防止攻击跳板主机的安全管理策略(二)

/ns/wz/sys/data/20020311141757.htm

四、防策略

一般性保护(general protection)

1.vulnerable host 禁止外对内/内对外连线。与安全检测程式配合

(Vulnerability

Scanner/Auditor),若一检测有安全缺陷,马上与 firewall policy service

连线,拒绝

所有内外连线。

2.後门程式侦测 (backdoor detection)

Active Detection 用以侦测 passive tunnel 的存在

Passive Detection 用以侦测 active tunnel (reverse shell) 的存在。

侦测 well known protocol port

number,记录非合法协定封包、来源及目的位址。

侦测非 Interactive protocol port number,记录非 Interactive

行为封包。[16,17]

用户端保护措施(Client Protection)

1.Sendmail SMTP authentication

此措施可预防类似 Melissa 、Love-letter、Navidad

等信件连锁风暴的後门攻击。但必须

警告使用者不要记忆认密码。

2.Delay sent of Outgoing E-mail

3.Security Policy Enforcement

外对内:拒绝所有连线 (Not established)

内对外:只开放允许使用服务的 port 位址,并以 application proxy

方式,检查连线封

包,拒绝非正确协定封包的传递。但为了拒绝以特定协定作为虚拟专线底层协定

的 tunnel

连线,必须以异常分析机制监控。这方面的监控方法尚待解决。因为 tunnel

封包以合法的

协定对外,沟通的封包量与频率也能控制在合理围(只是降低操控者的回应速

率),因此不易侦测。

伺服端保护措施 (Server Protection)

1.all open files are monitored

2.建立伺服器档案稽核检查记录 (如 tripwire)

3.Security Policy Enforcement:

外对内:只开放伺服器服务 port 位址(如 E-mail smtp tcp port

25),且以 application

proxy 方式接受连线,拒绝非正确协定封包(如 udp port 53 只允许 DNS

packet,丢弃

并记录其他所有非 DNS

、不合法封包,采取这样的措施将可避免主动讯息後门经由

port 53 传递反向 shell 封包。)

内对外:拒绝所有连线 (Not established)。

五、追查技术的发展

1. 诱陷装置系统

诱陷的目的是追查入侵来源。目前网路犯罪破案率相当低,诱陷与追踪的相关性

与重要性明

显可见,一般建议的方法是建立各重要网路出口监视系统,并配合网管系统,建

立即时

caller ID 追踪。

这方面的成果主要是 NAI[5]的 CyberCop Sting Server,具有模仿 Windows

NT、Solaris、

以及 Cisco Router等作业环境。[7,10]是如何建置 Honey Pots 环境,[6]

则是更动

Inetd 或所有会漏系统资讯的地方,显示令入侵者混淆的资讯,例如原是

Linux ,则换

装为 FreeBSD 或 Solaris。[8] 是伪装成中Back-Orifice

病毒的主机,引诱在网路专门扫

瞄 BO 的受害者上门。[9] 介绍在 FreeBSD 如何建立如 Jail 的环境。

2. 流量分析

Thumbprint [11-13]的观念在未来入侵线索的建立上将有极大助益。所谓

Thumbprint 是分

析入侵者各种独特可区分之特点,例如其打字速率、连线状况、系统特有状况,

虽经网路大

量 traffic 等 noise

影响,仍可经过滤後找出可供识别的特徵。这些特徵称为 Thumbprint。

类似的研究有别於一般网路据集的方法[14],必须监视及记录入侵者通过的

所有路径,

反而回到传统现实环境的方法,尽可能只依赖犯罪现场所遗留的据。

[16,17] 更以流量分析的方法建立 passive filter,分析非互动 port

连线却呈现互动连

线流量,藉此侦测後门程式的存在。

3. 稽核记录

一般遭受後门「污染」之系统,就不能确信任何稽核记录档。Bruce Schnier

最近则致力於

Forensics的主题[15],研究如何保护不安全、或不能完全信赖主机上的系统记?

?C

六、法律责任归属

1.善意第三者的法律责任

被经由攻击跳板主机入侵的受害者,可能控告被当作跳板的主机拥有者?若真可

行,事实上

是在惩罚不经心的网路主机管理者,因为自己不小心的後果,造成其他人受害。

在国外甚至

已开始考虑这方面立法的可行性[1]。这反应出未来网路安全已经不再是单纯保?

@自己网路

不受侵犯的消极性防护,更要以保护他人系统不致遭受到源自本身网路的攻击(

亦即为了保

护别人而更尽力保护自己)。但在责任清上可能会相当杂。根据上述分析,

後门指令、

回应管道的建立可分为四种类型,直接、间接参与攻击跳板的系统涵盖层面广泛

,包括善意

的上载伺服器、Napster 等形式的 peering service、Free Homepage

provider,这些型态

的公众服务都可能成为被动操控命令的传递跳板。

2.分散式攻击参与主机的法律责任探讨

基本上这仍属於第一类的不经心管理者(或用户端电脑)。主要责任当然在於策

动攻击者,

但被操控而主动参与攻击者,若不加诸任何刑罚,将使未来分散式跳板攻击日益

盛行。全世

界网际网路电脑总数若以千万计,应该有为数百万以上的电脑已被暗藏操控後门

。每一次攻

击参与者若以万计,不但受害者难以承受,真正指使者更难以追查。这类被操控

而参与攻击

者应该担负民事赔偿责任,特别应该规公务部门及学术机关学校。不过此类赔

偿不宜直接

补偿受害者,而是强制需支付於加强该单位安全管理相关经费,不得挪移他用。

七、结论

1. 模拟状况

以下模拟建立一个长时效的回应後门管道。後门管道建置的参与者包括:内部

作网页电脑

(AC)(将潜藏讯息回应程式)、Free homepage provider (FHP)。利用E-mail

overflow

attack 在 AC 上殖入後门。後门回应讯息将隐藏嵌於 AC

所作网页与图档(利用影像隐

藏技术)。外部命令以不同形式分别(1)置於 FHP 网页。(2) 置於内送

E-mail 内涵。(3)

隐藏於网路流量。此形式的後门可建立於任何只「接收」 E-mail 而提供 Web

Content 的

封闭网路。事实上 AC

可能是内部网路的任何一部电脑,或许是喜好作个人网页的单位

主管。一旦後门指令、回应通道建立,操控者将能随心所欲对内部网路进行开放

空间的攻

击行动。

2. 对於未来网路安全的击

若 1/10

的电脑都潜藏有後门程式,不只不利於未来电子商务环境的推展,各可能危急国



整体资讯安全。最可怕的後门程式是潜伏蔓延,自动寻求最合适的指令与回应通

道。

八、参考文献

1.Eric J. Sinrod, Combating Internet crimes and threats, November 07,

2000,

http://www.upside.com/texis/mvm/upside_counsel?id=3a06fede1

2.Robert Stone, "CenterTrack: An IP Overlay Network for Tracking DoS

Floods," 9th

Usenix Security Symposium

3.David E. Mann and Steven M. Christey, "Towards a Common Enumeration

of

Vulnerabilities, " 2nd Workshop on Research with Security

Vulnerability Databases,

Purdue University, January 21-22, 1999

4.台湾网路安全性评估, http://www.cert.org.tw

5.CyberCop Sting

http://www.nai.com/international/uk/asp_set/products/tns/ccsting_intro

.asp

6.Deception Toolkit, DTK. http://www.all.net/dtk/

7."Do You Need a Honeypot?". Internet Security Advisor, Nov & Dec.

1999

http://www.advisor.com

8.FakeBO, http://yi.com/home/KosturjakVlatko/fakebo.htm

9.Jail(8) in FreeBSD's System Manager's Manual http://www.FreeBSD.org

10.To Build a Honeypot, Lance Spitzner.

http://www.enteract.com/~lspitz/honeypot.html

11.Terrance Goan, "A Cop on the Beat: Collecting and Appraising

Intrusion Evidence,

" Communications of the ACM, Vol. 42, No. 7, 1999, pp. 46-52.

12.Staniford-Chen, S. and Heberlein, L.T. "Holding intruders

accountable on the

Internet," In Proceedings of the 1995 IEEE Symposium on Security and

Privacy

(Oakland, CA, 1995), 34-49.

13.L.T. Heberlein, K. Levitt and B. Mukherjee. "Internetwork Security

Monitor:

An Intrusion-Detection System for Large-Scale Networks," in Proc.

15th National

Computer Security Conference pages 262-271, Oct. 1992.

14.H. T. Jung et al. "Caller identification System in the Internet

Environment,

" In Proc. 4th Usenix Security Symposium, 1993.

15.Bruce Schneier and John Kelsey, "Secure Audit Logs to Support

Computer

Forensics," ACM Trans. on Information and System Security, Vol. 2,

No. 2, May

1999, Pages 159-176.

16.Yin Zhang, and Vern Paxson, "Detecting Backdoors," 9th Usenix

Security

Symposium

17.Yin Zhang, and Vern Paxson, "Detecting Stepping Stones,". 9th

Usenix Security

Symposium

<完>

本文摘自黄世昆博士89年12月8日中央警察大学论文发表(防止攻击跳板主机的安全管理策略)
http://www.cert.org.tw