资安整合方案.ppt

資安整合方案 主講人：林世川 簡報大綱 資訊安全簡介 駭客的起源 50年代 是指精力充沛，熱衷於解決電腦難題的人。 60、70年代 是指獨立思考、奉公守法的電腦迷， 發展出入侵電腦的程式例如破解密碼、開天窗、走後門、特洛伊木馬等 倡導了現行的電腦開放式體系結構 ，提出了“電腦為人民所用”的觀點 白駭客 V.S 黑駭客 資訊安全的興起 網路安全危機 企業資訊安全的危機 外部 駭客藉由無線網路攻擊 網路搜尋引擎盛行（google hacking） 內部 登入系統的帳號、密碼外洩 密碼建立薄弱 員工私接AP 員工對資安警覺性和認知性不足 安裝P2P軟體 未修補或更新軟體版本 儲存設備攜帶容易 無線網路的特性 高行動性 高即時性 低安全性 高擴充性 佈線成本低 無線網路的攻擊的手法 破解加密金鑰 偽冒身份 攻擊其他用戶 攻擊基地台 癱瘓無線網路連線 無線網路釣魚 駭客攻擊的示範-破解加密金鑰+攻擊基地台 破解WEP加密金鑰 網卡驅動成監聽模式 啟動airodump 擷取封包 使用airepaly 注入arp封包, 增加IV值 使用aircrack 破解WEP Key 駭客攻擊的示範-破解加密金鑰+攻擊基地台(續) 攻擊基地台 防範無線駭客攻擊 啟用802.11i（WPA2） 搭配RADIUS作802.1x驗證 隱藏SSID 使用偵測軟體（AirDefense） 政策制定 不定期稽核 增加網路安全的神兵利器 Foundstone Websense GFI WebMonitor Snort AirDefense Enterprise（Mobile） Cacti Foundstone 的佈署 Foundstone的優點 一般弱點掃描工具（如ISS）使用不易，增加使用成本 漏洞與弱點比對數據庫快速 真實反映企業網絡安全問題 協助IT人員追踪問題修復進度與安全變化 Foundstone的功能 WebGUI圖形化接口 使用者賬號管理 工作排程 資產分類與管理 早期預警系統 量化安全係數 自定義安全係數 主機系統分佈狀況 網絡服務分佈狀況 操作系統分佈狀況 網絡安全架構圖 漏洞分佈狀況/修補建議 Foundstone的效益 有限的 IT 資源保護商業關鍵的資產 有效阻擋來自外部與內部的威脅 節省在評估遵循狀態時的時間與資源 遵循法規規範 沙賓法案 (Sarbanes-Oxley)、聯邦資訊安全管理法 (FISMA)、付款卡產業 (PCI)、ISO 17799/BS 7799 與健康保險流通與責任法案 (HIPAA) Foundstone 的介面 GFI WebMonitor的佈署 GFI WebMonitor的功能 即時監控員工連線Internet的狀態 檔案下載即時掃毒 下載檔案控管及頻寬流量控管 釣魚網站的偵測 GFI WebMonitor的介面 防禦系統簡介 IDS (Intrusion detection system，入侵偵測系統)，它是一種自動偵測封包進出、比對入侵型態、預防入侵攻擊，並能適時提出警告的防禦系統，藉此能提早得知駭客入侵之方式，以提供最先進的網路防護。 IPS (Intrusion detection system，入侵防禦系統)，兼具入侵偵測與入侵防禦的功能，可以採用「監測模式」當單純的IDS ，或者可以採用In-line mode，預先對入侵活動和攻擊性流量進行攔截。 防禦系統的種類 網路型Network-Based NIDS 有一台專門的伺服器對網路中的異常行為進行監控，所以NIDS對系統效率的影響比較小。 主機型Host-Based HIDS 即基於主機的IDS，提供對單個主機的監控及保護。 IDS VS Firewall System Network-Based IDS NIDS大多是監控一個區域網路，常常部署在網路入口，以監聽流過的每個封包。 當偵測到有駭客行為時，防衛系統可採多種反應方式應對，各家產品有不同的應對方式，不過，通常都有提供通知管理者、切斷連線或記錄入侵資料作為法院的證據等。 Network-Based IDS的優點 成本較低 可偵測到主機型式入侵偵測系統偵測不到的 可偵測到未成功或惡意的入侵攻擊 與作業系統無關 Network-Based IDS的缺點 若網路的型態過大，NIDS往往會lost掉許多封包，無法完全監控網路上所有流通的封包數。 若要擷取大型網路上的流量並分析，往往需要更有效率的CPU處理速度，以及更大的記憶體空間。 Snort簡介 Snort採用開放原始碼(open source) 。 Snort使用標準的 libpcap函式庫對網路封包進行擷取，並對封包進行通訊協定(protocol)的分析。