# PPT1 ## **Firewall防火牆** 又稱網路防火牆，主要功能是用==區隔內網及網際網路之間的一個屏障，幫忙監控進出的流量並進行篩選及控制==，防火牆阻擋一些有害的流量，如不受信任的網站或帶有病毒的電郵等，同時它也可以==避免未經授權的用戶進入系統==。 1. **內部網路被視為高度信任的區域，而網際網路則被認為是不可信任的區域，而不符合規則的流量會被阻擋，以保護內部網路的安全。** 2. **管制私有網路的訪問和使用，透過隔開網路中一個網段和另一網段，保護私有網路的安全性。例如企業可以設置防火牆以避免有心人士以公司網路進行非法行為，同時也能防止問題通過網路傳播出去。** 3. **所有進出的資訊都必須經過防火牆，因此防火牆也可以用來收集使用或誤用的資訊，包括使用者的訪問紀錄、傳輸的數據量、違規行為等。這些紀錄可以用來尋找系統漏洞、追蹤攻擊者的來源，提高系統安全性。**  https://zonetech.tw/blogs/what-is-a-firewall/ ### **DNS網域名稱系統(Domain Name System)** ==它將我們人類可讀的網域名稱轉換成機器可讀取的IP地址==，比如 www.google.com.tw 轉換成 xx.xx.xxx.xxx，簡單來說就是名字與身分證的概念，而每個網域名稱都會用DNS來控制訪客如何找到我們的網站及收取E-mail。 當我們想要在瀏覽器輸入網址前往某個網站時，電腦並不知道那個網站是儲存在哪一台主機裡面，如果想要知道網站在哪一台主機中，就會向DNS詢問該網站的主機在哪？DNS會回覆我們該網站所在的IP地址，之後電腦才有辦法依照IP地址找到存放該網站內容的主機，拜訪後顯示網站於瀏覽器中。  https://tsg.com.tw/blog-detail4-181-0-dns.htm ### **FTP檔案傳輸協定(File Transfer Protocol)** FTP主要用於==用戶端與伺服器==之間的檔案傳輸，也就是將共享檔案存放在FTP伺服器，讓用戶端可以透過網路在伺服器上==編輯共享檔案==，比如上傳、刪除、移動、修改或下載檔案，而用戶端則有可能是以==應用程式或網頁形式==呈現。  https://www.tsg.com.tw/blog-detail4-164-0-ftp.htm ### **SMTP簡易郵件傳輸通訊協定(Simple Mail Transfer Protocol)** 是用來透過網際網路傳送和接收電子郵件的通訊協定。郵件伺服器和其他郵件傳輸代理程式 (MTA) 使用 SMTP 來傳送、接收及轉送郵件訊息。 ==**有需要再看**==(如何運作:寄件者的電子郵件用戶端或伺服器會做為 SMTP 用戶端，而寄件者的電子郵件伺服器作為 SMTP 伺服器執行動作。此用戶端啟動指向伺服器的連線並傳輸電子郵件，其中包含收件人的詳細資訊、主旨和正文。伺服器處理此電子郵件，並依據收件人的地址確定合適的下一個伺服器。此下一個伺服器可能是傳輸路由中的另一個 SMTP 伺服器，也可能是最終目的地，即收件人的電子郵件伺服器。一旦訊息送達收件人的伺服器，就會使用不同的通訊協定 (例如 POP 或 IMAP) 傳遞至收件人的收件匣。) ### **SSH安全外殼協定(Secure Shell Protocol)** SSH為建立在==應用層和傳輸層==基礎上的安全協定，==是一種封包加密技術==，以確保封包在網路傳輸中不會因為中途竊取、監聽而暴露重要資料。傳統的網路服務程式，如FTP、POP和Telnet其本質上都是不安全的；因為它們在網路上使用明碼傳送資料、使用者帳號和使用者密碼，很容易受到中間人（man-in-the-middle）攻擊方式的攻擊。就是存在另一個人或者一台機器冒充真正的伺服器接收使用者傳給伺服器的資料，然後再冒充使用者把資料傳給真正的伺服器。 https://blog.pulipuli.info/2011/11/ssh.html https://zh.wikipedia.org/zh-tw/Secure_Shell --- # PPT2 ## **WAF應用程式防火牆(Web Application Firewall)** WAF 的作用是保護網站應用程式或 API 避免被駭客入侵或遭受網路惡意攻擊，避免資料外洩、網頁遭竄改，保障網站安全。==WAF 運作為監控網路流量，並將惡意、可疑或帶有病毒的流量過濾掉，只讓正常且安全的流量進入網站==。 ### **WAF 與傳統防火牆 Firewall 的差異** 傳統防火牆主要的辨識範圍最多只到網路架構第四層-傳輸層 (OSI 4 layer)，傳統防火牆無法分析 HTTP 與網站應用程序例如: HTML、SQL語言等，然而隨著科技進步，如今駭客已經能夠輕易入侵網站應用程式的漏洞，攻擊至第七層應用層 (OSI 7 layer)，傳統防火牆無法對應用層的攻擊進行有效防禦，因此造就 WAF 的出現。 WAF 主要作用於 OSI 7 layer 應用層，可透過檢索技術與分析攻擊特徵對所有 HTTP/HTTPS 請求進行比對與過濾，透過調整WAF 防火牆通行規則，可加強篩選機制，限制並阻絕異常 IP 位址或異常的請求封包，只准許安全流量進入網站!  https://host.com.tw/waf ### **DDos分散式阻斷服務攻擊(distributed denial-of-service attack)** DDoS攻擊： 多重來源：DDoS攻擊涉及多個攻擊來源，通常是由大量受感染的電腦（稱為「殭屍網路」）組成。 攻擊方式：這些受控系統協同發起攻擊，使得攻擊更難以防範和追蹤。 影響範圍：DDoS攻擊由於來源眾多，因此攻擊強度和影響範圍遠大於DoS攻擊。 * **寬頻消耗型攻擊** 藉由傳送大量無效、或惡意放大流量的數據請求，堵塞被攻擊的伺服器頻寬，使其達到飽和狀態，讓正常用戶無法進入，甚至造成網頁當機癱瘓的DDos攻擊。 * **資源消耗型攻擊** 有別於寬頻消耗型的DDos攻擊，資源消耗型攻擊是讓被攻擊方的伺服器不斷進行反覆的無效運作，導致網頁資源被耗盡，無法再回覆正常用戶的請求與提供需求。  https://www.gaia.net/tc/news_detail/2/52/ddos-ddos ## **CSRF跨網站要求偽造(Cross-Site Request Forgery)** 挾制用戶在當前已登入的Web應用程式上執行非本意的操作的攻擊方法。這些攻擊之所以可能是因為Web瀏覽器會在每次向網站發送請求時自動發送某些類型的身份驗證Token，也被稱為 one-click attack 或者 session riding。簡單說，是攻擊者通過一些技術手段欺騙用戶的瀏覽器去存取一個自己曾經認證過的網站並執行一些操作（如發郵件，發訊息，甚至財產操作如轉帳和購買商品）。由於瀏覽器曾經認證過，所以被存取的網站會認為是真正的用戶操作而去執行。  1. User 訪問並登入 A 網站 2. User 獲得 Cookie 並存至 User 瀏覽器 3. User 在未登出A網站的情況下瀏覽B網站，接著Hacker以B網站的Domain以A網站給User的Cookie對A網站發送請求，如果A網站沒發現的話就GG了。 ## **XSS跨站腳本攻擊(Cross-Site Scripting)** 攻擊者利用網站漏洞把惡意的腳本代碼（通常包括HTML代碼和客戶端JavaScript腳本）注入到網頁中，當其他用戶瀏覽這些網頁時，就會執行其中的惡意代碼，對受害用戶可能採用Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊。 攻擊步驟： 1. 攻擊者發現一個網站注入腳本漏洞 2. 攻擊者使用竊取cookie的惡意java腳本在網站的數據庫中注入一個有效負載網站用攻擊者的有效載荷向受害者的瀏覽器發送頁面。 3. 受害者的瀏覽器執行惡意腳本 4. 腳本執行受害者將他的cookie發送給攻擊者 5. 攻擊提取受害者的cookie，之後他將其用於會話劫持 ## **SQL Injecsion** SQL 語法中常會出現攻擊者可以透過更改語法邏輯或加入特殊指令的方式，在未設定過濾惡意程式碼的情況下，資料庫伺服器（DataBase）會直接接收使用者所輸入的 SQL 指令並執行攻擊代碼，使攻擊者能夠取得最高權限，得以擅自竊取、修改、挪動或刪除資料的可能。 ==**最常見的就是透過網站訪問資料庫透過 OR 1=1 --的方式繞過資料庫的帳號密碼取得權限。