澎湖地區﹞,以及花東區﹝宜蘭及花東東地區及澎湖地區﹞,以及花東區﹝宜蘭及花東地區﹞屏區地區﹞屏區 )) 、以及花蓮東華大學、以及花蓮東華大學 (( 花東區花東區 )) 。 。
計劃主持人 賴溪松教授計劃主持人 賴溪松教授 北區主持人 謝續平教授北區主持人 謝續平教授 中區主持人 賴榮滄教授中區主持人 賴榮滄教授 高屏區主持人 陳年興教授高屏區主持人 陳年興教授 花東區主持人 趙涵捷教授花東區主持人 趙涵捷教授
1717
http://www.sss.org.twhttp://www.sss.org.tw
1818
網路安檢工具蒐集網路安檢工具蒐集 網路安檢資料庫內容包含網路安檢資料庫內容包含
弱點掃描工具:由北 區中心負責蒐集弱點掃描工具:由北 區中心負責蒐集 駭客入侵工具:由中 區中心負責蒐集駭客入侵工具:由中 區中心負責蒐集 網路竊聽工具:由南 區中心負責蒐集網路竊聽工具:由南 區中心負責蒐集 阻絕服務工具:由高屏區中心負責蒐集阻絕服務工具:由高屏區中心負責蒐集 入侵監測工具:由花東區中心負責蒐集入侵監測工具:由花東區中心負責蒐集
請參閱 http://www.sss.org.tw
1919
各級學校的角色各級學校的角色 主管主管 ::
定期關心學校整體安全狀況及提供定期關心學校整體安全狀況及提供適當的資源適當的資源
網管人員網管人員 :: 1. 1. 關住”病毒”、不讓校內電腦偽裝成關住”病毒”、不讓校內電腦偽裝成他校之他校之 ipip 位址。位址。
2. 2. 攻擊攻擊 // 中毒的事件統計中毒的事件統計 使用者使用者 ::
填寫電腦檢測表、修正記錄填寫電腦檢測表、修正記錄
2020
縣網的角色縣網的角色 主管主管 ::
定期關心縣內整體安全狀況及提供定期關心縣內整體安全狀況及提供適當的資源適當的資源
網管人員網管人員 ::
1. 1. 關住”病毒”、不讓縣內電腦偽裝成關住”病毒”、不讓縣內電腦偽裝成他人之他人之 ipip 位址。位址。
2. 2. 攻擊攻擊 // 中毒的事件統計中毒的事件統計 3. 3. 豉勵各校相互支援及訊息提供豉勵各校相互支援及訊息提供
2121
協防第一線協防第一線 : : 路由器路由器
2222
一個典型的例子一個典型的例子
上游單位Serial 0
165.22.34.0/24
TANet校內
校外
2323
路由器介面路由器介面 (serial0) (serial0) 的設定的設定interface serial0interface serial0 description “T1description “T1 到縣網 到縣網 4998D-80050"4998D-80050"
ip address 163.22.49.22 255.255.255.252ip address 163.22.49.22 255.255.255.252
no ip unreachablesno ip unreachables
ip load-sharing per-packetip load-sharing per-packet
ip route-cache flowip route-cache flow
!!
