1 / 37

第三章 安全資訊管理

教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心. 第三章 安全資訊管理. 3.1 Web Security 3.2 VoIP Security 3.3 P2P Security.

rory
Télécharger la présentation

第三章 安全資訊管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第三章 安全資訊管理

  2. 3.1 Web Security 3.2 VoIP Security 3.3 P2P Security 很多企業會在公司架設屬於自己的伺服器,除了讓外界可以透過website得知企業的相關訊息,也可以提供網路交易的服務等。但在架設web server或是開發web application時,需要防範有心人士利用web server或web application的相關安全漏洞入侵企業網路;此外,企業內部的使用者在瀏覽Internet上的網頁時,也可能帶進木馬、病毒…等惡意程式,對企業網路的安全造成威脅。 當網路的頻寬加大時,人們可以透過VoIP (Voice over IP) 的技術將聲音透過網際網路做傳送;但是企業網路使用VoIP必需要考慮他人竊聽、盜打及雙方身份識別等的安全性問題。 近幾年P2P (peer to peer)網路應用的興起,讓資料傳播更有效率,但是全球多項P2P熱門軟體如:FOXY、eMule、BT、BitComet..等,皆潛藏高資安風險,除了可能發生侵權問題外,隨著檔案的交換也可能帶入病毒、木馬程式,或是讓外界有機會由企業內部取得重要機密文件,因此企業網路對P2P使用的管理不容忽視。 本章將簡述目前網路上Killer applications: Web、VoIP與P2P的安全問題,並說明該如何防範。 前言 第三章 安全資訊管理

  3. 3.1.1 架設Web server 3.1.2 瀏覽Web site 3.1.3 開發Web Application Web Security可以分成三個部份進行討論: 架設Web server:當我們使用現成的架站軟體進行Web Server架設時,要注意其安全漏洞,本節我們將針對Apache http server與Microsoft的Internet Information Services (IIS)介紹其安全漏洞。 瀏覽Web site:網路的發達帶給人們無限的便利,搜尋網站(yahoo search、google search)的功能也日益強大,人們可利用搜尋網站快速找到其想要的資訊,但在享受便利的同時,也對企業網路的安全性產生危脅,例如:不斷彈出的廣告視窗、誤入釣魚網站、帶有病毒或木馬程式的惡意連結等。 開發Web Application:除了上述二種之外,Web Application所形成的安全漏洞也不容忽視,例如:程式本身的缺陷可能導致非法使用者能夠取得合法使用者之權限或root的管理權限,進而導致機密資料外洩或公司資料被破壞…等。 3.1 Web security 第三章 安全資訊管理

  4. 3.1.1 架設Web server 第三章 安全資訊管理 • Apache 伺服器源自於美國國家超級計算中心(NCSA)Rob McCool 所開發的 NCSA HTTPd 網頁伺服器,在開放原始碼社群的努力下,於 1995 年釋出 Apache 0.6.2版,之後經過不斷改進,2000年提出2.0版,目前最新的版本為2.2.8版。 • Apache伺服器能相容於眾多作業系統,如UNIX、LINUX、Windows等等,為一開放原始碼之網頁伺服器軟體;其發展目標是想提供一個安全、效率高且具擴展性的伺服器,使其能提供HTTP服務。 • Apache 網頁伺服器的漏洞 雖然 Apache 在 1997 年 1 月之後,較少聽到駭客利用Apache的漏洞進行入侵,但如果您主機上執行的 Apache 並非最新版本,還是可能存在漏洞,例如下一頁左圖為Apache官方網站在2002年公告其自行發現的安全漏洞(Chunk Handling Vulnerability),所以管理者還是需藉由適當修補 Apache 漏洞,以避免惡意入侵 者透過 Apache 程式本身的缺陷,來攻陷網頁伺服器。 資料來源: http://httpd.apache.org/

  5. 3.1.1 架設Web server 第三章 安全資訊管理 • Apache官方網站公告的安全漏洞-Chunk Handling Vulnerability (如左圖所示): • Apache web server 可以支援 RFC2616 所描述的 HTTP 1.1 標準中的 chunk-encoded data;但是在處理某些 chunk-encoded HTTP requests 時會產生安全弱點,例如可允許遠端攻擊者執行任意程式碼等。 • 另外,Sun Microsystems在2003年公告了一份文件”Security Sun Alert Archive Reference for Year 2002”,文件內容陳述許多Apache的安全漏洞,其中第38點(Security Vulnerability in the Way Apache Web Servers Handle Data Encoded in Chunks)指出:原本只有存取網頁權限之使用者可以藉由透過此漏洞,要求Apache HTTP server執行任意程式碼,包含修改Web頁面內容、讓Apache server停止提供服務…等惡意程式碼。 • 解決方法:更新apache的版本 資料來源:http://httpd.apache.org/info/security_bulletin_20020617.txt

  6. 3.1.1 架設Web server 第三章 安全資訊管理 • 除了Apache 伺服器本身程式的缺陷會造成安全問題外,Apache伺服器可以動態載入適當「模組」(Module) 以提供網站所需的功能,例如:mod_cgi、mod_proxy等,但有時模組本身程式的缺陷也會影響Apache伺服器的安全。如左圖所示:模組mod_python存在一個 bug,駭客可利用這個bug對Apache伺服器進行阻斷式服務攻擊;建議有安裝mod_python的Apache伺服器其網站管理員要上網下載相關Patch套件,以修正該模組的程式缺陷。 資料來源:https://rhn.redhat.com/errata/RHSA-2004-063.html

  7. 3.1.1 架設Web server 第三章 安全資訊管理 • Apache 網頁伺服器安全相關事項與建議: • 對設定檔定期進行備份,且在每次修改前,必需將相關設定檔先複製一份,避免在更改設定檔後發生錯誤,造成系統長時間無法正常提供服務。 • 定期執行稽核工作,管理者可藉由檢查系統log檔,得知存取網頁的使用者對伺服器做過什麼事。 • 存取權限(Access Rights)的設定:我們一般都是以nobody帳號執行 Apache,在設定nobody帳號的存取權限時要儘可能降低其存取權限值,至少要比root的存取權限值低,這是預防萬一 Apache 伺服器被入侵時,讓攻擊者取得一個低存取權限的帳號 。 • 嚴格規範root帳號的密碼只有管理者知道。 • 符號連結(Symbolic Links):管理者可能為了本身方便而使用符號連結,但是這可能形成安全防衛的漏洞,因為管理這些符號連結是很困難的一件事,管理者可能建立了大量的符號連結,但是日子一久可能就會忘記到底存在有那些符號連結,所以管理者必需定期檢查,關閉掉那些不需要的符號連結。 • 不能輕易洩漏Apache伺服器上相關的安全措施。 • 在httpd.conf 或 .htaccess 目錄的設定檔內加入 options -Indexes,避免伺服器將目錄中完整的檔案名單傳回到存取網頁使用者的端瀏覽器,防止攻擊者透過檔案的名稱獲得伺服器的相關資訊。 • 藉助掃描相關工具偵測 Apache 網頁伺服器的弱點,再設法修補,以維持網頁伺服器的安全。 (如Nkito為一開放原始碼之網頁伺服器掃描軟體,可從下列網址http://www.cirt.net/code/nikto.shtml免費下載該掃描軟體) 參考資料:http://www.cert.org.tw/document/column/show.php?key=83

  8. 3.1.1 架設Web server 第三章 安全資訊管理 Microsoft Internet Information Services (IIS) • 此為Microsoft所開發的Web伺服器,亦是網站管理者常用的web伺服器之一。 IIS除了用HTTP來傳送資訊,網站管理者也可以設定IIS提供File Transfer Protocol(FTP)服務。FTP服務可讓存取網頁的使用者將檔案傳送到您的Web伺服器,或從Web伺服器下載檔案。 • 早期的IIS被發現有以下三個類型的弱點: • 利用非標準的 HTTP請求(Malformed request)進行攻擊: (http://www.microsoft.com/technet/security/bulletin/ms00-086.mspx) Microsoft網站MS00-086中提到IIS 5.0存在“Web Server File Request Parsing “弱點,當惡意使用者要求IIS server執行exe檔時,在exe檔名的後面多加幾行OS指令,IIS server除了執行原本請求的exe檔以外,還會執行附加在檔名後面的OS指令,因此可能會讓惡意使用者透過附加的指令碼取得IIS server的控制權限。 • 緩衝區溢位: (http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx) 許多Internet Server Application Programming Interface (ISAPI)extensions(包含 ASP、HTR、IDQ、和PHP extensions)都含有緩衝區溢位的弱點。 • 範例程式(Sample Applications):(http://technet.microsoft.com/en-us/library/bb687367.aspx) 範例程式不應該直接安裝在Web伺服器作為服務程式來使用,因為有些範例程式允許遠端的使用者可以瀏覽Web伺服器上任意的檔案,例如範例程式newdns.exe可以建立任意檔案,iisadm可以存取administrator密碼 。 Microsoft 強烈建議在IIS server上一定要將範例程式移除,避免因為這個漏洞造成重要的資訊洩露。 資料來源 http://www.iis.net/default.aspx?tabid=1

  9. 3.1.1 架設Web server 第三章 安全資訊管理 • 左圖為  Microsoft在 2007年發佈有關 Internet Information Services的弱點 - 允許遠端執行程式碼(Remote Code Execution) • 漏洞概述: Microsoft Internet Information Services存有允許遠端執行程式碼的弱點,攻擊者藉由傳送蓄意製作的URL要求(crafted URL requests)給IIS伺服器,以取得IIS伺服器的完整控制權。 • 解決方案:執行修補程式 資料來源:http://www.microsoft.com/technet/security/Bulletin/MS07-041.mspx

