Introducing the network security on web
網路安全Yun Chen
View Slide
密碼
怎樣才是好密碼? 1.不要有連續的數字、英文Like:abc、123 2.不要有個人資料或單字在裡頭Like:nisra、password、good 3.最好可以達14位以上
什麼是MD5?Password→X*512=n*32加密Like:5d41402abc4b2a76b9719d911017c592*Demo目前常用於檔案驗證的加密技術32323232邏輯運算32
什麼是SHA-1?Password→X*512=n*32加密較前者耐暴力破解32323232邏輯運算3232
網路攻擊
OWASP開放網路軟體安全計畫,簡稱OWASP 是一個開放社群、非營利性組織。其主要目標是研議協助解決網路軟體安全之標準、工具與技術文件,長期致力於協助政府或企業瞭解並改善應用程式的安全性。美國聯邦貿易委員會強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則。
OWASP十大網路應用安全弱點OWASP Top10主要目的,是將最常見的網路應用系統安全弱點,教育開發者(Developers)、設計者(Designers)、架構師(Architects)和組織(Organizations),提供基本的方法保護防止這些弱點,是軟體開發安全計劃最好的開始。*Show
駭客攻擊流程 1.偵查(合法) 2.掃描 3.獲得權限 4.維持權限(安裝後門) 5.清除紀錄(相關log)
Port Scanning TCP connect Scanning直接做連線可信度最高! 最容被被發現 TCP SYN Scanning送出SYN封包,非建立連線,偵查手法 IPID Scanning控制肉雞(受害電腦),再做偵查
被動式 & 主動式 被動式:流量分析 主動式:身份偽裝資料重播(接近使用者行為)資料竄改
以目標為分類 伺服器資料庫:SQL Injection 使用者:XSS Injection混合式-SQL Injection + XSS Injection
XSS攻擊簡介XSS攻擊是利用動態網頁的特性開發者未嚴格限制輸入與未過濾特殊字串,讓惡意Script得以在使用者的瀏覽器上執行駭客的填空遊戲 可用的Script包含: JavaScript、VBScript。*Demo - WebGoat
SQL InjectionSQL Injection攻擊並非植入電腦病毒,它是描述一個利用寫入特殊SQL程式碼攻擊應用程式的動作。沒有做到相當嚴密的輸入資料型態管制,就有可能會遭受這種行為的攻擊。*Demo - WebGoat
特洛伊木馬駭客用來盜取其他使用者的個人訊息,甚至是遠程控制對方的電腦而加殼製作,然後透過各種手段傳播或者騙取標的使用者執行該程式,以達到盜取密碼等各種資料資料等目的。與病毒相似,木馬程式有很強的隱秘性,隨作業系統啟動而啟動。
ARP Spoofing(ARP欺騙) 取得區域網路上的資料封包甚至改封包,且可讓網路上電腦無法正常連線 如何做防禦?1.使用靜態的ARP Table2.監控ARP Table
中間人攻擊
重送攻擊指第三者從網路中截取認證訊息,並再稍後原封不動地將訊息送出,以假扮該訊息的原始送出者Onion Gary假扮
生日攻擊生日問題指如果一個房間裡有23個人,那麼至少有兩個人的生日相同的機率要大於50%。這就意味著在一個典型的標準小學班級(30人)中,存在兩人生日相同的可能性更高。對於60或者更多的人,這種機率要大於99%已被用於設計著名的攻擊方法:生日攻擊。
社交工程透過設好的陷阱、網站使用戶誤觸而遭植入後門 >>”最新網路賺錢方法,不用口才/經驗/人脈/囤貨,到這裡操爆你的肝點擊進入:http://www.nisra.net” >>Allen x Orange 同人.pdf
Flooding 典型例子 DOS、DDOSDOS:單挑;一對一較量決定誰的機器更好DDOS:圍毆;用很多主機對目標機器DoS台菲攻防懶人包
DRDoS?反射式拒絕服務攻擊更不易防禦
網路安全
安全環境之首-白皮書 安全政冊白皮書發佈資料、訊息以及網站聲名橘皮書? Orange?美國國防部提出資訊系統安全等級規範
資訊安全三要素CIA 機密性 (Confidentiality)合法取閱資訊 完整性 (Integrity)資訊或系統維持正確與完整 可用性 (Availability)資訊或系統需要時即可取用
限定型安全政策 未明確允許的行為是禁止的---------------------------------------------------------軟體白名單管理只允許已知的合法應用程式,在系統上運行反之,那有沒有黑名單?
