1.14k likes | 1.3k Vues
區域網路安全控管解決方案. 鳳榮地區農會 陳坤男 Office:03-8761166 #27 Mobile:0939512653 E-mail:m9121039@gmail.com 100 年 7 月 25 日 台東大學. 自我介紹. 東華大學資工所碩士 (2003) 國防部資通安全部門 ( 約 12 年 ) 主管 (2.5 年 ) 250 user 資訊機房 + 通訊總機 SanDiego 種子教官 鳳榮地區農會 (2010) 網路商城 網頁管理 網路管理. 大綱. 前言 區域網路概論 資安新聞回顧 網路安全控管措施 免費工具應用
E N D
區域網路安全控管解決方案 鳳榮地區農會 陳坤男 Office:03-8761166 #27 Mobile:0939512653 E-mail:m9121039@gmail.com 100年7月25日 台東大學
自我介紹 • 東華大學資工所碩士(2003) • 國防部資通安全部門(約12年)主管(2.5年) • 250 user 資訊機房+通訊總機 • SanDiego 種子教官 • 鳳榮地區農會(2010) • 網路商城 • 網頁管理 • 網路管理
大綱 • 前言 • 區域網路概論 • 資安新聞回顧 • 網路安全控管措施 • 免費工具應用 • 校園資安管理原則 • 討論時間
網路的魅力 • 是一個虛擬世界 --- cyber space • 撫慰我孤寂的心靈 • 實現我的夢想: 詩人、作家、e商人 • 展現我的實力 • 實現地球村的理想 • 7-11、俗擱大碗 • 地球上有的,這裡也都有
通訊埠(port) • 作業系統都提供多工環境,允許多個應用程式同時執行,作業系統裏面,每一個程式的起止為一個程序(Process)。 • 在傳輸層協定裡面,為程式產生的程序分配一個通訊埠號(Port),其值為一個正整數,從0至65535。 • 當一個應用程式起來的時候,傳輸層協定就為該需要建立網路連線的程序(Process)建立一個埠號。
埠號的編號原則 • 主要分成三大類: • 常用埠(Well Known Ports):從0到1023 • 註冊埠(Registered Ports):從1024到49151。此區段留給各軟體公司向IANA註冊。 • 動態和/或私有埠(Dynamic and/or Private Ports):從49152到65535。隨機指定給應用程式。
埠號的編號原則 • 常用埠(Well Known Ports):從0到1023 • 註冊埠(Registered Ports):從1024到49151。此區段留給各軟體公司向IANA註冊。 • 動態和/或私有埠(Dynamic and/or Private Ports):從49152到65535。隨機指定給應用程式。
使用 more 指令觀看services檔案,查詢已使用的埠號
IP Address • IP Address = Network ID + Host ID • 網路位址(Network ID)用來識別所屬的網路 • 主機位址(Host ID)用來識別網路上個別裝置
IP class(IP位址等級) • Class A • Class B • Class C
特殊的IP位址 • 主機位址全為“ 0“用來代表「這個網路」或 「某個網段」 • 主機位址全為“ 1“用來代表廣播 IP • 主機位址與主機位址全為“ 1“,代表 Local 的廣播 • “ 127.0.0.1“ 為一個 「Loopback」的 IP • 在設計網路的過程中三個等級都有保留 IP 以供這類網路自行使用(在下一頁)
私人 IP 位址 • Class A • 10.0.0.0 ~ 10.255.255.255 • Class B • 172.16.0.0 ~ 172.31.255.255 • Class C • 192.168.0.0 ~ 192.168.255.255
網路上的活動 • 交易: Yahoo拍賣, 博客來, Amazon, 網路銀行.. • 下載影音: MP3, MOD, Youtube … • 打電話:VoIP, Skype .. • 交友:聊天室, love matching • 電子情書:e-mail, 即時傳訊 • 圖片:衛星空照, 湖光山色, 帥哥美女 • 資料搜尋:Google, Yahoo • 社群網路:Facebook • 網誌(Blog), 網路遊戲 • 網路學習(Network Learning)
我要捉狂了 • 家中小朋友魂不守舍 • 網路不通 ,一切事情都不能辦了 • 垃圾郵件真是惱人,而且還誤刪 • 被恐嚇勒索、仙人跳 • 被冒用做了見不得人的事 • 網頁不停的亂跳、無法開機 • 銀行存款被盜領 • 硬碟資料毀了
碰撞領域(collision domain) • 網路設備在相同區域網路的範疇內,能自由傳送資料且會發生碰撞事件所涵蓋的最大範圍 • 碰撞領域愈大、涵蓋的主機數愈多,則發生碰撞的機率就愈高 • 碰撞的領域所涵蓋的主機數愈少,網路的使用效率將隨碰撞機率的降低而提升
集線器與橋接器或交換器之不同 • 集線器(Hub)並不會篩檢封包,它只是扮演在A、B區段間轉送封包的功能而已,故所有連接設備同屬一個碰撞領域 • 橋接器與交換器均會維護一張硬體位址對映表(MAC Address Table),其中會記錄哪個網路位址(MAC address)位於哪一區段的資料,故能分割成兩個獨立的碰撞領域
切割獨立碰撞領域的好處 • 當目的位址在A區的資料封包由A區往B區傳送時,橋接器或交換器依據對映表會判斷此封包為多餘的傳送封包,因而將之丟棄 • A、B兩區因橋接器或交換器而分割成兩個獨立的碰撞領域,當A區內部有主機傳送資料給相同碰撞領域(A區)的主機時,B區也能同時傳送資料而毋需等待A區的資料傳完後再傳,網路的等待時間因而減少
橋接器與交換器的優點 • 具備封包過濾之功能,能將一個大型碰撞領域分割成數個較小且網路執行效能較高之碰撞領域 • 規劃網路時,適度的在不同部門間、或主機數較多的網段中,以交換器取代集線器作為連接的網路設備,通常能提升整體的執行效能
網路廣播 • 發生在要將資訊傳送給所有的主機,或為了找尋某一主機的位址,故指定所有同網段的主機均需接受此框架(frame)的一種大量傳播行為 • 由於指定所有網路設備均須接收,故此種封包好像大水泛濫(Flooding)一樣,會淹沒所有網段上的設備,直到碰上能隔離廣播傳輸的網路設備(如路由器),才會將此框架丟棄
橋接器與交換器無法隔離廣播 • 雖然橋接器與交換器能過濾OSI第二層的MAC位址傳播,但碰上廣播就發揮不了作用 • 圖7-3所示A、B兩區間的資料傳送,雖然為兩個獨立的碰撞領域,但卻同位於相同的廣播領域中
資訊安全新聞回顧 資料來源[PPT]資訊安全案例探討
99年1-10月電腦網路犯罪案,犯罪方式為詐欺案7,463件(占49.37%)為最多99年1-10月電腦網路犯罪案,犯罪方式為詐欺案7,463件(占49.37%)為最多 • 99年1-10月電腦網路犯罪發生數15,115件,較上年同期減少7,608件(-33.48%),破獲率77.74%,較上年同期減少6.83個百分點,呈現發生數減少、破獲率減少情形,惟發生數減少幅度大於破獲率。 • 99年1-10月電腦網路犯罪發生數主要為詐欺7,463件最多、妨害電腦使用3,079件次之、侵害智慧財產權2 ,251件居第三。 • 資料來源:內政部警政署警政統計通報公布日期:2010年12月15日
駭客為何要入侵? • 根據安全網站Zone-H.org 統計,電腦駭客入侵的原因多數只是為了好玩。 • 資料來源:Zone H
美FTC警告:近百組織的資料經P2P外洩(網路安全)美FTC警告:近百組織的資料經P2P外洩(網路安全) • 發生日期:2010/9/1案例情境:美國聯邦貿易委員會(FTC)2010年2月份時發現,將近100個組織的內部資料已外洩,可透過peer-to-peer(P2P)檔案分享網路取得。 • 醫院、政府機關、製藥公司和金融機構等企業因為使用P2P網路分享檔案,而造成資料外洩,已促使美國國會議員舉行聽證會調查此事,並引起資安專家質疑P2P技術能否與網路安全並行不悖。
防範措施: • 禁止同仁於公務電腦上安裝P2P軟體。違反規定導致資料外洩,追究責任。 • 工作帶回家裡作業,應確保家裡電腦未裝有P2P分享軟體或不予開啟該軟體。 • 要求在家工作處理後資料,於家中電腦內全數刪除,避免機密資料在網路上曝光。 • 加強稽核公務電腦是否安裝P2P等禁止使用之軟體。 • 加強人員資安教育訓練。 • 管理人員透過資安設備進行相關管控。
社群網站攻擊手法剖析 個資保護怎麼做? 談微網誌神奇的140字限制
防範措施 • 基本的網頁和電子郵件過濾措施,時時刻刻記得「並非所有網頁都是安全的」,對假冒知名社群網站名義的假訊息必須有所警覺。 • 透露個資前請三思建立「任何訊息發布到網路上都是公開的」的基本認知,避免在社群網站的個人訊息或聊天室分享敏感的業務資訊,因為一旦帳戶被入侵就很容易導致資料洩漏。 • 了解社交網站安全設定功能,詳細了解社群網站所提供的安全設定,並運用這些設定進行基本防護,同時在連結不同社群網站的時候,開啟使用安全連結(https)的選項,透過加密達到多一層的保護效果。
休息...是為了偷更多資料 ! • 專家表示,駭客是有「休耕期」的,一陣子的資安事件平息很可能只是攻擊者在「休耕」,等待更充沛的「養份」。並且駭客在進行竊取資料的時候並不會竊取當下的資料,而是前一、兩個月的個資,就算被發現資料已在外洩,只要沒被找到進入的漏洞途徑,還可以持續的偷資料,供給詐騙集團無虞。 • 吳依恂 -05/23/2011
韓國農協銀行遭入侵 委外廠商員工筆電惹的禍 • 2011/04月的攻擊讓韓國農業協同銀行的服務停擺數天之久,約3千萬用戶受到影響,同時有部份信用卡客戶資料遭到刪除。 • 檢方在該台電腦裡發現了81個被加密後的惡意程式,且被安裝鍵盤側錄程式,駭客藉此取得農協伺服主機的帳號密碼,發動兩波攻擊持續40分鐘之久,造成銀行將近半數伺服器停擺。 • 張維君整理 -05/16/2011
台灣校園網路機器 6成感染過殭屍病毒 • 台灣殭屍網路數量之高,已成另類台灣奇蹟。在全球國家受殭屍網路感染率的排名中,台灣佔8%、名列第三,僅次於美國與德國,國家高速網路與計算中心副研究員蔡一郎表示,台灣校園網路電腦中有60%曾經感染過殭屍病毒,殭屍網路攻擊目的以搜集資料為主,尤其是放在網頁裡的預設資訊(cookie)。 • 資訊資產清查及電腦管理制度 • 廖珮君 -04/25/2011
調查:26%被裁員工會竊取公司資料 • Cyber-Ark認為這是因為企業保護資料的觀念落後,有近6成的受訪者表示要取走公司機密資料並非難事,最常見的媒介就是行動儲存裝置,居次的是郵件,實體文件名列第三。 資料來源:Cyber-Ark「全球經濟衰退對工作倫理的影響」研究報告公布日期:2009年11月23日
假冒Facebook 要求重新登入通知信 預覽就中毒,趨勢科技表示員工個人信箱 恐成企業目標攻擊的管道 • 附件:信件內容主題:你曾在其他新地點登入過Facebook?內容:親愛的Facebook用戶,你的Facebook帳戶最近出現了從你未曾使用過的電腦,行動裝置或從一個陌生的地點登入的紀錄,為了保護你的帳號安全,在你有機會檢視這項紀錄,並未有人在無授權狀況下侵入你的帳號之前,我們會暫時鎖住你的帳號。你是否曾在其他地方登入過Facebook?如果這不是你的名字,請由你的個人電腦登入Facebook和並遵照所提供的指示以協助管理你的用戶資訊。如果這不是你的帳號,請不要擔心。重新登入後即可回到你的帳號。For more information, visit Our Help Center here:... {連結}謝謝,Facebook Security Team • 【2011年5月17日─台北訊】
美花旗洩個資 20萬人受害 • 在花旗的聲明稿中指出,駭客入侵花旗信用卡的網路帳戶(Citi Account Online),該處存有持卡人基本資料,包括姓名、帳號、E-mail等,粗估約有1%(20萬筆)的客戶資料被駭,其他個資因存放資料庫不同,未被盜取,另外,花旗強調駭客攻擊僅限北美地區,其他地區的持卡人資料安全無虞。 • 作者:廖珮君 -06/13/2011
學生網路非法下載 學校將連坐 • 學生利用學術網路非法下載軟體太氾濫,教育部新學期將積極取締了!教育部已去函各大專院校,要求學校電算中心全面管制和清查學生非法行為;若學校坐視不管,未來學校對學生下載非法軟體也可能要負連帶責任。 • 經濟部最新調查發現,去年國內音樂CD盜版率高達四成,影音VCD及DVD盜版率也有47%;非法下載網路音樂與電影的情況更是嚴重,未經授權或購買就持有網路音樂的比率高達84%,持有網路電影的比率更高達近九成。 • 【2007/02/08 聯合報】
大學生駭進教授電腦 竄改成績遭函送法辦 • 某國立大學黃姓學生,因缺課、缺考次數太多,教授點名要將他當掉;這名學生竟突發奇想,扮駭客進教授的電腦網站,竄改自己的成績;邱姓教授發現後向警方報案,警方查出黃某涉有重嫌,依妨害電腦使用罪嫌將他函送法辦。 • 2011-06-30 中國時報 黃文博/台南報導
懶人密碼輕鬆猜網路銀行不設防 • 網路大盜侵入十多家銀行百餘企業 盜走四企業百餘萬存款 他曾四度入獄 越抓技術越好 胡可之網路盜領集團利用網路銀行及電話語音系統的破綻,以「非常駭客」手法入侵,破解客戶密碼、帳號並盜領存款。 • 利用網路購物漏洞,偽造郵局劃撥匯款收據及銀行匯款單等,冒名上網訂購貨品再轉賣 牟利。 • 資料來源
警察筆錄P2P外洩 • 警察機關安裝P2P分享軟體Foxy,導致許多詳載個人資料的筆錄成為公共分享檔案,成為近期重要資安外洩事件 • 公部門資安政策的落實與管控,仍有很大努力的空間 • 一般人以關鍵字「筆錄」搜尋,就可以查詢到詳載許多個人資訊的報案筆錄,已經成為公共分享的檔案 自由電子報