NO.25 | 2017.11.15
banner
title有備而來 友善列印>>
淺談網路攻擊與防禦之道_應用服務組 程怡儒 工程師



最近Wi-Fi無線網路加密通訊協定WPA2被揭露多項安全漏洞,讓全球Wi-Fi加密連線都面臨高風險,這是比利時魯汶大學資安研究員范赫夫,在今年5月時發現的漏洞。WPA2 是藉由授權與加密機制來確保 Wi-Fi 裝置及硬體的通訊安全,而 Wi-Fi 無線裝置遭到所謂的「金鑰重新安裝攻擊」(Key Reinstallation Attacks,KRACKs),KRACKs 採用的是「篡改並重送加密交握訊息」的手法,也就是從系統和裝置在彼此通訊之前交換參數的流程下手,KRACKs 攻擊如果得逞,駭客就能偷窺裝置與 Wi-Fi 無線基地台之間的網路流量,進行相關的攻擊。這個隱憂在無線網路設備上是一個存在的風險,然而各個設備商並沒有很重視這樣的弱點,直到各地陸續刊登該通信協定的漏洞,並敘述可進行攻擊的方式,還好目前只有被公佈破解的方法,截至目前還沒有網路駭客利用該方式進行攻擊,但並不表示不會被利用,像這樣的資訊安全事件正好符合,利用已知風險和弱點進行可能實質性的攻擊破壞,成功的攻擊概念不只是竊取密碼或是遠端操控而已,其實還有很多我們平常不會想到的攻擊方式正在進行著,所以平時保持高度網路防禦的警戒心就顯得非常重要。
 
網路面臨的威脅,通常來自於危及安全性的操作事件或潛在的安全隱憂,而這些存在的弱點,通常是設計或設施本身的錯誤,導致意外和不可靠的事件損害系統的安全性。當弱點被發現就可能會遭受資訊安全攻擊,可以利用網路傳輸與協定的各個層面,針對系統的弱點進行破壞系統安全,降低系統安全防禦能力,竊取所需資料或癱瘓系統等。若能針對攻擊的方法加以防範,才能進行保護網路的安全,以下是網路攻擊類型的簡單介紹:



 
1. 偵查攻擊:
在攻擊前,會先收集必要的資訊,所以會透過一些網路薄弱的環節進行所需資訊進行偵查後,進行的攻擊行為,例如:端口掃描、密碼攻擊、社交工程攻擊等。像是查看公司人才招募的資訊,可以猜測公司使用的軟體設備或系統,這樣就能針對特別的軟體、設備或系統進行弱點上的攻擊。
 
2. 訪問攻擊:
取得資料存取系統權限後,進行的攻擊行為,例如:網路探索監聽、取得管理人員的權限、ARP的攻擊、中間人監聽攻擊、重播攻擊、權限攻擊等,像是駭客把自己的權限提升至最高管理者權限後,進行任意的攻擊。
 
3. 阻斷攻擊:
阻斷系統服務,讓系統癱瘓的攻擊手法,例如:阻斷服務攻擊,利用網路系統資源有限,加上部分網路系統軟體或者相關通信協定等在設計或實作上的漏洞,透過大量且密集的封包傳送,達到使被攻擊的主機或網站無法處理,以致許多正常想要連上該網站的用戶,都被阻絕在外,連不上該主機或網站或者是找出程式無法處理的例外狀況造成系統當機,達到無法提供服務之攻擊方式。
 
4. 惡意軟體攻擊:
利用惡意程式進行破壞、侵犯、綁架等手法的攻擊。例如:病毒、木馬程式、廣告軟體等,利用電子郵件吸引收件者興趣的主旨開啟夾帶惡意程式的內容,進行破壞資料、控制主機、癱瘓網路或進行跳板攻擊。
 
面對層出不窮的網路攻擊與入侵方式,惟有建立多重防禦機制才能有效攔阻。所以多層次的網路防禦指的就是從網路環境中的軟體、硬體、作業系統與資料都需要受到保護,避免因人為因素或天然災害而遭受損失。通常網路安全防禦需建構完整多層次之縱深防禦,架構如下:
 
