藍隊需要了解網路的原因
藍隊需要了解網路,因為在當今數位時代,網路安全已成為企業與組織營運的關鍵議題。
藍隊作為企業安全的防禦者,需要深入理解網路運作的原理、常見的攻擊手法以及防禦策略,才能有效保護組織的資訊資產。
以下說明藍隊需要了解網路的原因:
1. 網路攻擊頻繁,企業面臨嚴峻挑戰
在現代,企業面臨各種網路攻擊,如:
- 勒索軟體:一種惡意軟體,攻擊者會加密你的資料並要求支付贖金以解鎖。
- 資料竊取:攻擊者入侵系統竊取重要資料。
- DDoS 攻擊:攻擊者讓伺服器超載,導致網站無法正常運作。
這些攻擊會導致公司
藍隊的責任
- 需要了解這些攻擊事件的類型、手法和影響,才能制定有效的防禦策略,以防止類似攻擊發生。
2. 跨部門合作和溝通
網路安全不只是藍隊的責任,還需要與IT部門、法務部門、公關部門合作。比如:
- 與管理層溝通:告訴公司哪些資料最重要,如果被竊取會造成什麼樣的損失。
- 與技術人員討論:了解目前的網路安全設備,有沒有安全漏洞。
- 員工安全意識培訓:教導員工如何辨認可疑的電子郵件,避免中招。
因此藍隊需要具備良好的溝通能力,才能與不同部門和專業人士有效溝通。且藍隊需要深入了解不同部門的需求和挑戰,並建立共識,共同制定有效的網路安全策略。
常見的提問方法
- 向管理層說明安全風險
- 公司最重要的資料資產是什麼?
- 如果這些資料資產被竊取或加密,會對公司造成什麼樣的損失?
- 與技術人員討論解決方案
- 目前網路中有哪些安全設備?
- 這些設備的效能如何?
- 有沒有發現過安全漏洞?
- 向員工宣導安全意識
3. 理解企業的網路架構和安全需求
藍隊需要了解企業內的網路設備(如路由器和伺服器)是如何互相連接的。他們需要分析網路架構來找出可能的安全漏洞。
常見的提問方法
- 分析企業現有的環境
- 需要具體了解企業架構
- 了解使用哪些網路設備、作業系統和應用程式
- 分析網路拓撲圖
- 評估現有的安全政策和流程
- 藍隊需要挖掘企業在網路安全方面可能存在的深層問題和擔憂
- 企業最擔心哪些網路安全威脅
- 過去是否曾遭受過網路攻擊
- 對於現有安全措施的信心程度
- 藍隊需要處理資安事件發生,並調查攻擊事件的原因
- 攻擊者是如何入侵網路的?
- 他們竊取了哪些資料?
- 系統有沒有留下任何日誌記錄
- 藍隊需要評估不同方案的可行性
- 這個方案是否能有效地阻止攻擊?
- 方案的成本是多少?
- 方案會不會對企業的正常營運造成影響?
4. 藍隊需要持續學習,提升專業技能
- 不斷學習:網路安全技術不斷演進,新的攻擊手法層出不窮,藍隊需要持續學習新的知識和技能,才能保持競爭力。
- 提升途徑:藍隊可以透過參加研討會、閱讀專業書籍、參與線上課程以及與其他安全專家交流等方式來提升專業技能。
- 研討會提問
- 這個攻擊手法有哪些應對措施?
- 這些防禦措施的優缺點是什麼?
- 閱讀書籍提問
- 書中提到的這個安全策略,是否適用於我們公司的網路環境?
- 如果要應用到我們公司,需要注意哪些問題?
- 應用知識:透過不斷學習,藍隊可以掌握最新的網路安全趨勢,並將其應用到實際工作中,提升企業整體的安全防禦能力。
藍隊在網路安全方面,需要了解哪些基礎知識
從日常生活經驗出發,思考網路的概念
-
問題: 想像一下你要寄一封信給住在國外的朋友,你需要做哪些步驟?