  10. 3.1.1 架設Web server 第三章 安全資訊管理 IIS網頁伺服器安全相關事項與建議: 參考資料來源: http://www.cert.org.tw/service/VulDB/sans_group.php?group=sans&key=iis • 隨時上網下載且執行最新的修補程式 http://www.microsoft.com/downloads/render.aspx?displaylang=en&content=updateservices http://technet.microsoft.com/en-us/wsus/default.aspx • 使用網路安全檢查工具,協助早期發現系統弱點。 http://www.microsoft.com/technet/security/tools/default.mspx http://www.microsoft.com/technet/security/tools/hfnetchk.asp • 移除範例程式 檢查下列路徑%wwwroot%/scripts,確認沒有範例程式存在該目錄下。 • 移除不必要的 ISAPI Extension 可使用 IIS 管理員,或者是微軟發布的 IIS Lockdown 工具來移除。 . http://www.microsoft.com/technet/security/tools/locktool.mspx • 安裝過濾 HTTP 請求的工具 安裝過濾工具,以協助IIS伺服器在處理HTTP請求之前,先檢查並且阻擋過濾惡意的HTTP 請求,如左圖所示,微軟有提供一URLScan Security Tool,下載網址如下: http://www.microsoft.com/technet/security/tools/urlscan.asp 資料來源: http://www.microsoft.com/technet/security/tools/urlscan.mspx

  11. 3.1.2 瀏覽Web site 第三章 安全資訊管理 • 企業網路的使用者在瀏覽Web sites時,也可能會對企業網路的安全性產生危脅,例如:瀏覽器本身的漏洞、瀏覽帶有病毒或木馬程式的惡意網頁等。 • 左圖所示為Microsoft在2006年公告其Internet Explorer瀏覽器的漏洞-Vulnerability in Vector Markup Language Could Allow Remote Code Execution • 內容說明:有心人士可利用未修補的 Internet Explorer 瀏覽器VML (Vector Markup Language)漏洞,在網際網路上進行零時差攻擊,讓使用者在瀏覽網頁及開啟郵件時受到攻擊,並有可能遭到植入木馬程式。 • 所有使用微軟Internet Explorer 瀏覽器的使用者皆可能受到影響。 • 建議措施: • 請至微軟網站或利用 Windows Update抓取更新程式,並進行安裝。 • 建議使用者若接到來路不明之電子郵件,請勿任意開啟。 參考資料: http://www.microsoft.com/technet/security/Bulletin/MS06-055.mspx

  12. 3.1.2 瀏覽Web site 第三章 安全資訊管理 • 在Web Security的問題日益嚴重的情況下,使用者在瀏覽網頁時,常遇到的安全性問題大約有: • 廣告視窗程式 • 誤入釣魚網站 • 帶有病毒或木馬程式的惡意連結 • 影響 • 輕則一直彈出廣告視窗 • 重則需重灌系統或造成企業機密資料外洩 • 建議 • 勿點來路不明之連結 • 勿瀏覽來路不明之網站 • 修補作業系統及瀏覽器之漏洞 • 安裝防止惡意程式、木馬、病毒等相關反制軟體

  13. 3.1.2 瀏覽Web site 第三章 安全資訊管理 • 廣告視窗(Adware) • 在2001~2004年最常見,當使用者在瀏覽網頁時,會自動彈出廣告視窗,或是當使用者點擊連結時,彈出類似「您是否確定要瀏覽此頁面」的詢問視窗,使用者按下確定後,便在使用者的主機上安裝Adware程式,之後使用者關掉瀏覽器,視窗還是會不定時自動彈出。 • 解決辦法: • 現今各家的瀏覽器都會附上防止自動彈出視窗的功能,之後Yahoo toolbar、Google toolbar等,也都有支援防止自動彈出視窗的功能,只有經過使用者允許才會彈出視窗。 • 然而除此之外,使用者的主機應該要裝設可以防止Adware的防毒軟體或程式,並經常更新特徵碼,以防不慎被植入Adware。 資料來源:http://www.zdnet.com.tw/news/software

  14. 3.1.2 瀏覽Web site 第三章 安全資訊管理 • 誤入釣魚網站 • 最近幾年,除了常見的詐騙電話之外,也常常出現釣魚網站來獲取使用者之帳號密碼或個人資料。 • 有些不法人士,會為自己私設的釣魚網站申請一組很類似真實正常網站的domain name,如左圖所示,當使用者在keyin網址www.landbank.com.tw,若打錯便有可能進入釣魚網站。 • 另外有一種詐騙情況如下:若使用者在某銀行有開設帳戶,並且使用網路銀行之服務,詐騙集團利用email將釣魚網站的link傳送給使用者,故意將link做的像真實網站的link一樣,使用者點進去後頁面也相同,讓使用者以自己的帳號密碼進行登入,藉此取得使用者的帳號密碼,之後詐騙集團再用此組帳號密碼登入到該銀行。 資料來源:http://www.itis.tw/node/1545