路由器的設定路由器的設定
2424
封包過濾機制封包過濾機制
允許來源位址允許來源位址 163.22.34.0/24
上游單位Serial 0
165.22.34.0/24
TANet校內
校外
2525
路由器介面路由器介面 (serial0) (serial0) 的設定的設定interface serial0interface serial0
ip access-group 160 ip access-group 160 outout
過濾機制的設定過濾機制的設定
access-list 160 access-list 160 permitpermit ip 165.22.34.0 0.0.0.255 any ip 165.22.34.0 0.0.0.255 anyaccess-list 160 access-list 160 denydeny ip any any ip any any
出到校外出到校外
2626
封包過濾機制封包過濾機制
上游單位Serial 0
165.22.34.0/24
TANet
拒絕來源位址拒絕來源位址 163.21.34.0/24
校內
校外
2727
路由器介面路由器介面 (serial0) (serial0) 的設定的設定interface serial0interface serial0
ip access-group 150 ip access-group 150 inin
過濾機制的設定過濾機制的設定
access-list 150 access-list 150 denydeny ip 163.22.34.0 0.0.0.255 ip 163.22.34.0 0.0.0.255 anyanyaccess-list 150 access-list 150 permitpermit ip any any ip any any
來自校外來自校外
2828
封包過濾機制封包過濾機制
允許來源位址允許來源位址 163.22.34.0/24
上游單位Serial 0
165.22.34.0/24
TANet
拒絕來源位址拒絕來源位址 163.21.34.0/24
校內
校外
2929
路由器介面路由器介面 (serial0) (serial0) 的設定的設定interface serial0interface serial0
ip access-group ip access-group 150150 in in
ip access-group ip access-group 160160 out out
access-list 150 deny ip 163.22.34.0 0.0.0.255 anyaccess-list 150 deny ip 163.22.34.0 0.0.0.255 any
access-list 150 permit ip any anyaccess-list 150 permit ip any any
access-list 160 permit ip 165.22.34.0 0.0.0.255 anyaccess-list 160 permit ip 165.22.34.0 0.0.0.255 any
access-list 160 deny ip any anyaccess-list 160 deny ip any any
過濾機制的設定過濾機制的設定
3030
過濾病毒機制過濾病毒機制ip access-list extended not-ncnuip-idsip access-list extended not-ncnuip-ids deny udp any any eq 135 logdeny udp any any eq 135 log
ip access-list extended out-ncnuip access-list extended out-ncnu deny tcp any any eq 445 log-inputdeny tcp any any eq 445 log-input deny udp any any eq 1434 log-inputdeny udp any any eq 1434 log-input permit ip 163.22.3.0 0.0.0.255 anypermit ip 163.22.3.0 0.0.0.255 any deny tcp any any eq 139 log-inputdeny tcp any any eq 139 log-input deny tcp any any eq wwwdeny tcp any any eq www deny tcp any any eq 135 log-inputdeny tcp any any eq 135 log-input deny icmp any any log-inputdeny icmp any any log-input permit ip any anypermit ip any any
3131
第二道線第二道線 :: 防火牆防火牆
防火牆的運作原理防火牆的運作原理
Firewall防火牆
Untrusted Zone不信任區域
Trusted Zone信任區域
Demilitarized Zone非軍事區域
3333
防火牆的類型防火牆的類型 封包過濾器封包過濾器 (Packet Filter)(Packet Filter)
轉送型轉送型 (forwarding type)(forwarding type)
偽裝防火牆偽裝防火牆 (masquerading firew(masquerading firewalls)alls)
代理型防火牆代理型防火牆 (Proxy Firewall)(Proxy Firewall)
標準型標準型 (standard proxy)(standard proxy)
透明的代理伺服器透明的代理伺服器 (transparent p(transparent proxy)roxy)
3434
Private IP Private IP 的範圍的範圍 10.0.0.0 ~ 10.255.255.255 (10.0.0.0/8)10.0.0.0 ~ 10.255.255.255 (10.0.0.0/8) 172.16.0.0 ~ 172.31.255.255 (172.16.0.0/12)172.16.0.0 ~ 172.31.255.255 (172.16.0.0/12) 192.168.0.0 ~ 192.168.255.255 192.168.0.0 ~ 192.168.255.255
(192.168.0.0/16)(192.168.0.0/16)
3535
第三道防線第三道防線 : : 個人電腦個人電腦 // 主主機機
3636
http://www.netfilter.org/http://www.netfilter.org/
最新的版最新的版本為本為 1.2.1.2.
99
3737
初探初探 iptablesiptables
iptables -A iptables -A CHAIN CHAIN <expression> <judgement> <expression> <judgement>
3838
初探初探 iptablesiptables
iptables -s 200.200.200.1 iptables -s 200.200.200.1
3939
初探初探 iptablesiptables
iptables -s 200.200.200.1 -j DROP iptables -s 200.200.200.1 -j DROP
4040
初探初探 iptablesiptables
iptables -A INPUT -s 200.200.200.1 -j DROP iptables -A INPUT -s 200.200.200.1 -j DROP
4141
初探初探 iptablesiptables
iptables -A INPUT -s 200.200.200.1 iptables -A INPUT -s 200.200.200.1
-p tcp --destination-port telnet -j DROP -p tcp --destination-port telnet -j DROP
4242
初探初探 iptablesiptables
iptables -A INPUT -p tcp --destination-port teiptables -A INPUT -p tcp --destination-port telnet -i ppp0 -j DROP lnet -i ppp0 -j DROP
4343
http://www.agnitum.com/http://www.agnitum.com/
4444
OutpostOutpost
4545
ipconfig ipconfig 查詢此台電腦的查詢此台電腦的 ipip 設設定定
4646
ipconfig/? ipconfig/? 查詢該指令的用途查詢該指令的用途
4747
ipconfig/all ipconfig/all 詳細查詢詳細查詢 ipip 的設定的設定
4848
ipconfig/all ipconfig/all 詳細查詢詳細查詢 ipip 的設定的設定
4949
netstat/?netstat/?
