海軍艦隊現代資訊科技運用之研析與規劃---資訊安全與防護(II)

行政院國家科學委員會專題研究計畫 成果報告

海軍艦隊現代資訊科技運用之研析與規劃(II)-資訊安全與 防護

計畫類別： 個別型計畫

計畫編號： NSC91-2623-7-011-002-

執行期間： 91 年 01 月 01 日至 91 年 12 月 31 日 執行單位： 國立臺灣科技大學資訊工程系

計畫主持人： 洪西進

計畫參與人員： 張兀岱、余振國、吳金雄

報告類型： 完整報告

處理方式： 本計畫可公開查詢

中 華 民 國 92 年 5 月 8 日

九十一年度國防科技學術合作研究期末報告

（機關名稱）台灣科技大學資訊工程系

報告日期：中華民國九十一年十二月二十六日

研究計畫名稱：海軍艦隊現代資訊科技運用之研析 與規劃（2/2）--資訊安全與防護

研究計畫主持人：洪 西 進 教授

共同主持人：張 兀 岱 署長

協同研究人員： 余振國 助理教授

吳金雄 副教授

一. 摘要

隨著網路人口的快速成長，更突顯出網路安全的議題重要，傳輸 的加密、加裝防火牆、入侵偵測系統、資料隱藏等技術都是為了加強 網路傳出的安全，網路安全專家提醒網路使用者及企業平時除了要對 網路安全工作加強防護外，更應從全策略的角度來省思：

(一) 駭客跳板問題[2][7]：

網路上隨手可得的駭客工具，先攻陷無辜第三者的電腦，使其淪為駭 客跳板，再利用這些電腦攻擊真正的目標電腦。事實上，所有連在網 路上的電腦都有可能成為駭客的跳板，再加上寬頻網路所帶來的龐大 長時間上網電腦，正好讓駭客隨手可得，輕易的取得控制權，成為駭 客入侵別人電腦的打手。從許多的實際案例顯示，這些淪為駭客跳板 的電腦，大都無任何防禦的能力，而電腦的擁有者，也大都無網路安 全的概念或輕忽網路安全的重要性，而讓駭客有機可乘，常造成網路 安全防禦體系上的死角。

(二) 歷史稽核檔問題[2][6][7]：

再完善的防禦措施，總無法做到百分百的安全，但若能善用「網路監 視設備」，確實能收到嚇阻歹徒犯案之效，縱使歹徒犯案，亦可由這 些記錄中找到蛛絲馬跡，加速警方的破案。而所謂的「網路監視設 備」，可以分為對內與對外的策略，除了一般來說對於外部網路入侵 行為的監視與偵測之外，對於內部員工的控管之重要性也是不言而 喻，以國安系統或者企業的 MIS 來說真正最大的危害更是由內部從 事非法行為。雖然作業系統上早有一些 sys log，而在網路設備上也有

一些 log 檔，都可茲利用。不過實務上這些 log 並不好維護，而且高 竿的駭客在入侵成功後，也會清掉這些制式的 log。因此最有效的 log 乃是師夷之長以治夷。利用後門程式的技術來監控內部網路與主機的 各種狀況，以便能記錄各時間及各種存取動作，以備事後的分析與稽 核。

本計畫針對網路安全各個觀點作詳細討論並利用後門技術發展 出有效監控內部網路的系統。

二. 計畫目標：

本研究探討駭客入侵的過程，進而了解駭客行為，發展出一套本 端行為紀錄與監控系統，對於現有的電腦系統進行安全掃描研究與行 為的紀錄，以提高電腦系統本身的安全性，進而預防未來可能的資訊 安全事件的發生，進一步找出新對策與防禦駭客的攻擊方法[3]。預 期完成的工作項目為：

(一)收集伺服器上的系統程式、網路協定、網路軟體等缺陷資料。

(二)建立自行掃瞄程序，針對伺服器軟體設計的缺陷、網路協定的缺 陷、網路軟體的設計問題、網路服務的錯誤設定進行偵測。

(三)入侵證據留存，防止網路犯罪。

(四)規劃設計有效的安全防護機制。

(五)適應所有微軟視窗平台的本機與網路監控需求

(六)針對解決動態 IP 與 VPN 的監控做有效解決

(七)即時文字檢索監視之紀錄稽核與警示功能

三. 問題之背景、現況與需求定義

電腦病毒與駭客入侵同為目前資訊領域最大的危害[2]，我們先就其定義與 防制簡要說明。防駭與防毒軟體在定位及技術結構上是不同的，兩者相輔相成，

卻不能互替。目前電腦的使用者多有防毒概念，但在電腦安全上的防駭觀念，僅 有具規模之企業關心。隨著寬頻網路的普及，個人電腦連線時間顯著增加，遭侵 害機率大增。僅有掃毒程式是無法完全防範遠端入侵者的破壞甚至冒用。

