• 沒有找到結果。

架構介紹

在文檔中 中 華 大 學 碩 士 論 文 (頁 41-46)

第四章 積極式網路防禦架構

4.1 架構介紹

本架構利用已知的封包偵測技術、入侵偵測系統、Java Web Services、Shell Script 與關連式資料庫來建構。除了以上所提技術外,尚須 ISP 與第三方提供服 務登錄的 Registry Server 共同配合,方能建構出完整的積極式網路防禦架構 (Active Network Defense Architecture,ANDA)。圖 4-1 為 ANDA 架構圖。本研究 架構能在不更改原來的網路環境與設備的情況下,阻止入侵與攻擊者持續對企業 所造成的損害。

在圖 4-1 中,共有入侵偵測系統、中央控管伺服器、企業危機處理系統、服 務登錄伺服器、ISP 服務提供者等五個系統元件,茲分別說明如下:

積極式網路防禦架構

__________________________________________

PC PC

PC

DMZ

Registry Server PC

Attacks ISP

Attacks

Attacks Attacks

Attacks

PDA NB Smart Phone

Mobile

Central Server N-IDS

Mail Server

Web Server Agent

Server

EREIS

圖 4-1 ANDA 架構圖

4.1.1 入侵偵測系統

入侵偵測系統建置於防火牆之後,負責監控入侵與攻擊行為。在本研究中 主要是部署網路型的入侵偵測系統(N-IDS)作為偵測感應器。當 N-IDS 偵測到入 侵或攻擊行為發生時,便會將偵測到的攻擊訊息傳送給 Central Server 來進行後 續處理。根據 Base[19]的說法,IDS 可以部署如圖 4-2 的四個地方:

i. Location 1:在外部防火牆之後,但在 DMZ(非交戰保護區)內 ii. Location 2:在外部防火牆的外面

iii. Location 3:在主要骨幹網路(backbone)上 iv. Location 4:在某關鍵子網路上

我們將其部署在 Location 1 的位置上,其優點包括:

i. 可以看到來自外部世界,並且穿透網路周邊防禦的攻擊行為

積極式網路防禦架構

__________________________________________

ii. 可以突顯出防火牆設定的 Policy 或效能的問題 iii. 能夠看到在 DMZ 中各式 Server 所受到的攻擊

iv. 違反防火牆 Policy 的封包已經經過防火牆過濾,IDS 的 loading 較輕 v. 即使進來的攻擊行為沒有被偵測出來,IDS 有時仍然可以辨識出受害主

機所產生的異常網路流量

vi. 一般企業環境大部分均設置於 DMZ 內,設置於此符合實際環境

圖 4-2 IDS 放置圖

4.1.2 中央控管伺服器(Central Server)

Central Server 為本架構之主要核心模組,其主要負責:

i. 接收由 IDS 系統傳送而來的入侵或攻擊訊息

ii. 解析攻擊來源的 IP 相關訊息。由於目前利用 DoS 或 DDoS 攻擊大部分 均會偽造自己的身份,所以如何防制 IP 偽裝攻擊與攻擊者的來源回溯

積極式網路防禦架構

__________________________________________

追蹤(IP Traceback)機制也是一項重要的議題。但 IP Traceback 課題廣 泛,故其不在本研究之內,我們將只在第四小節做討論。

iii. 經 Traceback 所得知的 Router 資訊,向 Registry Server 查詢所屬之 ISP 為何,並取得與該 ISP 伺服器聯繫之 Web Service 相關資訊。

iv. 利用由 Registry Server 所取得之 URL 與相關資訊,通知該 ISP 對攻擊 者 IP 位進行封鎖的動作。

v. 內含 Policy,可依據設定判斷是否需要 ISP 聯防亦或是由企業本身防火 牆阻擋即可。

vi. 針對 IDS 偵測的 rule 做自動化更新排程。

當 Central Server 接收到 IDS 偵測到的入侵或攻擊訊息時,首先比對 Policy,

判斷是否需要通知 ISP 與其共同聯防,亦或是只要在防火牆阻擋即可。可依據封 包數多寡與是否偽造來源 IP 進行判斷,封包數量少與沒有偽造來源的 IP,通常 是入侵行為,欲進行竊取資料或是破壞行動,其以防火牆阻擋 loading 並不重。

