100年資安研討會講義之1作者陳一瑋

Report
「資通設備安全檢測」之實機測試簡介
交大網路測試中心(NBL)
陳一瑋 執行主任
中華民國100年8月25日
1
Outline


檢測技術規範Overview
實機測試簡介
 功能、壓力、堅實、穩定
2
檢測技術規範OVERVIEW
目標
研擬適合我國之資通設備之安全檢測技術規範、設備採購
參考指引與其他配套措施,並規劃短中長期資通設備之安
全檢測與國際接軌之策略方向,以期滿足政府機關(構)對於
資通設備採購及使用之安全需求。
國家區域獨
特性
國際接軌
安全檢測
自主性
4
產品範圍及規範參考資料來源

短期8項產品


防火牆、入侵偵測防禦設備、防毒牆、垃圾郵件過濾設備、網
頁過濾管控設備、網路安全監控設備、乙太網路交換器、路由
器
檢測技術規範參考資料來源

Common Criteria (CC)


ICSA


Common Criteria for Information Technology Security Evaluation
Firewall/AV Gateway/Anti-Spam/IPS Certification Criteria
NSS

Firewall/UTM/IPS Certification Methodology
5
檢測技術規範架構說明
安全功能需求
(SFR)
書面審查
實機測試
功能測試
審查方法,主要參
考 CC 相關技術規
範之作法
參考CC/PP之SFR
以本規範所
提之安全功
能需求為範
圍,設計測
試項目
壓力測試
堅實測試
參考 ICSA 以及 NSS 之
相關技術規範
穩定測試
參考國內
外廠商穩
定性測試
經驗
6
檢測技術規範討論過程
技術討論會議
會議
重點
•檢測項目定義
•檢測方法/流程
•檢測結果指標
參與
人員
•計畫執行單位
•檢測實驗室代表
•廠商代表
•研究單位代表
週期
每週一次
文件撰寫
討論會議
專家學者
座談會
文件格式與
用語
• 確認短中長期項
目清單
• 技術規範及採購
指引內容討論
計畫執行單位
每週一次
專案審查
會議
公聽會/
研討會
計畫交付項目
審查
檢測技術規範公
告前徵詢各界意
見
•計畫執行單位
•檢測實驗室代表
•廠商代表
•政府機關代表
•研究單位代表
•專案審查委員
•計畫執行單位
•檢測實驗室代表
•廠商代表
•政府機關代表
•研究單位代表
•第一次: 3/7
•第二次: 5/30
•第三次: TBD
•第四次: TBD
• 專案管理計畫
書審查: 1/26
• 期中審查:
•第一次: 8/25
6/23、8/16
•第二次: TBD
• 期末審查:
TBD
7
檢測費用與時程



經召集多次業界會議認為每一檢測案件在2個月內及50萬費
用額度下較可負擔
會議決議報請NCC在上述費用與時程範圍內設計整套資通設
備安全審驗機制
其它相關審驗作業要點




每次送驗有兩次修正之機會
版本更新時只需對有變更之檢測項目進行重新檢測,其檢測費用為
全項檢測費用乘以重新檢測項目數占全部檢測項目數之比例計算
系列認證之檢測費用為原費用之50%
通過基礎型檢測合格之設備,自檢測合格日起三個月內,申請同一
設備之進階型檢測者,其檢測費用只須補足基礎型與進階型費用之
差額
8
書面審查與實機測試


基本上書面審查與實機測試兩者可同時進行以加速檢測時程
書面審查

安全標的


安全功能設計


審查待測物之驗證範圍定義及安全功能(TSF)概述。
審查待測物之安全功能(TSF),包含安全功能規格、設計安全性、安全架構、
安全指引等說明。
實機測試

功能


壓力


測試待測物於面臨大量網路封包或連線時安全功能是否有受影響。
堅實


測試待測物所具有安全防護相關功能
測試待測物於開啟服務或協定的情況下,是否能夠處理針對自身而來的不正
常行為,仍保持正常運作而不受影響。
穩定

將待測物置於真實網路流量下運作測試,了解待測物在真實的網路流量下是
否有不穩定的狀況發生。
9
基礎等級與進階等級

基礎等級與進階等級的差異
 測試項目上的差異
 通過標準上的差異
 檢測費用上的差異

分級的原因
 採購單位及廠商可根據本身需求來決定適用等級
 政府單位可依機敏程度來決定適用等級
10
實機測試簡介
功能、壓力、堅實、穩定
產品會發生的Bug
產品發生漏擋或誤擋的情況 功能
 產品平時運作正常,但是在網路使用的尖峰時期會漏擋攻
擊或病毒 壓力
 產品通常會設計Web介面讓使用者方便設定,該HTTP
Server遭受攻擊而造成整個產品crash、甚至被攻擊者所佔
領 堅實
 產品在真實網路環境下運作時發生當機 (或進入bypass 模
式),造成門戶大開的情況 穩定
功能