簡單的說病毒多為被動式的發作，並鎖定在應用程式層面，且有自我複製並 傳送的特性，是已經被設定好何時將會發作、發生什麼狀況的型態；而駭客則是 主動性的攻擊，是利用網路傳輸的特性或應用程式甚至作業系統的漏洞來攻擊 你、竊取隱私與私密資料，這些都是駭客自主的行動。駭客可怕的地方在於其可 能躲在暗處， 並不是那麼容易就可以被發現的；而感染病毒後會有明顯症狀，

較容易被發現並採取防範措施；而防駭的重點，就在於如何發現個人電腦有異常 的連線進入，並幫助你立即去阻絕它，使它無法進入你的電腦中。

駭客入侵一直是有網路以來，最頭痛的問題之一[7][9]：

在 2000 年 2 月，以雅虎為首的美國一系列大型網站遭到了駭客 組織性的攻擊，他們攻擊的目標包括了雅虎、電子港灣、亞馬遜、微 軟網路等美國大型國際網際網路 Internet 網站。據統計，在去年 2 月 7、8、9 日這短短的三天裏，這些受害公司的損失就超過了 10 億 美元，其中僅營銷和廣告收入一項便高達 1 億美元。

2000 年 10 月中旬，微軟的高度機密網路被一來自俄羅斯的駭客 入侵，在幾周時間裏，駭客攻破了微軟的系統，並偷走了微軟的部分 程式代碼，引起微軟巨大恐慌。這使得微軟不得不更改其產品研發上 市計劃，造成的巨大的損失是不言而喻的。

我們可以看出，越是網際網路 Internet 經濟發達，對網際網路 Internet 依賴越多的國家或地區，因為網路安全隱憂受到損失就越

大，在軍事方面也是如此。

1989 年 3 月 2 日凌晨，3 名德國駭客因涉嫌向前蘇聯出售機密情 報被捕，他們在兩年多的時間內，闖入了許多北約和美國的電腦中，

而這些電腦中儲存著高度機密的資訊。

前克格勃人員透過一台微電腦入侵層層設防的美國花旗銀行，提 取現金 1600 萬美元。隨著國家和企業在政治、經濟等方面對網路環 境和網路資訊資源依賴程度的加深，涉及國家安全和社會公共安全的 所有重大問題，都會在網路上表現出來，使資訊網路安全面臨新的風 險。

在全球平均每二十秒就發生一次網路入侵事件，有近 80%的公司 至少每周在網路上要被大規模的入侵一次。

這些人不僅是危害到個人資訊安全，更甚者更可從中獲取相當大的利益甚至 是洩漏了國家機密。因應而生的防入侵工具與方法也不斷的產生，以找出對策與 防禦的方法。

據台灣電腦網路危機處理中心的”[3]台灣地區 Web 網站的安 全性檢查報告”中指出，在分析各網路安全的過程中，發現了：(1) 大多數的系統安裝完畢後並未將不需要的服務關閉，給予入侵者入侵 的管道。(2)大多數的系統並未安裝系統安全補漏。(3)系統管理者往 往未更改系統的預設值，例如服務的預設組態或是網路設備的預設帳 號密碼。會造成系統安裝完畢後並未將服務關閉、並且未安裝系統安 全補漏、更未修 改系統的預設值這類的疏忽，主要是管理人員不知道 要關閉，或是忘了關閉、補漏，如果可以提供檢查表(check list) 給管理人員，進行檢查，相信這一類疏忽一定會降到最低。更進一步

實施自動偵測，將這一類的疏忽提示出來，供應給管理人員作為修正 建議。入侵者入侵的方式簡介如下：

1.駭客的入侵途徑通常有以下幾種[1][4][5]：

(1) 經由一些網頁上的可執行檔或圖片檔由 E-Mail 來傳播 (2) 心懷不軌的內部員工及廠商

(3) 協定本身設計的漏洞 (4) 後門程式

(5) 大量轟炸（DoS）

(6) Buffer Overflow

2. 入侵者的入侵過程：

網路駭客花招百出，主要有以下的步驟[4]：

(1) 勘查系統架構：

勘查與目標主機相關的網域名稱 勘查目標主機系統所採用的作業系統 勘查網路拓樸與存取路徑

勘查目標主機所提供的服務(PortScan) 勘查資源分享資料夾(DumpACL)