當你要寄一封信給住在國外的朋友時,過程與網路中的資料傳輸非常相似。
- 地址(IP 位址):就像你需要朋友的住址才能寄信
- 每個網路設備都有一個獨特的 IP 位址
- 用於確保資料能正確到達目的地
- 郵局(路由器):郵局負責處理和轉發信件
- 信件(資料封包):信件包含你想傳遞的內容,連同收件人和寄件人的地址
- 郵差(網路媒介/設備):郵差負責將信件從一個地點送到另一個地點
- 類似於網路中的傳輸媒介(如電纜、光纖)和設備
- 負責在網路中傳輸資料
- 信封(協定):信封決定了信件的格式和傳遞方式,例如普通訊件或掛號信
- 對應於網路中的協定(如 TCP 或 UDP)
- 決定了資料如何被包裝和傳送
這些日常的寄信步驟,對應網路上資料如何從一個設備傳輸到另一個設備的過程。
路由器
路由器是一種網路設備,負責在不同網路之間轉發資料封包。它根據資料封包中的目標 IP 位址,決定最佳的傳輸路徑,確保資料能正確地到達目的地。
就像郵局在郵寄系統中分發信件一樣,路由器在網路通訊中扮演著關鍵角色,協調和管理資料的傳輸。
家用或辦公室中的路由器通常連接到網際網路,允許多個設備共享網路連線。
了解 OSI 模型
-
問題: 我們剛剛提到寄信的例子,如果要把這個過程分成七個步驟,你覺得可以怎麼分?
OSI 模型是將網路通訊過程分為 7 個層級,可以透過寄信的例子來解釋這些層級的功能:
-
應用層(第 7 層,Application Layer):
-
比喻:就像你決定要寫什麼內容給朋友,這是信件的主體部分。
-
功能:直接為使用者提供服務,如電子郵件、網頁瀏覽器等應用程式。這一層確保應用程式之間能夠有效地通訊。
-
表示層(第 6 層,Presentation Layer):
-
比喻:你選擇用什麼語言、字體或格式來寫信,確保對方能夠理解你的訊息。
-
功能:負責資料的格式轉換、加密和解密,確保不同系統之間的資料可以互相理解。
-
會話層(第 5 層,Session Layer):
-
比喻:你與朋友協調何時寄信和收信,確保通訊過程順利。
-
功能:管理通訊會話的建立、維護和終止,協調雙方的交流。
-
傳輸層(第 4 層,Transport Layer):
-
比喻:你選擇郵寄方式,例如平信(不保證送達)或掛號信(有追蹤和保險),決定信件的可靠性和速度。
-
功能:提供端到端的資料傳輸服務,確保資料完整無誤地送達。主要的協定有 TCP(Transmission Control Protocol)和 UDP(User Datagram Protocol)。
-
網路層(第 3 層,Network Layer):
-
比喻:郵局決定信件應該經由哪些路線和中轉站,才能最有效地送達目的地。
-
功能:負責資料封包的路由選擇和轉發,使用 IP(Internet Protocol)地址來定位目標設備。
-
資料鏈路層(第 2 層,Data Link Layer):
-
比喻:確保信件在本地郵局和配送中心之間的傳輸順利,例如信件的包裝和標籤,避免在過程中丟失或損壞。
-
功能:處理資料幀的傳輸,使用 MAC(Media Access Control)地址來識別網路設備,確保鄰近節點之間的可靠通訊。
-
實體層(第 1 層,Physical Layer):
-
比喻:實際運送信件的物理方式,如卡車、飛機、船隻等交通工具。
-
功能:涉及物理媒介(如光纖、無線電波)和信號傳輸機制,負責將 bit 轉換為物理訊號並傳輸。
什麼是網路協定,為什麼需要網路協定?
在講解 TCP/UDP/ICMP 的區別之前,先讓我們來了解什麼是網路協定,以及為什麼需要網路協定。
如果世界上的人們說著不同的語言,彼此之間無法溝通,會發生什麼事?
網路世界也是一樣,如果電腦、手機等設備沒有共同的「語言」,它們就無法互相傳遞訊息。
網路協定就像是一套共同的「語言」,讓網路上的設備能夠互相理解和溝通。
網路協定定義了資料在網路中傳輸的規則和格式,包括資料的封裝方式、地址的格式、通訊的流程等等。
這些規則確保了資料能夠被正確地傳輸到目的地,並且被接收方正確地解析和理解。
TCP/UDP/ICMP 的區別
-
問題: 假設你要和朋友聊天,你會選擇打電話、傳簡訊還是寄信?為什麼?
