![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 系統 > 正文 |
 |
| 防止攻擊跳板主機的安全管理策略(二) |
| 本文出自:http://www.cert.org.tw 作者: 黃世昆博士 (2001-10-31 09:00:00) |
四、防策略
一般性保護(general protection)
1.vulnerable host 禁止外對內/內對外連線。與安全檢測程式配合
(Vulnerability
Scanner/Auditor),若一檢測有安全缺陷,馬上與 firewall policy service
連線,拒絕
所有內外連線。
2.後門程式偵測 (backdoor detection)
Active Detection 用以偵測 passive tunnel 的存在
Passive Detection 用以偵測 active tunnel (reverse shell) 的存在。
偵測 well known protocol port
number,記錄非合法協定封包、來源及目的位址。
偵測非 Interactive protocol port number,記錄非 Interactive
行為封包。[16,17]
用戶端保護措施(Client Protection)
1.Sendmail SMTP authentication
此措施可預防類似 Melissa 、Love-letter、Navidad
等信件連鎖風暴的後門攻擊。但必須
警告使用者不要記憶認密碼。
2.Delay sent of Outgoing E-mail
3.Security Policy Enforcement
外對內:拒絕所有連線 (Not established)
內對外:只開放允許使用服務的 port 位址,並以 application proxy
方式,檢查連線封
包,拒絕非正確協定封包的傳遞。但為了拒絕以特定協定作為虛擬專線底層協定
的 tunnel
連線,必須以異常分析機制監控。這方面的監控方法尚待解決。因為 tunnel
封包以合法的
協定對外,溝通的封包量與頻率也能控制在合理圍(只是降低操控者的回應速
率),因此不易偵測。
伺服端保護措施 (Server Protection)
1.all open files are monitored
2.建立伺服器檔案稽核檢查記錄 (如 tripwire)
3.Security Policy Enforcement:
外對內:只開放伺服器服務 port 位址(如 E-mail smtp tcp port
25),且以 application
proxy 方式接受連線,拒絕非正確協定封包(如 udp port 53 只允許 DNS
packet,丟棄
並記錄其他所有非 DNS
、不合法封包,採取這樣的措施將可避免主動訊息後門經由
port 53 傳遞反向 shell 封包。)
內對外:拒絕所有連線 (Not established)。
五、追查技術的發展
1. 誘陷裝置系統
誘陷的目的是追查入侵來源。目前網路犯罪破案率相當低,誘陷與追蹤的相關性
與重要性明
顯可見,一般建議的方法是建立各重要網路出口監視系統,並配合網管系統,建
立即時
caller ID 追蹤。
這方面的成果主要是 NAI[5]的 CyberCop Sting Server,具有模仿 Windows
NT、Solaris、
以及 Cisco Router等作業環境。[7,10]是如何建置 Honey Pots 環境,[6]
則是更動
Inetd 或所有會漏系統資訊的地方,顯示令入侵者混淆的資訊,例如原是
Linux ,則換
裝為 FreeBSD 或 Solaris。[8] 是偽裝成中Back-Orifice
病毒的主機,引誘在網路專門掃
瞄 BO 的受害者上門。[9] 介紹在 FreeBSD 如何建立如 Jail 的環境。
2. 流量分析
Thumbprint [11-13]的觀念在未來入侵線索的建立上將有極大助益。所謂
Thumbprint 是分
析入侵者各種獨特可區分之特點,例如其打字速率、連線狀況、系統特有狀況,
雖經網路大
量 traffic 等 noise
影響,仍可經過濾後找出可供識別的特徵。這些特徵稱為 Thumbprint。
類似的研究有別於一般網路據集的方法[14],必須監視及記錄入侵者通過的
所有路徑,
反而回到傳統現實環境的方法,盡可能只依賴犯罪現場所遺留的據。
[16,17] 更以流量分析的方法建立 passive filter,分析非互動 port
連線卻呈現互動連
線流量,藉此偵測後門程式的存在。
3. 稽核記錄
一般遭受後門「污染」之系統,就不能確信任何稽核記錄檔。Bruce Schnier
最近則致力於
Forensics的主題[15],研究如何保護不安全、或不能完全信賴主機上的系統記?
?C
六、法律責任歸屬
1.善意第三者的法律責任
被經由攻擊跳板主機入侵的受害者,可能控告被當作跳板的主機擁有者?若真可
行,事實上
是在懲罰不經心的網路主機管理者,因為自己不小心的後果,造成其他人受害。
在國外甚至
已開始考慮這方面立法的可行性[1]。這反應出未來網路安全已經不再是單純保?
