Professional Documents
Culture Documents
資訊安全技術概
論
主講: LUODER & DAN
2023/08
聲明
本講義主要參考資料來源為遠傳電信 網路
暨 技 術 群 協 理 朱 建 國 (2020) IPAS 初 級
資安工程師 資訊安全技術課程分享教材,
相關內文、圖形、照片及編排等著作權或
其他智慧財產權均歸屬原作者所有。
非經原作者書面授權同意,不得以任何形
式於任何平面或電子網路轉載、複製、引
用、公開傳輸、改作、散布或為其他利用
行為。
本單元知識層次
知 理 應 綜 分 評
識 解 用 合 析 鑑
初級 中級
資訊安全技術概論 Agenda
網路與通訊安全
作業系統與應用程式安全
資安維運技術
新興科技安全
實作篇 對應
初級資訊安全工程師考科 二
評鑑科目 評鑑主題 評鑑內容
網路安全
2-1 網路與通訊安全 通訊安全
作業系統安全
作業系統與應用程式 ( 含資料庫與網頁 )
攻擊手法
2-2 作業系統與應用程式安全
程式與開發安全
惡意程式防護與弱點管理
資料安全及備份管理
2-3 資安維運技術
資訊安全技術概 日誌管理
論
雲端安全概論
行動裝置安全概論
2-4 新興科技安全
物聯網安全概論
網路與通訊安全
IS@luo A2-1
國際標準組織 IOS(International Organization for
Standardization) 制定了 OSI 模型 (Open System
Interconnection ,開放系統連結 ) 的通訊標準,
作為制定通訊協定及發展網路相關產品的參考標準。
網路 OSI 階
Layer
層 7. 應用層
應用
Application
Application Telnet, Mail, SSh
Layer Http
6. 表達層
Session
Presentation
Layer
5. 會議層 Transport
Session Stream
Layer /Socket/NetBIOS
4. 傳輸層
TCP UDP
Transport
Layer
3. 網路層
IP /ARP/ICMP/Router
Network
Layer
2. 資料連結
Ethernet/PPP
層
Data Link
Layer Fiber / Cable
1. 實體層
Physical Layer
網路攻擊的類型
認識網路攻擊
請參考 Cyber Kill Chain 與 MITRE ATT&CK
資安威脅與攻防體系
網路與通訊安全重點
針對網路 OSI 各層的攻擊手法
原理
可能會造成的損壞
防護重點
網路層的防護機制
其他的安全威脅
VPN
郵件安全… .
網路層 – ARP Spoofing(1/2)
又稱為 ARP flooding 、 ARP poisoning 或 ARP Poison
Routing
在 Broadcast Domain 下無法被動監聽其他電腦間連線封包
ARP Spoofing 攻擊強迫偽冒其他 IP ,讓攻擊者有機會監測
到其他電腦間的通訊
ARP (Address Resolution
Protocol, 乙太網路位址解析協
192.168.1.99
定)
Fake 192.168.1.1 用來對應 MAC 與 IP 位址的協定
Switch 192.168.1.254
Broadcast Domain
Router
Server Server
192.168.1.1
網路層– ARP
Spoofing(2/2)
攻擊手法
攻擊者使用 ARP Broadcast 封包告訴其他電 192.168.1.10
Attacker 將封包錄下後轉送到真正的
192.168.1.1
防護建議 Server
192.168.1.1
攻擊者控制多部阻斷服務攻擊主機
(DoS Agent) ,對受害者發動大規模的
阻斷服務攻擊
被攻擊的受害者為主要受害者,被控制 DoS
Agents
的阻斷服務攻擊主機本身也是次要的受
害者
其攻擊來源 IP 太多 ( 數百至數千
個 ) ,通常很難透過防火牆封鎖來源 IP
防護建議 Victim
定期進行資安檢測、調整防護設備的通 18
行規則、提升服務系統的設備性能與規
格、導入使用具備 DDoS 防禦或 DDoS
FW, IDS, IPS, UTM
防火牆 (Firewall, FW)
在企業內部網路 (Intranet) 及網際網路 (Internet) 之間架設一道可監控管理的緩衝界面
(Gateway), 管制所有網路封包的進出 , 允許或禁止網路上特定之資料存取行為。部置於
閘道或端點,主要工作是檢查所有通過的 IP 封包,藉由 IP 位址、 Port 及封包傳送方
向來控制網路資訊封包傳播。 每家企業需要根據實際網路運作需求,在網路使用便利與
安全之間做取捨, 制定企業最佳網路保全政策 (Security Policy) 。如: Cisco 的 ASA 5500
系列
USB 硬 碟
網站瀏覽… .
內部網
全面防毒的部署 段
個人電腦與伺服器防毒
電子郵件防毒匣道
上網防毒匣道
電子郵件社交工程攻擊與防護
技術面防護
建置垃圾郵件過濾系統
用戶端郵件收發軟體 ( 例如: Outlook) 的安全設定
以文字模式閱讀信件
關閉自動下載外部元件
關閉「收件匣」預覽視窗
電子簽章
管理面防護
訂定使用者電子郵件使用規範
定期實施電子郵件安全宣導課程
定期實施電子郵件社交工程演練,並針對未符合使用規範的人員進行宣導
或訓練
計算開啟率與點擊率
22
IS@luo A2-1
應用程式安全基本觀念
軟體安全工程 (software security engineering) 探討軟體
安全問題的解決方法
應用安全屬於軟體工程的問題,由設計來解決
架構安全屬於系統管理問題,由設定來解決
安全要求高的軟體,需要特別訂定安全性規格 (safety
specification)
從實際應用的角度來評估風險
依實際的需求來設計軟體系統降低風險與損害
作業系統 / 應用程式的威脅整理
緩衝區溢位 (Buffer overflow)
惡意程式碼 (Malware)
輸入攻擊
後門程式
邏輯炸彈
行動應用 (app) 的攻擊
社交軟體的攻擊
OWASP Top 10 2021 – Current Vision
( 針對 Web 應用程式漏洞和攻擊趨勢 )
資料來源: https://owasp.org/Top10/zh_TW/
OWASP Top 10 2021 – Current Vision
( 針對 Web 應用程式漏洞和攻擊趨勢 )
資料來源: https://owasp.org/Top10/zh_TW/
OWASP Top 10 2021 – 重點說明
A01:2021- 權限控制失效 從第五名移上來 ; 94% 被測試的應用程式都有驗測到
某種類別權限控制失效的問題。在權限控制失效這個類別中被對應到的 34 個
CWEs 在驗測資料中出現的次數都高於其他的弱點類別。
A04:2021- 不安全設計 這是 2021 年版本的新類別,並特別聚焦在與設計相關
的缺失。如果我們真的希望讓整個產業 " 向左移動 " *註一*,那我們必須進
一步的往威脅建模,安全設計模塊的觀念,和安全參考架構前進。
◦ *註一 : Move Left 於英文原文中代表在軟體開發及交付過程中,在早期找出及處理
相關問題,同 Shift Left Testing 。*
資料來源: https://www.ithome.com.tw/news/143001
中國菜刀 (Chopper)
勒索軟體攻擊手法 (1/2)
如:中國駭客組織
Earth Centaur/
Tropic Trooper ( 熱帶突擊隊 )
勒索軟體攻擊手法 (2/2)
勒索病毒濫用的合法工具
勒索軟體應變做法
安全軟體開發生命週期簡介 (1/3)
需求分析 風險評估
(Requirements) 資安要求
安全的軟體開發生命週期
(Secure Software 架構設計 威脅模型
資安架構
(Design)
Development Life Cycle,
SSDLC) 意指發展一套安全 程式實作
安全源碼撰寫
(Implementat
的軟體之順序,主要程序如 ion)
右圖所示 品質確保
測試與驗收 系統驗收
(Testing)
部署、運作與維護 教育訓練
(Maintenance) 修補與更版
即時監控
安全軟體開發生命週期簡介 (2/3)
需求分析 (Requirements)
著重資安需求定義,以符合使用者需求與法規遵循為目的
Security By Design
架構設計 (Design)
根據需求分析結果,進行包含系統任務的目標、功能關聯、邊界範
圍及各階層使用者的角色等內外部使用的規劃與搭配適當的資安架構
程式實作 (Implementation)
落實既有之規劃,將使用者介面、功能運作及安全性等完整的實現
安全軟體開發生命週期簡介 (3/3)
測試與驗收 (Testing)
進行運作模擬,檢驗該系統的完成度,確保各項功能與安全性
皆可符合既定的需求
部署與維運 (Maintenance)
進行軟體之部署,安排教育訓練
