网路安全概论课件.ppt

1、第七章第七章 網路安全概論網路安全概論本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。2第七章 網路安全概論l 本章主要內容介紹網路安全概念與發展趨勢。首先介紹電腦網路之基本架構、網路協定，並介紹網路的安全威脅，以及在架構上需要如何防範，然後說明網

2、路安全的趨勢，最後介紹網路攻擊的技術，讓讀者由淺入深，了解網路安全相關議題。電腦網路簡介 網路安全威脅 網路安全概念 網路安全發展趨勢 網路攻擊技術7.1電腦網路簡介電腦網路簡介l 今日的世界，電腦網路與生活密不可分。電腦網路可以由兩台電腦連線組成，也可以由上千台電腦組成。我們通常稱辦公區域電腦組成的網路為 區域網路 (Local Area Network，LAN)；由區域網路再延伸出去組成範圍更大的網路，比如整個城市甚至整個國家，這樣的網路稱為 廣域網路(Wide Area Network，WAN)。l 電腦網路(Computer Network)表示許多電腦之間連接形成通路，建立資料傳輸的

3、通道。而各個獨立的小網路再互相連接形成大網路(internet network)，簡稱 internet 。第一個字母用小寫表示互連的網路，用大寫的 Internet 表示現行的網際網路。電腦網路可看成將分散於各地的電腦主機(Hosts)相互連接，彼此間可以互傳訊息或共享資源的網路架構。l l Internet 是全球性電腦網路，連接全球網路，形成一個大網路，包含無數的電腦組成之 WAN 與 LAN。而 WWW(World Wide Web 或簡稱 Web）是 Internet 的一種應用，可提供圖形化(Graphic User Interface，GUI)、容易瀏覽的介面。Web 可以用網頁

4、互相連結，簡易將文字、圖像、動畫、聲音等所有的物件連結。l 企業組織獨立的一個網路架構稱為企業內網路(Intranet)，Intranet 是相對於 Internet 產生的概念。Intranet 是指Internet 網際網路無法存取的網路段，通常安裝在企業或組織內部，使用 Internet 通訊標準，在企業內使用防火牆及網路位址轉換(Network Address Translation，NAT)與 Internet 連接。圖 7-1 表示簡單的網路架構。圖 7-1 網路架構7.1.1網路協定網路協定l 電腦網路中，電腦之間的互通協定非常複雜，藉由抽象的階層概念，可使系統發展變得簡易。為提

5、供良好的互通性，構成網路分層的抽象層稱為協定 Protocol ，是電腦之間彼此交換資訊的規定。電腦網路必須提供互通的協定，其協定要符合效益、合宜與穩定，為了處理協定的複雜工作，發展出基本設計的建構稱為 網路協定架構。l 主要的網路協定架構有兩種，一種是 OSI協定架構(或稱為 OSI 架構)，另一種是DoD協定架構(網際網路協定架構)。OSI 協定架構除了少數特殊系統使用之外，網際網路協定架構已被廣泛使用。l OSI協定架構國際標準組織(International Organization for Standardization，ISO )是第一個正式定義方法以連接電腦之組織，該組織所提出的

6、架構，稱為開放系統連接(Open System Interconnection，OSI)協定架構。OSI協定架構將網路協定依功能分為七個層次，如圖 7-2所示。，國際電信團體 ITU(International Telecommunication Union，ITU)依據此模式，制定一系列協定規格，此系列被稱為 X dot 系列，如 X.25、X.400、或 X.500 等。l 以下簡要介紹OSI協定架構。最底層是實體層(Physical Layer)，處理通訊連結位元傳輸。其上一層是資料鏈結層(Data Link Layer)，將資料收集起來，成為一個資料框(Frame)，網路卡將通訊連結位

7、元組合成資料框，上送至主機。再往上一層是網路層(Network Layer)，處理資料稱為封包(Packet)。網路中，每一網路節點路由器或交換器，都有此三層之架構。l 第四層是傳輸層(Transport Layer)，建構程序間之通道，通常在終端機執行，不是在路由器或交換器，此層的資料單元稱為訊息(Message)。第五層是會議層(Session Layer)，提供一個名稱以結合屬於相同的應用程式，但可能不屬於同一資料流，如視訊傳輸中，影像與聲音資料流。第六層是展現層(Presentation Layer)，負責同層協定資料交換格式。最上層是應用層(Application Layer)，定義

