資安服務及具體辦理事項
(一)連線單位資安鑑識服務
1. 對外弱點掃描資安事件支援
(1)107年9月27日接獲通報,所屬連線單位IP透過弱點掃描軟體,企圖掃瞄某機關系統,鑑識該系統後發現遭植入網站掃描軟體Acunetix及Turbomail信件發送軟體,並追蹤到其發送信件清單,確認為異常清單。請系統負責人先行進行快照備份,並進行斷網處理。
(2) 進行系統控制台新增移除程式檢查、事件紀錄器、使用者帳號檢查
(3) 找尋在事件發生前的時間點檢查是否異常登入IP。
2. 網頁置換事件支援處理
(1) 協助連線單位處理Web defacement 資安事件。
(2) 在Google搜尋該連線單位首頁後,會被強制重新導向至有問題的網頁。
(3)經本中心協助處理後,發現該校首頁被植入惡意Java Script程式碼,經移除該程式碼後,已恢復正常。
(二)、DNS版本升級及資安健檢服務
DNS版本升級及資安健檢服務(服務網址:https://goo.gl/6PgWh4)
為連線單位夥伴提供DNS Bind版本升級服務(9.10.4以上版本),並包含DNS安全性
設定服務及健檢:
(1).ACL設定
(2).限制來源查詢要求
(3).Response Rate Limit (RRL)
(4).Zone Transfer 限制
今年協助屏東縣網及高師大完成升級及資安健檢服務,目前已協助八間連線單位夥伴
(三間普通大學、四間科大及一個縣網中心)完成升級及資安健檢服務。
除此之外,並提供設定好之範例VM檔(OVF)給連線單位夥伴下載使用,
(三)、NFSEN異常流量偵測系統服務(Open source系統)
- 系統網址:https://nfsen.kpprc.edu.tw/nfsen.php
- 說明:
(1). NFSEN 為WEB圖形化介面、搭配NFDUMP 轉出NetFlow數據的一套自由化流量監測工具。
(2). NFSEN 透過前端路由設定發送NetFlow,使用FlowCapture將資料傳送到NFSEN Server的9995 Port。
(3). 提供即時與過去TCP、UDP、ICMP,封包、流量、總量大小查詢。
(4). 透過WEB自訂查詢規則(例如:前10大流量IP排行、來源及目的Port)。
(5). 系統畫面∶
(觀察流量前幾名的IP來源)
(四)、FDNS(與桃園區網中心合作,導入開發之異常流量偵測系統)
- 系統網址∶https://fdns.kpprc.edu.tw/Fdns/login.zul
- 說明∶與桃園中心合作導入之異常流量偵測系統,可偵測UDP flooding,Port scanning等異常流量,並列出TopN流量排行,找出可疑的問題連線,今年已順利完成導入,並整合至區網中心網站首頁。
- 系統畫面: