網(wǎng)路安全精要應(yīng)用與標(biāo)準(zhǔn)課件

1、密碼學(xué)與網(wǎng)路安全第18章 入侵者1入侵者被駭客擅自闖入是網(wǎng)路系統(tǒng)重要的安全問題，不論駭客是懷有敵意或是無意入侵可能藉由網(wǎng)路，或是從本機進(jìn)入入侵者可以分成三種等級：偽裝者masquerader (突破機制取得合法使用者帳戶之人)濫權(quán)者misfeasor (合法使用者帳戶使用超過自己權(quán)限的資源)秘密客clandestine user (奪取系統(tǒng)管理員而加以利用者)2入侵者入侵者威脅已經(jīng)充分地公佈於世1986-1987 Wily Hacker著名事件明顯升高的CERT(Computer Emergency Response Team)統(tǒng)計數(shù)據(jù)許多看似無害的入侵，但依然耗費資源許多入侵還會植入其他攻擊

2、程式3入侵技巧入侵者的目標(biāo)是為了得到存取系統(tǒng)的權(quán)力，或是擴(kuò)大在系統(tǒng)上所能取得的存取權(quán)限取得通行碼(password)經(jīng)常是入侵的目的保護(hù)通行碼檔的方法單向加密存取控制系統(tǒng)管理者應(yīng)該只取予使用者適當(dāng)?shù)臋?quán)限4猜測通行碼最常見的攻擊方式之一常見的方式包括： 嘗試以標(biāo)準(zhǔn)帳戶的預(yù)設(shè)通行碼登入系統(tǒng)用窮舉法嘗試所有一到三個字元的短通行碼試著使用系統(tǒng)的線上字典來猜通行碼收集使用者的資訊，例如全名、配偶和小孩的名字、與嗜好有關(guān)的書籍等等嘗試使用者的各種號碼嘗試這區(qū)域所有合法的汽車牌照號碼5擷取通行碼其他攻擊的方式還包括擷取通行碼監(jiān)看使用者輸入的通行碼利用木馬程式蒐集通行碼(如一般使用者請系統(tǒng)管理員玩內(nèi)含木馬的遊

3、戲使此遊戲有權(quán)存取password檔並將其複製到一般使用者的目錄)監(jiān)看不安全的登入（例如telnet、FTP等）6入侵偵測最有效的入侵預(yù)防，也有失效的時候系統(tǒng)防禦的第二道防線就是入侵偵測：若能快速偵測到入侵，就能阻擋入侵有效的入侵偵測是威懾入侵的力量收集大量的資訊以提高安全性假設(shè)入侵者的行為與合法使用者不同；但不能期待入侵者的攻擊行動和經(jīng)過授權(quán)的資源使用行為之間會有精確的不同78偵測入侵的方法異常統(tǒng)計偵測法: 一段時間內(nèi)收集合法使用者資料而產(chǎn)生檢驗規(guī)則偵測門檻(事件發(fā)生頻率)以個人檔案為基礎(chǔ)規(guī)則偵測法(定義規(guī)則)偵測異常現(xiàn)象(比對往常與目前之差異)侵入辨識法(Penetration ident

4、ification)建構(gòu)專家系統(tǒng)找可疑行為。9稽核記錄(Audit Record)稽核記錄是入侵偵測的基本工具系統(tǒng)原始的稽核記錄多使用者作業(yè)系統(tǒng)內(nèi)建的功能優(yōu)點：不需額外安裝軟體即可使用缺點：稽核記錄可能沒有包含所需的資訊，或者沒有以方便、合宜的形式記錄資訊具偵測特性的稽核記錄可以只包含入侵偵測系統(tǒng)所需資訊的稽核記錄需要額外的負(fù)擔(dān)10異常統(tǒng)計偵測法偵測門檻在特定時間內(nèi)計算特殊事件類別出現(xiàn)的數(shù)量如果總數(shù)大於合理數(shù)量，則假定為入侵只能算是簡陋、沒有效率的檢驗器以個人檔案為基礎(chǔ)描述使用者或使用者的相關(guān)群組的過去行為藉此偵測有意義的異常現(xiàn)象個人檔案通常是由一組參數(shù)構(gòu)成11分析稽核記錄(略)統(tǒng)計方法的基礎(chǔ)

