NESSUS 弱点侦测系统.PPT

林長諭 IPS的必要性 　　根據IDC發佈的案例，美國的一家財務公司，在全球有12個分支機搆，原計劃使用多台防火牆並搭配250個許可證的IDS。最終，該公司僅用了30個許可證的IPS產品就實現了全球網路的入侵防禦，而管理人員只需要3至4人，效率卻提高了6倍以上。? 組成 IPS = Snort + Guardian + iptables 在結合 Guardian 及 iptables 後，使得原有的系統轉為主動防禦，可以自動化地檢視並直接做出反應的手段，有效降低管理上的不便。 Guardian 讀取並分析 Alert Event 修改 iptables 的設定 主動阻擋攻擊的行為 Database add Strategy 優勢 Real-time Interdiction ： 即時對入侵活動和攻擊性行為進行攔截。 Advanced Detection Technology ： 根據不同的特徵與攻擊，同時處理檢測和重組分析，並對重組後的封包進行比對。 優勢 Build-in Special Rule ： 　　允許手動建立特殊的的規則、策略。 Self-study Self-adaptation Ability ： 　　根據網路被入侵的狀況，分析和紀錄攻擊特徵並更新資料庫，制定新的安全防禦策略。? Promiscuous Promiscuous(混雜模式) 混雜模式的效用就是使網卡可以接收所有通過它的資料，具體的地址轉送則是在接收到封包後由MAC層來進行。 所以為了監控網路，必須先開啟混雜模式。 套件清單 1.抓取封包 libcap0、libca-devel、pcre、pcre-devel 2.MySQL (5.0.67) mysql、mysql-client、libmysqlclient15、libmysqlclient-devel 3.Apache(2.2.10) apache2、apache2-mod_php5 4.PHP php5、php-mysql、php5-gd 套件清單 5.Snort(2.8.6.1) 6.紀錄檔更新(3.7.7) logrotate 7.BASE分析(1.4.4) 8.OlinkMaster(2.0) 9.Guardian (1.7) 預定目標 確認Snort可以確實偵測分析 確認Guardian可以修改iptable並阻擋攻擊 陳卉潔 何謂弱點？ 弱點指的是在軟體程式開發時的一些有意或無意的程式設計錯誤，或系統管理者的一些不當安裝設定軟體的方式，使得攻擊者可以在有安裝這些軟體的機器上，利用這些尚未修補的錯誤來入侵，獲取到系統的機密資訊或是系統的權限。尤其是當軟體越裝越多，系統服務開啟的越多，那麼被攻擊的可能性就越大。 為何需要弱點掃描？ 風險： 組織單位環境若存在越多弱點就越容易遭受攻擊。 事實： 99% 的駭客利用已知的漏洞入侵。 策略： 定期的弱點評估有助於掌握及降低遭受攻擊入侵的風險。 Nessus 介紹 Nessus 是一套免費、功能強大、更新迅速、支援即時更新且容易使用的安全性稽核軟體。 可針對指定的網域、主機，找出隱藏的弱點所在，讓系統管理者對系統主機進行錯誤的更正或防護，以避免被入侵者攻擊。 提供模擬真實的攻擊以測試系統漏洞，回報找到的漏洞並提供解決方法。 Nessus 特性 Client – Server 架構： Client 端主要是一個前端介面，能提供使用者登入 Nessus Server，選擇欲執行的檢測。 Server 端負責測試掃描，掃描後提供完整的報告及可能的解決方案給 Client 端檢視、修復。 Server 端執行複檢作業。 Nessus 特性 聰明的通信埠識別能力：Nessus 在測試目標並不會依循 IANA 所指派的通信埠編號。例如：Nessus 能辨別出一個開在 port 6386 的網頁伺服器。 重覆服務的檢測：一台主機同時架設兩個網頁伺服器，Nessus 會將兩個通信埠都測試出來。 Nessus 特性 同時偵測多台電腦：視伺服器主機的能力而異，但 Nessus 系統可同時測試多台目標伺服器。 遠端掃描：Nessus 可同時在本機或遠端上搖控，進行系統的漏洞分析掃描。 完全支援 SSL ( Secure Socket Layer ) Nessus 特性 弱點偵測 Plug-ins：每一個 Plug-in 可針對每一個安全漏洞提供稽核並提供此漏洞的相關修補資訊；目前以提供 40000 個以上。 時常性更新弱點資料庫 NASL 擴充語言：NASL ( Nessus Attack Scripting Language ) 可用來寫入 Nessus 的安全測試選項，亦可給使用者可以