5050
netstat -snetstat -s
5151
netstat -anetstat -a
5252
nbtstat/?nbtstat/?
5353
nbtstat –A 163.22.21.56nbtstat –A 163.22.21.56
5454
Internet ServicesInternet Services C:\WINNT\system32\drivers\etc> C:\WINNT\system32\drivers\etc>
MS-Windows
5555
Internet ServicesInternet Services /etc/services /etc/services
Unix 系列
5656
ping/?ping/?
5757
ping 163.22.21.254ping 163.22.21.254
5858
nslookupnslookup
5959
nslookupnslookup
6060
nslookupnslookup
6161
nslookupnslookup
6262
netnet
6363
net sharenet share
6464
net usenet use
6565
tasklist /? (tasklist /? ( 只有只有 XPXP 有有 ))
6666
tasklist /? (tasklist /? ( 只有只有 XPXP 有有 ))
6767
tasklist /svc | more (tasklist /svc | more ( 只有只有 XPXP有有 ))
6868
at /?at /?
6969
regeditregedit
7070
Microsoft Baseline Security AnalyzerMicrosoft Baseline Security Analyzer
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/mbsahome.asp
7171
MBSA v1.1.1MBSA v1.1.1
7272
MBSA v1.1.1MBSA v1.1.1
7373
報告報告
7474
帳號密碼有問題帳號密碼有問題
7575
第四道防線第四道防線 :: 蜜蜂罐誘捕蜜蜂罐誘捕器器
IDSIDS 擺放的位置擺放的位置
路由器 防火牆網際網路
入侵偵測系統
網頁伺服器入侵偵測系統
路由器
入侵偵測系統
內部網路
7777
http://www.snort.org/http://www.snort.org/
最新的版最新的版本為本為 2.0.2.0.
44
7878
Sniffer Mode Sniffer Mode
./snort –v./snort –v 把把 TCP/IP packet headers TCP/IP packet headers 的資料顯示到螢的資料顯示到螢幕上 幕上
7979
Packet Logger Mode Packet Logger Mode
./snort -dev -l ./log -h 192.168.1.0/24 ./snort -dev -l ./log -h 192.168.1.0/24 告訴告訴 snort snort 有關本區的網段 有關本區的網段
8080
Network Intrusion Detection ModeNetwork Intrusion Detection Mode
./snort -d -h 192.168.1.0/24 -l ./log -c snort.con./snort -d -h 192.168.1.0/24 -l ./log -c snort.conff
若要長期使用若要長期使用 , , 且基於速度的因素且基於速度的因素 , , 則建則建議捨棄 –議捨棄 – v v 及 –及 – ee 的參數的參數
8181
由網管機制探測病毒由網管機制探測病毒
8282
利用網路分析軟體利用網路分析軟體
8383
Using IOS with NetFlow Enabled to Detect Infected Hosts
W32.BLASTER WormW32.BLASTER Worm
8484
Using IOS with NetFlow Enabled to Detect Infected Hosts
Nachi WormNachi Worm
8585
Using CatOS with Sup2 and MLS to Detect Infected Hosts
W32.BLASTER WormW32.BLASTER Worm
8686
Using CatOS with Sup2 and MLS to Detect Infected Hosts
Nachi WormNachi Worm
8787
參考網站參考網站 http://www.netfilter.org/documentation/http://www.netfilter.org/documentation/ http://www.knowplace.org/netfilter/http://www.knowplace.org/netfilter/ http://iptables-tutorial.frozentux.net/http://iptables-tutorial.frozentux.net/ http://winpcap.polito.it/http://winpcap.polito.it/ http://analyzer.polito.it/http://analyzer.polito.it/ http://www.snort.org/http://www.snort.org/ http://www.cisco.com/http://www.cisco.com/ http://www.trend.com/http://www.trend.com/ http://http://www.symantec.comwww.symantec.com//