1 / 20

密碼學與網路安全 第 18 章 入侵者

密碼學與網路安全 第 18 章 入侵者. 入侵者. 被駭客擅自闖入是網路系統重要的安全問題,不論駭客是懷有敵意或是無意 入侵可能藉由網路,或是從本機進入 入侵者可以分成三種等級: 偽裝者 masquerader ( 突破機制取得合法使用者帳戶之人 ) 濫權者 misfeasor ( 合法使用者帳戶使用超過自己權限的資源 ) 秘密客 clandestine user ( 奪取系統管理員而加以利用者 ). 入侵者. 入侵者威脅已經充分地公佈於世 1986-1987 "Wily Hacker"著名事件

adara
Télécharger la présentation

密碼學與網路安全 第 18 章 入侵者

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 密碼學與網路安全第18章 入侵者

  2. 入侵者 • 被駭客擅自闖入是網路系統重要的安全問題,不論駭客是懷有敵意或是無意 • 入侵可能藉由網路,或是從本機進入 • 入侵者可以分成三種等級: • 偽裝者masquerader (突破機制取得合法使用者帳戶之人) • 濫權者misfeasor (合法使用者帳戶使用超過自己權限的資源) • 秘密客clandestine user (奪取系統管理員而加以利用者)

  3. 入侵者 • 入侵者威脅已經充分地公佈於世 • 1986-1987 "Wily Hacker"著名事件 • 明顯升高的CERT(Computer Emergency Response Team)統計數據 • 許多看似無害的入侵,但依然耗費資源 • 許多入侵還會植入其他攻擊程式

  4. 入侵技巧 • 入侵者的目標是為了得到存取系統的權力,或是擴大在系統上所能取得的存取權限 • 取得通行碼(password)經常是入侵的目的 • 保護通行碼檔的方法 • 單向加密 • 存取控制 • 系統管理者應該只取予使用者適當的權限

  5. 猜測通行碼 • 最常見的攻擊方式之一 • 常見的方式包括: • 嘗試以標準帳戶的預設通行碼登入系統 • 用窮舉法嘗試所有一到三個字元的短通行碼 • 試著使用系統的線上字典來猜通行碼 • 收集使用者的資訊,例如全名、配偶和小孩的名字、與嗜好有關的書籍等等 • 嘗試使用者的各種號碼 • 嘗試這區域所有合法的汽車牌照號碼

  6. 擷取通行碼 • 其他攻擊的方式還包括擷取通行碼 • 監看使用者輸入的通行碼 • 利用木馬程式蒐集通行碼(如一般使用者請系統管理員玩內含木馬的遊戲使此遊戲有權存取password檔並將其複製到一般使用者的目錄) • 監看不安全的登入(例如telnet、FTP等)

  7. 入侵偵測 • 最有效的入侵預防,也有失效的時候 • 系統防禦的第二道防線就是入侵偵測: • 若能快速偵測到入侵,就能阻擋入侵 • 有效的入侵偵測是威懾入侵的力量 • 收集大量的資訊以提高安全性 • 假設入侵者的行為與合法使用者不同;但不能期待「入侵者的攻擊行動」和「經過授權的資源使用行為」之間會有精確的不同

  8. 偵測入侵的方法 • 異常統計偵測法: 一段時間內收集合法使用者資料而產生檢驗規則 • 偵測門檻(事件發生頻率) • 以個人檔案為基礎 • 規則偵測法(定義規則) • 偵測異常現象(比對往常與目前之差異) • 侵入辨識法(Penetration identification)建構專家系統找可疑行為。

  9. 稽核記錄(Audit Record) • 稽核記錄是入侵偵測的基本工具 • 系統原始的稽核記錄 • 多使用者作業系統內建的功能 • 優點:不需額外安裝軟體即可使用 • 缺點:稽核記錄可能沒有包含所需的資訊,或者沒有以方便、合宜的形式記錄資訊 • 具偵測特性的稽核記錄 • 可以只包含入侵偵測系統所需資訊的稽核記錄 • 需要額外的負擔

  10. 異常統計偵測法 • 偵測門檻 • 在特定時間內計算特殊事件類別出現的數量 • 如果總數大於合理數量,則假定為入侵 • 只能算是簡陋、沒有效率的檢驗器 • 以個人檔案為基礎 • 描述使用者或使用者的相關群組的過去行為 • 藉此偵測有意義的異常現象 • 個人檔案通常是由一組參數構成

  11. 分析稽核記錄(略) • 統計方法的基礎 • 分析記錄,並以公制單位量測使用者行為 • 計數器、估計範圍、間隔計時器、資源 • 執行各種測試,用來決定現在的行為是否與可接受的範圍一致 • 平均值與標準差、綜合評量、Markov程序、時間序列、操作行為 • 最大的優點是不需事先具備安全漏洞的知識

  12. 蜜罐(Honeypots) • 吸引攻擊者的誘捕系統: • 轉移而別讓攻擊者存取重要的系統 • 收集攻擊者的活動資訊 • 誘使攻擊者在系統停留夠長的時間,以便管理者能有所行動 • 蜜罐內都是偽造的資訊 • 任何存取蜜罐的行為都是可疑的 • 可以是單一或由數個網路系統組成蜜罐

  13. 通行碼管理 • 通行碼系統是防禦入侵者的第一道防線 • 使用者同時以: • 登入名稱,判斷使用者的權限 • 通行碼,認證使用者 • 通行碼經常會先加密再儲存: • UNIX系統使用數個DES加密通行碼 • 許多較新的系統利用加密雜湊函數加密通行碼

  14. 管理通行碼 • 使用通行碼需要正確的策略,並教育使用者(很難) • 確保每個帳號都有預設通行碼 • 確保使用者已經更改預設通行碼 • 保護通行碼檔不被任意存取 • 強制使用者設定好通行碼的規則: • 至少8個字元 • 必須混合使用大小寫、數字及標點符號 • 禁止以常見字當作通行碼

  15. 管理通行碼 • 定期在系統上執行通行碼破解程式來找出容易被推測的通行碼 • 強制使用者定期更改通行碼 • 監視系統失敗的登入,若在短時間內發生較多的登入失敗,應該暫時鎖定該帳號 • 應教育使用者正確的通行碼觀念,並給予協助 • 應該在「使用者接受度」與「通行碼強度」之間找到平衡點

  16. 事先審核通行碼 • 事先審核通行碼是最能強化通行碼安全的方式 • 允許使用者選擇自己的通行碼 • 但系統會先審核通行碼是否合用: • 設定簡單的通行碼設定規則 • 禁止使用常見字作為通行碼 • 以演算技術保護不安全的通行碼(Markov模組、Bloom過濾器)

  17. 總結 • 入侵的問題 • 入侵偵測 • 通行碼管理

More Related