落實軟體之穩定運作,應定期修補漏洞 (Patch) 、按步升級更新
版本 (Upgrade) 及即時監控 (Monitor)
軟體與開發安全其他重點
SOD
Segregation of Duties ( 職務區隔 )
變更管理
軟體測試
效能測試
安全測試
軟體靜、動態測試
資料來源: https://reurl.cc/Eo8Z5A
IS@luo A2-3
資安漏洞評估程序
國內相關資源 :
HITCON ZeroDay 漏洞通報
TWCERT/CC
弱點掃描 Vulnerability Scan
系統弱點掃描 (VA)
針對作業系統的弱點、網路服務的弱點、作業系統或網路服務的設定、帳號
密碼設定及管理方式等進行弱點檢測,檢測項目須符合 (CVE) 發布的弱點內
容 ( 最新版 )
可分為到場服務與遠端服務
弱點掃描服務中文報告 ( 掃描與複掃均需提供 )
網站弱點掃描 (Web VA)
係針對組織對外主機網頁安全弱點進行掃描,檢測項目須符合 OWASP TOP
10 的項目
可分為到場服務與遠端服務
弱點掃描服務中文報告 ( 掃描與複掃均需提供 )
3
常見的漏洞 / 弱點掃描工具
作業系統層面
Nessus
OpenVAS
Rapid Nexpose
MBSA
Web VA
IBM Appscan
HP WebInsepect
Acunetix
網路層面
IP / Port Scan
弱點資料庫 --CVE
CVE (Common Vulnerabilities and Exposures )又稱常
見漏洞與披露,是一個與資訊安全有關的資料庫,收集各種
資安弱點及漏洞並給予編號以便於公眾查閱。此資料庫現
由美國非營利組織 MITRE 所屬的 National
Cybersecurity FFRDC 所營運維護
CVSS
作為弱點的嚴重等級區分
CVSS
( 資訊產品的漏洞有多嚴重? )
CVSS (Common Vulnerability Scoring System)
目前版本為 3.0 , 2015/6 公布
目前衡量的機制有… ?
攻擊向量 (Attack Vector, AV)
攻擊複雜度 (Attack Complexity, AC)
是否需要提權 (Privileges Required, PR)
是否需要使用者操作 (User Interaction, UI)
影響範圍 (Scope, S)
機密性影響 (Confidentiality, C)
完整性影響 (Integrity, I)
可用性影響 (Availability, A)
評估比較 VA, PT, RT
TIBER-EU ( 歐盟 Threat Intelligence-
based Ethical Red Teaming)
縱深防禦與駭客入侵
資安威脅與縱深防禦
應用資訊流矩陣範例
資料備份重點
資料備份的目的為對抗資料毀損的威脅,以保護資料的
可用性
檔案資料的備份
個人使用者可為自己的重要資料進行備份
資料庫資料備份
由系統人員定期備份
備份方式、週期、測試等等
備份與備援之不同
日誌管理重點
日誌中記錄了使用者的活動、異常狀況、錯誤與資訊安全事件的資
訊,應該產生與保留相關的系統、服務或事件日誌,並定期檢討與檢
視。
常見日誌類別
作業系統日誌… . 事件日誌
資通系統日誌
設備操作或系統日誌
自定義的軌跡日誌
日誌內容要求
危機與營運持續管理
資料來源: https://www.ithome.com.tw/news/148571
資安防護架構的通盤規畫—以馬偕醫院使用
CDM 安全模型呈現事前、事中與事後的技術防禦面向為例
資料來源: https://www.ithome.com.tw/news/148571
資安完整保護
IS@luo A2-4
何謂雲端
依據美國國家標準與技術研究院 (NIST) 的定義,雲端運
算是一種依照需求,可以方便地存取一組共用及分享電腦
資源的模式。所配置的資源包括網路、伺服器、儲存空
間、應用程式及服務等,可以在最少的管理工作及服務提
供者的介入下,快速地提供與交付。
雲端安全重點
雲端建置類型
雲端服務類型
雲端安全議題
管轄議題
資料安全… ..
行動運算
行動運算( Mobile computing )
是指可行動裝置在人機互動下產生的資料、語音和影片的
傳輸。
行動運算涉及行動通訊、移動裝置和行動軟體 三個元素。
行動通訊 (Mobile Communication) :處理基礎架構網路
的通信問題,例如,通信的性能、協定、資料格式與相關
的技術。
行動硬體 (Mobile Hardware) :移動的裝置、設備或輔
助硬體元件,例如:智慧型手機、平板電腦、穿戴式裝置
等。
行動軟體 (Mobile Software) :處理行動應用程式的功能。
行動裝置安全重點說明
將行動裝置與雲端運算結合的模式,稱為行動雲端運
算 (Mobile Cloud Computing)
行動式存取在資訊安全方面,有以下的限制:
使用行動設備時,應特別注意確保企業資訊或機密隱私資料不
會
外洩。
當企業使用行動設備執行商業或協同作業時,設備中所存放之
資料,應妥善予以分類儲存,並實施適當之保護與管理控制措
施,例如:將單一行動設備中所儲存之公司與個人資料予以隔
離。
APP 安 全 … MAS 認 證
BYOD
Bring Your Own Device, BYOD
應實施適當的安全措施,例如:
企業資訊與私人資訊的隔離
提供存取企業資訊前,使用者應已簽署協議確認自己相關的職
責
考量隱私性法規的規範
物聯網資訊安全重點
概論
非傳統的物件透過網路相連並且互相交換資料
物聯網中的物件數量龐大,代表可能受到資安攻擊的目標越
多,容易成為資安的弱點
物聯網安全威脅
Security By Design
Hard to update….?
資安技術重要字辭與定義複習 (1/2)
OSI 模型 DDoS
法規 : ( 例 )
個資法,跨國
加密傳輸 Private 傳輸
IP
社交工程
SFTP vs. FTP
SQL
Injecti
on
DMZ
資安技術重要字辭與定義複習
(2/2) Well-known
Service ports (0-
Cookies ports 1024)
APT
中間
釣魚 人攻擊
FW/ SPOF
Proxy/
WAF
… 各種網路攻擊
手法特性
(Protocol)
資訊安全技術實作篇
IS@luo A2-5
Ex. 1-4
🞺Ex. 1 RSA 密碼法
🞺Ex. 2 資安技術實作
🞺Ex. 3 封包解析軟體實作
🞺Ex. 4 PGP 的實作與應用
IS@luo D0
資安技術實作 - 1 (RSA 密碼
法)
• (1)RSA 加密法的兩個質數若選 p=2 與 q=7 ,
◦ 則 N 值為何 ? { 公式 :N=P×Q}
• (2)e 值可為何值 ( 選擇題 )?(a)3 (b)4 (c)5
◦ { 公式 : e 與 (P-1)*(Q-1) 必須互質 }
• (3) 將 M=4 加密後即得密碼文 (C 值 ) 為何值 ?
◦ { 公式 :C=Me(mod N)}
• (4) d 值可為何值 ( 選擇題 )?(a)5 (b)6 (c)7
◦ { 公式 :e×d=1(mod (P-1) × (Q-1)) }
• (5) 用 (4) 的 d 值,求 (3) 的密碼文 (C 值 ) 所對應的原來資料為何 ?
◦ { 公式 :M=Cd(mod N)} M=Cd mod N }
IS@luo A1
資安技術實作 -2 ( 初體驗 )
🞺請完成以下的資料收集動作:
(1)在 local host 上使用 ipconfig 看本機的網路設定
(2)使用 ping www.google.com 看封包來回的時間。 ( 以上兩題亦可參考 S31 的
指令實作 )
(3)在 local host 上使用 netstat, active port 或其他工具,列出本機所開的 port 。
(4)使用 superscan 、 nmap 或其他工具,作 remote scan port ,記錄其結果。
(5)比較 (3) 、 (4) 項是否相同,試說明其原因。
(6)試以工具 scan IP : 202.43.192.109 ,依據 scan 結果,列出此兩部機器可能 OS
及可能提供的 service 。
(7)使用 protected storage explorer 或其他工具做本機 scan ,請列出 scan 的結果。
( 若出現重要密碼,請自行以繪圖軟體處理 ) 。
(8)清除本機所殘留的資料,再使用步驟 (7) 重做一次,分別針對結果做比較。
(9)經過上述步驟實作後,請敘述您目前對網路安全的認知及其他值得討論的事項,
或心得感想。
MacOS /
常用 Linux 指令
Linux 說明 例子
指令
反解析: -x target
dig domain 查詢工具