  15. 帶有病毒或木馬程式的惡意連結 網頁上帶有病毒或木馬程式的惡意連結最近有了新的名字,叫做網站掛馬,與釣魚網站不同的是釣魚網站通常是設置一個以假亂真的網站,來欺騙網站瀏覽者上當;網頁掛馬則由有心人士自行設立一個網站,以各種方式吸引民眾瀏覽,再讓網站瀏覽者不知不覺點擊了惡意連結;也有駭客藉由網站伺服器上軟體的漏洞或弱點,先入侵一個正常的網站(如Yahoo網站),利用瀏覽者對於正常網站的信任感,讓瀏覽者在瀏覽正常網站的網頁過程中,不知不覺將病毒或木馬程式植入網站瀏覽者的主機。 阻止惡意連結 目前搜尋引擎Google就對潛藏惡意程式的網站標示警語,提醒網友不要進入。若使用搜尋引擎Google找資料時,有些搜尋結果所列出的網站下面,會出現「這個網站可能會損害您的電腦」,這些警告信息是由Google的「阻止惡意程式組織」(http://www.stopbadware.org/home)所提供的惡意程式提醒服務。 另一方面,網站伺服器的管理者在設定上要注意避免出現漏洞,要定時安裝修補程式,避免駭客入侵取得控制權限,導致網站伺服器的網頁被竄改或被加入惡意連結。 3.1.2 瀏覽Web site 第三章 安全資訊管理 資料來源:http://www.itis.tw/node/603

  16. 3.1.2 瀏覽Web site 第三章 安全資訊管理 網路威脅現況 • 2007資安危機 網頁惡意連結最嚴重 • 駭客危害資訊安全的手法越來越高明,專家預測2007年的網路安全趨勢,將以網頁惡意連結的問題最為嚴重;遭到駭客入侵的網頁從外觀上完全看不出跟正常網頁有什麼不同,不過一旦網友瀏覽這些網頁,就會被暗中連結到其它的惡意網頁,瀏覽網頁的主機將被植入木馬程式,以竊取個人機密資料;通常該類的木馬程式其特徵會一再變化,所以一般防毒軟體的預防效果有限。 • 網頁惡意連結攻擊與散播方式 • 駭客利用SQL injection相關的漏洞入侵各大知名網站的資料庫,然後再植入惡意連結至網頁上,讓各大知名網站變成掛馬網站。 • 網友的主機連上知名網站之後,遭背景導向惡意連結,該惡意連結利用Microsoft相關軟體的弱點,在網友主機執行惡意程式取得權限。 • 受感染的主機會到僵屍網路下載其它的惡意程式(目前發現惡意程式的類型均為特洛伊木馬類型的病毒)。 當下的攻擊已經轉為 區域性、目標性 非單一攻擊、接踵而來的是 以金錢利益為前提考量 隨著web瀏覽而來的Web-Based威脅

  17. 3.1.2 瀏覽Web site 第三章 安全資訊管理 趨勢科技發佈最新網頁威脅(Web Threat)攻擊警訓 參考資料: http://tw.trendmicro.com/tw/about/news/pr/article/20070903143452.html • 利用網路惡意連結程式散播,歐洲單日近六萬電腦點選遭感染,趨勢科技公告該惡意攻擊模式係駭客隨機挑選安全防護較不完整的網站進行入侵,之後在此類網站中植入惡意連結程式HTML_iFrame.CU,一旦網友點選此網站,電腦即會被連結至另一個IP位址並植入名為JS_DLOADER.NTJ的惡意程式,此隻惡意程式會利用微軟IE中的MS04-040及MS06-057漏洞入侵電腦,以植入可竊取個人機密資料的木馬程式。除了個人資料外洩之外,此被入侵的電腦將被開啟後門,成為駭客散播惡意程式的工具之一,藉此造成更大規模的感染。 • 以下為趨勢科技針對單日遭到感染之個人電腦統計數字: IT - Italy (44300) ES - Spain (5754) US - United States (3185) DE - Germany (1956) FR - France (1333) GB - United Kingdom (1065) NL - Netherlands (962) CA - Canada (908) CH - Switzerland (826) Web Threat 嚴重威脅所有電腦用戶

  18. 3.1.3 開發Web Applications 第三章 安全資訊管理 • 隨著網路的發達,現在的使用者都可以透過Web Server執行Web Applications,例如:Web Mail、網路銀行和線上購物…等。當駭客藉由Web Applications存在的弱點,成功入侵企業的網站伺服器時,將造成企業公司財務或名譽上的損失。 • 常見的入侵方式如下: • 利用修改合法使用者正常登入後所留下的session cookies 取得合法使用者之權限。 • 利用Cross Site Scripting (XSS) 漏洞。 • 利用Buffer Overflows 漏洞。 • 利用Injection 漏洞(例如SQL Injection) 。 • 系統Backup備份檔存放在可被直接存取的位置。 • 解決方式: • 當開發人員在開發Web Applications前,必需先瞭解所使用工具的安全性問題;在開發中避免產生之前已經被公告的漏洞;開發完成後必需持續注意新漏洞的發佈與更新patch,並且定期採用Web Server/Applications的弱點掃瞄軟體來進行掃瞄與監控,以減少網站伺服器被入侵的機會。