上述這些產問題從使用者的角度來看都是安全性問題
穩定
因此當測試這些產品時必須從多層面地考量才更能保
障使用者的資訊與通訊安全
安全的
產品
堅實
壓力
12
Firewall實機測試項目
類別
項目
判定標準
基礎
進階
安全
功能
測試
封包過濾
1. 應可阻擋設定之封包
2. 應可通過設定之封包
V
V
流量內容統計
應正確記錄通過之流量內容,包含時間、傳輸速率
(bps)、通訊協定(TCP/UDP/ICMP/SCTP)
、通訊埠號
V
V
安全事件紀錄
應正確記錄違反安全規則的事件,包含時間與內容
(來源/目的IP、事件)
V
V
安全管理
1. 具備通行碼管理
2. 具備通行碼輸入錯誤次數之上限設定,超過上限
次數後須具備鎖定防護功能。
V
V
備援管理
將運作中之防火牆移除連線或電源使其失效,備援
防火牆應於10秒內自動接替該失效之防火牆。
V
規則控管
應可設定規則以控管流量,該規則須同時包含IP位址、
通訊協定、通訊埠號及時段設定。
V
13
Firewall實機測試項目(cont.)
類別
項目
判定標準
基礎
進階
壓力
測試
吞吐量
設備所負荷的吞吐量(Mbps或Gbps)達到設備規格說
明之最大吞吐量時,安全功能應正常運作。
V
V
最大同時連線數
設備所負荷的同時連線數(TCP連線數)達到設備規格
說明之最大同時連線數時,安全功能應正常運作。
V
最大建立連線速率
設備所負荷的連線建立速率(TCP連線數/秒)達到設備
規格說明之最大連線建立速率時,安全功能應正常
運作。
V
阻斷式攻擊
攻擊發生時不應發生當機或重新啟動等情況,待攻
擊結束後安全功能應正常運作。
惡意流量
應可承受針對設備本身各項服務的惡意行為。
非正常關機復原
非正常關機後,應可於開機時恢復關機前之正常運
作狀態。
真實流量測試
與實際網路連線時,應可持續168/336小時正常運作。 168
堅實
測試
穩定
測試
V
V
V
V
V
336
14
IDP實機測試項目
類別
項目
判定標準
基礎
進階
安全
功能
測試
異常/攻擊
偵測
1. 啟動預設規則下,偵測防禦功能及管理介面皆要
正常運作。
2. 應能偵測進出之流量內容
3. 啟動預設規則下,不可有漏判情形發生。
V
V
躲避攻擊
應可阻擋惡意躲避偵測之攻擊行為
V
V
安全管理
1. 具備通行碼管理
2. 具備通行碼輸入錯誤次數之上限設定,超過上限
次數後須具備鎖定防護功能。
V
V
異常/攻擊
事件紀錄
應正確記錄違反安全規則的異常/攻擊行為事件,包含時間與內容
(來源/目的IP、事件)
V
V
線上更新
應可透過網路進行線上更新特徵碼資料。
V
V
使用者自訂
安全規則
應可根據使用者需求,藉由OSI第三至第七層之定義內容(包括
IP/TCP/UDP/ICMP/IGMP等Header各欄位)及支援使用者自訂第七層
之比對特徵值,達到使用者自訂安全規則之目的,且可有效執行。
V
具備IPv6封
包檢測
1. 啟動預設安全規則下,偵測防禦功能及管理介面
皆要正常運作。
2. 須具備可偵測IPv6網路封包之功能.並在IPv4及
IPv6 Dual Stack運行之網路環境可同時偵測IPv4與
IPv6網路封包。
V
15
IDP實機測試項目(cont.)
類別
項目
判定標準
基礎
進階
壓力
測試
吞吐量
設備所負荷的吞吐量(Mbps或Gbps)達到設備規格說
明之最大吞吐量時,安全功能應正常運作。
V
V
最大同時連線數
設備所負荷的同時連線數(TCP連線數)達到設備規格
說明之最大同時連線數時,安全功能應正常運作。
V
最大建立連線速率
設備所負荷的連線建立速率(TCP連線數/秒)達到設備
規格說明之最大連線建立速率時,安全功能應正常
運作。
V
阻斷式攻擊
攻擊發生時不應發生當機或重新啟動等情況,待攻
擊結束後安全功能應正常運作。
惡意流量
應可承受針對設備本身各項服務的惡意行為。
非正常關機復原
非正常關機後,應可於開機時恢復關機前之正常運
作狀態。
真實流量測試
與實際網路連線時,應可持續168/336小時正常運作。 168
堅實
測試
穩定
測試
V
V
V
V
V
336
16
Anti-Virus實機測試項目
類別
項目
判定標準
基礎
進階
安全
功能
測試
病毒偵測
1. 啟動預設規則下,應可偵測進出流量之封包。
2. 啟動預設規則下,不可有誤判及漏判情形發生。
3. 無論啟動何種協定之掃毒功能,管理介面皆要正常運作。
V
V
線上更新
應可透過網路進行線上更新特徵碼資料。
V
V
安全事件
紀錄
應記錄病毒偵測之結果及處理方式(如隔離或刪除等)。
V
V
安全管理
1. 具備通行碼管理
2. 具備通行碼輸入錯誤次數之上限設定,超過上限次數後須具備
鎖定防護功能。
V
V
運作模式
切換
具備可切換運作模式(路由模式或透通橋接模式)
V
惡意網址
過濾
具備過濾惡意網址之功能
V
17
Anti-Virus實機測試項目(cont.)
類別
項目
判定標準
基礎
進階
壓力
測試
吞吐量
設備所負荷的吞吐量(Mbps或Gbps)達到設備規格說
明之最大吞吐量時,安全功能應正常運作。
V
V
最大同時連線數
設備所負荷的同時連線數(TCP連線數)達到設備規格
說明之最大同時連線數時,安全功能應正常運作。
V
最大建立連線速率
設備所負荷的連線建立速率(TCP連線數/秒)達到設備
規格說明之最大連線建立速率時,安全功能應正常
運作。
V
阻斷式攻擊
攻擊發生時不應發生當機或重新啟動等情況,待攻
擊結束後安全功能應正常運作。
惡意流量
應可承受針對設備本身各項服務的惡意行為。
非正常關機復原
非正常關機後,應可於開機時恢復關機前之正常運
作狀態。
真實流量測試
與實際網路連線時,應可持續168/336小時正常運作。 168
堅實
測試
穩定
測試
V
V
V
V
V
336
18
Anti-Spam實機測試項目
類別
項目
判定標準
基礎
進階
安全
功能
測試
郵件過
濾
1. 垃圾郵件應依規則被過濾,漏判率應低於5%、3%
2. 正常郵件應依規則通過,誤判率應低於0.01%、0.004%
FN<5%
FP<0.01%
FN<3%
FP<0.004%
安全事
件紀錄
應正確記錄違反安全規則的事件,包含時間與內容(來源/目
的IP、事件等)
V
V
安全管
理
1. 具備通行碼管理
2. 具備通行碼輸入錯誤次數之上限設定,超過上限次數
後須具備鎖定防護功能。
V
V
19
Anti-Spam實機測試項目(cont.)
類別
項目
判定標準
基礎
進階
壓力
測試
吞吐量
設備所負荷的吞吐量(Mbps或Gbps)達到設備規格說
明之最大吞吐量時,安全功能應正常運作。
V
V
最大同時連線數
設備所負荷的同時連線數(TCP連線數)達到設備規格
說明之最大同時連線數時,安全功能應正常運作。
V
最大建立連線速率
設備所負荷的連線建立速率(TCP連線數/秒)達到設備
規格說明之最大連線建立速率時,安全功能應正常
運作。
V
阻斷式攻擊
攻擊發生時不應發生當機或重新啟動等情況,待攻
擊結束後安全功能應正常運作。
惡意流量
應可承受針對設備本身各項服務的惡意行為。
非正常關機復原
非正常關機後,應可於開機時恢復關機前之正常運
作狀態。
真實流量測試
與實際網路連線時,應可持續168/336小時正常運作。 168
堅實
測試
穩定
測試
V
V
V
V
V
336
20
功能測試項目案例