我們來用生活中的三種常見通訊方式——打電話、傳簡訊和打電話詢問地址,來說明這三種協定的區別。
TCP(Transmission Control Protocol):
TCP 就像是「打電話」——在你和朋友開始聊天之前,必須先確認對方在線上,並且成功接聽,這樣才能確保雙方可以順利對話。
當你們進行電話通話時,你會確保每一句話都被清楚聽到,如果某句話聽不清楚,你可能會請對方重複,確保訊息完整無誤。
這代表 TCP 是一個「連接導向式通訊」的協定,建立可靠的連線,並確保資料在傳輸過程中不會丟失或亂序。
-
特性:
- 需要建立連接(類似打電話前要撥號)。
- 資料傳輸可靠(每句話都會被確認)。
- 如果某部分資料丟失,會重新傳送(如聽不清楚時會重複)。
- 速度較慢,因為要確認資料的完整性。
UDP(User Datagram Protocol):
UDP 就像是「傳簡訊」——當你傳一則簡訊時,不需要先確認對方是否在線,也不會確認對方是否已讀,只是把訊息快速發送出去。雖然這種方式很快,但簡訊有可能因為某些原因沒有傳到對方,或者是訊息順序亂掉,但這對你來說並不會是大問題,因為重點是快速傳遞訊息。這意味著 UDP 是一個「無連接」的協定,快速傳輸但不保證資料的完整性。
-
特性:
- 不需要建立連接(傳簡訊不需要確認對方是否在線)。
- 傳輸速度快(簡訊發送速度非常快)。
- 可能會丟失資料或資料順序錯亂(簡訊有時會消失或順序亂掉)。
- 適用於即時應用,例如直播或線上遊戲。
ICMP(Internet Control Message Protocol):
ICMP 可以比作「打電話詢問地址」——假設你要寄信給朋友,在寄出之前,你會先打電話確認對方的地址,這個步驟不會傳遞實際的資訊,只是用來確認對方是否能夠接收郵件。
ICMP 就是用來檢查網路狀況的協定,它不負責實際傳輸資料,而是用來診斷網路問題,像是用來確認某個 IP 地址是否能夠連接,這也是「ping」命令的工作原理。
-
特性:
- 用於診斷網路連接問題(確認網路是否通暢,類似於打電話確認地址)。
- 不傳送實際的數據,只用來發送錯誤報告或測試連接狀況。
- 常用於「ping」命令,檢查設備是否在線或連接是否可用。
總結:
-
TCP:像打電話,需要先建立連線,確保資料完整性,適合需要高可靠性的應用(如網頁瀏覽、電子郵件)。
-
UDP:像傳簡訊,速度快但不保證每個訊息都會到達或順序正確,適合即時傳輸應用(如直播、語音通訊)。
-
ICMP:像打電話確認地址,用來檢查網路是否通暢,適合測試連接狀況。
網路設備簡介
藍隊還需要了解網路中常見的設備,這些設備一起構建了企業網路的基礎設施。
- 路由器:根據設備的 IP 地址來轉發資料,就像郵局負責將信件送到正確的地址。
- 集線器(Hub):將資料傳給所有連接的設備,有點像一個大廣播站,雖然最終會到達正確的設備,但可能產生不必要的流量。
- 交換機(Switch):比集線器聰明,它能辨別每個設備的 MAC 位址,精準傳送資料到正確的設備。
- 橋接器(Bridge):將不同的網路連接成一個更大的網路,但它們在一起工作。
- 防火牆(Firewall):類似於網路的守門員,根據預設的規則決定哪些資料可以進入或離開網路,保護企業免受攻擊。
常見的網路相關的指令與工具
在網路管理與資訊安全中,使用工具來進行故障排除、網路發現或檢測潛在的安全威脅是非常重要的。
這些工具能幫助藍隊快速診斷網路問題或識別可能的安全漏洞。
以下是一些常用的網路工具,以及什麼時候應該使用它們、它們的目的是什麼、以及如何使用這些工具。
1. IP 和 ipconfig
使用時機
當設備無法連上網路或出現網路連接問題時,ip(Linux)或 ipconfig(Windows)是排查網路連接問題的起點。
可以查看設備的 IP 位址、閘道地址及 DNS 伺服器配置來確認問題所在。
目的
- 檢查設備的 IP 設定
- 確認網路連線狀態
- 診斷是否存在 IP 衝突或連接問題
如何使用
-
ip a(Linux):顯示設備的 IP 地址。
-
ip r list(Linux):顯示設備的路由表,查看路由配置。
-
ipconfig(Windows):顯示網路介面的 IP 資訊。
實作:在自己的 Windows 跟 Linux 做
-
使用 ipconfig 檢查 WiFi IP
-
ip a
-
ip r list
2. Traceroute 和 Tracert
使用時機:
當你需要追蹤封包從源設備到目標設備之間的路徑,或檢查網路中的路由問題時,使用 traceroute(Linux)或 tracert(Windows)。這些工具有助於了解路由器的跳數和網路中的瓶頸。
目的
- 檢查從本地設備到遠端設備的網路路徑
- 診斷網路中的延遲和瓶頸問題
- 找出路徑中的故障節點
如何使用
-
traceroute [url]:檢查封包到達指定地址的路徑。
-
traceroute [url] -p [port number]:在指定端口上執行路徑追蹤。
實作
-
安裝 sudo apt install traceroute
指令:代表利用管理員身分安裝 traceroute
-
traceroute 8.8.8.8
3. Dig 和 Nslookup
使用時機
當你需要查詢 DNS 伺服器來取得某個域名的 IP 地址或查找與域名相關的郵件伺服器資訊時,使用 dig(Linux)或 nslookup(Windows)。
這些工具適合在診斷 DNS 問題或查詢惡意域名的 IP 時使用。
目的
- 查詢域名的 IP 地址或其他 DNS 記錄
- 確認域名是否正確解析
- 排查與 DNS 相關的問題
如何使用
-
dig [domain name]:查詢指定域名的 A 記錄(IP 地址)。
-
dig [domain name] MX:查詢指定域名的郵件伺服器(MX 記錄)。
-
nslookup [domain name](Windows):查詢指定域名的 IP 地址。
實作
dig feifei.tw
4. Netstat
使用時機:
當懷疑系統上有可疑的網路活動或需要檢查打開的連接端口時,使用 netstat。
可以查看設備上目前的 TCP 和 UDP 連接,這對於檢測系統是否被遠端控制或發現潛在的惡意活動非常有用。
目的
- 檢查系統上打開的網路連接和端口
- 診斷應用程式是否正常連接到網路
- 發現潛在的惡意連接
如何使用:
-
netstat -a:顯示所有目前連接和監聽端口。
-
netstat -a -b:顯示所有目前連接、監聽端口以及對應的可執行文件。
-
netstat -s -p tcp -f:顯示使用 TCP 的所有連接的統計數據。
實作
- sudo apt install net-tools
- netstat -s -p tcp -f
5. Nmap
使用時機
針對網路進行掃描來發現連接的設備、打開的端口和執行的服務時,使用 Nmap。它是一個強大的網路發現工具,適合用來掃描網路中的設備、進行端口掃描、操作系統識別以及漏洞檢測。
目的
- 發現網路中的設備和服務
- 檢查開放的端口和潛在的安全風險
- 探測服務版本和操作系統
如何使用:
-
nmap -v -sT -sV [target]:執行 TCP 連接掃描並收集服務版本資訊。
-
nmap -sS [target]:執行 SYN 掃描,適合快速檢測開放的端口。
-
nmap -A [target]:執行全面掃描,包括服務版本檢測、操作系統識別和腳本掃描。
實作
- 安裝 sudo apt install nmap
- sudo nmap -sS nodelab.feifei.tw
何時使用這些工具
-
IP 和 ipconfig:排查網路連接問題或檢查設備的 IP 設定。
-
Traceroute 和 Tracert:診斷封包傳輸路徑的問題,檢查延遲或路由問題。
-
Dig 和 Nslookup:查詢域名的 DNS 記錄,解決 DNS 問題。
-
Netstat:檢查系統上的網路連接,發現潛在的惡意活動。
-
Nmap:掃描網路中的設備、端口和服務,識別安全漏洞和網路資源。
使用這些工具可以有效地排查網路問題,加強網路安全性,並發現潛在的威脅。這些工具是藍隊的基本裝備,用於保護和維護網路安全。
總結
本次介紹藍隊需要了解網路的原因,主要包括:
-
網路攻擊頻繁,企業面臨嚴峻挑戰:企業正面臨勒索軟體、資料竊取和 DDoS 攻擊等多種網路威脅,導致商業機密外洩、營運中斷、商譽受損和經濟損失。藍隊需要了解這些攻擊的類型和手法,以制定有效的防禦策略。
-
跨部門合作和溝通:網路安全涉及 IT、法務、公關等多個部門。藍隊需具備良好的溝通能力,與不同部門協調,了解他們的需求和挑戰,共同制定網路安全策略。
-
理解企業的網路架構和安全需求:藍隊需要了解企業內部網路設備的連接方式,分析網路架構,找出可能的安全漏洞,處理資安事件並評估解決方案的可行性。
-
持續學習,提升專業技能:網路安全技術不斷演進,藍隊需持續學習新的知識和技能。透過參加研討會、閱讀專業書籍、參與線上課程和與其他安全專家交流,提升專業能力並應用於實際工作中。
也介紹藍隊在網路安全方面需要了解的基礎知識,包括:
- 透過日常生活經驗理解網路概念,例如寄信的過程對應網路資料傳輸。
- 了解 OSI 模型的七層架構,並將其與寄信的步驟進行比喻。
- 理解網路協定的重要性,並比較 TCP、UDP、ICMP 三種協定的差異。
- 認識常見的網路設備,如路由器、集線器、交換機、橋接器和防火牆。
- 熟悉常用的網路指令和工具,包括 IP、ipconfig、traceroute、dig、netstat 和 nmap。
選擇題
-
藍隊需要了解網路的主要原因是什麼?
A) 設計更好的行銷策略
B) 理解網路運作以有效防禦網路攻擊
C) 開發新的軟體應用程式
D) 減少 IT 部門的工作量
答案:B
-
在寄信的比喻中,哪一個對應於網路中的「路由器」?
A) 信件
B) 郵局
C) 地址
D) 郵差
答案:B
-
OSI 模型中,負責管理兩個應用程式之間通訊會話的層級是?
A) 傳輸層
B) 會話層
C) 表示層
D) 應用層
答案:B
-
哪種網路協定被比喻為「傳簡訊」,速度快但不保證每個訊息都會到達或順序正確?
A) TCP
B) UDP
C) ICMP
D) HTTP
答案:B
-
若要檢查系統上開啟的網路連接和端口,發現潛在的惡意活動,應使用哪個工具?
A) ipconfig
B) netstat
C) nmap
D) traceroute
答案:B
-
防火牆在網路中的主要職責是什麼?
A) 根據 IP 地址轉發資料
B) 將不同網路連接成更大的網路
C) 根據預設規則決定哪些資料可以進出網路
D) 將資料廣播給所有連接的設備
答案:C
-
以下哪一個是「連接導向式通訊」並確保資料可靠傳輸的協定?
A) TCP
B) UDP
C) ICMP
D) FTP
答案:A
-
哪個網路工具用於查詢 DNS 記錄並解析域名?
A) nslookup
B) netstat
C) ipconfig
D) traceroute
答案:A
行動指南
-
深化網路概念理解:重新學習文章中提到的基礎網路概念,如 OSI 模型、TCP/UDP/ICMP 協定,並嘗試將其與日常生活情境聯繫,加強對網路運作原理的理解。
-
熟悉常用網路工具:實際操作並練習使用 ipconfig、traceroute、dig、netstat、nmap 等網路指令和工具,提升診斷網路問題和加強安全性的能力。
-
提升溝通技巧:加強與不同部門的溝通能力,學習如何以簡單明瞭的方式向非技術人員解釋技術概念,促進跨部門合作。
-
分析企業網路架構:如果可能,深入了解所在企業的網路架構,識別潛在的安全漏洞,並與 IT 部門合作,共同加強網路安全。
iThome鐵人賽
看影片追技術