以封包過濾技術強化區域網路的安全管理
7
0
0
全文
(2) 外與由外而內各封包的資訊,並加以過濾,可. 用者的連線狀態並加以累計,對於超量使用. 以保障區域網路的安全。至於代理伺服器則是. 者,可以使用封包過濾防火牆將其阻擋,以保. 代理客戶端程式,連線至應用程式伺服器。對. 障其他使用者使用網路的權利。. 於應用程式伺服器而言,代理伺服相當於伺服 器的客戶端程式;而對於客戶端程式而言,代. 此外,目前網際網路的興盛,新興網站如. 理伺服器相當於應用程式伺服器。代理伺服器. 雨後春筍般大量建立,網路伺服器和個人電腦. 利用資料轉接(relay)的特性加上快取的機制來. 等網路設備數目的急遽增加,現有 IPv4[7]所. 減少存取資料的時間,亦即當有重複存取資料. 能夠使用的 IP 位址明顯不足,新一版本 IPv6. 時,可使用代理伺服器來減少了存取所需的時. 雖提供足夠的 IP 位址,但目前未能廣泛地被. 間。. 採用。而面對 IP 位址的不足,可以使用 NAT (Network Address Translation) [2]的技術加以 上述所提兩種方式均能保障區域網路的. 解決。在防火牆上建立 NAT Table,分別記錄. 安全,但對於外界多模式的攻擊,封包過濾防. 區域網路對外要求連線的情形,利用這種區域. 火 牆 可 以利 用 自定 過 濾規則 來 防 止這 些攻. 網路的虛擬 IP 與對外單一 IP + port 對照,解. 擊。可是這些過濾規則的產生,如果完全由網. 決 IP 不足的問題,下圖為一個 NAT 運作的一. 路管理者來定義,對於網路管理者而言,是非. 個實例。. 這類型的規則定義,採事先設定的方式,如單. src 192.168.0.3:1001 dst 140.120.7.1:23. NAT. src 192.168.0.5:1010 dst 140.120.7.5:80. 140.120.8.241. 部異常使用,無法即時的預防與阻止。因此將. 192.168.0.1. 常繁雜的工作,並且對於突發外來的攻擊與內. NAT Table. 位時間內區網外單一機器對區網內連線的次. src 140.120.8.241:30001 dst 140.120.7.1:23. src 140.120.8.241:30002 dst 140.120.7.5:80. NAT Table. 數、區域內各使用者單位時間流量最大值的設 定等等,再根據這些事先定義的設定值,利用 防 火 牆 收集 由 內而 外 與由外 而 內 封包 的資. Internal IP / Port 192.168.0.3 / 1001 192.168.0.5 / 1010. Local NAT - Port 30001 30002. . . .. . . .. 圖一、NAT 實例說明. 訊,經過統計與比對,自動的產生相對應的過 濾規則。確定過濾規則後,對於由外而內的攻. 在本篇論文中,我們研究整合封包過濾防. 擊與異常連線,就可以加以阻擋於防火牆外。. 火牆與 NAT 的技術,建立一個以 Web[8]為介 面的區域網路管理系統,強化區域網路的安全. 除了惡意或不正常存取行為的問題之. 性,有效地管理區域網路內主機位址,以簡化. 外,區域網路管理者也常遇到未授權使用者盜. 網路管理者的工作,智慧且自動地解決網路管. 用主機位址(IP 位址),導致主機位址衝突而無. 理者所面臨的問題。. 法使用,造成其他合法使用者的不便。這個問 題可利用防火牆機制將其攔下,阻止其繼續使 用,同時利用 ARP 表格[5]上 IP 位址和 MAC. 二、系統架構與運作流程 2.1 系統架構. 號碼的對照,再加上硬體 Switch Hub 上的路. 本研究的架構由封包過濾器、Web 伺服器. 由表,就可以查出其確切的位置。至於在管理. 和管理系統三個部份組成,各部份的架構如圖. 區域下超量使用網路,導致區域對外連線品質. 二所示。. 不佳,嚴重影響其他使用者權利的問題,也可 以利用定義封包過濾器規則的方式,記錄各使.