8、應用程式間相互運作之協定；如 FTP 傳輸協定，定義檔案傳輸的各項命令之執行協定。圖 7-2 OSI 協定架構l DoD協定架構DoD 協定架構是網際網路協定架構，主有四層，強調以TCP/IP為主的網際網路。DoD 協定架構是從較早的分封交換網路 ARPANET 為基礎發展出來，該協定架構由美國國防部(Department of Defense，DoD)提供資金發展。ARPANET 早在 OSI 協定架構出現之前即已開始發展，在發展過程中並獲取 OSI 架構的經驗，最後發展出網際網路協定架構。有別於OSI架構，網際網路協定架構使用四層架構模型。最底層為鏈結層(Link Layer)，其協定由硬

9、體或驅動程式軟體組成。第二層為網路層(Network Layer)或 IP 層(Internet Protocol Layer)。第三層為傳輸層(Transport Layer)，包含兩個主要協定，TCP(Transmission Control Protocol)和 UDP(User Datagram Protocol)；TCP 與 UDP 提供兩個網路邏輯通道，TCP 提供可靠位元組資料流通道，UDP 提供非可靠位元組資料通道。傳輸層之上為應用層(Application Layer)，執行應用程協定，如 FTP、Telnet、Http、SMTP(Simple Mail Transfer P

10、rotocol)，使應用程式可以互相溝通。圖 7-3 表示DoD 協定架構。圖 7-3 DoD 協定架構7.1.2網路 IP 定址l 網路連接層是建構網路之基礎，定義網路上每一節點都有一個 IP 位址(Internet Address)，是一種在Internet上給主機定址的方式，常見的主機定址方式是 IPv4 定址模式，IPv4 意義為 IP version 4。近年來，因為網際網路蓬勃發展，新規範 IPv6 定址模式以因應網路定址資源之不足。l 在IPv4 中，規範節點的IP位址由 32個位元組成，在理論上可以提供42億個IP位址。但由於早期編碼上的問題，許多位址實際上不能使用，加上網際網

11、路的快速發展，許多專家擔心IP位址不夠用，所以在IPv6新版本定址方式，採用 128 位元的定址方式。在IPv4 中，32個位元的IP位址，在書寫表達上，使用四個十進位數字，以小數點分開書寫；換言之，使用XXX.XXX.XXX.XXX 的形式表示，每個 XXX 代表小於或等於 255 的十進位數字，例如 172.87.23.101。參考圖 7-4 IPv4 定址方式。圖 7-4 IPv4 定址方式7.1.3傳輸層網路協定傳輸層網路協定l 傳輸層的協定能夠協助解決諸如：資料是否已經到達目的地、資料是否按照正確的順序到達，等可靠性問題。在TCP/IP協定組合中，傳輸協定也包括所給資料應該送給那個應

12、用程序。連接埠管理、流量控制、錯誤處理、與資料重送皆是傳輸層的工作項目。傳輸層的兩個主要協定為 TCP 與 UDP，在協定組合一般表示為 TCP/IP 或 UDP/IP。TCP/IP 協定為現今網際網路的基礎。l UDP UDP(User Datagram Protocol)是一個相當簡單的協定，僅提供連接埠(Port)處理的功能。UDP 表頭記錄封包來源端與目的端的連接埠資訊，讓封包能夠正確地送達目的端的應用程式。UDP 是以非連線式(Non-connection Oriented)來傳送封包，傳送者將資料封裝，傳出至目的端之前，不必與對方連線，即可將資料送出，所以送出端無法確知目的端是否收

13、到資料。使用UDP 協定的主要原因是節省電腦資源，例如：在網域名稱系統DNS，DNS 全名是Domain Name System。透過DNS 系統，我們可以由一部機器的Domain Name 查詢其IP位址，反之也可以由機器的IP位址，查詢它的Domain Name。DNS 伺服器要處理來自用戶端的大量詢問，若是使用 TCP 協定將會耗費許多電腦資源，因此使用資源需求較低的 UDP協定。l TCPTCP 為傳輸層的協定，除了連接埠的功能外，更重要的是 TCP 提供了一種可靠的傳送機制，當 TCP 來源端在傳送資料時，透過與目的端的相互溝通，可以確認目的端已經收到所傳送的資料。所以 TCP 為一

14、種連線導向式(Connection Oriented)的通訊協定，先建立連線才開始傳遞封包，並採用三向交握(Three-way Handshaking)式建立連線。由使用者端送出SYN 信號，伺服器接收訊號後，回應 SYN/ACK 信號，接著使用者在送出 ACK 信號，才開始傳送資料，如圖 7-5 TCP 三向交握建立連線。l 連接埠(Port)網路上每一部電腦至少有一個IP位址，但很多不同種類的訊息會送到此部電腦來，因此需要辨識訊息服務的種類，以分派給適當的服務程式去處理。TCP 與 UDP 就是利用辨識碼，即 連接埠，作為辨識。每一種服務有一個指定的連接埠，以服務相對的協定；如果一部電腦同

15、時提供網站(Web)服務與FTP 檔案服務，傳送至該電腦的TCP/IP 訊息就有連接埠，Web 服務的連接埠是 80，FTP 檔案服務的連接埠是 20 與 21。圖 7-5 TCP 三向交握建立連線l ICMP(Internet Control Message Protocol)複雜的網路環境中，可能會有線路斷線、設備失效、負載過高等問題，需要有一套機制來偵測或通知可能發生的各式各樣的狀況，這就是 ICMP 協定的目的。網路指令中的Ping 與 Traceroute 這兩個工具，其底層是 ICMP 協定。ICMP 與 IP雖然是屬同層的網路協定，但在使用上，其傳送封包需要使用網路 IP。圖 7

16、-7 Ping 工具與回應畫面7.1.47.1.4應用程式介面應用程式介面網路協定架構是建構電腦網路的基礎，今日的網際網路已連接全世界將近三千萬台的電腦，使用人口超過十億人。各種網路應用程式是透過網路應用程式介面(Application Interface，API)與底層網路協定溝通。應用程式介面使用一個抽象的概念稱為 插槽 (Socket)，插槽是應用程式連接到網路上的一個入口點，透過插槽可以到網路上收送訊息。插槽透過應用程式介面(API)，是應用程式與網路之間的聯繫口，並提供標準的函式以符合不同的網路規格。7.2網路安全威脅網路安全威脅l 網路安全面臨的威脅，主要有三種來源，外部入侵者的威

17、脅(如電腦駭客)、內部人員的威脅(如員工的惡意破壞)、與惡意訊息的傳播(如病毒程式)。網路安全威脅包含網路傳輸與協定的各個層面，威脅來源針對系統的弱點進行破壞系統安全，降低系統安全防衛能力。站在系統防衛的立場，必須針對系統攻擊模式作分析，加強系統弱點掃描與補強，以減少損失。網路安全威脅除技術之攻擊模式，還包含網路的實體破壞，或錯誤的安全政策和不當的安全管理等問題。本章後面的內容主要針對技術層面上的攻擊模式作探討。攻擊模式分為主動式攻擊(Active Attacks)和被動式攻擊(Passive Attacks)。主動式攻擊企圖破壞系統的架構、功能與資源或竊取系統資料；被動式攻擊企圖竊取資訊，但

18、以不影響系統運作為原則。主動式攻擊分為四類，偽裝攻擊（Masquerade）、修改訊息內容（Modification of Message Content）、重送攻擊（Replay）、以及阻斷服務（Denial of Service，DoS）等。被動式攻擊則企圖竊取資訊，或監控資訊傳輸，攻擊者不會變更任何資料，因此被動式攻擊偵測起來很困難；將訊息加密或將訊息隱藏後再傳輸，是防範被動式攻擊的方法之一，參考表 7-1 網路攻擊模式。偽裝攻擊，乃攻擊者利用合法使用者的身份與權限進入系統，企圖破壞系統或竊取系統資料，造成系統的損失；其對治方法為加強系統的身分驗證機制。最常見的偽裝攻擊，是利用他人的帳號

19、與密碼進入系統。因此密碼的管理非常重要，密碼需要使用亂數，密碼不要書寫在任何地方，或使用較長的字串當密碼等機制，都可以提高使用者身分的驗證性。安全性要求較高的密碼至少需要 6 位數以上，其猜中的機率小於百萬分之一，修改訊息內容攻擊，係竄改傳輸中或儲存於系統的資料，使系統接收錯誤訊息，以破壞訊息的完整性，企圖改變系統功能或安全狀態。其對治方法為提昇訊息的完整性機制，以防止訊息被惡意修改。重送攻擊，通常需要運用多種攻擊模式之組合，如偽裝使用者身分進入系統，修改系統訊息，並重新送出，以達到攻擊之目的。阻斷服務攻擊，以阻斷或減緩網路設備之正常運作為主要目的，阻斷服務攻擊對於電子商場等服務常會造成重大損

20、失。典型的例子是，2000年2月著名的入口網站 Yahoo 與 eBay 遭受阻斷服務攻擊，無法提供正常服務，商譽與業績受到重大損失。網路攻擊模式主動攻擊偽裝攻擊（Masquerade）修改訊息內容（Modification of Message Content）重送攻擊（Replay）阻斷服務（Denial of Service，DoS）被動攻擊被動式攻擊企圖竊取資訊，或者監控資訊傳輸，攻擊者不會變更任何資料。表 7-1 網路攻擊模式 7.2.1阻絕服務攻擊阻絕服務攻擊 阻絕服務(Denial of Service，DoS)攻擊，廣義而言是指任何導致伺服器不能正常提供服務的攻擊，分散式阻斷服

21、務攻擊(Distributed Denial of Service，DDoS)是攻擊端分散在很多的主機上，同時對目標伺服器發動阻絕服務攻擊。阻斷服務的攻擊方式，乃送出大量的封包使網路雍塞，或直接攻擊受害的伺服器，將其記憶體或硬碟空間佔滿。常見的攻擊手法，有針對TCP協定的攻擊、UDP Flood的攻擊、分散式阻斷服務攻擊(DDoS)、以及ICMP阻絕服務攻擊等。TCP SYN Flood攻擊，是利用三向交握的弱點，惡意地送出許多TCP SYN封包，但後續卻沒有回覆確認(ACK)封包。伺服器端會等待使用者端的回應，累積很多等待回應的程式，使伺服器資源耗盡，直至伺服器無法運作。圖 7-6 表示TC

22、P SYN Flood 攻擊。圖 7-8 TCP SYN Flood 攻擊防範TCP SYN Flood 攻擊的對策，關閉不必要的服務，如發現有特定 IP 來源，持續使用此攻擊，對此特定來源的IP 送出之 TCP 連線要求，拒絕其連線請求。此外，限制同時打開的Syn連接數目，縮短Syn連接的time out時間，及時更新系統Patch等，都是解決問題的對策。UDP Flood的攻擊，是利用UDP之非連接導向的弱點，傳送任一埠號(Port)的UDP封包到被攻擊端，使伺服器處理此訊息而耗盡資源。圖 7-9 UDP Flood 攻擊為避免自己的電腦被安裝DDoS 的受控制程式，系統管理者必須經常注意

23、系統漏洞及修補(patch)漏洞，經常性的注意及掃瞄系統有無異常現象，確保自己的機器不被植入DDoS 的受控制程式。圖 7-10 DDoS 攻擊示意圖Ping of Death攻擊攻擊Ping是一個電腦網路工具，用來測試特定主機IP是否存在。Ping的運作原理是對目標主機傳出一個 ICMP(Internet Control Message Protocol)echo的要求封包，當接收到echo回應封包時，ICMP 就是一個 錯誤偵測與回報機制，其目的就是能夠檢測網路的連線狀況。程式會按時間和反應成功的次數，估計失去封包率（丢包率）和封包來回時間。圖 7-9 表示Ping 工具與回應畫面。分散式

24、阻斷服務攻擊分散式阻斷服務攻擊l DoS是一對一的網路攻擊方式，攻擊者藉由不當方式佔用系統資源，達到干擾正常系統運作的目的。不同於一般網路入侵，DoS 不一定需要取得系統使用的權限，即可達到攻擊的目的。l DDoS是DoS的一種，攻擊的模式不是一對一，而是以多對一的方式，同時對一個目標發動攻擊，而這些發動攻擊的節點，是已經被入侵而不自知的受控制電腦。由於這種攻擊方式以遠端遙控方式，因此不僅難以防範，追查更是不易。圖 7-8 表示DDoS 攻擊示意圖。Smurf 攻擊攻擊Smurf 攻擊是直接對網路進行廣播，造成網路很快地充滿垃圾封包而中斷。Smurf攻擊者不斷偽造其它電腦的ICMP要求封包並送

25、給受攻擊電腦，受攻擊電腦會回應給其它電腦，在網路上塞滿ICMP的要求封包與回應封包而造成網路中斷。圖 7-10 Smurf 攻擊 防禦Smurf攻擊的對策，關閉ICMP Echo Reply的功能，對於 ICMP echo 之查詢不回應，在網路不會有大量 ICMP echo 回應訊息。7.2.2 7.2.2 緩衝區溢位攻擊緩衝區溢位攻擊l緩衝區(Buffer)是指在記憶體中宣告一個區域來暫時存放使用者的資料，若使用者在使用緩衝區時，沒有注意其範圍限制，可能造成緩衝區溢位(Buffer Overflow)的問題，資料溢位後會覆蓋到其他的資料，造成錯誤。l在電腦系統中，記憶體配置有堆疊(Stack

26、)與堆積(Heap)，系統程式運作的參數，暫存記憶、副程式呼叫、中斷資料等皆存在堆疊(Stack)與堆積(Heap)中。l 造成堆疊溢位是較常見的攻擊法，利用程式語言本身的漏洞(例如：C語言的指標)，程式未對存入堆疊的變數做範圍檢查，輸入大量資料到堆疊中，造成區段錯誤。l 堆疊溢位攻擊的影響，系統將堆疊中的內容當成程式碼執行，可以改變程式的執行流程，駭客將後門程式填入堆疊中以入侵系統。參考圖 7-11 記憶體配置。圖 7-11 記憶體配置7.3網路安全概念網路安全概念l 網路安全概念，主要依照安全三原則：機密性(Confidentiality)、完整性(Integrity)與可用性(Avail

27、ability)，之外還需加上認證性(Authentication)與存取控制(Access Control)。ITU-T(International Telecommunication Union-Telecommunication Standardization Sector)是網路通訊的國際標準組織，定義一份X.800 OSI安全架構的建議書，從三個角度，說明網路的安全服務、安全威脅與安全攻擊等重要觀念。l OSI 安全架構建議提供五種安全服務：驗證性、存取控制、完整性、機密性與可用性，以對付網路的安全威脅，並提供對應的安全機制加以防範，如表 7-2。安全服務安全威脅安全機制驗證性冒名傳

28、送(偽裝攻擊)使用基碼(MAC)或簽章技術存取控制冒名登入系統(偽裝攻擊)使用權限管理與密碼，其它驗證技術、IC 卡、或指紋技術等完整性竄改(修改訊息內容攻擊)訊息重送(重送攻擊)使用雜湊函數，或數位簽章技術機密性截聽(被動攻擊)使用資料加密技術，如 3DES 或 AES等加密方法 可用性無法登入系統(阻斷服務)使用防火牆與網路技術表 7-2 安全服務、安全威脅與安全機制l 所謂道高一尺，魔高一丈，網路攻擊者，其行為模式難以預測，可使用的網路攻擊技術日新月異，網路安全的防範更顯困難，常使系統造成重大損失。在技術上，選擇一個夠強的密碼、使用加密技術傳輸資料、或建置防火牆等，皆有助於網路安全之提升

29、。l 站在網路管理者的立場，需要隨時注意電腦危機處理中心(Computer Emergency Response Team，CERT)或台灣電腦危機處理中心(TWCERT)的公告，隨時對系統進行補釘程式(Patch)之下載與安裝，對各項紀錄資訊作分析與過濾，並避免不必要的網路連線。此外，更要定期檢查系統，暸解系統與檔案狀況，確認所有程式正常地運作，並注意病毒碼更新狀況。更需要經常演習，進行弱點掃描，了解並補正系統的漏洞。7.4網路安全發展趨勢網路安全發展趨勢 現今的企業組織，有越來越多的外部人員、組織員工、企業夥伴、客戶等，需要透過網際網路來存取企業網路資源，使得網路安全的內外界線已無法明確分