測試項目


測試目的


IDP 6.4.1.1
驗證產品在基本功能上有一定程度之防禦能力及偵測能力
測試重點


測試樣本(漏判):異常/攻擊流量會以CVSS 中當月base CVSS
score分佈中採取( Low, Medium, High 3種等級之比例取樣)
測試樣本(誤判):真實流量資料庫



Signature design
Traffic similarity
Rule Configuration
21
Signature design

WEB-CGI finger access – FP case
Description
An attacker can access an authentication mechanism and supply their own
credentials to gain access.
Example
GET
/pub/ASUS/nb/Drivers/Fingerpr
ints/Fingerprints_UPEK_Win7_32
_120190.zip HTTP/1.1
Reason
alert tcp $EXTERNAL_NET any ->
$HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-CGI finger access";
flow:to_server,established;
uricontent:"/finger"; nocase; …)
22
Traffic similarity

DDOS mstream – FP case
Description
DDOS mstream client to handler. After a host becomes an mstream client,
it will attempt to communicate with handlers.
Example
Reason
The BitTorrent client communicates alert tcp $EXTERNAL_NET any ->
with other BitTorrent clients might $HOME_NET 12754 (msg:"DDOS
use port 12754
mstream client to handler";
flow:to_server,established;
content:">"; metadata:policy
security-ips drop; …;)
23
Rule Configuration

Accept-Language buffer overflow – FP case
Description
Remote attackers can cause a denial of service (daemon crash) or
possibly execute arbitrary code via a long Accept-Language HTTP
header.
Example
Accept-Language field length too
long
Reason
alert tcp $EXTERNAL_NET any ->
$HOME_NET $HTTP_PORTS
(msg:"WEB-MISC IBM Lotus Domino
Web Server Accept-Language
header buffer overflow attempt";
flow:to_server,established;
content:"Accept-Language"; nocase;
pcre:"/^AcceptLanguage\x3A[^\n]{100}/smi"; ...;)
24
堅實測試項目案例

測試項目


測試目的


IDP 6.4.3.2
測試程式執行平台產生躲避攻擊,根據測試的層級不同產生下列
之模擬躲避攻擊之流量,目的是用以偵測規避行為之異常網路流
量。
測試重點





Packet Fragmentation
Stream Segmentation
URL Obfuscation
FTP Evasion
RPC Fragmentation
25
IP Packet Fragmentation

IP Packet Fragmentation 可參考(RFC-1858)









Ordered 8 byte fragments
Ordered 24 byte fragments
Out of order 8 byte fragments
Ordered 8 byte fragments, duplicate last packet
Out of order 8 byte fragments, duplicate last packet
Ordered 8 byte fragments, reorder fragments in reverse
Ordered 16 byte fragments, fragment overlap (favor new)
Ordered 16 byte fragments, fragment overlap (favor old)
Out of order 8 byte fragments, interleaved duplicate
packets scheduled for later delivery
TCP Stream Segmentation