(3) 過非法偵測的部份加以管理。. Web 伺服器 管理單元. 系統設定. 帳號管理. IP 註冊. 監控單元. 身份驗証. 流量監視. 非法偵測. 資料 庫 整合 單元. 封 包 過 濾 器. 區 域 網 路. 網. 3. 整合單元為本系統的重要單元,利用系統. 際. 收集的資訊,以及系統設定下的參數值,. 網. 經由整合單元智慧且自動地加以匯整,建. 路. 立相關資訊相對的規則,提供給封包過濾. 管理系統. 圖二、系統架構圖. 器做為封包過濾之規則之用。 4. 資料庫部份包括:系統帳號管理記錄、系 統相關參數、合法授權 IP 記錄、非法盜用. 在此架構下,封包過濾器扮演區域網路與 網際網路的屏障,對外連接網際網路,對內連. IP 記錄、流量記錄和封包過濾規則記錄等 等。. 接區域網路,任何連繫區域網路與網際網的資 料封包都必須通過此封包過濾器。網路管理者. 2.2 運作流程. 可 以 使 用瀏 覽 器作 為 管理操 作 介 面, 透過. 在系統運作流程方面可以分成二大部. HTTP 協定[9],連結至 Web 伺服器,進而監. 分:一為網管人員的對系統的管理流程,另一. 控及管理區域網路。. 為管理系統產生過濾規則的流程。. 管理系統的部份則由管理單元、監控單. 網管人員可以使用瀏覽器,透過 HTTP 協. 元、整合單元和資料庫四個部份所組成:. 定,經由 Web 操作介面來登入本管理系統。. 1. 管理單元主要是在負責系統相關的設定,. 登入時經由身份驗証單元來辦別管理人員是. 包括管理系統的帳號管理、授權並註冊區. 否合法,驗証成功後,便可合法登入本管理系. 域網路下合法的 IP、以及設定系統相關的. 統,登入後可以經由瀏覽器線上控管本管理系. 參數。系統的帳號以管理階級的方式來劃. 統,系統運作流程如圖三所示。. 分,依不同的權限,可同時提供管理員與. Web 登入. 一般使用者相關的資訊。IP 註冊主要在授 權區域網路下合法使用者並註冊其 IP 位. 帳號管理. 身份驗証. 址,提供系統使用,也只有註冊過的 IP, 才能在區網下使用。系統設定主要是設定 一些系統會使用的參數,提供給其他單元. IP 註冊. 帳號記錄. 系統設定. 合法 IP記錄. 系統參數. 圖三、系統運作流程圖. 使用。 2. 監控單元負責在驗証使用者身份、區網下. 當使用者登入後根據登入帳號來劃分權. 各 IP 的流量監視、以及區網下未授權者的. 限,通過身份驗証者,最多擁有三項管理設定. 非法偵測。驗証使用者主要是驗証連線至. 的權限,包括帳號管理、IP 註冊、和系統設定. 管理系統查詢相關資訊的使用者,並根據. 等,並將其相關的數值分別存入帳號記錄、合. 身份授與不同的權限。對於區網下各 IP 的. 法 IP 記錄、系統參數等資料庫內,提供給管. 流量加以統計匯整,提供管理系統相關資. 理系統來使用。. 訊,進而得以控管區域網路下各 IP 的流 量。在非法偵測方面,對於使用未授權 IP. 管理系統產生過濾規則的流程的方面有. 或是被盜用已授權 IP 的非法使用,可以透. 三種產生方式:手動產生、系統相對應產生,.
(4) 及經由整合單元自動產生。在手動產生過濾規. Web 登入. 則方面,主要是由因應系統的不足處,管理人 員主動設定過濾規則;在系統相對應產生過濾 規則方面,主要是對於臨時的改變,例如暫時. 帳號管理. 身份驗証. 系統設定. 帳號記錄. 停用某一個已註冊 IP 位址,將即時對此停用. 系統參數. IP 註冊. 非法偵測. 流量監視. IP 位址產生相關的過濾規則;第三部份由整 合單元自動產生,則較為複雜,可以分列為下. 合法 IP記錄. 非法使用 記錄. 流量記錄. 述幾點: 1. 非法偵測:經由已註冊(已授權)IP 的記錄,. 整合單元. 規則記錄. 其中包括其 IP 位址和其 MAC 位址來預 封包過慮器. 測,對於不合法的 IP 將無法通過封包過濾 器。. 圖五、系統各單元整合流程圖. 2. 流量監視:藉由 IP 位址的註冊,監視區域. 三、系統實作. 網路的流量,若超過限定的使用量,自動地 產生相對應的過濾規則來加以阻隔。 3. 區域網路安全:根據系統設定的系統參數 值,可以加強區網的安全,如外界對區域網 路使用 Ping 的窺視或是對區域網路下的使 用者做服務的掃描。. 3.1 實作環境介紹 本篇論文的實作環境是以一台 PC 作為區 域網路管理的伺服器(LANMS),利用此伺服器 造出一個完全獨立的子網域:140.120.8.240 (140.120.8.240 ~140.120.8.248),並以此子網域. 透過以上的三種方式,可以經由整合單元 自動產生過濾封包的規則,再交由封包過慮來. 做為被保護的內部區域網路,其環境的設備如 圖六所示:. 執行。圖四為整合單元自動產生的流程圖:. 合法 IP記錄. 非法偵測. 非法使用 記錄. 系統參數. 對外 網域140.120.8.0. 流量監視. 對內 網域140.120.8.240 流量記錄. LANMS 140.120.8.241. Hub. 整合單元. 規則記錄. 封包過慮器. 圖四、各單元整合後之流程圖. Clinet 1 140.120.8.242. Clinet 2 140.120.8.243. Clinet 3 140.120.8.244. Clinet 4 140.120.8.245. 圖六、實作環境設備圖 整個系統經由上述兩大控制流程加以滙 整,可以得的本系統的系統流程圖,如圖五所 示:. 在此實作環境下,LANMS 為最主要的組 成單元,也是管理系統的核心單元,對外連接 網際網路,對內則保護內部區域網路,其軟體 需求如下所示:.
