資訊與網路安全技術 第 十一章 入侵偵測與網路病毒      下一頁

 

第十一章 入侵偵測與網路病毒

『明槍易躲、暗箭難防』『保密防諜、人人有責』;攻擊者總是表現出最善良的一面,讓您失去戒心;目的是破壞、盜取,步驟是入侵,方法是病毒散播。

11-1 入侵偵測系統簡介

內容:

  • 11-1 入侵偵測系統簡介

  • 11-2 入侵偵測與防火牆架設

  • 11-3 駭客身分

就私有網路安全觀點而言,『防火牆』較偏重於防護的功能,它限制封包進出私有網路,功能好像警衛管制人員進出一樣。儘管如此,攻擊者總是可以透過偽裝或防護漏洞,入侵私有網路從事盜取或破壞的工作。『入侵偵測』(Intrusion Detection主要的工作是檢視是否有入侵者進入私有網路內,從事未經授權允許的行為。它收集主機系統內或網路流通訊息,再進行分析比對,從中發現是否有違反安全政策的行為或破壞的軌跡,而此專屬設備(硬體或軟體)就稱之為『入侵偵測系統』(Intrusion Detection System, IDS[10, 15, 17, 52, 53, 112]。由此可見,IDS 與防火牆似乎是相輔相成的,缺一便無法建立一個完整的安全網路系統,所以眾多防火牆設備都具有 IDS 功能,然如此果真就是一個完美無缺的理想組合?其實有待商榷,但不管怎麼說,它在網路安全方面扮演的角色仍不容忽視。本章除了探討 IDS 應具有的功能外,更進一步會討論到如何架設 IDS

如果從入侵的觀點來看,入侵者最終目的還是希望能進入主機內,從事盜取或破壞的工作,但整個過程中又可區分為兩個階段:第一階段是入侵者僅於窺視網路,但還未真正進入主機系統,第二階段入侵者才成功進入主機內。若從另一角度來看,既然無法完全阻擋入侵者,何不乾脆製作一個陷阱讓入侵者進入再將其逮捕,因此,IDS 系統在製作方面可區分為下列三大類:

  • 主機型入侵偵測系統(Host-based IDS, HIDS:表示偵測對象是主機設備本身,判別是否遭受入侵攻擊,至於該主機可能是網路設備(如防禦主機),或是應用系統主機(如 Web Server 主機。),因此又有下列兩種型態:

      • 防火牆入侵偵測:偵測防火牆設備是否遭入侵。

      • 主機入侵偵測:偵測主機系統是否遭入侵。

  • 網路型入侵偵測系統(Network-based IDS, NIDS):表示偵測的對象是網路流通訊息,與偵測器本身無關,譬如,透過網路監視器(如 Sniffer)收集封包後,判斷是否有入侵封包進入。

  • 誘捕防禦系統(Deception Defense System, DDS):就是故意在私有網路上留下破綻,吸引駭客攻擊,使駭客攻擊點集中於某一特定位置,再觀察駭客的攻擊方法,並分析駭客身份及目的。

11-2 入侵偵測與防火牆架設

11-1 為上述三種 IDS DMZ 防火牆之間的配置方法,它們之間所扮演的角色如下:一般外部路由器大多扮演封包過濾的功能,我們將『防火牆 IDS配置於該路由器上,偵測是否有駭客入侵,此為 IDS 第一道防護功能;萬一駭客封包通過防火牆進入 DMZ 網路,『網路型 IDS則負責監視 DMZ 網路上的封包,搜尋出可疑的訊息傳輸。駭客入侵系統之後,首要的目標是要進入防禦主機,如果安全操縱防禦主機便能順利阻擋入侵內部網路,因此,可在防禦主機上安裝『主機型 IDS檢視是否有入侵軌跡。另一方面,駭客入侵後,也可能直接攻擊內部路由器,因此,需安裝『防火牆 IDS』於內部路由器來檢視是否被入侵;假使駭客還是通過內部路由器,或是內部人員越權存取系統資源,當然在主機系統上安裝『主機型 IDS是不可或缺的。為了更安全起見,可以在內部網路配置『網路型 IDS監視封包的流量。雖然架設『誘捕系統』可以捕捉駭客,但仍需防止駭客將計就計攻擊系統,因此,還是將它安置於 DMZ 網路上來得安全。

11-1 入侵偵測與防火牆

並非所有防火牆與 IDS 設備都像圖 11-1 那麼完善,至於需要何種程度的安全措施,完全看私有網路所從事的工作而定。我們將圖 11-1 以安全性考量重繪成圖 11-2,可能比較容易理解,其中第一層的防禦設施為防火牆,駭客滲透第一道防護措施後,需經過第二道的防火牆入侵偵測、第三道的網路型入侵偵測、再迴避過第四道的主機型入侵偵測,最後才算真正擊破系統。當然,只要擊破任何一道防護措施都會造成相當的損害,因此,防禦系統必須儘速將其偵測出來使損失降至最低。

11-2 私有網路的防護能力

11-3 駭客身份

回顧我們介紹密碼學時強調的一個重要觀念,即『再複雜的密碼演算法都有被破解的可能,破解因素只不過是計算上的成本多寡而已』,也就是說,沒有價值的訊息,可能不會引起攻擊者興趣。但這種觀念完全不適用網路安全,千萬不要認為自己的電腦並不從事機密的工作而疏於防範,攻擊者永遠試著去尋找最不起眼的電腦做為跳板,一旦進入一個不被重視的電腦之後,再由此電腦進入次要電腦,一層一層推進,最後就有可能入侵至最重要的主機系統。另一方面,大部份的私有網路都僅防範外來攻擊者,完全忽略內部的工作人員;其實家賊才是難防,豈可不正視。

一般將入侵者稱為『駭客』(Hacker,意指不受歡迎或未經允許便進入系統者稱之,我們簡單歸納如下:

  • 網路安全專家:入侵者本身具有相當的網路安全技術,並利用它的技能入侵其他網路,盜取所需的資料。

  • 學生:早期入侵網路並非一件容易的事,非專業人員不可為,但目前知識流通非常快速,已有許多入侵技巧逕行公佈於網路上供人任意下載。任何人只要取得入侵工具,即使沒有具備完整的網路安全知識,也可隨意入侵其他網路;再者,許多學生為了測試及學習,無意中入侵重要的網路系統,縱然無心,但也可能造成嚴重的後果。

  • 犯罪型入侵者:入侵者進入網路系統之後,目的在於盜取機密,並從事犯罪行為,如入侵銀行系統,就是為了盜取客戶帳號再盜領其存款。

  • 商業間諜:進入競爭對手的網路系統內,目的在於盜取設計藍圖或客戶資料。

  • 恐怖份子:網路已成為國家的經濟、政治、文化的動脈,因此已成為恐怖份子的攻擊目標;譬如,中國不定時發動『網軍』入侵台灣或西方國家就是一例。

  • 內部使用者:『駭客』不一定要千辛萬苦越過防火牆攻擊目標網路,可能直接『人』滲透進入內部網路並從事破壞或盜取的行為。記住,只要越過使用者本身權限,執行閱讀、複製、竄改資料等行為,都屬於『駭客』的範疇,而且這些現象多半來自內部使用者。

主講人:粘添壽博士

 

資訊與網路安全技術