資訊安全管理系統ISMS標準和產品服務、食品標準一樣資訊安全管理系統也有一套標準ISO27001
防火牆防火牆可以針對流量進行稽核與警告But….1. 不能針對訊息傳輸的內容做保護2. 無法防護已通過它的連線3. 無法防護來自內部的攻擊
防火牆 & IDS應該沒有人不知道防火牆吧?想像一下… 防火牆大樓出入口的門鎖 IDS出入口大門旁的監視器
定期檢查log檔 偵測性措施什麼是登錄檔呢?簡單的說,就是記錄系統活動記錄的幾個檔案,例如:何時、何地(來源 IP )、何人( login name )、做了什麼動作*Demo
安全協定 SSL SET電子安全交易、數位憑證(常用X.509標準)兩者皆以PKI(Public Key Infrastructure)為基楚PKI-可信賴第三者公開鑰匙
安全性電子郵件S/E-Mail常用的標準: S/MIME-電子郵件數位簽章公鑰(Public Key)與私鑰(Private Key) OpenPGP-加密電子郵件公用金鑰加密電子郵件的公用密鑰系統
簽章與驗章
對稱式加密式常見之演算法如 DES, Triple-DES, AES 等。
非對稱式加密常見的加密演算法如 RSA, DSA等。
Honeypot主要目地為誘捕入侵者並詳細紀錄其攻擊行為做為事後研究、防禦
網路安全測試技術 Vulnerability Scanning(漏洞掃描) ST&E(安全測試與評估) Penetration Testing(滲透測試)各種手段的攻擊來找出系統存在的漏洞風險也較高 WHY?
Penetration Testing(滲透測試)滲透測試透過模擬的真實攻擊行為,可證實惡意攻擊者有可能竊取或破壞企業的數位設備、資產、資訊與資料。因需交由第三方來測試,相對其它風險也較高,需為信任的第三方Like: 大夫扣耳(?
APT攻擊 非常低調,不容易被偵測 持續時間甚至可長達10年News 韓國黑暗日
實體安全
問題發生如何應變? BCP(Business Continuity Planning)公司面對問題(災難、其它)要如何持續運作 DRP(Disaster Recovery Planning)災難應變第一時間:疏散人員
實體安全強化 安裝機殼鎖,防止零件被偷走 設立門禁管制與機房管理 設定硬碟開機與BIOS密碼
其它
VoIP寬頻電話或網路電話是一種透過網際網路或其他使用IP技術網路,實現新型的電話通訊。過去IP電話主要應用在大型公司的內聯網內Ask: 最後裝入封包是用 TCP or UDP?
什麼是AP AP-Access Point:Infrastructure Mode無線存取點或無線接收盒或無線網路基地台不然哪來的wifi讓你們在學校上網XD Ad Hoc Mode(隨意模式)不需要無線存取器AP個別電腦間無線連結,建構出一個群組網路,以達到資源共享 Like:印表機
Proxy
VPN
常見的Port DNS (Port 53):DNS就是域名解析服務。 FTP (Port 20/21):文件傳輸協定。 HTTP (Port 80):超文件傳輸協定,用來進行HTTP (或 Web)通訊。 HTTPS (Port 443 + 445):加密套接字協議層 (SSL)所使用的Port。 POP3 (Port 110 + 995):接收電郵的伺服器端口。 SMTP (Port 25):寄送電郵的伺服器端口。 SNMP (Port 161/162):簡單網路管理協定。 Telnet (Port 23):遠端文字登錄模式,常用於Linux或UNIT系統上。 TFTP (Port 69):TFTP是一個像FTP一樣的檔案傳輸協定,較簡單。
telnet, http, ftp, pop, smtp 皆為明碼傳送帳號密碼封包,易被竊聽 POP SMTP 都是E-mail的協定 SMTP 就像是郵差 POP則是信箱
Q _Q & A_A
chenyunchen
ainischool
wingnus
coderdojojapan
sapi_kawahara
yokokohno
greendog
yasslab
asial_corp
koic
junyaokabe
medsciences
gmoriki
malarkey
jakevdp
ddemaree
maltzj
colly
orderedlist
mclloyd
trallard
jonrohan
marcelosomers
swwweet
mza