(5) 1. OS:Linux Slackware 7.1 ( kernel 2.2.17 ). 2. 功能介紹 當登入系統後,可以看到其功能選項分別. 2. 封包過濾器:IPCHAINS 1.3.9 [3] (Linux 內. 為:合法 IP 管理、非法記錄管理、流量管理、. 建) 3. Web 伺服器:Apache 1.3 for Linux. IPChains 設定和系統管理等五項,如圖八所 示。. 4. 程式語言:PHP 4.0、TCL 8.3 5. 資料庫系統:MYSQL 3.22.32 6. 網管發展工具:SCOTTY 2.1.10[4]. 其他部份,如集線器及區域內使用者端的 部份,只有本身具備支援網管功能的集線器, 才可以透過集線器上 MIB[10]的相關資訊來找 尋 MAC 位址、IP 位址和集線器上 port 號碼的 對應。使用者端作業系統種類並無限制,只要 設 定 閘 道 器 (140.120.8.241) , 和 子 網 路 遮 罩 (255.255.255.248) 即可。 3.2 實作系統的操作介面. 圖八、系統功能選項 合法 IP 管理主要負責管理區域網路下合 法 IP 位址,包括管理 IP 位址和 MAC 的對照、 記錄 IP 位址使用者的相關資訊、以及對各合 法 IP 位址的啟用和停用,如圖九所示。. 1. 登入畫面 本網站位址為 http://140.120.8.241/nm/, 使用者可以使用一般的瀏覽器連線至本管理 系統,並輸入帳號和密碼來登入,其登入畫面 如圖七所示。系統將各功能選項依權限劃分, 帳號在登入後將賦予其擁有的權限,使用者也 會因權限的不同,而擁有不同執行的權限。. 圖九、合法 IP 管理 非法記錄管理主要是記錄一些未經合非 註冊,卻擅自使用合法使用者已註用的 IP 位 址,有了這些記錄,再配合擁有網管功能的集 線器,便可以輕易地找出盜用者的資訊,圖十 記錄了盜用者盜用的時間和當時的使用機器 圖七、系統登入畫面. 的 MAC。本系統目前並未與擁有網管功能的 集線器結合,只記錄盜用者資訊。.
(6) 系統管理在管理系統的帳號和常駐程式 的時間設定,些功能選項影響系統的運作極 深,當然也會因各登入帳號的權限來限制其使 用權,圖十三為常駐程式的時間設定的運作畫 面。. 圖十、非法使用列表 流量管理在記錄區域網路內各 IP 位址的 使用量,可以依日期或是 IP 位址來查詢,當 使用量超過其可使用量,將自動停用些 IP 位 址並將此資訊加入 IPChains 的限定,圖十一為. 圖十三、常駐程式時間設定. 各 IP 位址單日的使用量。. 四、結論 使用者在使用網路服務時,因暴露於網際 網路上,可能成為遭受網路攻擊的對象,同時 亦可能遭受區域網路內其他使用者因恣意變 更 IP 位址而產生衝突,甚至超量使用網路, 大大減低網路品質。區域網路管理人員在面臨 圖十一、單日流量使用圖列表 IPChains 設定在記錄和管理目前 IPChains 封包過濾器的過濾規則,可以使用自訂方式加 以增刪,或是利用系統自動產生過濾規則,圖 十二為過濾規則列表。. 這些複繁的問題,可能需要投入大量的時間來 解決。本論文提出以封包過濾防火牆為核心來 建構一區域網路管理系統,保護內部區域網路 不受外界惡意的攻擊,以提高區域網路的安 全,並選擇以 Web 作為操作介面,達到跨平 台的優點,方便於管理者來管理區域網路。而 區域網路下,因盜用已註冊 IP 位址而產生衝 突、或是未經過註冊擅自使用 IP 位址,而會 影響到合法者的權利,甚至於包括合法使用也 可能因為網路的超量使用,嚴重的影響網路的 品質。這種種的問題在本論文中,利用建立封 包過濾規則和分析統計封包記錄的方式,也得 到解決,大大地降低管理員的工作量。. 圖十二、過濾規則列表. 在本論文的架構中提到加入 NAT 的技.