@自己網路
不受侵犯的消極性防護,更要以保護他人系統不致遭受到源自本身網路的攻擊(
亦即為了保
護別人而更盡力保護自己)。但在責任清上可能會相當雜。根據上述分析,
後門指令、
回應管道的建立可分為四種類型,直接、間接參與攻擊跳板的系統涵蓋層面廣泛
,包括善意
的上載伺服器、Napster 等形式的 peering service、Free Homepage
provider,這些型態
的公眾服務都可能成為被動操控命令的傳遞跳板。
2.分散式攻擊參與主機的法律責任探討
基本上這仍屬於第一類的不經心管理者(或用戶端電腦)。主要責任當然在於策
動攻擊者,
但被操控而主動參與攻擊者,若不加諸任何刑罰,將使未來分散式跳板攻擊日益
盛行。全世
界網際網路電腦總數若以千萬計,應該有為數百萬以上的電腦已被暗藏操控後門
。每一次攻
擊參與者若以萬計,不但受害者難以承受,真正指使者更難以追查。這類被操控
而參與攻擊
者應該擔負民事賠償責任,特別應該規公務部門及學術機關學校。不過此類賠
償不宜直接
補償受害者,而是強制需支付於加強該單位安全管理相關經費,不得挪移他用。
七、結論
1. 模擬狀況
以下模擬建立一個長時效的回應後門管道。後門管道建置的參與者包括:內部
作網頁電腦
(AC)(將潛藏訊息回應程式)、Free homepage provider (FHP)。利用E-mail
overflow
attack 在 AC 上殖入後門。後門回應訊息將隱藏嵌於 AC
所作網頁與圖檔(利用影像隱
藏技術)。外部命令以不同形式分別(1)置於 FHP 網頁。(2) 置於內送
E-mail 內涵。(3)
隱藏於網路流量。此形式的後門可建立於任何只「接收」 E-mail 而提供 Web
Content 的
封閉網路。事實上 AC
可能是內部網路的任何一部電腦,或許是喜好作個人網頁的單位
主管。一旦後門指令、回應通道建立,操控者將能隨心所欲對內部網路進行開放
空間的攻
擊行動。
2. 對於未來網路安全的擊
若 1/10
的電腦都潛藏有後門程式,不只不利於未來電子商務環境的推展,各可能危急國
家
整體資訊安全。最可怕的後門程式是潛伏蔓延,自動尋求最合適的指令與回應通
道。
八、參考文獻
1.Eric J. Sinrod, Combating Internet crimes and threats, November 07,
2000,
http://www.upside.com/texis/mvm/upside_counsel?id=3a06fede1
2.Robert Stone, "CenterTrack: An IP Overlay Network for Tracking DoS
Floods," 9th
Usenix Security Symposium
3.David E. Mann and Steven M. Christey, "Towards a Common Enumeration
of
Vulnerabilities, " 2nd Workshop on Research with Security
Vulnerability Databases,
Purdue University, January 21-22, 1999
4.台灣網路安全性評估, http://www.cert.org.tw
5.CyberCop Sting
http://www.nai.com/international/uk/asp_set/products/tns/ccsting_intro
.asp
6.Deception Toolkit, DTK. http://www.all.net/dtk/
7."Do You Need a Honeypot?". Internet Security Advisor, Nov & Dec.
1999
http://www.advisor.com
8.FakeBO, http://yi.com/home/KosturjakVlatko/fakebo.htm
9.Jail(8) in FreeBSD's System Manager's Manual http://www.FreeBSD.org
10.To Build a Honeypot, Lance Spitzner.
http://www.enteract.com/~lspitz/honeypot.html
11.Terrance Goan, "A Cop on the Beat: Collecting and Appraising
Intrusion Evidence,
" Communications of the ACM, Vol. 42, No. 7, 1999, pp. 46-52.
12.Staniford-Chen, S. and Heberlein, L.T. "Holding intruders
accountable on the
Internet," In Proceedings of the 1995 IEEE Symposium on Security and
Privacy
(Oakland, CA, 1995), 34-49.
13.L.T. Heberlein, K. Levitt and B. Mukherjee. "Internetwork Security
Monitor:
An Intrusion-Detection System for Large-Scale Networks," in Proc.
15th National
Computer Security Conference pages 262-271, Oct. 1992.
14.H. T. Jung et al. "Caller identification System in the Internet
Environment,
" In Proc. 4th Usenix Security Symposium, 1993.
15.Bruce Schneier and John Kelsey, "Secure Audit Logs to Support
Computer
Forensics," ACM Trans. on Information and System Security, Vol. 2,
No. 2, May
1999, Pages 159-176.
16.Yin Zhang, and Vern Paxson, "Detecting Backdoors," 9th Usenix
Security
Symposium
17.Yin Zhang, and Vern Paxson, "Detecting Stepping Stones,". 9th
Usenix Security
Symposium
<完>
本文摘自黃世昆博士89年12月8日中央警察大學論文發表(防止攻擊跳板主機的安全管理策略)
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
防止攻擊跳板主機的安全管理策略(二) (2001-10-31 09:00:00)
防止攻擊跳板主機的安全管理策略(一) (2001-10-31 08:00:00)
防止攻擊跳板主機的安全管理策略 (2001-05-20 07:00:00)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |