iT邦幫忙

2025 iThome 鐵人賽

DAY 21
0
Security

資安的原罪系列 第 21

【21】資安的原罪 ch.3-3.c 防火牆與防毒軟體

  • 分享至 

  • xImage
  •  

【21】資安的原罪 ch.3-3.c 防火牆與防毒軟體

本章見證保護電腦的基本產品。


什麼是防火牆

防火牆是一種用來監控和控制進出網路流量的安全系統。它的目的是保護你的裝置(電腦、智慧型手機等)或網路,防止未經授權的存取和惡意活動。

防火牆的類型:

  • 硬體防火牆:置於網路與互聯網之間的實體設備,用來過濾流量並阻擋惡意資料。
  • 軟體防火牆:安裝在個別電腦或裝置上,作為裝置與互聯網之間的屏障來控制流量。
  • 雲端防火牆:用於保護雲端服務和數據,通常更具擴展性,適合大型網路使用。

🔄 有狀態與無狀態防火牆:

✅ 有狀態防火牆(Stateful Firewall)

從內部網路發出一個 HTTP 請求到網站,回應的資料會被視為「這個連線的合法回覆」,防火牆會自動放行。

  • 能夠記住並追蹤每個連線的狀態(例如:已建立、正在進行中、關閉等)。
  • 分析整個連線的上下文,而不只是單一封包。
  • 能自動允許合法的回應流量(例如:你連上網站後,回傳的資料會被允許)。
  • 安全性更高,適合複雜網路環境。

❌ 無狀態防火牆(Stateless Firewall)

即使回應是合法的,如果沒有明確設定放行,無狀態防火牆也可能會把它擋下來。

  • 不追蹤連線的狀態,只根據靜態規則對每個資料封包單獨判斷。
  • 無法區分這個封包是新的連線,還是現有連線的回應。
  • 通常設定上需要同時允許「請求」與「回應」方向的流量。
  • 效能較高但安全性較低,適用於簡單或特定的網路環境。

有狀態防火牆就像一位守門人,記得你剛進去時的樣子,如果你回來了,他會認出你並讓你進。
無狀態防火牆則像一位不記人的保全,每次都要你出示證件,不論你是不是剛從裡面出來。

🔐 防火牆政策(Firewall Policy)

防火牆的核心功能是依據一套規則(Policies)來判斷哪些網路流量應該被允許(Allow)拒絕(Deny)封鎖(Block)。這些規則可以非常細緻,根據多種條件進行判斷,例如:

  • IP 位址(來源或目的地)
  • 網段(如 192.168.1.0/24)
  • 通訊埠(Port,如 HTTP 的 80,HTTPS 的 443)
  • 協定(如 TCP、UDP、ICMP)

📋 黑名單(Blacklist)與白名單(Whitelist)

這兩種是最常見的防火牆存取控制策略

✅ 白名單(Whitelist)

僅允許在清單上的對象,其餘全部封鎖。

  • 用途:只讓特定 IP、裝置或應用可以連接。

  • 好處:安全性高,因為所有非列名的流量都會被封鎖。

  • 範例

    • 只允許公司內部的 IP 存取內部系統。
    • 只讓特定的國家或地區的 IP 存取網站。

❌ 黑名單(Blacklist)

封鎖清單上的對象,其餘允許通過。

  • 用途:阻擋已知的惡意 IP、來源或應用程式。

  • 好處:較為彈性,適合應對已知威脅。

  • 範例

    • 封鎖某些國家的 IP。
    • 阻擋特定惡意軟體的通訊端口或協定。

✨ 結合策略使用

在實務中,防火牆通常會同時使用白名單和黑名單,例如:

  • 白名單:只允許公司內部 IP 存取資料庫。
  • 黑名單:封鎖知名惡意 IP,避免攻擊。

這樣可以在不犧牲便利性的情況下,大幅提升網路安全性。


什麼是代理防火牆

代理防火牆(也稱為應用層閘道器)是一種應用層防火牆,它透過在使用者(或裝置)與網際網路之間充當中介來運作。它不會直接將請求轉發到目的地,而是代表使用者進行代理轉送請求。這種方式在應用層上提供了額外的安全防護層,能過濾請求以提升安全性。

代理防火牆的主要概念:

  1. 應用層過濾

    • 傳統防火牆通常在網路層(如IP、TCP/UDP)運作,而代理防火牆則在應用層(如HTTP、FTP等)工作。這表示代理防火牆能檢查實際交換的數據內容(例如網頁請求、電子郵件內容),而不只是看標頭或元數據。
  2. 更細緻的流量控制

    • 由於代理防火牆能深入檢查流量內容,因此它提供更高的力度來控制和過濾應用程序。例如,可以阻擋特定網頁、限制某些服務的使用(如聊天或影片串流),或防止下載符合已知惡意軟體模式的檔案。
  3. 匿名性與隱私

    • 代理防火牆可以隱藏使用者的IP地址,讓外部伺服器無法直接看到用戶的真實IP。
    • 這對於安全瀏覽尤其有用,可以隱藏身份或避免被追蹤。
  4. 隔離作用

    • 代理防火牆位於內部網路與外部網路之間,能隔離內部網路免於直接暴露於互聯網,防止客戶端與伺服器直接通訊,提供額外保護層。

工作原理:

  • 攔截請求
    當使用者或設備想要連接網際網路時,會先將請求送到代理防火牆,而非直接連接到目的伺服器。

  • 檢查流量
    代理防火牆會檢查這些請求(有時甚至會檢查內容),以確保符合安全政策。

  • 轉送請求
    如果請求被允許,代理防火牆會代表使用者向目的伺服器發出真正的請求。伺服器回應後,代理防火牆再將回應轉發給使用者。

  • 無直接連線
    使用者的設備不會與目的伺服器有直接連線,所有通訊都是經由代理防火牆轉送。這樣做可以隱藏使用者的身份及內部網路結構,提升安全性。

代理防火牆的類型:

  1. 正向代理(Forward Proxy)

    • 最常見的代理防火牆形式,代表客戶端或內部網路代為發送請求到目標伺服器。它還可以快取內容以提升效能,並阻擋惡意網站的訪問。
  2. 反向代理(Reverse Proxy)

    • 反向代理代表伺服器或網路服務,處理來自外部用戶的請求,並將其轉發給適當的內部伺服器。這種代理能提供負載平衡、網頁加速,以及隱藏內部伺服器結構等安全功能。

🛡️ 什麼是防毒軟體?

防毒軟體是一種用來偵測、預防和移除惡意軟體(Malware)的安全工具。大多數現代防毒軟體會在背景持續運作,主動掃描系統中的檔案與活動,防止病毒、木馬、間諜程式等惡意軟體入侵裝置。

當偵測到可疑檔案或行為時,防毒軟體通常能夠採取以下動作:

  • 🔒 隔離:將可疑檔案與系統其他部分隔離,防止其執行或擴散。
  • 🗑️ 刪除:移除確認為惡意的檔案或程式。
  • 🛠️ 修復:若可能,修復已被感染或損壞的檔案。

🔍 常見的惡意軟體的偵測方式

特徵碼偵測(Signature-based Detection)

  • 利用一個包含已知惡意軟體特徵碼(Signature)的資料庫。
  • 掃描目標檔案,並比對是否符合已知惡意程式的模式。
  • 類似「指紋比對」,對已知病毒準確率極高。

優點:快速、精準,對已知威脅效果極佳

規則式比對(Rule-based Matching)

  • 使用規則(如YARA)來比對檔案中的文字、位元組模式、正則表達式等。

  • 可以根據條件組合(如檔案大小、匯入函式、熵值)來建立更彈性的偵測規則。

  • 常用於:

    • 威脅獵捕(Threat Hunting)
    • 惡意軟體家族分類
    • 識別新變種

優點:彈性高、可自訂、適合安全研究人員與資安團隊

行為式偵測(Behavioral-based Detection)

行為式偵測透過觀察程式執行時的實際行為來辨識是否為惡意軟體,而不是僅分析靜態檔案內容。

  • 大量修改或刪除系統檔案

  • 自我複製、感染其他檔案

  • 未授權存取網路、攝影機或麥克風

  • 嘗試關閉防毒軟體或系統安全機制

  • 加密使用者檔案(例如勒索軟體)

  • 偵測時不依賴程式碼樣本,而是判斷「做了什麼」。

優點:有機會偵測未知威脅、變種、零時差攻擊

📌 行為偵測常搭配機器學習技術,分析大量正常與惡意行為樣本以建立預測模型,提升偵測準確度與自動化能力。

動態啟發式分析(Dynamic Heuristic Analysis)

動態啟發式分析是指在受控環境(如沙箱)中執行程式,並根據一套預先定義的啟發式規則,監控程式的執行行為。這些規則是根據專家經驗設定,旨在辨識出「可疑」或具惡意行為的動作。

  • 動態分析:實際執行程式,觀察其行為,而非僅分析靜態程式碼結構。

  • 啟發式規則:使用專家制定的規則,例如:

    • 寫入系統目錄
    • 修改登錄檔(Registry)鍵值
    • 向其他程序注入程式碼
  • 情境感知:不僅偵測單一行為,而是考慮行為的順序與上下文關係。

🔄 比較表

特性 動態啟發式分析 行為式偵測
執行環境 沙箱(受控環境) 真實系統(即時監控)
偵測依據 啟發式規則 行為模式與異常
著重點 符合規則的可疑活動 偏離正常行為
適應性 靜態(需人工更新規則) 自適應(機器學習模型可進化)
零時差惡意軟體偵測能力 中到高
誤報率 中等 調校不當可能偏高
抗規避能力 中等(沙箱識別技術可能被規避) 高(若實作良好)

靜態啟發式分析(Static Heuristic Analysis)

  • 不執行程式,而是靜態分析檔案結構與指令碼,尋找可疑特徵,包括:

    • 可疑 API 匯入(如:CreateRemoteThread, VirtualAlloc
    • 可執行檔(PE)頭異常或加殼(Packing)特徵
    • 匯入表模糊化(Import Table Obfuscation)
    • 高熵(High Entropy)區塊 → 可能代表加密或壓縮資料
  • 分析結果通常會產生一個「可疑分數(Suspicion Score)」而非明確結論。

優點:能在不執行程式的情況下發現潛在威脅


什麼是沙箱

沙箱(sandbox)是一種安全機制,用來在受控環境中隔離並測試可疑檔案、程式或行為,防止它們對系統其他部分造成傷害。在防毒軟體的範疇中,沙箱技術是將檔案或軟體放在一個安全、隔離的空間(稱為「沙箱」)中執行,讓它們無法影響實際系統或網路。

  • 整合於偵測機制中:沙箱常被作為防毒軟體的一部分,用於在受控環境中分析檔案。它並非總是獨立功能,而是一種用於即時惡意軟體分析的先進技術。你可以將沙箱技術放在防毒軟體的「惡意軟體偵測」或「進階偵測方法」部分介紹。

沙箱如何運作:

  • 隔離運行:可疑檔案(例如新下載的軟體、電子郵件附件或未知執行檔)會在虛擬環境中執行。
  • 行為監控:沙箱會監測該檔案的行為,例如是否試圖修改系統檔案、傳送資料到外部伺服器或存取其他應用程式。任何惡意活動都會被立即標記。

什麼是蜜罐

蜜罐(honeypot)是一種誘餌系統或網路,設計用來吸引並監控網路攻擊。它模擬一個看似脆弱的目標,讓攻擊者嘗試利用,藉此讓防禦者觀察攻擊者的戰術、技術和程序(TTPs)。蜜罐通常用於較進階的安全架構中,用以收集情報和研究攻擊模式,但在防毒和更廣泛的惡意軟體偵測策略中也扮演一定角色。