**==  https://ithelp.ithome.com.tw/articles/10189201 --- # PPT3 ## **IPS入侵防禦系統(Intrusion Prevention System)** IPS入侵防禦系統(Intrusion Prevention System)，==是用事先定義的規則(特徵碼比對法)的方式==，利用病毒特徵碼與攻擊手法制定入侵偵測規則及建立特徵值資料庫，當符合該特徵碼的攻擊發生時，系統透過相對應的規則觸發防護措施並發出告警，能夠做到即時阻斷來源IP、斷開連結等。 ==異常行為比對法==: 網路流量有一個基準，當這個基準被確定後，系統就會擷取網路流量和基準比較，超過或是低於這樣的流量稱作「異常」，系統將對異常流量採取適當行動。 IPS 的優劣就在於特徵值資料庫的多寡及更新速度，也就是說 IPS 的資料庫有越多的特徵值，意味它能辨識越多不正常的內容或網路行為。 --- # PPT4 ## **NGFW新一代防火牆(Next Generation Firewall)** 又稱為新一代防火牆，用於處理網路流量並套用規則以封鎖潛在的危險流量。NGFW 在傳統防火牆的基礎上演變和擴展而來。整合WAF及網路防火牆的功能。 1. 整合IPS： 新一代防火牆可以根據特定的行為特徵或異常來監控潛在的惡意活動，接著封鎖來自網路的可疑流量。 2. 深度封包檢查 (DPI)： 對封包進行更深入的檢查。深度檢查能查看封包負載等內容，及封包正在存取哪些應用程式。讓防火牆強制執行更精細的篩選規則。 3. 應用程式感知： 讓防火牆知道哪些應用程式正在執行以及正在使用哪些Port。防止意圖中斷正在執行的處理序然後接管其連接埠的惡意程式碼類型。 4. 身分感知： 讓防火牆根據身分執行規則，例如正在使用哪台電腦、哪個使用者已登入等。 5. 沙箱： 防火牆可以隔離與傳入封包相關聯的程式碼片段，並在「沙箱」環境中執行，將沙箱測試的結果作為依據決定是否讓封包進入網路。 * 沙箱備註:沙箱是一種安全機制，==用於隔離和分析懷疑可能含有惡意程式碼的文件或應用程序，而不會對實際系統造成危害==。它通常是在一個受控的環境中運行，該環境與真實的生產環境隔離開來，以防止潛在的惡意程式碼對系統造成傷害。 沙箱的工作原理是將懷疑的文件或應用程序在==虛擬化的環境中運行==，並觀察其行為和活動。這包括檢查文件的系統調用、網絡活動、文件操作等，以==確定它們是否包含任何惡意行為。如果發現了可疑的活動，沙箱可以採取相應的措施，如阻止文件的執行或進一步分析其內容。== 沙箱技術在現代安全防禦中起著重要作用，特別是對於應對未知的惡意程式碼和高級威脅（APT）非常有用。它能夠提供即時的分析和檢測，幫助組織及時發現和應對安全威脅，從而提高整個系統的安全性和穩定性。 --- # PPT5 ## **AD(Active Directory)** 在 Windows Server 上運行，使管理員能夠管理權限和對網路資源的存取。AD將資料儲存為物件。==每個物件都有自己的schema屬性及GUID/SID安全性識別碼是單一元素==，例如使用者、群組、應用程式或印表機等裝置。物件通常被定義為資源（例如印表機或電腦）或安全性主體（例如使用者或群組）。 主要服務是網域服務 ( AD DS )，它儲存目錄資訊並處理使用者與網域的互動。當使用者登入裝置或嘗試透過網路連線到伺服器時，AD DS 會驗證存取權限。AD DS 控制哪些使用者有權存取每個資源以及群組原則。例如，不同部門不同權限，管理員通常具有與最終使用者不同的資料存取等級。  --- # PPT6 ## **AV防毒軟體(AntiVirus)** 防毒軟體是一種用於保護電腦系統免受惡意軟體（如病毒、網路蠕蟲、特洛伊木馬等）侵害的軟體。它的==主要功能是檢測、阻止和清除==已感染系統中的惡意程式碼，通常含有即時程式監控辨識、惡意程式掃描和清除和自動更新病毒資料庫等功能，同時也可以掃描和監視電腦系統以預防可能的攻擊。 主要的功能是掃描電腦中所有檔案/程式，並且和背後含大量病毒碼資料庫中的資訊進行比對，用以檢視是否有惡意程式的存在，也因為是使用已知病毒碼來比對病毒的原因，所以導致AV變得==較為被動==，如果惡意程式有些微的變動就可能導致AV無法辨識病毒。 --- # PPT7  --- # PPT8 ## **Endpoint端點** 端點是連接到電腦網路並與其交流資訊的實體裝置。指的是企業員工每天都會使用到的桌電、筆電、行動電話、伺服器、印表機、影印機等，所有的連網裝置。 端點安全性的重要性 端點安全或端點保護是保護端點免受攻擊的過程。