追蹤網域經過哪些節點: +trace domain
# -vvv 為顯示詳細資訊
curl 與 server 雙向傳輸資料的工具
curl -vvv ifconfig.me
netcat ,
nc 處理 TCP/UDP 的工具 可以做許多事情,像是通訊埠掃描、簡易
聊天室、檔案傳輸等
設定程式執行的優先權 ( 範圍
nice 輸入小於 0 ,要有 root 權限
是 -20 ~ 19)
🞹
介紹 在管理者進行網路管理時常會需要使用一些軟體工具協助工作的進行,增
加工作效率。 這 10 項工具雖是免費軟體,但所提供的功能不輸給專業的商業
軟體,其軟體功能包 含資訊安全、設備管理、網路偵測、流量統計等。
🞺
1 、 Active port :網路運作狀況監控軟體
🞺
2 、 MRTG ( Multi Router Traffic Grapher ):伺服器及網路設備運作狀況
監控軟體
🞺
3 、 Nessus :系統弱點掃描軟體
🞺
4 、 Netstumbler :無線網路工具軟體
🞺
5 、 Nmap :系統弱點掃描軟體
🞺
6 、 Putty : SSH / Telnet 連線軟體
🞺
7 、 SNMP Traffic Grapher :網路設備流量監控軟體
🞺
8 、 The Dude :監控伺服器跟網路設備軟體
🞺
9 、 Wireshark :網路封包分析軟體
🞺
10 、 ZipTie :管理網路設備設定軟體
資安技術實作 -3 ( 封包解析軟體 )
封包解析軟體實作
🞺
請以任一封包解析軟體為例,需完成下列事項:
🞺
(1) 以一需輸入帳號、密碼的網路服務為例,說明解析的網路服務
( 如: HTTP, Telnet, …) ,由封包解析中,標示出可能是帳號及密碼的位
置 ( 需有網路服務畫面相對應 ) 。
🞺
(2) 以一需輸入帳號、密碼且會針對帳號密碼做加密的網路服務為
例,說明解析的網路服務 ( 如: HTTPs, SSH, …) ,由封包解析中,標示
出可能是帳號及密碼的位置 ( 需有網路服務畫面相對應 ) 。
🞺
(3) 封包解析的結果,若為明碼,則可做為判斷封包行為是否正常
的依據,請以常用的兩種網路服務為分析對象 ( 如: HTTP, FTP, 網路芳
鄰 , P2P, skype, MSN) ,試依據封包解析結果,找出可做為分析封包行為
的依據 ( 如:所使用的 port 、應用層解析結果的關鍵字……等 ) 。
🞺
(4) 請列出你對上述 (1) 、( 2) 等兩項結果的觀察,分析明碼傳輸,
可能對資訊安全造成那些影響,以及您的實作心得。
常見的網路封包分析工具有
Tcpdump 、 Sniffer 、 NetXRay 、 Wireshark ( Ethereal )等,其中
Wireshark 雖然屬於 Open Source 軟體,但是所具備的功能卻足可媲美許
多商業軟體。
連接埠掃描軟體
🞺Nmap 是 the Network Mapper 的縮寫。是知名開源網路通訊埠掃描
(Port scan) 工具 。
🞹在滲透測試或紅隊演練的作業中,常做為第一步偵察網路環境的工具。
🞺Port scanner (通訊埠端口掃描)
🞺Port Checker 網站 https://portchecker.co/
🞹Check for open ports and verify port forwarding setup on your router.
資安技術實作 -4 (PGP 的實作與應
用)
請以 PGP 處理 mail 的加密。
🞺
A
🞺
請自行產生一組以組長學號為名稱的 key ,並將 public key 匯出。
🞺
B
🞺
寄一封電子郵件至 luoder2008@gmail.com ,內容如下:
🞺
標題: 103IS_ 學號 _ PGP 作業 ( 表 103 學年度,學號 XXX 的 PGP 作業 ) 。
🞺
內容:您的班級、學號、姓名
🞺
附件:以組長學號為名稱的 public key 。
🞺
C
🞺
請針對此信做加密及簽章動作 (Encrypt & Sign ) 。
🞺
D
🞺
重覆上述動作,與另一組伙伴交換 KEY ,並將其寄予你的 key 匯入,並針對
其所寄來的信做 (Decrypt& Verify) 。
🞺
E
🞺
請將兩封信的信件原文明碼、 (Encrypt & Sign ) 、 (Decrypt& Verify) 過程印出
繳交。
Bruce Schneier: 「世界上沒有 十全十
美的安全系統,也沒有正確的技術解
答。」
◦Bruce Schneier (2001) 《秘密與謊
言》 -- 如何建構網路安全防衛系統,
商周出版。
問題與討論