入侵偵測系統 (Intrusion Detection System, IDS)

什麼是入侵偵測系統 (IDS)?

入侵偵測系統 (IDS) 是一種用於監控、檢測及保護網路或系統免於惡意活動的安全軟體或硬體裝置。當偵測到入侵時，IDS 會立即通知相關的安全人員。IDS 可以非常有效地監控網路的內部/外部流量，並檢查是否存在任何可疑活動以偵測網路或系統的安全性威脅。具體而言，IDS 會檢查與已知入侵模式相符的流量特徵 (signatures)，並在比對成功時發出警報。

IDS 可以根據其功能分為主動型 (active IDS) 和被動型 (passive IDS)：

• 主動型 IDS：除了偵測入侵外，還可以阻止入侵行為。
• 被動型 IDS：僅進行入侵偵測，不進行阻止。

IDS 的主要功能：

• IDS 從電腦或網路中蒐集並分析資訊，辨識潛在的安全性違規行為，包括未授權的存取以及濫用。
• IDS 也被稱為「封包嗅探器」(Packet Sniffer)，可以攔截透過各種通訊媒體和協議（通常是 TCP/IP）的封包。
• 封包在被攔截後會進行分析。
• IDS 評估被偵測到的流量是否存在威脅，並在偵測到入侵行為時發出警報。

IDS 的運作方式：

1. IDS 會比對流量特徵，找出與已知入侵模式相符的封包內容。
2. IDS 進行異常檢測 (Anomaly Detection) 來識別與正常流量不符的行為。
3. 使用狀態協議分析 (Stateful Protocol Analysis) 來評估封包狀態與協議的正確性。
4. 若檢測到威脅，IDS 會通知管理員，並可根據設定來丟棄威脅封包或封鎖來源 IP。

關鍵說明：

• Signature File Comparison: 比對流量特徵與已知入侵模式的特徵碼 (Signature File)。
• Anomaly Detection: 偵測異常流量模式，判斷是否為入侵行為。
• Stateful Protocol Analysis: 檢查封包與協議的狀態是否正確。
• IDS Preprocessor: IDS 前置處理器負責初步檢查流量並進行比對。

IDS 是在企業網路中放置於防火牆內或外，用來監視來自內部或外部的可疑流量，以幫助企業即時應對潛在的安全威脅。

IDS 如何偵測入侵行為？

1. Signature Recognition (特徵碼識別)
   • 特徵碼識別，也稱為誤用檢測 (Misuse Detection)，嘗試識別表示系統或網路資源被濫用的事件。
2. Anomaly Detection (異常檢測)
   • 基於使用者和系統中各組件的固定行為特徵來偵測入侵行為。當系統行為超出正常範圍時，即視為異常行為，可能是潛在的入侵活動。
3. Protocol Anomaly Detection (協議異常檢測)
   • 這種類型的檢測建立在模型上，探索供應商在實作 TCP/IP 規範時可能產生的異常情況。主要用來檢測協議使用是否符合預期的標準規範。

入侵行為的一般指標

檔案系統入侵 (File System Intrusions)

• 出現新的或不熟悉的檔案或程式。
• 檔案權限的變更。
• 檔案大小的異常變更。
• 系統上存在未列入已簽名檔案清單的流氓檔案 (Rogue Files)。
• 檔案遺失。

網路入侵 (Network Intrusions)

• 重複探測可用服務的行為。
• 來自異常位置的連線。
• 來自遠端主機的重複登入嘗試。
• 日誌資料的突然激增。

系統入侵 (System Intrusions)

• 短暫或不完整的日誌。
• 異常緩慢的系統效能。
• 日誌遺失或日誌具有不正確的權限或所有權。
• 系統軟體和配置檔案的修改。
• 異常的圖形顯示或文字訊息。
• 系統帳戶異常。
• 系統當機或重新啟動。
• 不熟悉的進程。

入侵偵測系統的類型 (Types of Intrusion Detection Systems)

網路型入侵偵測系統 (Network-Based Intrusion Detection Systems)

• 這些系統通常由放置於網路中、處於混雜模式 (promiscuous mode) 的黑盒子 (black box) 組成，並持續監聽網路流量以檢測可能的入侵行為。
• 偵測網路中如拒絕服務攻擊 (Denial-of-Service Attacks)、端口掃描 (Port Scans)，甚至嘗試入侵電腦等惡意活動。
• 主要透過監控網路流量來檢測入侵行為。

主機型入侵偵測系統 (Host-Based Intrusion Detection Systems)

• 這些系統通常會透過審計 (auditing) 特定主機上的事件來偵測異常行為。
• 由於需要監控每個系統事件，導致主機型入侵偵測系統的運作成本較高，因此較少被採用。
• 專注於監控單一主機的行為，如伺服器的操作系統、應用程式層級的異常活動等。

IDS 警報類型 (Types of IDS Alerts)

1. True Positive (真正陽性)：
   • 情況：當合法的攻擊發生時，IDS 觸發警報。
   • 解釋：此為理想情況，IDS 正確地識別並警告合法的攻擊事件。
   • ✅✅
2. False Positive (偽陽性)：
   • 情況：當沒有攻擊發生時，IDS 觸發警報。
   • 解釋：IDS 錯誤地識別正常行為為攻擊，導致不必要的警告訊息。
   • ❌✅
3. False Negative (偽陰性)：
   • 情況：當合法的攻擊發生時，IDS 並未觸發警報。
   • 解釋：這是非常危險的情況，IDS 未能識別並警告正在發生的攻擊行為，可能導致嚴重的安全問題。
   • ❌❌
4. True Negative (真正陰性)：
   • 情況：當沒有攻擊發生時，IDS 並未觸發警報。
   • 解釋：IDS 正確地識別出無攻擊事件發生，未產生任何多餘的警告訊息。
   • ✅❌

入侵防禦系統 (Intrusion Prevention System, IPS)

1. 定義與功能：
   • IPS 被認為是一種主動型 IDS (active IDS)，因為它不僅能偵測入侵，還能防止入侵的發生。
   • IPS 是一個持續監控系統，通常部署在防火牆 (firewall) 後方，作為額外的保護層。
2. 部署與運作方式：
   • 與被動型的 IDS 不同，IPS 是內嵌在網路中，位於來源端與目的地之間，主動地分析進入網路的流量並根據流量的內容自動決策是否進行阻擋。
3. 特點：
   • IPS 系統會主動分析流量並做出決策，有效防止可能的攻擊，並可將惡意流量進行攔截或隔離，防止進一步的入侵行為發生。

架構解釋：

• Internet 連接到 Firewall，防火牆之後為 IPS，再連接至內部的 Corporate Network (企業網路)。
• IPS 部署於防火牆後方，在進入內部網路之前進行流量監控與分析。
• IDS 系統則放置於內部網路中，用於偵測網路內部的異常行為。

IPS 的主動型防禦能力使其能夠在攻擊進入內部網路前，先行阻擋或處理可疑流量，從而有效提升網路安全性。

防火牆 (Firewall)

1. 定義與功能：
   • 防火牆是一種硬體或軟體裝置，設計用來防止未經授權的訪問進入或離開私人網路。
   • 防火牆通常部署在兩個網路的交界處或閘道 (gateway)，例如私人網路與公共網路（如 Internet）之間。
2. 主要功能：
   • 防火牆會檢查所有進入或離開內部網路 (Intranet 或 Private Network) 的訊息，並阻擋那些不符合指定安全標準的流量。
   • 它根據預設的規則，允許指定的流量 (Specified traffic) 通過，並限制或丟棄不明或未知的流量 (Restricted unknown traffic)。
3. 架構與運作方式：
   • 防火牆通常部署於內部安全區域 (Secure Private Local Area Network) 與公共網路 (Public Network) 之間，作為一道屏障。
   • 內部用戶（如企業員工）透過路由器或調製解調器 (Modem) 連接至防火牆，防火牆會分析和篩選來自網路的流量，並根據規則允許或拒絕流量進入內部網路。

防火牆是網路安全架構中的重要防護機制，用於防止外部攻擊者對內部網路的入侵，並維持內部網路的整體安全性。

防火牆架構 (Firewall Architecture)

1. 堡壘主機 (Bastion Host)：
   • 堡壘主機是一台專門設計與配置用來保護網路資源不受攻擊的電腦系統。
   • 所有進入或離開網路的流量都必須通過防火牆進行篩選與檢查。
   • 堡壘主機通常具有兩個介面：
     • 公共介面 (Public Interface)：直接連接到 Internet，處理外部流量。
     • 私人介面 (Private Interface)：連接到內部網路 (Intranet)，處理內部流量。
   • 圖示解釋：顯示堡壘主機位於內部網路與外部網路之間，負責監控與篩選流量。
2. 屏蔽子網 (Screened Subnet)：
   • 屏蔽子網或稱為非軍事區 (DMZ, Demilitarized Zone)，包含提供公共服務的主機。
   • DMZ 負責回應來自 Internet 的公共請求，並確保這些主機不會連接到私人網路。
   • DMZ 中的主機可以與公共網路互通，但不能直接訪問內部網路中的主機，從而確保內部網路的安全性。
   • 解釋：顯示 DMZ 與內部網路分離，所有的流量必須先經過 DMZ 再進入內部網路。
3. 多介面防火牆 (Multi-homed Firewall)：
   • 多介面防火牆配置了兩個或多個介面，用來進一步劃分網路區域，以便根據組織的特定安全目標 (Specific Security Objectives) 進行安全管理。
   • 通常多介面防火牆可以針對不同的子網路或部門進行更精細的流量控制與監控。
   • 解釋：顯示多介面防火牆可以同時連接 DMZ 與內部網路，並根據策略分配不同的安全等級。

防火牆架構的設計可以根據組織的需求來調整，從而達到最佳的網路安全防護效果。堡壘主機通常用來作為第一道防線，DMZ 負責公開服務，而多介面防火牆則可以提供更靈活的網路區域劃分與安全管理。

非軍事區 (Demilitarized Zone, DMZ)

非軍事區 (DMZ) 是位於內部安全網路 (Intranet) 與不安全的 Internet 之間的一個緩衝區，用來保護公司內部網路免受外部網路威脅。

• 功能與作用：
  • DMZ 作為內部安全網路與外部不安全網路 (Internet) 之間的緩衝區。
  • 可以透過配置至少三個或以上網路介面的防火牆來建立 DMZ，每個介面分別處理不同角色，如內部信任網路、DMZ 網路及外部不信任網路。
• 設置方式：
  • DMZ 通常包含公開服務器（如 Web 伺服器、郵件伺服器）等必須與外部網路進行互動的主機，但不允許直接連接到內部網路，以防止潛在威脅入侵到企業的私密網路。
• 優勢與保護：
  • DMZ 作為內部網路與不信任的外部網路之間的安全緩衝區，為公司內部區域網 (LAN) 增加了一層安全保障，防止外部攻擊者直接進入內部網路的其他部分。

防火牆類型

硬體防火牆 (Hardware Firewalls)

• 硬體防火牆是一種專用的硬體設備，通常是獨立的硬體裝置，或是路由器的一部分。
• 使用封包過濾 (Packet Filtering) 技術來過濾網路流量。
• 通常用於大型企業網路中，過濾出內外網路之間的流量，提供較高的安全性。
• 主要功能是過濾整個區域網路 (Local Area Network) 的流量。

軟體防火牆 (Software Firewalls)

• 軟體防火牆是一種安裝在電腦上的防火牆軟體程式，功能類似於一般的應用程式。
• 主要用來過濾個別電腦上的流量，並且不會影響整個網路的流量。
• 通常適合個人家庭用戶，用來過濾該電腦的進出流量，而不影響其他連接在同一網路中的電腦。

推薦：
為達到最佳保護效果，建議同時配置硬體防火牆與軟體防火牆，來提供雙重的防禦機制。

防火牆技術 (Firewall Technologies) 詳細解釋

防火牆技術根據所提供的服務與複雜度來決定其安全效能，不同類型的防火牆技術可以根據網路環境、通信位置、攔截流量的位置及追蹤狀態來配置。以下為每種防火牆技術的詳細介紹：

1. 封包過濾 (Packet Filtering)：
   • 封包過濾防火牆是最基本的防火牆技術，它通過檢查每個進入或離開網路的封包標頭（Header），如 IP 地址、傳輸協議（如 TCP 或 UDP）及端口號來決定是否允許或拒絕這個封包。
   • 主要用於過濾來自特定 IP 地址、協議及端口的流量。
   • 優點：效率高，對網路性能影響小。
   • 缺點：無法檢查封包內容，易受到 IP 偽裝及其他欺騙性攻擊的影響。
2. 電路層閘道 (Circuit-Level Gateways)：
   • 電路層閘道防火牆工作在 OSI 模型的第五層（會話層），它根據連線的建立或終止來控制網路連接。
   • 主要在連接建立時進行驗證，一旦連接建立，所有的流量都將被允許通過。
   • 優點：隱藏內部網路結構，提供較高的匿名性。
   • 缺點：無法檢查傳輸過程中的數據內容，只能控制連接的狀態。
3. 應用層防火牆 (Application-Level Firewall)：
   • 應用層防火牆運行在 OSI 模型的第七層（應用層），能夠深入檢查應用層數據，如 HTTP、FTP、SMTP 等協議，並能識別及阻擋具體的應用程序或功能。
   • 這種防火牆可根據應用層協議中的具體命令來控制流量，比如只允許某些 HTTP 方法 (GET, POST)。
   • 優點：可以對流量進行更精細的控制，有效防止應用層的攻擊，如 SQL 注入及跨站腳本攻擊。
   • 缺點：通常會降低網路效能，因為需要對封包內容進行深度檢查。
4. 多層狀態檢查 (Stateful Multilayer Inspection)：
   • 多層狀態檢查防火牆結合了封包過濾與會話追蹤技術，它在監控封包標頭的基礎上，能夠追蹤每一個 TCP 及 UDP 連接的狀態（如 SYN、ACK、FIN）。
   • 允許或拒絕封包時考慮封包在連接中的上下文，而不僅僅依賴單個封包的屬性。
   • 優點：能夠阻擋非法連接及防止非法連接的偽裝攻擊。
   • 缺點：佔用更多系統資源及內存空間，可能影響網路性能。
5. 應用代理 (Application Proxies)：
   • 應用代理防火牆位於客戶端與伺服器之間，充當代理服務角色來管理兩者之間的通信。
   • 每一個連接都需要通過防火牆代理，這樣可以隱藏內部網路結構及伺服器細節，阻止攻擊者直接與內部伺服器通信。
   • 優點：提供較高的安全性，可過濾特定應用協議中的不合規流量。
   • 缺點：通常需要對每個應用程序進行專門配置，部署及管理成本較高。
6. 虛擬專用網路 (Virtual Private Network, VPN)：
   • VPN 是一種通過公共網路構建私有安全通道的技術，它使用加密及身份驗證來確保遠端用戶的數據傳輸安全性。
   • 常用於保護遠端辦公的通訊安全，防止數據被攔截或篡改。
   • 優點：提供資料加密及隱私保護，可跨越公共網路進行安全通信。
   • 缺點：增加了網路延遲及管理上的複雜度。
7. 網路位址轉換 (Network Address Translation, NAT)：
   • NAT 將內部網路的私有 IP 地址轉換為公共 IP 地址來與外部網路通信，從而隱藏內部網路結構。
   • 通常與防火牆結合使用，進一步增強安全性。
   • 優點：隱藏內部網路結構及 IP 地址，防止內部資源暴露給外部網路。
   • 缺點：對於一些應用程序，如 VoIP，可能存在兼容性問題。

小結

上述每種防火牆技術都有其特定的應用場景及優缺點。選擇合適的防火牆技術應根據企業的網路架構、資源分配及安全需求來進行綜合考量，以達到最佳的網路安全防護效果。

蜜罐 (Honeypot) 詳細解釋

蜜罐是一種用於吸引、誘捕試圖進入組織網路的攻擊者的資訊系統資源。以下是蜜罐的功能及特性說明：

1. 吸引與捕捉攻擊者：
   • 蜜罐的設置目的是吸引並誘使那些試圖未經授權進入網路的攻擊者或嘗試非法利用系統資源的攻擊者進入這個假設的環境。
   • 攻擊者通常會認為這個環境是組織網路的一部分，因而進行掃描、嘗試漏洞利用或注入攻擊，進一步收集網路資源及內部架構的相關資訊。
2. 無生產價值與活動：
   • 蜜罐沒有任何生產性價值，且不會執行正常業務操作，因此任何試圖訪問、修改或利用蜜罐的行為都被認為是潛在的攻擊行為。
   • 任何進入蜜罐的流量通常被認為是探測、攻擊或企圖入侵。
3. 偵測攻擊並記錄行為：
   • 蜜罐可以用來記錄攻擊者的端口訪問行為、鍵盤輸入活動及操作指令等，這些行為都可以作為日後更具體攻擊的早期預警信號。
   • 例如：攻擊者可能使用蜜罐進行端口掃描、嘗試提取敏感資訊、使用已知的漏洞攻擊指令來測試系統等，所有行為都將被完整記錄。

蜜罐的工作方式

• 蜜罐通常被放置於組織網路的 DMZ (Demilitarized Zone) 區域中。DMZ 是一個位於內部網路與外部網路之間的隔離區域，用來保護內部網路資源，並引導外部流量進入特定服務器或系統。
• 當攻擊者嘗試進入蜜罐時，會透過防火牆及封包過濾的方式，監控並記錄其所有的行為，然後將這些行為分析後回報給安全管理員，做為防禦策略改進的依據。

蜜罐的優點

1. 防止入侵攻擊：
   • 蜜罐可作為網路入侵攻擊的早期預警機制，藉由偵測並記錄攻擊者行為來阻止進一步攻擊。
   • 同時，它可以防止攻擊者對真正的內部網路資源造成損害，因為蜜罐只是一個模擬的環境，沒有實際的業務數據。
2. 收集攻擊模式與工具資訊：
   • 攻擊者進入蜜罐時，安全人員可以收集攻擊者的操作步驟、使用的攻擊工具及漏洞利用方式等。
   • 這些資訊可用於調整及改進組織內部的防禦策略及安全配置。
3. 支持入侵偵測系統 (IDS) 和入侵防禦系統 (IPS)：
   • 蜜罐能夠有效輔助 IDS 和 IPS 的運作，進行深度分析與比對，識別出常規防禦機制無法識別的攻擊行為。

蜜罐的缺點

• 蜜罐的部署與管理通常需要專業的技術與大量時間，因為它需要不斷更新、分析、配置及調整以適應新的威脅情境。
• 攻擊者可能會識別出蜜罐並採取其他策略來迴避偵測，甚至反過來攻擊蜜罐所在的系統來影響其正常運作。

蜜罐類型 (Types of Honeypots)