勘查合法使用者帳號 (2)入侵系統

(3)取得系統資源 (4)消去紀錄

(5)再尋找下一目標

2. 入侵現況與方法：

我們以目前危害網路最大的分散阻絕服務攻擊說明之：

DoS 攻擊[4][5][8]的原理，簡言之就是針對 TCP/IP 協議的弱點，利 用 IP 欺騙技術，對要攻擊的節點瘋狂地發出網路封包﹔使得被攻擊 主機忙於處理這些虛假來源的網路封包，從而使合法的使用者無法正 常的連接到被攻擊的節點。而且由於 DoS 攻擊的發動者採用 IP 地址 欺騙，使得很難對攻擊來源進行定位。由於 DoS 攻擊的這些特點，使

它成為最有效，也最難防護的攻擊手段之一。如上圖所示，攻擊者多 會先入侵一些未受保護的主機當成其發動主要攻擊的跳板，在跳板上 安裝攻擊的程式後，只要對這些 agent 機器下攻擊指令便可輕易癱瘓 目標伺服器，從而使目標主機當機或不得不關閉主機減低傷害。

四. 研究方法與過程

1. 防禦入侵與自我保護：我們使用上圖的兩個架構來說明。

左圖說明整體架構分成兩個主要部分，防禦的部分我們採用 BlackICE 來阻隔攻擊的封包；自我保護的部分細部結構如右圖所示，

分別有執行中的程式、那些 Port 正準備提供服務或已在服務、目前 有那些網路協定執行中、螢幕的監控、入侵狀況監控、鍵盤的紀錄訊 息等，這些可全面掌握目前主機的使用狀況及回報管理端以便採取適 當措施。

2. 系統架構：

我們可以透過一台中央控管的主機來監測所有子網路之內的主 機安全狀態，而每一台使用者的電腦都安裝上 Server 端程式。此 Server 端程式主要因為進行入侵時要先勘查系統架構，本端進行監 控，功能如下：

A. 執行中的程式

B. 列舉電腦開啟的連線與執行 Port

C. 執行那些協定

D. 螢幕的監控與紀錄

E. 入侵狀況監控

F.即時關鍵字搜尋與警報

G.按鍵紀錄與實際中文碼紀錄檢視

H.Server 端程式開機自動啟動與行程隱藏 I.紀錄自動回傳管理主機

五. 研究進度及完成項目

目前完成主要功能詳述如下：

主要分為兩大架構，一是監控端可以尋找到被控端的系統；另一是無 法主動找到被控端的系統，而由被控端主動回覆的機制，茲分述如下：

(1)主動式版

1. 監控中的螢幕：只要視窗切換時就可以記錄到所有切換的畫面，

並自動地傳回到主控台電腦中。目前已經克服 VPN 的問題，即使監控 的電腦位於虛擬網路下，我們仍可清楚地紀錄受到監控的電腦的所有 IP 狀況與畫面。

2. 執行中的應用程式：所有目前執行的應用程式皆可掌握，可輕易 發現使用者使用電腦的狀況。

3. 使用者 Key in 紀錄：

可以記錄使用者所有的鍵盤紀錄，並傳回給主控台端。目前已完 成按鍵的紀錄，而即將完成的中文訊息全紀錄更是目前市面上未 見的創舉。

4. 對方硬碟資料可以瀏覽受監控電腦的硬碟資料並下載其檔案。

(2)虛擬網路版

除了上一版的功能，目前為了使操作更容易，我們允許可以 對所要監控的電腦命名，並能隨時掌握目前連上的電腦狀況

以上即為目前已發展的版本。

六、系統問題與未來展望

本系統之特點在於利用木馬程式技術來做內部網路安全的 有效控管，將行程隱藏、遠端自動回傳、監視使用者紀錄、

遠端檔案下載等等的後門程式概念來保護企業或單位內部

機密與網路安全。並針對目前網路架構現況解決了固定 IP、

浮動 IP 與轉址(虛擬)IP 的問題，惟因網路程式的難處在於 需考慮所有影響的軟硬體因子諸如內外防火牆、封包過濾、

防毒軟體的誤判、連接線路的穩定性等等問題，故系統仍有 無法傳遞訊息的可能性。而目前因考慮影像完整性與可看 性，故螢幕畫面的擷取乃使用較高畫素的圖片呈現(*.jpg 檔，一張約 45-60KB)，故需要較佳頻寬的網路環境，特別是 監看多台主機時尤甚；而監控端主機的儲存空間亦相對得視 監看主機數目而增加。其次為系統考慮目前較多使用者為主 的微軟視窗平台(windows95/98、windowsNT/2000/XP)作為 發展目標，對於 UNIX 系統使用者則無法支援其平台。最後 是對於跨網段（兩個不同轉址網路間）的監控能力受限於網 路協定而無法使用本系統，將來的目標是以解決能夠圖形化 即時控制遠端電腦桌面與突破虛擬私接網路內電腦的遙控 能力。

七、參考文獻

[1]http://www.gennet.com.tw/b5/PCGuard/cnews.php?op=view&pi d=13&cnt=1&k=2

[2]http://www.gennet.com.tw/b5/forum/backdoor.html

[3]http://www.cert.org.tw/

[4]HACKING EXPOSED Second Edition: Network Security Secrets &

Solutions; Stuart McClure,Joel Scambray & George Kurtz ;2001.5

[5]中國大陸的駭客技術；閻雪；松崗書局；2000.8

[6]Intranet 及 Internet 防火牆策略；原著 Edward Amoroso and Ronald Sharp，編譯 程捷生；儒林書局；1997.4

[7]http://www.nsfocus.com.tw

[8] Network Intrusion Detection: An Analysis Hnadbook, 2/e)；編譯 陳正昌 2002.2

[9]http://fetag.org

八、審查意見回覆

1.請就報告中說明如何進行安全掃描 ?

安全掃描就是對電腦系統或者其他網路設備進行安全相關的檢測，以 找出安全隱憂和可能會被駭客利用的漏洞。事實上，安全掃描軟體是 把雙面刃，駭客利用它入侵系統，而網管掌握它以後又可以有效的防 範駭客入侵。安全掃描通常採用兩種方式，第一種是被動式，第二種

是主動式。所謂被動式就是基於主機之上，對系統中不合適的設置，

脆弱的通道以及其他同安全規則抵觸的物件進行檢查；而主動式是基 於網路的，它通過執行一些腳本 (script)檔案比對系統進行攻擊的行 為並記錄系統的反應，從而發現其中的漏洞。利用被動式掃描稱為系 統安全掃描，利用主動式策略掃描稱為網路安全掃描。

我們是採用軟體(ISS I n t e r n e t S c a n n e r) 的 精 神來完成此項任務，

Internet S c a n n e r針 對 T C P / I P網 路 設 備 提 供 網 路 安 全 風 險 的 偵 測 與 分 析 。 透 過 傳 送 一 連 串 的T C P / I P封 包 、 密 碼 猜

測 、 以 及 破 解 程 式 的 執 行 等 ， 模 擬 駭 客 入 侵 的 手 法 ， 來 進 行 網 路 安 全 弱 點 的 偵 測 與 評 估 ， 以 辨 識 網 路 通 訊 服 務 、 作 業 系 統 、r o u t e r、 E - m a i l、 W e b S e r v e r、 F i r e W a l l等 ，

是 否 有 遭 外 界 入 侵 的 風 險 。

掃描的原理與做法如下：

 p o r t 掃 描 偵 測 ：針 對 w e l l-k n o w n s e r v i c e p o r t 以 外 的 p o r t s掃 描 偵 測 。

 後 門 程 式 掃 描 偵 測 ：針 對 p c a n y w h e r e、n e t b u s、B O2 K、

N e t s p y等 著 名 後 門 程 式 的 掃 描 偵 測 。

 密 碼 破 解 掃 描 偵 測 ：對 於 密 碼 破 解 的 掃 描 機 制 包 括

F T P、 P O P 3、 T e l n e t、 R e x e c、 R s h 等 的 預 設 帳 號 密 碼 、 易 猜 測 的 密 碼 破 解 ， 以 及W i n d o w s 9 5 / 9 8資 源 分 享加 以 密 碼 破 解

 E-m a i l 掃 描 偵 測 ：對 於 m a i l s e r v e r b u g 的 掃 描 偵 測 包 括 s e n d m a i l、 E x c h a n g e等 的 掃 描 。

 瀏 覽 器 安 全 性 掃 描 偵 測 ：針 對 I E 及 N e t S c a p e的 安 全 性 掃 描 偵 測 。

 D O S 掃 描 測 試 ：測 試 D e n i a l O f S e r v i c e的 掃 描 攻 擊 ， 包 括 I I S . h t r O v e r f l o w的 檢 查 測 試 。

