监控与侦测网路蠕虫攻击与电脑病毒.pptVIP

實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒 國立雲林科技大學電腦與通訊工程系 國立雲林科技大學 電腦與通訊工程系 教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 國立雲林科技大學電腦與通訊工程系 實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒 國立雲林科技大學電腦與通訊工程系 實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒 實驗五 監控與偵測網路蠕蟲攻擊與電腦病毒 前言 本實驗整合多個網路設備來偵測Worms、Spyware/Adware、Network Viruses等事件，即時阻擋上述非法之封包，並產生警告及記錄。 本實驗用來分析網路異常的硬體設備為NUSOFT的NUS-MS2800， NUS-MS2800是網路型的整合式威脅管理系統(Unified Threat Management)，可有效防止電腦病毒、特洛依木馬...的威脅，並能偵測及阻擋網路惡意攻擊程式 ( 蠕蟲、緩衝溢位... )以及產生警告及記錄。 下圖為本實驗的網路連結示意圖。 實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒 * LAN(NAT): /24 ~ 54/24 MS-2800 實驗場景 WAN:40/24 Internet Unified Threat Management(UTM) Unified Threat Management(UTM) (資料參考來源 /) 「UTM」一詞首先出現在 2003 年 IDC 的研究告報告中，其被定義為具有額外網路防禦機制的防火牆平台，能夠抵禦 DoS / DDoS (阻斷服務/分散式阻斷服務)、病毒和其他惡意軟體、垃圾郵件以及網路釣魚的攻擊，很多UTM解決方案還具有網頁過濾的功能。 根據這個對「UTM」裝置的定義，市面上許多網路安全解決方案廠商都提供了類似的產品。 在 UTM 的概念出現之前，企業為了防禦各式各樣的威脅，必須配置多項單功能產品，例如防火牆、防毒閘道器、防垃圾郵件裝置以及 URL 閘道器。企業還必須同時兼顧這些平台和其他 IT 解決方案的管理，員工也必須熟悉這些各不相同的介面、指令和差異性。林林總總一堆的安全解決方案代表著必須購買多項產品，經常費用也更高，對資金預算和營 運預算都是一個很大的負擔。 UTM 的概念解決了企業必須管理多項單功能產品的難題，透過單一的作業系統與管理介面，提供一個能夠滿足多方面安全需求的全功能架構。這不但在學習新系統方面節省下可觀的時間，也提高 IT 人員在阻撓攻擊時的有效性。 UTM 的價值在於簡化管理，以最精簡的單一設備來得到企業所需要的網管水準，並具有快速搬遷、集中控管、節省成本的優勢，建置 UTM 的意義主要是基於公司業務考量，而非只是純粹以 IT 技術的眼光來思考。使用 UTM 解決方案該有的觀念應該是，將其放在最適當的地方，讓其發揮適所的功能，而非只是硬要將其賦予的各項功能，拿來與業界單一功能最優秀的產品做比較。 實驗5 監控與偵測網路蠕蟲攻擊與電腦病毒 * Unified Threat Management(UTM) 就許多廠商對UTM 的看法來說，UTM 設備定義是：多種安全功能整合到單一硬體設備，其中必然會有必備的防火牆，入侵偵測系統與防毒閘道除此之外，因應市場需求，再將VPN 垃圾郵件防治、網頁過濾、IM Control、P2P Control 等功能也包括其中、我們再細部將UTM 需提供的功能定義如下： (資料參考來源 .tw/) 防火牆功能：為UTM 必備功能、通常在規劃上也大多以配合防火牆最適合放置之位置來部署、並且必須具備有NAT 及VPN 之功能、效能上也必須與單一防火牆匹敵。 入侵偵測功能：因防火牆只能執行即定之政策、若政策上允許之協定與Port,例如HTTP、防火牆會將之充許通過卻無法防止駭客從HTTP 來破壞或入侵內部目標伺服器、因此UTM 也必須具備IPS(主動阻斷式入侵偵測)功能、來偵測及阻斷類似這種利用防火牆先天上弱點之入侵行為、至於IDS(被動式入侵偵測)功能因僅能偵測出入侵行為,並發出警訊、但無法主動阻斷來源,漸漸成為UTM 之附加功能。 防毒功能：UTM 需提供防毒功能原因不外乎是,在閘道端來做防毒過濾、能預防同樣來自於網路上並且經過防火牆之病毒,並且也能配合伺服器端以及PC 端之防毒軟體系統、以防止各種不同的管道在企業內部流竄、預防企業遭受病毒感染、也因此為UTM 提供之功能之一。 防垃圾郵件：此一議題為在電子郵件成功地成為資訊時代不可或缺的工具時，許多商業或非商業之廣告、病毒、非法信件便也從網路上蔓延開來,許多企業早期靠的是郵件伺服器上被動地定義黑白名單、將企業不歡迎之信件阻擋下來，但因郵件散佈與規避技巧越來越完美,垃圾郵件防治也單獨成為一個資安議題，更一步步成為必備之主流，因此將U