可能涉及封鎖導致端點裝置遭到入侵或感染惡意程式碼的危險使用者行為，組織可以使用端點保護軟體來強制執行安全性原則、偵測攻擊、封鎖進行中的攻擊，以及防止資料遺失。由於端點會連接到內部企業網路，端點保護也是網路安全性的重要部分。 --- # PPT9 ## **EPP端點保護平台(Endpoint Protection Platform)** 端點保護平台是端點保護技術（例如防毒、資料加密、入侵防禦和資料遺失防護）的整合套件，這些技術在端點設備上協同工作，以偵測和防止基於檔案的惡意軟體攻擊和惡意活動等已知方式行為的威脅，還有能力提供調查和補救措施以應對動態安全事件，==EPP著重於預防==已知威脅或以已知方式行為的威脅。 主要功能 * 即時威脅數據: 1. 持續存取組織內和全球範圍內的即時威脅數據，以偵測和阻止零時差攻擊。EPP 供應商 應提供對持續威脅活動的全球資料庫的存取。 * 效能優化: 1. 儘管提供了全面的防護功能，但會設計成對系統性能影響較小，確保不會影響用戶的工作效率。 * 易於管理: 1. 中央控制台管理所有端點和安全功能，了解安全威脅問題，讓 IT 員工無需在螢幕之間移動，手動分析威脅資訊。可設定的儀表板，其中包含警報、關鍵績效指標 (KPI)、當前安全狀態以及深入了解各個端點和威脅的能力。 --- # PPT10 ## **EDR端點偵測與回應(Endpoint Detection and Response)** 主要針對端點進行偵測與回應，具備==偵測/判斷端點上可疑行為與未知程式的能力==，藉由==持續收集與分析==各種異常活動，確認端點裝置是否遭受惡意威脅入侵，掌握新型態的攻擊手法。一旦偵測到惡意程式，會==立即自動刪除或阻斷該可疑程式的運作==，避免惡意病毒在公司內部散播，==同步回應給資安團隊==，讓管理者得以快速採取相對應的措施。 * 為什麼需要EDR? 1. EDR 提供==超越FW和AV基本安全性的可見性和補救洞察力==，讓團隊更了解事件的性質、根本原因及如何有效地解決這些問題。 2. EDR 提供==即時監控和偵測，包括行為分析==，讓團隊能夠根除/規避攻擊者並在零日漏洞升級之前解決它們，從而減少停機、資料遺失和後續違規的風險。 3. EDR 使用AI和ML來解析整合的威脅情報來源，深入了解攻擊者的最新威脅、方法和行為，以便團隊能夠在保護資料方面保持領先一步。 4. EDR提供==集中管理和報告功能==、機器學習的威脅洞察、自動響應等實現高/有效的安全運營，節省時間和金錢，同時降低人為錯誤的風險。  --- # PPT11 ##  --- # 其他筆記 ## **TSL加密安全通訊協定(Transport Layer Security)** TLS協定主要用於在客戶端和服務器之間建立安全的通訊通道，以確保數據在傳輸過程中的保密性、完整性和可靠性。它通常應用於Web瀏覽器和Web服務器之間的通訊，以加密網頁請求和響應，從而防止敏感信息在互聯網上的被竊取或竄改。 * TLS 協定實現的功能有三個主要組成部分：加密、認證和完整性。 1. 加密：隱藏從第三方傳輸的資料。 2. 身份驗證：確保交換資訊的各方是他們所聲稱的身份。 3. 完整性：使用MAC來驗證傳輸的資料未被偽造或篡改。 ## **SNMP簡易網路管理通訊協定(Simple Network Management Protocol)** 是一個進行==蒐集與管理網路設備的協定==，在 ==OSI 第七層應用程式層==，並透過 UDP 161 port 進行請求。網路硬體供應商(ISP)會自動將 SNMP 支援嵌入其設備中，使其成為監控網路的一種無障礙方式。它還在管理網路性能、發現問題和管理網路增長方面效率很高。  ## **ICMP網際網路控制訊息通訊協定(Internet Control Message Protocol)** 運用在網路七層協定中的==第三層(網路層)==。該協定的最主要目的，==是用來解析網路封包或是分析路由的情況，大多是透過所傳回來的錯誤訊息進行分析==，而網路管理人員則利用這個協定的工具來了解狀況，進而使用其他措施解決所遇到的問題。 ICMP協定是基於IP協定之上運作的，不過主要不是用於點與點之間的傳輸，但有兩個工具卻是用於點與點之間，透過ICMP協定來分析網路狀況，它們就是==ping與traceroute== ==Traceroute==工具就是使用TTL的方式來達到網路檢測每個路由器在轉發ICMP封包時，都會把IP Header的TTL的值減1，如果TTL的值已經到0，就代表TTL已經到期，接著就會傳送錯誤訊息給原本發送的網路設備。 ==ping==是一個網路工具，這個指令最主要的功能就是用來測試網路的連線能力是否正常，而這個測試是基於IP協定來運作的。這個指令能回報ping封包到目的端設備來回所需的最少時間、最大時間與平均時間，可以用來確認到指定設備之間網路路徑的可靠程度。 ## **DHCP動態主機組態傳輸協定(Dynamic Host Configuration Protocol)** ==每個連線至TCP/IP網路的裝置都必須指派唯一的IP位址，提供用戶端電腦動態的 IP 位址、子網路遮罩（Subnet mask）、預設閘道器（Default gateway）、 DNS 伺服器的 IP 位址等==，可以減少用戶端手動設定 IP 位址的麻煩，並且減少手動設定發生錯誤的機率，又可以節省 IP 位址的使用量。由於 ==IP 位址是動態的（租用的），而不是靜態的（永久指派）==，因此不再使用中的位址會自動傳回集區以進行重新配置。 ## 公有IP(Public IP)及私有IP(Private IP) 公有IP主要是對外(WAN)而私有IP是對內(LAN)，使用私有IP可以有效的節省數量以及方便管控。 1. 網際網路服務供應商(ISP)提供分配 2. 定義出私人可使用的範圍IP，主要用於區域網路(LAN)，由Router或Switch配發出來，可使用DHCP(Dynamic Host Configuration Protocol)或固定IP管理，外部網際網路無法直接連線，如果要上網的話必須使用網路位址轉換(NAT)讓私有IP轉換成公有IP。  ## NAT網路位址轉換（Network Address Translation) 可以改變 封包 的傳送端 IP 位址與接收端 IP 位址，減少真實 IP 的使用量，也可以將私有 IP（內部 IP）改變成真實 IP（外部 IP）再傳送到網際網路。 NAT 伺服器的功能 1. 封包偽裝（IP masquerade）：可以將私有 IP（內部IP）改變成真實 IP（外部 IP）再傳送到網際網路，使網路上的人無法得知私有網路的 IP 分配情形而增加網路安全性。 2. 封包過濾：可以攔截網際網路進入私有網路的封包，阻擋怪客（Cracker）的攻擊，所以 NAT 伺服器是最重要的防火牆成員，也是一種「封包過濾器」（Packet filter）  ## ACL存取控制清單(Access Control List) 用於管理網路資源訪問權限的技術。其中包含了對於特定資源或者網路服務的訪問規則列表，這些規則可以控制誰可以訪問資源、以及以什麼方式訪問。 ACL通常用在路由器、交換機、防火牆等網路設備上，用於控制封包在網路中的流動。ACL可以基於源IP地址、目標IP地址、端口號、協議類型等標識來匹配和過濾封包，並根據設定的規則進行允許或者阻止的動作。 ## TCP與UDP TCP傳輸資料前，會先將資料分割成較小封包，再將這些封包加上編號，然後送出。在接收端收到資料後，TCP會開始檢查資料是否已經全部收到?或是有錯誤或漏掉的?如果都沒有問題，才會將封包依序組合起來，還原成原本的資料。 而UDP對接收到的封包不會做任何回應，因此封包可能會在傳輸過程中遺失、重複、或不依照順序送收，抵達速度也可能比接收端的處理速度快。對於某些訊息量較大的傳輸，像是語音或影像，可容忍一些遺失的封包而感覺不出來。 總結: TCP和UDP主要的差別在於是否提供可靠性傳輸，TCP 有錯誤檢查和壅塞控制，具有高度的可靠性；相較之下，UDP 著重效率，不在乎封包遺失，能在網路條件不好的情況下，不斷發送資料， 適用於即時性的服務，例如網路電話。而 TCP 適用於要求可靠傳輸的服務，例如 FTP 檔案傳輸。因此，這些應用會根據自身的資料特性來決定要使用TCP協定，或是UDP協定。  ## 2021 OWASP TOP10 https://medium.com/starbugs/%E7%86%B1%E9%A8%B0%E9%A8%B0%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8E%92%E8%A1%8C-2021-owasp-top-10-a3fa783d718