1. 網路層防火牆:
網路層的防火牆通常安裝於兩區網路之間,檢查每一封包前端的來源IP位址、目的IP位址、來源連接埠、目的連接埠等,以過濾不合法的連線封包,並提供稽核及控制存取網路資源等服務。面對詭譎多變的外部網際網路環境,通常會以雙層防火牆管制網路連線與封包進出。外部連線不可直接存取內部網路,必須經由放置於DMZ的伺服主機轉接,以降低外部直接連線入侵,植入病毒或木馬程式而造成資料外洩的風險。
 
2. Web應用層防火牆:
Web應用程式防火牆是屬於應用層的防火牆,專門防護對外提供服務的HTTP及HTTPS網站,以防禦SQL隱碼攻擊、跨網站入侵字串及OWASP TOP10等常見的網站攻擊行為。
 
3. 入侵偵測防禦系統:
入侵偵測防禦系統將各種已知的入侵模式或特徵建成資料庫,經由封包內容過濾比對,判斷是否有入侵行為,再依據管理人員預先設定之條件,發出警告或直接攔截惡意封包。
 
4. 病毒與垃圾郵件過濾閘道系統:
一般郵件防護閘道系統常會整合防毒引擎,不僅可以過濾攔截垃圾郵件及病毒郵件,並可有效阻擋特定來源的大量郵件或連線攻擊。這種過濾外部病毒或釣魚郵件的閘道式防毒系統,可以與一般電腦主機所安裝的防毒軟體共同組成雙層防禦機制,提升防毒效力。
 
5. 虛擬私有網路:
虛擬私有網路係利用網際網路或其他公眾數據網路,建立加密安全的傳輸通道,經由通道傳送的資料均已加密,可降低遭竊聽截錄的風險。
 
6. 網站存取控制:
存取某個Internet網址前,如能先評估確認其安全性,再由代理伺服器或防火牆設定開放存取,可防範組織內部員工存取惡意網站,並攔阻木馬程式建立對外直接連線之企圖,降低資料外洩風險。
 
7. 網路存取控制:
網路存取控制機制可與組織內部作業系統身分認證機制整合,並檢查用戶端端點安全性,以確保合法使用者係經由符合組織安全政策的環境,連線存取內部網路資源。
 
8. 資安事件監控:
利用資安監控中心彙集各網路安全防禦系統之事件紀錄,經由整合分析比對,以追蹤監控網路連線軌跡,若發現可能威脅網路安全之事件,則適時提出警示訊息。
 
9. 備份災難復原:
數據備份與災難復原,算是最後一道防線,萬一上述的任何一項網路安全防禦都無法抵擋日新月異的網路攻擊,或是無法在第一時間處理所受攻擊遭受的影響,這時數據備份與災難復原,就變得非常重要,利用各種備份設備和還原方式,就可以達到這些備份機制與還原資料,回覆到遭受攻擊前,減少企業或公司損失到最低。
 
10. 政令宣導:
除了技術面,也需加強配合管理層面的要求,像是資訊安全政策的執行,須從門禁系統到各種辨識認證安控設備進行管制,基礎設施到網路資訊安全設備的佈署建置管理都需要落實,公司或企業需要利用教育訓練進行資訊安全相關基本觀念與資安政策的政令宣導。
 
以上介紹那麼多防禦的措施,其實最重要還是在於實際的應用,目前NPAC系統就是利用這樣的縱深防禦,來達到網路資訊安全的要求,從邊界路由器、入侵防禦系統、閘道防毒系統、防火牆及對外的DMZ區等,各種設備都是依循資訊安全的規定,來達成網路的安全防護。人員的培訓與專業素養方面,每個月的資訊安全課程介紹、資訊安全政令的宣導、每季的安全防護演練,教育訓練課程培訓等,這些也都是因應資訊安全的要求來執行。面對攻擊手法不斷的推陳出新,維運人員是不能對此有一絲的鬆懈,平時資訊安全新知識的取得與教育訓練更是不可或缺,才能跟上瞬息萬變網路防禦的腳步,這才是網路的防禦之道。NPAC將持續藉由外部資安管理專業機構BSI(英國標準協會),定期執行資訊安全管理系統(ISMS)的稽核,確保管理制度之有效性,以維護NPAC系統的網路資訊安全。