  19. 3.2 VoIP security 第三章 安全資訊管理 • VOICE over Internet Protocol (簡稱VoIP) 是一種快速興起的網路語音通訊技術,它利用網路無所不在的特性,在企業或家庭的網路環境部署VoIP的裝置,取代傳統的電話系統,藉由IP-based封包交換網路進行語音通訊。 • VoIP的相關軟體,可安裝在桌上型電腦、行動 IP電話或網路閘道器上,使用數位通訊技術傳遞語音資料,提升企業網路的使用率,讓公司減少語音通訊的成本,即在現有的企業網路架構下,除了傳送數位資料外,附加通話功能及服務。 • 如左圖所示,VoIP的架構包含endpoints (VoIP Phone)、control nodes、gateway nodes (VoIP Gateway Router)、IP-based網路等。VoIP的使用者能夠透過Internet或電話網路public-switched telephone network (PSTN)與另一端的VoIP使用者或傳統電話機連線。 VoIP網路架構

  20. 3.2 VoIP security 第三章 安全資訊管理 • VoIP的使用者在進行語音通訊之前必須先撥號(signaling),待通訊線路被建立後,如左圖所示,VoIP系統會將語音資料先編碼(encoding),再透過網路傳送給接收端,若接收端是使用傳統電話系統,則需要透過控制閘道(gateway control)進行格式轉換。 • 撥號(signaling) : 一般VoIP系統最常用來執行撥號的控制協定有H.323與SIP (Session Initial Protocol)。 • H.323是ITU-T於1996年提出的VoIP標準,一開始是應用在以區域網路(LAN)為基礎的視訊會議,後來被廣泛應用於網路電話。 • SIP被廣泛使用作為VoIP通訊的標準,可用於建立多方多媒體通訊(Multiparty MultimediaCommunications)系統,SIP也規範通話建立與結束所使用的命令方式與訊息傳輸的協商機制等。 • 編碼與傳送(encoding & transport):當撥號完成且建立連線時,使用者的語音會先由類比訊號轉成數位信號(VoiceData),稱為編碼;之後VoiceData還需被封裝(encapsulation)成串流封包,才能經由網路即時(real time)送到接收端,接收端再依照之前的封裝流程一步一步解回(decapsulation) VoiceData,再解碼將數位信號轉成類比訊號(語音)。 • 控制閘道(gateway control):若VoIP Phone要與一般PSTN的電話進行通訊時,需要透過控制閘道進行格式轉換。 VoIP語音傳遞流程

  21. 3.2 VoIP security 第三章 安全資訊管理 常見的VoIP安全性問題 • 由於語音的資料是透過Internet做傳送,因此除了考慮在傳統電話網路上會出現的安全性問題以外,也必需考慮在IP network上會發生的安全威脅。在一般傳統電話網路上最常發生安全漏洞包含竊聽、盜打電話等,也都會發生在VoIP的系統;左圖所示為目前VoIP系統常發生的安全性問題: • DoS—Availability • Eavesdropping—Confidentiality • Alteration of Voice Stream—Confidentiality and Integrity • Toll Fraud—Integrity • Redirection of Call—Integrity and Confidentiality • Accounting Data Manipulation—Integrity • Caller Identification (ID) Impersonation—Integrity • Unwanted Calls and Messages (SPIT)—Availability and Integrity

  22. 3.2 VoIP security 第三章 安全資訊管理 • DoS—Availability(破壞系統的可用性) • DoS (Denial of Service) 是過去幾年Internet網路上常見的攻擊之一,其目的是要讓使用者無法正常的使用服務,DoS攻擊會耗盡目標電腦的網路頻寬或系統資源;在VoIP的系統可以解說成使用者無法撥電話或無法接電話。 • VoIP 使用 Internet 通訊協定來傳送語音,同樣有被攻擊的風險。有心人士可以送出大量的 SIP 要求(例如邀請、註冊、再見或 RTP 封包)佔據 VoIP系統所需要的資源,讓VoIP系統完全不能處理其他使用者的要求;或利用Internet 通訊協定的漏洞,如 TCP SYN、Ping of Death攻擊某個VoIP 設備,讓VoIP系統降低服務品質(如強迫使用者提前掛斷電話等) ,嚴重時VoIP系統甚至無法正常提供網路電話服務。