TCP Stream Segmentation











Ordered 1 byte segments, interleaved duplicate segments with invalid TCP
checksums
Ordered 1 byte segments, interleaved duplicate segments with null TCP
control flags
Ordered 1 byte segments, interleaved duplicate segments with requests
to resync sequence numbers mid-stream
Ordered 1 byte segments, duplicate last packet
Ordered 2 byte segments, segment overlap (favor new)
Ordered 1 byte segments, interleaved duplicate segments with out-ofwindow sequence numbers
Out of order 1 byte segments
Out of order 1 byte segments, interleaved duplicate segments with faked
retransmits
Ordered 1 byte segments, segment overlap (favor new)
Out of order 1 byte segments, PAWS elimination (interleaved duplicate
segments with older TCP timestamp options)
Ordered 16 byte segments, segment overlap (favor new (Unix))
URL Obfuscation and FTP Evasion

URL Obfuscation
Premature URL ending
 Long URL
 Fake parameter
 TAB separation
 Case sensitivity
 Windows \ delimiter
 Session splicing


FTP Evasion
Inserting spaces in FTP command lines
 Inserting non-text Telnet opcodes

RPC Fragmentation

RPC Fragmentation







One-byte fragmentation (ONC)
Two-byte fragmentation (ONC)
All fragments, including Last Fragment (LF) will be
sent in one TCP segment (ONC)
All fragments except Last Fragment (LF) will be sent
in one TCP segment. LF will be sent in separate TCP
segment (ONC)
One RPC fragment will be sent per TCP segment (ONC)
One LF split over more than one TCP segment (in
this case, no RPC fragmentation is performed (ONC))
Canvas Reference Implementation Level 1
壓力測試項目案例

測試項目


測試目的


Firewall 6.4.2.1
了解Firewall在最大吞吐量(規格書所註明)的狀況下,防禦
功能仍能正常發揮作用。
測試重點

Firewall利用IP與Port來制定rule,阻擋有害主機發送的流
量,在同樣吞吐量的狀況下,封包size越小,數量越多,將
造成Firewall CPU使用率提高,在CPU使用率飆高的情況下,
為了維持網路不中斷,有害主機發送的流量就有可能通過
Firewall,為了避免這樣的狀況發生,故制定本檢測案例。
30
穩定測試項目案例

測試項目


測試目的


Firewall/IDP/AV/AS 6.4.4.1
透過場測(Field Trial)或是流量錄製與重播工具將流量導入待測
物進行測試,測試過程持續檢查待測物的網路是否暢通、網頁圖
形使用者介面(Web GUI)設定功能是否可用、待測物沒有發生任何
網路中斷或服務停止等狀況。
測試重點


流量內容與行為的多樣性、複雜性。
造成CPU不正常飆高、Memory leak的狀況。
31
穩定測試項目案例(cont.)


流量產生自至少100位使用者同時上線的網路環境
流量內容包含至少10種應用類型,每一種應用類型至少包括一個應用項目,
全部之應用項目須達50個以上。舉例如下:












Chat:msn, yahoo messenger, qq, xmpp, aol-icq
Email:gmail, smtp, pop3, imap, webmail
File Transfer:ftp, flashget, smb
Game:garena, facebook app, steam
P2P:gnutella, edonkey, bt, xunlei, fasttrack, ares, kazaa, ed2k
Remote Access:windows remote desktop, telnet, ssh, vnc
Streaming:rtsp, qqtv, pplive, ppstream, qvod, flashcom, itunes, rtp,
shoutcast,
VoIP:skype, sip
Web:http, https, http download, http video, http range get
Others:hopster, softether, dns, snmp, oracle, ms-sql
流量內容包含IPv4及IPv6
以重播方式進行測試所使用之流量其被錄製下來時的時間點與進行測試時的
時間點兩者間隔不得超過1周
32
簡報完畢 恭請指導
33

similar documents