實驗四:安裝及建置 web 防毒牆
Post on 18-Mar-2016
65 Views
Preview:
DESCRIPTION
TRANSCRIPT
國立雲林科技大學電腦與通訊工程系
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心
實驗四:安裝及建置 Web 防毒牆
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心
國立雲林科技大學電腦與通訊工程系
實驗簡介 實驗目的
學習如何設定防定 Web 防毒牆 了解關於 SQL Injection 及 XSS 相關的攻擊特徵
實驗設備 BroadWeb OneKeeper 300 電腦數台 Switch
實驗四 安裝及建置 Web 防毒牆
2
國立雲林科技大學電腦與通訊工程系
實驗場景 在網路安全的規劃中,我們會將防毒牆部署在對外的路由器或是交換器之前,藉此保護內部資源不受外部網路的侵犯。 在本實驗中,我們將 Web 防毒牆
(OK-300) 部署在 Switch 之前,如左圖所示。
實驗四 安裝及建置 Web 防毒牆
3
Switch
OK-300
使用者或伺服器
國立雲林科技大學電腦與通訊工程系
OneKeeper 300 功能簡介 整合式的網路設備
Firewall VPN
入侵偵測與防毒功能 應用程式管理
P2P Streaming …
針對應用程式之流量控制 FTP P2P …
備援與負載平衡 網頁內容過濾
賭博 股市 …
實驗四 安裝及建置 Web 防毒牆
4
國立雲林科技大學電腦與通訊工程系
實驗步驟 實驗步驟
Step 1. 設定 Web 防毒牆參數 Step 2. 網路介面設定 Step 3. 設定入侵防禦系統 Step 4. 即時監測
實驗四 安裝及建置 Web 防毒牆
5
國立雲林科技大學電腦與通訊工程系
Step 1. 設定 Web 防毒牆參數 OneKeeper 300 提供三種設定方式
超級終端機模式 (Hyper Terminal)連接電腦與 OneKeeper 300 的 RS-232 Console 埠,並使用 Windows XP/2000內建的超級終端機連線。
遠端連線模式 (Remote Connection by SSH Client)使用具有 SSHv2 加密功能的遠端連線軟體來連結 OneKeeper 300 。
Web 連線模式透過 Web 瀏覽器來連結 OneKeeper 300 。
在本實驗中,我們將使用 Web 連線模式來設定 OneKeeper 300 。
實驗四 安裝及建置 Web 防毒牆
6
國立雲林科技大學電腦與通訊工程系
Step 1. 設定 Web 防毒牆參數 首先,我們利用超級終端機模式將 WAN 1 的 IP 位置設定為
140.125.32.23( 此後我們便可藉由此 IP 來登入管理 Web 防毒牆 ) 。實驗四 安裝及建置 Web 防毒牆
7
連線參數相關設定
Web 防毒牆各個介面相關的資訊
國立雲林科技大學電腦與通訊工程系
Step 1. 設定 Web 防毒牆參數 接下來,在瀏覽器的網址列上輸入 140.125.32.23 。
實驗四 安裝及建置 Web 防毒牆
8
使用 IE 瀏覽器登入 Web 防毒牆管理介面
國立雲林科技大學電腦與通訊工程系
Step 1. 設定 Web 防毒牆參數 接著輸入帳號跟密碼後,按下登入,即可看到 OneKeeper 300 的管理介面。
實驗四 安裝及建置 Web 防毒牆
9
OneKeeper 300 的系統資訊
國立雲林科技大學電腦與通訊工程系
Step 1. 設定 Web 防毒牆參數 在系統 & 設定中,我們可以設定的有以下幾項:
設定 可設定設備名稱、系統時間、 syslog 、網路模式、動態埠設定等等。
防護 可啟動或停用 IPS 防護、網頁防護、病毒防護、防火牆防護等等。
MAC 資料庫 管理者基於特定因素 ( 例如:發現該主機持續發送大量封包 ) 可將該主機之 MAC位址加入 OneKeeper MAC 資料庫並設定其相對動作 ( 允許或拒絕 ) 。
存取控制 設定可使用何種通訊協定登入,例如: http 、 https 、 ssh 等。
管理者密碼變更 更新與備份
可手動備份或更新系統設定。 警示郵件與訊息
當開啟入侵防禦系統 (IPS) 時,若有任何封包符合 IPS 之政策,則將依警示郵件設定傳送信件告知管理者。 系統記錄
提供系統相關事件,如修改系統設定、重新啟動等資訊。
實驗四 安裝及建置 Web 防毒牆
10
國立雲林科技大學電腦與通訊工程系
Step 2. 網路介面設定 選擇系統 網路。
實驗四 安裝及建置 Web 防毒牆
11
目前 OneKeeper 300 各個介面的相關資訊
國立雲林科技大學電腦與通訊工程系
Step 2. 網路介面設定 LAN 設定
可設定 LAN IP 位址、 DHCP Server 以及 DHCP Relay 。 DMZ 設定
可設定非軍事區域 IP 位址。 WAN 設定
可設定靜態 IP 、動態 IP 、使用 PPPoE 或 PPTP 等。 虛擬介面 虛擬網路介面
實驗四 安裝及建置 Web 防毒牆
12
國立雲林科技大學電腦與通訊工程系
Step 2. 網路介面設定 LAN