蜜罐依據其設計準則、部署策略及欺騙技術進行分類。以下是詳細說明各種蜜罐類型：

依據設計準則進行分類：

1. 低互動蜜罐 (Low-Interaction Honeypots)：
   • 這類蜜罐僅模擬目標系統或網路的一小部分服務和應用程式。
   • 它們通常用於模擬簡單的網路服務，如網頁服務或 SSH 服務。
   • 優點：部署簡單且風險低，因為攻擊者無法真正控制蜜罐。
   • 缺點：攻擊者能夠很快識別並迴避，因為其模擬的服務有限。
2. 中互動蜜罐 (Medium-Interaction Honeypots)：
   • 這類蜜罐模擬了真實操作系統及目標網路的應用程式與服務。
   • 中互動蜜罐比低互動蜜罐更進一步，能夠提供更真實的互動環境來吸引攻擊者。
   • 它們能夠記錄更深入的攻擊行為，如漏洞利用、木馬注入等。
3. 高互動蜜罐 (High-Interaction Honeypots)：
   • 這類蜜罐模擬了目標網路的所有服務與應用程式，並可記錄完整的攻擊活動。
   • 高互動蜜罐用於吸引和捕捉攻擊者更複雜的行為，並收集大量入侵數據。
   • 優點：能夠完整記錄攻擊者的每個行為，有助於研究攻擊模式及技術。
   • 缺點：風險高，因為攻擊者可能取得蜜罐控制權並對真實網路進行進一步攻擊。
4. 純蜜罐 (Pure Honeypots)：
   • 純蜜罐模擬了真實生產網路，目的是吸引攻擊者來進行最真實的攻擊行為。
   • 它通常是一個與生產網路完全隔離的環境，但具備所有真實網路的服務與應用程式。
   • 優點：可完全理解攻擊者的行為與策略。
   • 缺點：設置成本高且管理複雜。

依據部署策略進行分類：

1. 生產型蜜罐 (Production Honeypots)：
   • 這類蜜罐主要用於防止攻擊，保護真實生產環境免受攻擊者的威脅。
   • 目的在於檢測並記錄可能的攻擊，並及時向系統管理員發出警告。
2. 研究型蜜罐 (Research Honeypots)：
   • 研究型蜜罐用於收集攻擊行為與攻擊者技術的數據，以便於安全研究。
   • 它們通常部署在非生產環境中，用於深入理解攻擊者的行為模式和技術。

依據欺騙技術進行分類：

1. 惡意軟體蜜罐 (Malware Honeypots)：
   • 專門設計用於捕捉惡意軟體攻擊行為，如病毒、木馬、勒索軟體等的執行及行為。
2. 垃圾郵件蜜罐 (Spam Honeypots)：
   • 用於捕捉和分析垃圾郵件的行為，了解攻擊者是如何散播及傳遞垃圾郵件的。
3. 蜘蛛蜜罐 (Spider Honeypots)：
   • 用於偵測和捕捉網路爬蟲（Spiders）和網路機器人的行為。
   • 例如：偵測某些爬蟲是否違反網站機器人協議（robots.txt）等。
4. 資料庫蜜罐 (Database Honeypots)：
   • 用於捕捉攻擊者對資料庫系統（如 SQL 伺服器、MySQL）的攻擊行為。
5. 電子郵件蜜罐 (Email Honeypots)：
   • 用於誘捕試圖入侵企業電子郵件系統，進行電子郵件詐騙或竊取電子郵件數據的攻擊者。
6. 蜜網 (Honeynets)：
   • 蜜網是一個由多個蜜罐組成的複雜網路，用來誘捕攻擊者進行深入的攻擊行為。
   • 它模擬了整個企業或組織的網路環境，以觀察攻擊者如何滲透和移動。

小結

不同類型的蜜罐根據其設計準則、部署策略及欺騙技術分為多種類型。低互動蜜罐通常部署在生產環境中進行基礎防禦，而高互動蜜罐和純蜜罐則用於深入研究攻擊行為與策略。根據具體需求選擇合適的蜜罐類型，可以幫助企業更有效地防禦和應對潛在的攻擊威脅。