  • 作為輔助技術:蜜罐通常不會直接整合於防毒軟體中,但可作為更廣泛網路防禦策略的一部分。如果你想在防毒部分提及蜜罐,可以將它們描述為一種輔助工具,用來早期偵測威脅並提供情報,以改進惡意軟體資料庫。可歸類於威脅情報行為分析相關內容。

蜜罐的運作方式:

  • 誘捕攻擊者:蜜罐呈現為看似弱點多、易受攻擊的系統(例如過時軟體、開放埠口等),以**吸引網路犯罪分子。**一旦攻擊者接觸蜜罐,系統會記錄其行動。
  • 資料收集:蜜罐會蒐集有價值的資料,例如攻擊者的IP地址、利用漏洞的手法,以及他們嘗試部署的惡意軟體類型。
  • 防止擴散:當攻擊者專注於誘餌系統時,有助於防止其攻擊真實且重要的網路資產。

在防毒軟體中的好處:

  • 威脅情報:蜜罐收集的資料能幫助提升防毒軟體的偵測能力,提供有關新攻擊手法、惡意軟體變種或新興威脅的洞察,這些威脅可能先前未被發現。
  • 早期警示:蜜罐可作為早期警告系統,在威脅完全在網路或裝置上展現之前就識別出來。

什麼是VPN

VPN 是「虛擬私人網路」(Virtual Private Network)的縮寫。簡單來說,VPN 是一種技術,能幫助使用者在公共網路(像是咖啡店的Wi-Fi或公共網路)上建立一條加密的、安全的「隧道」,讓使用者的資料傳輸更加安全,並且隱藏的真實IP地址。

用VPN可以達到以下幾個主要目的:

  1. 保護隱私與安全:避免資料被駭客、網路監控或其他第三方攔截。
  2. 匿名上網:隱藏你的真實IP地址,讓網站或服務無法輕易追蹤你的真實位置。
  3. 突破地理限制:有些網站或服務根據地區限制內容,透過VPN可以模擬你在其他國家的IP地址,訪問被封鎖或限制的內容。

原罪

防火牆規則

防火牆根據設定的規則阻擋特定流量,但這種方式並不代表攔截真正的惡意行為。惡意程式仍有可能藉由模仿合法流量的方式通過檢查,或是直接在防火牆上偷開一條規則。此外,防火牆規則的設定對一般使用者來說過於複雜,即使是企業或大型組織也面臨設定選擇的挑戰,光是允許 HTTP/HTTPS 的流量,就代表無可避免會接觸到惡意流量。DNS 查詢通常也不會阻擋,因此也成為常見的通道。

惡意程式偵測極限

偵測在面對未知的、刻意迴避的、進行混淆的惡意程式效果非常有限,因為永遠沒有辨識惡意行為的絕對方法,即使是完全一致的行為,有可能是源自使用者,亦有可能是源自惡意攻擊者。

偵測到不等於解決問題

就算真的能偵測到可疑的惡意行為,也必須面對假警報的問題。當資安人員每天面對成千上萬的警報,要如何應對?像是在Neiman Marcus駭客行為觸發了6萬多次警報,資安人員並未採取行動,因為這數量僅是平時的百分之一^1

沙盒技術的限制

惡意程式可能具備「反沙箱」技術,透過檢測是否在虛擬環境中運行進而改變行為,導致偵測與分析的誤判。而且只要沙盒與主機仍然運行在同一套實體硬體上,就存在沙盒跳出(sandbox escape)的問題,使惡意軟體有機會突破隔離入侵宿主系統,竄改、偽造數據誤導研究人員。

VPN服務提供商

VPN服務提供商本身有可能成為攻擊目標,一旦遭到駭客入侵,使用者的資料可能因此外洩。令人不願去想的是,部分VPN業者甚至可能會主動收集並販售用戶的資料,違背了其宣稱的隱私保護原則。


上一篇
【20】資安的原罪 ch.3-3.b 加密與憑證簽章
下一篇
【22】資安的原罪 ch.3-3.d 監控、偵測與回應
系列文
資安的原罪22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言