(7) 術,藉由使用虛擬 IP 位址的方式來解決 IP 位. [5] David C. Plummer, “An Ethernet Address. 址不足的問題,在實作的系統內並未引用,其. Resolution Protocol”, RFC 826, Nov. 1982.. 主要原因在於本系統建立在中興大學應用數. [6] S. Bellovin, “Firewall-Friendly FTP”, RFC. 學系區域網路環境,目前當未有 IP 不足的問 題,故未加入 NAT 的解決方案。但是一個多. 1579, Feb. 1994. [7] B. Carpenter, J. Crowcroft and Y. Rekhter,. 方位的區域網管理系統必須擁加入 NAT 的技. “IPv4 Address Behaviour Today”, RFC2101,. 術,以解決 IP 不足的問題,這也是未來可再. Feb. 1997. 繼續努力的方向。`. [8] J. Patrick Thompson: “Web-Based Enterprise Management Architecture”, IEEE. 此外,本系統最主要的目的在於簡化網管. Communications Magazine, Mar. 1998.. 人員的工作量。為了達到這個目的,我們以分. [9] T. Berners-Lee, R. Fielding and H. Frystyk,. 析記錄的方式來自動增加封包過濾的規則,例. “Hypertext Transfer Protocol -- HTTP/1.0”,. 如網路超量超用或是外界對內部網的攻擊等. RFC 1945, May 1996.. 等。但事實上,記錄分析而產生封包過濾規則. [10] K. McCloghrie, M. T. Rose, “Management. 的機制,必須要有豐富的網路經驗和精確的判. Information Base for Network Management. 別能力,才能有效地設計出些機制,達到封包. of TCP/IP-based internets: MIB-II”, RFC. 過濾的目的,這亦是日後有待努力的另一個方. 1213, Mar. 1991.. 向。. 參考資料 [1] Gary Palmer and Alex Nash, “Firewarll” in FreeBSD Handbook, http://www.freebsd.org/ , October 1995. [2] Michael Hasenstein, “IP NETWORK ADDRESS TRANSLATION”, http://www.suse.de/~mha/HyperNews/get/lin ux-ip-nat.html, 1997. [3] Paul Russell, “Linux IPCHAINS-HOWTO”, http://www.linuxdoc.org/HOWTO/IPCHAIN S-HOWTO.html, Jul 2000. [4] J. Schönwälder and H. Langendörfer, “Tcl Extensions for Network Management Applications”, http://wwwhome.cs.utwente.nl/~schoenw/, July 1995..
(8)
相關文件
分區技能競賽 資訊與網路技術. 正式賽
傳統醫學及互聯網等領域熱點展開討論。其中部分來自世界各地的知名人士包括
由於較大型網路的 規劃必須考慮到資料傳 輸效率的問題,所以在 規劃時必須將網路切割 成多個子網路,稱為網 際網路。橋接器是最早
請嘗試 ping 其他城市的任何主機。這個動作應該是無法 達成,而會顯示 Destination Host Unreachable 或 Request Timed Out。不過,您應該能夠
結合轄區不同領域具辦訓能量及優良實績,且具本署人才發展品質管理系統
無線感測網路是個人區域網路中的一種應用,其中最常採用 Zigbee 無線通訊協 定做為主要架構。而 Zigbee 以 IEEE802.15.4 標準規範做為運用基礎,在下一小節將 會針對 IEEE
本研究以河川生態工法為案例探討對象,應用自行開發設計之網
本研究以河川生態工法為案例探討對象,應用自行開發設計之網
