網路安全

1. 網路安全 台大計資中心 李美雯 Email : mli@ccms.ntu.edu.tw Phone : 3366-5010

2. 大 綱 • Mail SPAM • Beagle Worm • 個人電腦保全要領 • 全球20大安全漏洞 • 台大資通安全服務小組網頁

3. Mail SPAM • Mail spam • 將一些商業廣告透過電子郵件寄發給很多人 • spam在internet上很不受歡迎 • 寄件者利用其它單位的 mail server 作為 relay 送信

4. Mail SPAM(Cont.) • 預防方法 • Unix System • 請升級send mail版本至 8.9 以上 • Microsoft Exchange • 請廠商更新到最新版本。 • 並將防止SPAM的設定設上去。 • 必須設限某些IP才可透過該server轉信

5. Mail SPAM(Cont.) • Open Proxy • Proxy未限定服務對象的範圍，攻擊者會利用這些proxy server當中繼站，建立smtp或telnet服務，以寄發大量信或攻擊內部網路。 • 被植入後門程式 • 主機被植入後門程式，啟動SMTP服務寄發大量廣告信。

6. Beagle Worm • 行為分析 • 偽裝寄件者為Administration, Staff, support, management…. • 以Dear user of e-mail server “Edu.tw”開頭 • 使用自身的SMTP引擎透過電子郵件傳播。 • 附件為隨機命名的 .exe 檔 (包含在 .zip 檔中) 或 .pif 檔。 此 zip 檔設有密碼保護。

7. Beagle Worm(Cont.) • 行為分析(Cont.) • 在TCP port 2745開啟後門程式。 • 將自身安裝到名稱含有shar的資料夾中，透過檔案共享散播出去，例如Kazaa及iMesh。 • 中毒者的郵件信箱被更改設定，使用者因無法正常收發信，而誤以為自己因不當使用網路資源而被設限。

8. Beagle Worm(Cont.) • 變種繁衍快速 • 3/1W32.Beagle.A@mm , W32.Beagle.B@mm • 3/2 W32.Beagle.C@mm , W32.Beagle.E@mm • 3/3 W32.Beagle.F@mm , W32.Beagle.G@mm , W32.Beagle.H@mm , W32.Beagle.I@mm • 3/4 W32.Beagle.J@mm , W32.Beagle.K@mm

9. Beagle Worm(Cont.) • 解決方案 • 下載清除程式 • http://securityresponse.symantec.com/avcenter/FxBeagle.exe • 檢查郵件設定 • 郵件伺服器與寄件者帳號

10. Beagle Worm(Cont.) • 建議方案 • 宣導使用者安裝防毒軟體，經常更新病毒碼。 • 教育使用者勿輕易開啟郵件的附加檔。 • 請使用者注意病毒通報。

11. 個人電腦保全要領 • 安裝台大簽訂的全校版防毒軟體 • http://download.cc.ntu.edu.tw • 定期更新Windows修正程式 • 請利用Windows Update，或直接到微軟網站更新。 • 注意系統漏洞與病毒的最新消息 • 台大資通安全服務小組 • http://cert.ntu.edu.tw

12. 個人電腦保全要領(cont.) • 主機必須設定帳號與密碼 • 將系統預設的Administrator帳號更改為其他名稱，以防駭客輕易破解密碼。密碼長度至少8個字元以上，其間夾雜數字為佳。 • 設定Windows檔案共享的權限 • 盡量不開啟檔案共享。如果一定要共用，也必須做到檢測登入者的帳號與密碼。

13. 個人電腦保全要領(cont.) • 不隨意開啟郵件的附加檔，並且關閉郵件預覽功能。 • 不要以郵件寄件者名稱判斷郵件的安全性 • 病毒郵件喜好假造寄件者，查看病毒信的真正來源，可以從郵件的mail header看出病毒信來源的IP address。

14. 個人電腦保全要領(cont.) • 不安裝來歷不明有版權的軟體 • 安裝該軟體後，很可能也被植入了後門程式。 • 切勿安裝不信任網站（無公信力網站）的憑證 • 安裝了該網站提供的憑證，很可能也被植入了後門程式。

15. 個人電腦保全要領(cont.) • 檢視主機是否增加不認識的使用者帳號 • 區域連線圖示(icon)無緣無故閃爍並且網路連線速度降低: • 檢查是否有不正常的process正在執行。或者自己正在發送病毒信。

16. 個人電腦保全要領(cont.) • 檢視是否被植入後門程式 • 利用free tool檢查是否有不正常的process正在執行 • Active Ports • http://www.protect-me.com/freeware.html • Fport • http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm

17. 個人電腦保全要領(cont.) • 養成電腦開機好習慣(病毒發作期間的建議) • 先不要上網收信或瀏覽，先更新病毒碼及搜尋引擎，其次是自動連結到微軟網站更新最新程式後，重新開機一次，進行掃瞄。 • 定期做好個人資料備份，如果不幸因中毒造成資料毀損還可補救。

18. 個人電腦保全要領(cont.) • 妥善管理伺服器 • 關閉不需要的服務 • 更新server的修正程式 • 如果架設SQL server，IIS(Internet Information Services)或其他server，必須為該service另外安裝修正程式 • SMTP Service • 必須設限某些IP才可透過該server轉信

19. XP更新序號的方法 • [開始]→[執行]→[RegEdit]，按下確定 • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WPAEvents • 將[OOBETimer]的最後兩個數值[ 24 97 ] 刪除，按下 [確定]，關閉regedit程式。 • 在[開始]→[執行]，輸入[oobe/msoobe /a]，按下[確定]，進入[啟動Windows]→選擇第2項 [是，我想打電話給客戶服務代表來啟用Windows]，按下[確定]，進入下一個視窗。 • 選擇 [變更產品金鑰] • 修改產品金鑰，改成微軟授權的序號 • 下一個畫面出現時，選擇 [稍後再提醒我] • 重新啟動電腦

20. 全球20大安全漏洞 • SANS/FBI的網址是http://www.sans.org/top20/

21. Top Vulnerabilities to Windows Systems • W1 Internet Information Services (IIS) • W2 Microsoft SQL Server (MSSQL) • W3 Windows Authentication • W4 Internet Explorer (IE) • W5 Windows Remote Access Services • W6 Microsoft Data Access Components (MDAC) • W7 Windows Scripting Host (WSH) • W8 Microsoft Outlook and Outlook Express • W9 Windows Peer to Peer File Sharing (P2P) • W10 Simple Network Management Protocol (SNMP)

22. Top Vulnerabilities to Unix Systems • U1 BIND Domain Name System • U2 Remote Procedure Calls (RPC) • U3 Apache Web Server • U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords • U5 Clear Text Services • U6 Sendmail • U7 Simple Network Management Protocol (SNMP) • U8 Secure Shell (SSH) • U9 Misconfiguration of Enterprise Services NIS/NFS • U10 Open Secure Sockets Layer (SSL)

23. 二十項相關國際認定重要弱點 • http://www.icst.org.tw/group/application/ncert/weak.php

24. 台大資通安全服務小組網頁 • 網址 : http://cert.ntu.edu.tw • 內容介紹: • 最新消息 • 違規主機名單 • 網安精華區 • 下載專區 • 相關文件