  23. 3.2 VoIP security 第三章 安全資訊管理 • Eavesdropping—Confidentiality (破壞通訊的隱私性) • 在傳統的電話系統,監聽是政府相關部門才享有的權力,普通人不太可能也沒有權力可以進行電話內容竊聽。但是 VoIP 是利用Internet網路來傳送語音, Internet為一開放式架構,有心人士可以輕易作到監聽電話內容,記錄所竊取到語音封包,若是公司的網路電話遭到監聽,公司內部資料就可能多了一條外洩管道。 • 監聽 VoIP 和傳統監聽網路資料不太一樣,監聽 VoIP 除了需要攔截建立連線使用的信號訊息外,亦要攔截之後包含語音的媒體資料流(Media stream)。信號訊息通常使用SIP (Session Initiation Protocol)通訊協定來傳遞, SIP可使用不同的傳輸層(例如 UDP或TCP) ,通訊協定的埠號由VoIP軟體自行決定。媒體資料流(Media stream)一般使用 UCP 搭配 RTP (Real Time Protocol)。目前利用SIP 和 RTP通訊協定傳送的封包並沒有被加密,有心人士可以利用相關工具(例如Ethereal)來側錄封包,除了達到監聽的目的,還可以得知通話者的身份、註冊資訊和SIP統一資源標識符號(Uniform Resource Identifier:例如電話號碼)等個人資料。

  24. 3.2 VoIP security 第三章 安全資訊管理 • Alteration of Voice Stream—Confidentiality and Integrity (破壞隱私性及完整性) • 取代攻擊或是可稱為man-in-the-middle的攻擊:當通話的雙方彼此不認識的時候,攻擊者攔截通訊的語音封包,同時假冒雙方與另一端進行通訊,兩端的通話者其實都是在跟攻擊者通訊,但是並不知道攻擊者的存在。 • 此種攻擊在通話雙方彼此認識的情況是比較難以成功,除非攻擊者能產生通話雙方的相似聲波,或事先錄下某一方的聲音用來欺騙另一方,但這還是有困難度存在,因為攻擊者無法預測通話雙方的內容。

  25. 3.2 VoIP security 第三章 安全資訊管理 • Toll Fraud—Integrity (破壞完整性) • 話費詐欺的做法是由攻擊者誘騙使用者撥打高付費電話,常見的手法是在使用者的通訊設備留下電話號碼,並要求使用者回電,使用者一旦回電就需付高額的通話費,達到斂財之目的。 • 話費詐欺另一種做法是欺騙電話系統,攻擊者可以利用replay或是impersonate的方法去偽冒成系統的合法使用者通過系統的身份驗證;之後攻擊者撥打高付費電話時,付錢的不是攻擊者本身,系統會向被假冒的受害者收取費用。

  26. 3.2 VoIP security 第三章 安全資訊管理 • Redirection of Call—Integrity and Confidentiality • VoIP在設計時,為了方便讓caller能夠透過一組號碼找到位於不同位置或使用不同接話設備的callee,提供了Redirection的服務,當caller撥號至callee號碼時,可以redirect到callee的手機、室內電話或VoIP Phone等的任何通訊設備。有心人士可以藉由修改redirect的資訊,將號碼redirect至有心人士所預定的號碼(如:高付費電話、或攻擊者本身的電話)。 • Accounting Data Manipulation—Integrity • 通常在提供撥話服務的同時,也會有一個accounting database用來存放call data records (CDR)資訊, CDR包含每一通電話的撥號端號碼、接話端號碼、日期時間與通話時間等。 CDR被用來當做收費的依據,如果攻擊者能夠得到修改CDR database的權限時,便可以用來竄改或刪除通話記錄,藉此進行盜打或犯罪等不法行為。 • Caller Identification (ID) Impersonation—Integrity • 有心人士可透過ID假冒成別的合法使用者來撥打電話或接話。 • Unwanted Calls and Messages (SPIT)—Availability and Integrity • 在真實的世界裏,我們常常會收到自己不想要的資訊或電話,如廣告信、詐騙電話…等。而SPIT指的是SPAM over Internet telephone,在VoIP中,使用者也會有voice mail box,因此,攻擊者可以藉由大量的垃圾語音信息塞爆合法使用者的voice mail box,使其無法接收其他的語音訊息。

  27. 3.2 VoIP security 第三章 安全資訊管理 • 基本上常用來解決前面所敘述之攻擊的防禦方法有下列四種: • 將 VoIP and Data Traffic分開 • 設定身份驗證機制 • 撥號時進行雙方身份驗證 • 語音訊息需做加密

  28. 將 VoIP and Data Traffic分開:如左上圖所示,我們可以將VoIP的封包與Data Traffic做區隔,以防止其他人藉由網路封包監聽器來進行竊聽。 設定身份驗證機制:管理者可以透過一台Configuration Server來控管使用者,如左下圖所示,當使用者(VoIP Phone)要使用VoIP服務時,會先向DHCP Server取得自身要使用的IP與Configuration Server的IP;接著,Configuration Server會對VoIP Phone進行身份驗證,確認VoIP Phone的身份後,再給予啟用VoIP Service的設定檔,VoIP Phone再藉由此設定檔,進行VoIP連線。 撥號時進行雙方身份驗證:我們需要在撥號的同時,執行撥號端與接話端之間的相互身份認證,待互相確定對方之身份後,再建立一條加密通道,傳送語音。 訊息需做加密:利用現有的加解密系統,對語音資訊進行加密,如此一來,除非竊聽者破解密碼系統或取得通訊時所使用的金鑰,否則,將無法竊聽通話內容。 3.2 VoIP security 第三章 安全資訊管理 VoIP and Data Traffic分開 設定身份驗證機制

  29. 最近幾年VoIP的安全問題已慢慢浮現,針對這種情況,AVAYA、賽門鐵克、西門子等在 2005 年 2 月成立了 VoIP 安全聯盟(VOIPSA),雖然目前 VoIP相關的攻擊事件並不多,但其潛在的危險性仍不容忽視。 如左圖所示, VOIPSA 在網站上公告了VOIP相關的工具,在“Hacking Exposed VoIP”一書中亦介紹了為數不少的VOIP工具應用。 VOIPSA提供了以下不同種類的工具,讓使用者能夠用來檢視VoIP的設備或軟體是否有安全性上的問題。 VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools Miscellaneous Tools Tool Tutorials and Presentations 3.2 VoIP security 第三章 安全資訊管理 參考資料: http://www.voipsa.org/Resources/tools.php

  30. 3.3 P2P security 第三章 安全資訊管理 • 近年來由於P2P的興起,許多網路的使用者皆能透過P2P來共享自己擁有的檔案資源,在P2P的架構之下,一個檔案在分享時都會被切成許多個小區塊,每個peer可以同時向不同的網路節點抓取檔案區塊。 P2P打破傳統需要將檔案放置在Server上讓所有人下載的方式,讓網路頻寬的使用更有效率、降低Server的負載及提高抓取檔案的效率。 • 一般在P2P架構中常見的管理方式如下: • 集中式-集中式管理的運作方式需要一台伺服器(Server)負責蒐集目前P2P網路各個節點(node)所擁有資訊的狀況,並傳送資訊索引列表(index)給提出要求抓取檔案的節點使用。例如:eMule、ezPeer、Kuro、Foxy…等P2P軟體皆屬於集中式管理架構。 • 分散式-分散式的P2P架構會將資訊管理的能力分散在P2P網路各個節點,不像集中式需要有一台server去管理所有節點的檔案資訊。節點之間可以自行建構一個網路連線、自行搜尋所需要的資訊和備份資訊等。例如:BitTorrent with DHT P2P網路架構

  31. 3.3 P2P security 第三章 安全資訊管理 • P2P因為方便人們搜尋其想要的資訊,並利用網路快速散播資訊,大大造福網路使用者,但是過於方便的資訊分享功能,反而為企業網路帶來更大的災害。 • 例如之前曾經發生有人利用P2P分享工具搜尋到美國駐軍伊拉克的機密資料,為美國資安外洩的重大事件之一。日前台灣也發生警員運用P2P下載音樂,因為錯誤的設定,造成其電腦變成P2P網路上公享的資料夾,造成總統車隊路線、道路警衛資料及案情筆錄..等機密資料公開於網路中。這些層出不窮的事件,突顯出P2P分享工具所帶來的安全問題已影響到全世界。 • 對於有安裝P2P軟體的主機常遇到的問題如下: • 資料不慎外洩的風險。 • 下載夾帶病毒或惡意程式的檔案。 • P2P軟體本身的漏洞,可能造成駭客入侵。

  32. 3.3 P2P security 第三章 安全資訊管理 • 許多使用者在安裝P2P分享工具後,若錯誤的設定,可能會造成電腦成為網路上的分享資料夾,衍生出資料不慎外洩的事件,如左圖所示。 • 欲防止資料不慎外洩最簡單的方式即為當使用者安裝完P2P分享工具後,先檢查自己設定分享的資料夾為何,以免在無意間外洩存放於磁碟中的檔案文件。但此種方式依然無法保證磁碟中的檔案文件不會外洩,因為P2P分享工具本身可能包含惡意程式碼,駭客可以在使用者享受P2P所帶來的便利與好處的同時,偷偷竊取使用者電腦所存放的文件。 資料來源: http://www.zdnet.com.tw/news/software/0,2000085678,20116793,00.htm

  33. 3.3 P2P security 第三章 安全資訊管理 • 如左圖所示,有些夾帶病毒或惡意程式的檔案會偽裝成一些公開分享的影音檔案,當網路使用者以P2P抓取這些危險檔案後,可能會讓電腦被植入木馬、後門程式、側錄使用者的帳號密碼、重要資料外洩、被感染成殭屍電腦、甚至造成電腦當機損毀等。 • 要防止下載的檔案包含病毒或惡意程式,最簡單的方式便是在電腦上安裝Anti-Virus、Anti-Spy之類的軟體,並且時時更新特徵碼。但此方式,依然無法防止使用者下載並執行含有病毒碼或惡意程式的檔案;因此,不下載、不貪圖方便,才能完全防止電腦被植入病毒或惡意程式。 資料來源: http://www.dk101.com/Discuz/archiver/?tid-18800.html

  34. 3.3 P2P security 第三章 安全資訊管理 • 如左圖所示,有些P2P軟體(如Skype)本身的漏洞,可能造成駭客入侵。除了藉著Anti-Virus、 Anti-Spy、IDS等防禦軟體以外,隨時注意更新P2P軟體也是相當重要的。 資料來源: http://www.zdnet.com.tw/news/software/0,2000085678,20102142,00.htm

  35. 3.3 P2P security 第三章 安全資訊管理 • 人們在獲得P2P網路所帶來的便利時,往往忽略了P2P所帶來的安全性問題,例如在P2P網路上常常存在某些心懷不軌的節點,這些惡意節點可能會分享病毒檔、木馬程式、提供假檔案、或破壞P2P網路連結…等,P2P程式的使用者若使用不當,也可能造成機密檔案外洩。 • 針對P2P所引發的威脅,目前有許多專家學者致力於Trust P2P之研究,主要是設計各種安全機制讓網路上共同使用P2P軟體的peers之間能夠建立互信關係,部份文獻提出以密碼學的方式來達到私密性、完整性與來源性之互信關系。 • 以下為目前被提出如何在P2P網路建立Trust(互信)關系的方法: • 以Reputation 為基礎 • 以輕量級的憑證進行身份確認 • 以Trust Computing的架構為基礎 Trust P2P網路架構

  36. 總結 第三章 安全資訊管理 • Web Security的部份可以分成架設Web server、瀏覽Web site及開發Web Applications三個部份進行保護。在架設Web Server時,要注意其安全漏洞,定期安裝修補程式;在瀏覽Web site時要盡量避免誤入釣魚網站或點擊帶有病毒或木馬程式的惡意連結…等,時時更新防毒、防止惡意程式入侵之相關軟體;Web Applications的開發者,更需要時時增長自己的網路安全知識,多注意開發Web Applications時會常犯下的程式設計錯誤或開發工具本身的漏洞,以防止駭客藉由漏洞進入企業內部取得重要機密。 • VoIP為企業帶來便利的語音交談系統,可以節省電話費,雖然現在比較少有這方面的攻擊產生,但其安全防護仍不容忽視,VOIPSA提供了許多檢視VoIP設備或軟體安全性的工具供大家使用,有助於及早發現VoIP的漏洞或安全問題。 • P2P軟體讓大家可以很方便的藉由網路分享檔案,但隨之而來的安全性問題如機密資料洩露、惡意或智慧財產權軟體的任意散佈…等,令人不得不重視P2P所造成的另類安全危機,目前雖然有許多學者提出相對應的P2P安全機制,但是最有效的方法還是企業經營者要嚴格規範公司員工不得下載來路不明的檔案,才不會成為受害者之一。

  37. 參考資料 第三章 安全資訊管理 • NSA,http://www.nsa.gov/snac/downloads_all.cfm. • VoIP-NEWS,http://www.voip-news.com:80/. • VOIPSA,http://www.voipsa.org/. • OWASP,http://www.owasp.org/index.php/Main_Page. • Apache server project, http://httpd.apache.org/. • RED HAT NETWORK, https://rhn.redhat.com/. • IIS.net, http://www.iis.net/default.aspx?tabid=1. • http://www.cert.org/advisories/CA-2002-17.html • http://sunsolve.sun.com/search/document.do?assetkey=1-66-234302-1 • TechNet Security Center, http://www.microsoft.com/technet/security/default.mspx. • 台灣電腦網路危機處理暨協調中心,http://www.cert.org.tw/。 • 資通安全資訊網,http://ics.stpi.org.tw/。 • 資安人科技網,http://www.isecutech.com.tw/。 • 資安之眼,http://www.itis.tw/ 。 • Meier, J.D., “Web application security engineering”, IEEE Security & Privacy Magazine, Volume 4,  Issue 4,  July-Aug. 2006 Page(s):16 – 24. • Butcher, D.; Xiangyang Li; Jinhua Guo;, “Security Challenge and Defense in VoIP Infrastructures”, IEEE Transactions on Systems, Man, and Cybernetics, Part C: Applications and Reviews, 2007. • Wesley Chou,“Strategies to Keep Your VoIP Network Secure”, IT Professional, Volume 9, Issue 5, Sept.-Oct. 2007 Page(s):42 – 46. • Song, S.; Hwang, K.; Zhou, R.; Kwok, Y.-K., “Trusted P2P Transactions with Fuzzy Reputation Aggregation”, Internet Computing, IEEE Volume 9,  Issue 6,  Nov.-Dec. 2005 Page(s):24 – 34. • Park, J.S.; An, G.; Chandra, D.;, “Trusted P2P computing environments with role-based access control“, IET Information Security, Volume 1,  Issue 1,  March 2007 Page(s):27 – 35. • Song, S.; Hwang, K.; Zhou, R.; Kwok, Y.-K.;, “Trusted P2P transactions with fuzzy reputation aggregation”, IEEE Internet Computing, Volume 9,  Issue 6,  Nov.-Dec. 2005 Page(s):24 – 34.

More Related