5、分析記錄，並以公制單位量測使用者行為計數(shù)器、估計範(fàn)圍、間隔計時器、資源執(zhí)行各種測試，用來決定現(xiàn)在的行為是否與可接受的範(fàn)圍一致平均值與標(biāo)準(zhǔn)差、綜合評量、Markov程序、時間序列、操作行為最大的優(yōu)點是不需事先具備安全漏洞的知識12規(guī)則偵測法觀察系統(tǒng)事件並應(yīng)用規(guī)則來偵測入侵，以這些規(guī)則檢視給予的行為模式是否可疑規(guī)則偵測異常分析歷史稽核記錄以識別行為模式並自動產(chǎn)生規(guī)則然後觀察目前行為並與規(guī)則比對，檢查是否符合觀察到的行為模式與統(tǒng)計偵測法一樣，規(guī)則偵測法也不需要關(guān)於系統(tǒng)安全漏洞的知識13規(guī)則偵測法以專家系統(tǒng)為基礎(chǔ)的技術(shù)使用可以識別的已知侵入當(dāng)作規(guī)則，或是識別那些利用已知弱點的入侵系統(tǒng)所使用的規(guī)則是針對

6、特定的機器和作業(yè)系統(tǒng)規(guī)則都是由專家產(chǎn)生，而不是由稽核記錄的自動分析所產(chǎn)生方法的效力必須仰賴建立這些規(guī)則的技巧14基數(shù)比例謬誤為達(dá)實用，入侵偵測應(yīng)該能偵測出相當(dāng)比例的入侵行為，並要將誤判的數(shù)量維持在可接受的範(fàn)圍若只能偵測少數(shù)的入侵行為，就不是安全的系統(tǒng)若時常發(fā)出錯誤警訊，可能導(dǎo)致管理者不理會警訊，或費時分析錯誤警訊但由於隨機使然，很難在高偵測率又維持低誤判率除非系統(tǒng)極具辨識力，否則入侵行為的數(shù)量比系統(tǒng)正常行為少很多，誤判率就會升高15分散式入侵偵測傳統(tǒng)入侵偵測大都將焦點放在單一系統(tǒng)但典型的組織系統(tǒng)需要防護(hù)網(wǎng)路提供的大量分散式主機有效率的作法是靠網(wǎng)路各節(jié)點入侵偵測系統(tǒng)的互助合作分散式入侵偵測系統(tǒng)的

7、主要議題分散式入侵偵測系統(tǒng)可能需要處理不同的稽核記錄格式網(wǎng)路上一個或多個節(jié)點將提供收集資訊的服務(wù)並分析資料可能使用集中式架構(gòu)或是分散的架構(gòu)16分散式入侵偵測系統(tǒng)的架構(gòu)17分散式入侵偵測的代理架構(gòu)18蜜罐(Honeypots)吸引攻擊者的誘捕系統(tǒng)：轉(zhuǎn)移而別讓攻擊者存取重要的系統(tǒng)收集攻擊者的活動資訊誘使攻擊者在系統(tǒng)停留夠長的時間，以便管理者能有所行動蜜罐內(nèi)都是偽造的資訊任何存取蜜罐的行為都是可疑的可以是單一或由數(shù)個網(wǎng)路系統(tǒng)組成蜜罐19通行碼管理通行碼系統(tǒng)是防禦入侵者的第一道防線使用者同時以：登入名稱，判斷使用者的權(quán)限通行碼，認(rèn)證使用者通行碼經(jīng)常會先加密再儲存：UNIX系統(tǒng)使用數(shù)個DES加密通行碼許多較新的系統(tǒng)利用加密雜湊函數(shù)加密通行碼202122管理通行碼使用通行碼需要正確的策略，並教育使用者(很難)確保每個帳號都有預(yù)設(shè)通行碼確保使用者已經(jīng)更改預(yù)設(shè)通行碼保護(hù)通行碼檔不被任意存取強制使用者設(shè)定好通行碼的規(guī)則：至少8個字元必須混合使用大小寫、數(shù)字及標(biāo)點符號禁止以常見字當(dāng)作通行碼23管理通行碼定期在系統(tǒng)上執(zhí)行通行碼破解程式來找出容易被推測的通行碼強制使用者定期更改通行碼監(jiān)視系統(tǒng)失敗的登入，若在短時間內(nèi)發(fā)生較多的登入失敗，應(yīng)該暫時鎖定該帳號應(yīng)教育使用者正確的通行碼觀念，並給予協(xié)助應(yīng)該在使用者接受度與通行碼強度之間找到平衡點24事先審核通行碼事