30、辨。技術上，防火牆無法完全阻斷各種攻擊，弱點分析與管理也需要加強。管理者需要掌握最新資訊安全發展趨勢，訂定完善的資訊安全政策，並部署最適合企業組織之防護機制以達到效益最佳化。網路安全發展趨勢有下列幾點。l 主動防禦主動防禦技術是指當網路安全威脅發生或者到達目標系統之前，安全防衛系統能夠及時偵測並作適當的反應，採用特徵碼查殺和監控的技術，並且做出自動的防禦行動，無需任何人工手動介入，以獲得及時的安全保障。從技術層面上，依照行為分析做為判斷，利用行為分析引擎技術，主動收集防禦的殺毒模式，並選擇是放過還是拒絕某個程序要作的動作。l 縱深防禦 網路資訊安全風險繁多，必須依靠各種防堵安全威脅的技術，形成

31、縱深防禦網才能有效遏阻威脅。縱深防禦網包括入侵偵測系統（Intrusion Detection System，IDS）、入侵防禦系統（Intrusion Prevention System，IPS）、弱點掃瞄系統、修補程式管理系統等。入侵偵測系統偵測出惡意的攻擊，入侵防禦系統能夠主動將符合條件的攻擊行為適時的中斷與移除，對那些惡意的封包，自動化檢視並直接做出反應。l 入侵偵測與入侵防禦系統 入侵偵測與入侵防禦系統，能在不影響網路效能的情形下，分析網路的資料封包內容，並在偵測到入侵或違規存取時，立即的回應與處置。它完整提供網路的入侵偵測、具備強大的即時回應能力，以及一般防火牆所無法提供的安全機制

32、，可大大降低資訊安全風險。l 弱點管理弱點管理系統可以協助企業及早發現與解決現有的資訊安全問題。相較於IPS或防火牆等被動式防禦機制，弱點管理產品可以協助企業主動發現目前存在於各個節點上已知的安全問題，並及早修補。弱點管理並非只是單純的弱點發現與修補，更重要的是如何透過弱點管理系統評估安全風險，並以降低風險。l 整合式安全防護網路安全威脅並非都是單一事件，已有混合型的安全威脅，因此需要整合多種安全功能以更有效的對抗多重威脅，以降低網路攻擊的影響。傳統串聯式的防禦模式，如：防火牆加上入侵偵測，或加上防毒設備，以及加上網頁過濾，已無法抵擋混合型之攻擊，因此需要整合這些防衛技術形成整合式的安全防衛系

33、統。整合式安全防衛系統，是指在同一設備中同時擁有多種安全防護技術，包括防火牆，VPN，入侵偵測，病毒掃描及內容過濾等功能，利用多重功能同時對封包進行檢測。針對混合攻擊的多樣變化進行偵測掃瞄，才能有效的遏止多種安全威脅的入侵。l 虛擬私有網路建置虛擬私有網路(Virtual Private Network，VPN）一直是企業組織利用開放的網際網路，以提供專屬之通訊網路的主要技術。PPTP的運作方式是藉由將資料段封裝在IP封包中，然後透過網際網路傳送。經過包裝之後的封包，會被網路上任何路由器或機器視為一般IP封包般的傳送，直到抵達通道的另一端之後，才將傳送端封裝上去的IP表頭取下。SSL VPN的運作是在網路的應用層上進行，是一種利用HTTPS通訊協定的VPN架構。Web 網站大多支援HTTP及HTTPS通訊協定的網頁瀏覽器（Browser），SSL VPN是一種較為簡易且方便的VPN使用方式。IPSec主要可提供兩種功能，認證功能與保密功能。認證功能是指確認通訊雙方的身份，以及確保雙方之間傳輸的資料未遭受他人破壞或竄改。保密功能則是將通訊內容予以加密，防止網路上的第三者讀取其內容。