封包數量多或來源 IP 偽造,通常是 DoS 或 DDoS 的攻擊手法,此時即可透過與 ISP 聯防,將真正發送大量封包的攻擊方由 ISP 予以阻絕,無須佔用企業本身的 頻寬與防火牆 loading。

另外為了因應攻擊手法日新月異,如何讓 IDS 偵測 rule 保持最新狀態也是 考量之一。例如以 snort 此種 N-IDS 而言,其採用特徵比對的 Signature-based matching 方式,凡符合負面表列的封包特徵,均判斷為攻擊行為,故其正確率極 高。而 snort 官方網站,本身每日有兩次的 rule 更新。其他的 IDS 產品,原廠也 提供更新服務。Central Server 可針對 IDS 做 Proxy,預先抓取更新過的 rule,之 後再統一排程派送給 IDS。

4.1.3 企業資訊危機處理系統

積極式網路防禦架構可整合至第三章所提之 EREIS 系統之內。當 IDS 系統

積極式網路防禦架構

__________________________________________

偵測出有異常的攻擊事件發生時,會將訊息傳遞給 Central Server,Central Server 除了將攻擊訊息傳給 EREIS 之外,並根據 EREIS 中 Agent Server 所訂定的 Policy 做適當的防禦。而 Agent Server 會利用 JAX-RPC 的方式,在第一時間內將訊息 傳送給 MIS 管理人員,並且可以透過 Policy 的制訂,依事件危急的程度來轉送 不同管理階層。而管理人員可以利用手邊的 Mobile 裝置得知相關的訊息,並且 可透過 mobile 裝置登入 Web Server,進行線上緊急處理。

4.1.4 服務登錄伺服器

Registry Server 是建構於第三方具有公信力的一個組織,而 Registry Server 在 Web Service 的架構中,主要的功能類似於提供服務查詢(Yellow Page)的機 制。與我們締結同盟的 ISP 將與其聯絡的公司資料(如公司名稱、聯絡方式、RPC 呼叫的 Method)以標準格式發佈於 Registry Server,以提供本架構之盟友能彈性 的取得與各家 ISP 聯繫的方式。而 Registry Server 之功用為當 Central Server 藉由 Traceback 查詢到惡意攻擊位址所經的路由器資訊,經查詢比對得知所屬之 ISP,

再向 Registry Server 查詢該 ISP 所提供之 WSDL 連結,以便取得所經 Router 所 屬 ISP 的相關連接訊息。

因為 Registry Server 提供的服務就類似電話簿上商家的電話,讓使用者查詢 之後再打電話給商家,也類似入口網站提供網站的連結一般,故目前提供 Registry Server 也都是較大型的企業所推出的服務,如目前有 IBM、Microsoft、

HP 等公司提供服務。

4.1.5 ISP 服務提供者

本架構經由與 ISP 網路服務提供者的合作,以確實的將攻擊者的惡意封包阻 絕於企業網路之外;若攻擊者所屬之 ISP 網路服務提供者未與企業同盟的話,那 便將網路攻擊的阻斷點延後至距離企業網路次近且與企業同盟之 ISP 所擁有之 網路節點。而 ISP 網路服務提供者負責接收 Central Server 所發出的 block

積極式網路防禦架構

__________________________________________

request,依據攻擊描述的事項,主動且即時的進行封鎖攻擊方 IP 位址的動作。

如圖 4-3 所示,攻擊者傳送的封包會經過許多 router 轉送,最後傳到目標受 害主機。當發生攻擊時,最佳阻斷點為 Router 1,但其所屬之 ISP 可能沒有加入 共同防禦之運作,此時將阻斷點延後,直到有參與共同防禦 ISP 之網路節點內,

其可能是 Router 2 或 Router 3,甚至是 Router 5 為止。

Target host Attack host

Router 2

Router 1

Router 5 Router 3

Router 4

Router 6

Router 7

圖 4-3 封包經過節點示意圖

在文檔中 中 華 大 學 碩 士 論 文 (頁 41-46)

相關文件