LAN IP 位址 DHCP 設定
實驗四 安裝及建置 Web 防毒牆
13
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 入侵防禦系統攻擊特徵可分為下列二種
嵌入式攻擊特徵 個人化攻擊特徵
嵌入式攻擊特徵 (Built-in Signature) BSST依據目前駭客最新入侵手法而制訂,並安裝於系統中,總共有 16 種攻擊分類, 5 級嚴重程度。 BSST (BroadWeb Security Service Team)
威播網路安全專家,專門鑽研駭客入侵手法、蒐集網路安全技術情報,制定最新的攻擊防禦政策及提供相關技術支援。 個人化攻擊特徵 (User-defined Signature)
主要應用於各種不同環境的需求,根據業務或資安政策而訂定,也能利用個人化攻擊特徵,檢視網路異常流量的問題。 在本實驗中,主要是利用嵌入式攻擊特徵來達到防禦 Web 攻擊的目的。
實驗四 安裝及建置 Web 防毒牆
14
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 嵌入式攻擊特徵
BSST 制訂 5 級嚴重程度 16 種攻擊分類
實驗四 安裝及建置 Web 防毒牆
15
Misc Web Attack Buffer Overflow Back Door
Access Ctrl P2P IM Virus
Porn Dos Scan File Transfer
Mail Stream Media Tunnel ACL
5 級嚴重程度 16 種攻擊分類
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 嵌入式攻擊特徵
攻擊特徵檢視方式分為三種 依嚴重程度而分之樹狀列表 依種類而分之樹狀列表 表格列表
實驗四 安裝及建置 Web 防毒牆
16
依嚴重程度而分之樹狀列表
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統實驗四 安裝及建置 Web 防毒牆
17
依種類而分之樹狀列表 表格列表
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 選擇攻擊特徵
啟用或停用攻擊特徵 設定遭受到某種攻擊時相關政策
實驗四 安裝及建置 Web 防毒牆
18
啟用停用
啟用或停用攻擊特徵
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統實驗四 安裝及建置 Web 防毒牆
19
設定遭受到某種攻擊時相關政策
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 接下來介紹二種較常見的網站攻擊特徵 SQL Injection
Web 應用程式會執行來自外部 ( 包括資料庫 ) 的惡意指令。 Cross-Site Scripting(XSS)
Web 應用程式直接將來自使用者的請求送回瀏覽器執行,使得攻擊者可以輕易的擷取到使用者的 Cookie 或 Session 資料,而攻擊者就能利用這些資訊假冒成合法的使用者 。
實驗四 安裝及建置 Web 防毒牆
20
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 SQL Injection
MS Windows sql injection command shell execution attempt WEB Sql injection scan tool attempt WEB Sql injection command 1=1 attempt …
實驗四 安裝及建置 Web 防毒牆
21
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 MS Windows sql injection command shell execution attempt
攻擊說明:針對 Windows SQL server 所做的 SQL Injection 。
如何改善:在撰寫資料庫相關應用程式時要過濾使用者輸入的字串。
MS Windows sql injection command shell execution attempt -2 攻擊說明:
針對 Windows SQL server 所做的 SQL Injection 。 如何改善:
在撰寫資料庫相關應用程式時要過濾使用者輸入的字串。
實驗四 安裝及建置 Web 防毒牆
22
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 CGI w3-msql solaris x86 access
攻擊說明: w3-msql 在處理 SQL Web 連結 CGI 程式時存在一個緩衝區溢位的弱點。這個弱點是利用 Content-Type 過長的字串讓 scanf() 函數無法處理所產生緩衝區溢位的弱點,惡意攻擊者可利用這一個弱點,執行任意的程式碼。
如何改善:修補作業系統的漏洞。
WEB Sql injection scan tool attempt 攻擊說明:遭受到 Sql Injection 攻擊檢測工具的掃描。
WEB Sql injection scan tool attempt -2 攻擊說明:遭受到 Sql Injection 攻擊檢測工具的掃描。
實驗四 安裝及建置 Web 防毒牆
23
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 WEB Sql injection command 1=1 attempt
攻擊說明:使 Sql 查詢語法之判斷結果永遠為真 (True) 。
如何改善:更新資料庫版本。
WEB Sql injection command '-- attempt 攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真 (True) 。 如何改善:
更新資料庫版本。 WEB Sql injection command '-- attempt -2
攻擊說明:使 Sql 查詢語法之判斷結果永遠為真 (True) 。
如何改善:更新資料庫版本。
實驗四 安裝及建置 Web 防毒牆
24
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 WEB Sql injection command 1=1 attempt -2
攻擊說明:使 Sql 查詢語法之判斷結果永遠為真 (True) 。
如何改善:更新資料庫版本。
WEB Sql injection command 1=1 attempt -3 攻擊說明:
使 Sql 查詢語法之判斷結果永遠為真 (True) 。 如何改善:
更新資料庫版本。 WEB Sql injection command 1=2 attempt
攻擊說明:使 Sql 查詢語法之判斷結果永遠為真 (True) 。
如何改善:更新資料庫版本。
實驗四 安裝及建置 Web 防毒牆
25
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 EXPLOIT phpBB Highlighting command execution
攻擊說明: phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對使用者的輸入參數做確認的動作,導致攻擊者可利用該弱點在伺服器上執行任意的指令。
如何改善:更新 phpBB 至最新的版本。
EXPLOIT phpBB Highlighting Code Execution Attempt 攻擊說明:
phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對使用者的輸入參數做確認的動作,導致攻擊者可利用該弱點在伺服器上執行任意的指令。 如何改善:
更新 phpBB 至最新的版本。
實驗四 安裝及建置 Web 防毒牆
26
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 EXPLOIT phpBB Highlighting Code Execution - Santy.A
攻擊說明: phpBB 為一個免費的電子論壇。由於該程式在 viewtopic.php 頁面中沒有對使用者的輸入參數做確認的動作,導致攻擊者可利用該弱點在伺服器上執行任意的指令。
如何改善:更新 phpBB 至最新的版本。
實驗四 安裝及建置 Web 防毒牆
27
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 Cross-Site Scripting(XSS)
WEB-PHP rolis guestbook arbitrary command execution attempt WEB-PHP rolis guestbook access WEB-PHP phpMyAdmin db_details_importdocsql.php access
實驗四 安裝及建置 Web 防毒牆
28
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 WEB-PHP rolis guestbook arbitrary command execution attempt 攻擊說明:
該攻擊主要是利用 PHP 已知的弱點去攻擊 MediaWiki 。由於 MediaWiki 在使用者輸入資料時沒有執行嚴謹的字串過濾,因此攻擊者可以利用該弱點得到管理者的權限。 如何改善:
將軟體升級至最新的版本。 WEB-PHP rolis guestbook access 攻擊說明:
該攻擊是由於程式設計者在使用者輸入資料時沒有執行嚴謹的字串過濾,造成攻擊者可以利用該弱點得到管理者的權限。 如何改善:
將軟體升級至最新的版本。
實驗四 安裝及建置 Web 防毒牆
29
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 WEB-PHP phpMyAdmin db_details_importdocsql.php access 攻擊說明:
該攻擊是利用 phpMyAdmin 已知的弱點,使得攻擊者可以使用字典攻擊技巧得到敏感的系統檔案。 如何改善:
將軟體升級至最新的版本。
實驗四 安裝及建置 Web 防毒牆
30
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 除了使用系統預設的攻擊特徵外,我們也可以手動設定防禦特徵,下圖為手動設定防禦特徵的頁面。
實驗四 安裝及建置 Web 防毒牆
31
使用者自訂防禦特徵
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 個人化攻擊特徵 (User-defined Signature) 進階選項
IP 標頭參數設定 比對運算參數共有五種選項,分別為 Ignored( 忽略 ) 、 less than( 小於 ) 、 large than( 大
於 ) 、 Not equal( 不等於 ) 與 Equal( 等於 ) 。 各協定標頭參數
封包內容比對特徵 比對運算參數
Case sensitive (分辨大小寫,大寫與小寫視為不同字元。 ) 、 Case insensitive (忽略大小寫,大寫與小寫視為相同字元。 ) 、 URL string ( URL 字串,特徵內容為 URL 字串。 ) 、 Hex value(十六進位, 特徵內容為十六進位字元。 ) 。 比對特徵內容,最大長度為 128 ,可輸入 ASCII字串或十六進位字串 。
實驗四 安裝及建置 Web 防毒牆
32
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統實驗四 安裝及建置 Web 防毒牆
33
上圖為 IP 標頭參數設定的頁面
上圖為封包內容比對特徵的頁面
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 網頁內容過濾
主要是針對網站分類與網頁連結位址進行阻擋,如賭博、色情、暴力等等網站,也可利用自訂的方式將需要阻擋的網頁進行阻絕上網的行為,通常依據公司政策的訂定,來禁止員工利用上班時間瀏覽不必要的網站,進而提昇工作效率並且降低接觸惡意網站,而遭受駭客入侵或下載病毒程式。 啟用使用者自訂之白名單 (URL 允許列表 ) 與黑名單 (URL 封鎖列表 )
白名單功能在於「允許」內部電腦或使用者連結列在其上的外部網址。 黑名單則「阻擋」內部電腦或使用者連結列在其上的外部網址。
實驗四 安裝及建置 Web 防毒牆
34
國立雲林科技大學電腦與通訊工程系
Step 3. 設定入侵防禦系統 網頁內容過濾器
透過查詢外部 SurfControl 伺服器 (CPA 伺服器 ) 將網址分類的功能,可以提高您的員工或網路使用者的工作效率,並且瞭解其瀏覽網頁之行為。
實驗四 安裝及建置 Web 防毒牆
35
網頁內容過濾器
國立雲林科技大學電腦與通訊工程系
Step 4. 即時監測 OneKeeper 300 可監測的項目如下:
網路流量監測 硬體使用率 入侵防禦系統監測報告 應用程式流量統計 防毒監測報告 網頁內容過濾監測報告 防火牆流量統計 虛擬私有網路連線狀況
實驗四 安裝及建置 Web 防毒牆
36
國立雲林科技大學電腦與通訊工程系
Step 4. 即時監測 網路流量監測 可看到防毒牆各個介面 (WAN1 、 WAN2 、 LAN 、 DMZ) 目前的流量使用量。
實驗四 安裝及建置 Web 防毒牆
37
國立雲林科技大學電腦與通訊工程系
Step 4. 即時監測 硬體使用率
可看到防毒牆目前使用的 CPU 及記憶體使用狀況。 入侵防禦系統監測報告
可看到防毒牆目前偵測到何種攻擊。
實驗四 安裝及建置 Web 防毒牆
38
入侵防禦系統監測報告
國立雲林科技大學電腦與通訊工程系
Step 4. 即時監測 應用程式流量統計
各種應用程式所使用的流量,共分 12 種 (IM 、 P2P 、 Streaming Media 、 Games 等等 ) 。
防毒監測報告 可看到防毒牆目前偵測到的所有病毒。 分成 HTTP Virus 、 FTP Virus 、 SMTP Virus 、 POP3 Virus 、 IMAP
Virus 。 網頁內容過濾監測報告
可看到防毒牆目前過濾的網頁統計。
實驗四 安裝及建置 Web 防毒牆
39
國立雲林科技大學電腦與通訊工程系
Step 4. 即時監測 防火牆流量統計
防火牆流量圖 封包丟棄統計 現行連線
虛擬私有網路連線狀況 可看到目前防毒牆上虛擬私有網路的類型、傳輸資料量、接收資料量等等資訊。
實驗四 安裝及建置 Web 防毒牆
40
國立雲林科技大學電腦與通訊工程系
參考資料 「 BroadWeb OneKeeper 300 光碟」 「 http://ens.rising.com.cn/qyaq_qyaq01.shtml」 網路防毒牆應用 「 http://www.dragonsoft.com.tw/」中華龍網 「 http://www.broadweb.com/chinese/03_support/01_tech_report.php」 「 http://www.zyxeltech.de/previews/zyw35w403wz0/IDP_Signature-WebAttacks.html」
實驗四 安裝及建置 Web 防毒牆
41
top related