 N T 安 全 性 掃 描 偵 測 ： 提 供 包 含N T R e g i s t r y、

D C O M ( D i s t r i b u t e d C o m p o n e n t O b j e c t M o d e l )、 A u d i t i n g、 N T u s e r、 N T P a s s w o r d s的 安 全 掃 描 偵 測 。

 I P S p o o f i n g掃 描 偵 測：測 試 I P 欺 騙 的 入 侵 掃 描 偵 測 。

2.請針對文中提出的”入侵狀況監控”(Monitor Intrusion state) 是如何進行 ? ;同時異常狀況回報管理端是如何運作(policy

server ? )

我們也是利用 ISS B l a c k I C E D e f e n d e r軟 體 的 精 神 來 實 現 入

侵 狀 況 監 控 的 測 試 ， 監 控 原 理 為 訂 定 以 知 的 入 侵 攻 擊 如 teardrop 封 包 碎 片 或 非 法 連 線 等 行 為 除 了 先 行 擋 下 ， 並 會 回 報 在 監 控 畫 面 中 。 然 後 根 據 連 線 所 取 得 的 資 源 或 權 限 種 類 來 分 級 何 者 為 可 疑 連 線 或 是 危 險 的 連 線 乃 至 於 針 對 同 一 來 源 位 置 計 算 其 時 間 與 封 包 的 連 線 量 與 行為 來 判 斷 是

否 為 阻 斷 式 服 務 攻 擊 。

3.可否協助將該系統移至本軍並建立實驗平台執行各項測試？

Ans:

本系統目前適於實驗平台測試，如貴軍已建有模擬實際網路之實驗平 台，將樂於提供協助。由於貴單位電腦可能作業系統流傳版本或者內 部核心與本軟體實際開發時的平台版本與作業系統元件有所不同有 待克服，故有需要實際到貴單位進行各項測試以利於實際應用。若貴 單位有此需要，本小組樂於配合。

4.在文中談到，本系統需考慮所有影響的軟硬體因子，如內外防火 牆、封包過濾與防毒軟體的誤判等問題，導致系統仍有無法傳遞訊息 的可能性，就上述問題是否有較好之建議？

Ans:

由於目前民間有企業之防火牆乃限制對外網路之連接只限於某些

Port(ex.port21,port25,port80 等)、或甚至乃至對內防火牆禁止連 線服務的存取規則，對於限制如此高的網路也不容易發生網路安全事 件，即使想做壞事也幾乎沒什麼漏洞可鑽；但是本軟體仍可在閘道 (或 防火牆)之內的內部網路使用，因為通常對於內部是不太會有限制 的。至於對於比較敏感或是智慧型的入侵防駭軟體可能會有被判斷成 病毒程式的可能性，因為本軟體的自動傳檔機制乃使用 Time-Based，

是以固定時間完成自動傳檔與隨傳隨斷的機制，固將來仍有可能會被 後門偵測軟體判斷為駭客軟體，但以目前市面上防駭軟體仍無可做到 如此精密的判斷機制，因為很可能會嚴重影響網路效能並且特徵碼比 對困難。至於對於防火牆的誤判方面，我們可將 Port 號縮小到常用 PORT 範圍之內 1-200 號，這樣一般的防火牆都能夠通過了。

5.文中敘及該系統適用於轉址(虛擬 IP)環境，卻又評估並不事宜建 置於艦艇與碼頭間網路環境(亦為虛擬 IP 之 NAT 架構)，是否著眼於 無線網路環境，又有何限制因素之考量？請再闡述說明之。

Ans:

本案已雖於實驗室中針對目前網路架構現況，解決了固定 IP、浮動 IP 與轉址(虛擬)IP 的問題。惟因網路程式的難處在於需考慮所有影響 的軟硬體因子，諸如：內外防火牆、封包過濾、防毒軟體的誤判、連 接線路的穩定性等等問題，故系統仍有無法傳遞訊息的可能性。加上

本研究小組對於貴軍基地光纖案系統架構與功能不甚瞭解，因為系統 之安全偵掃功能是建立於區域網路中，以確保區域網路內之安全；似 乎並不適用於廣域或有 Gateway 者。因此，鏈接於無線媒介的兩(或 多)個端點均應建立各自之安全偵掃功能，此乃通過不安全通道 (無線 媒介)必須有之認知。故本案建議將本程式安裝於各艦艇內部建置的 區域網路系統，以確保艦艇 內部機密與網路安全為首要考量，陸岸單 位之區域網路亦考量設置。