貳、區網中心之網路連線、網管策略及具體辦理事項(網路管理)
一、110年度網路管理維運具體辦理事項
(一)、協助高雄市、屏東縣及澎湖縣市網路中心骨幹頻寬升級
配合辦理臺灣學術網路(TANet)國內縣市教育骨幹頻寬升級設備採購案,協助設定高屏澎區網中心端網路及路由設定,更換區網端對點連線IP。
- 高雄市網:110年8月23日完成設定及協助觀察網路流量是否正常。
- 屏東縣網∶110年8月21日完成設定及協助觀察網路流量是否正常。
- 澎湖縣網:110年8月23日完成設定及協助觀察網路流量是否正常。
(二)、不當資訊防護系統
1. 高屏澎區網中心自行開發TANet不當資訊防護系統,強化臺灣學術網路的網路內容安全,保護學齡中使用者避免接觸不當資訊內容網站。
2. 防護範圍包含:全國各縣市網路中心及全國各區網高中職連線單位。
3. 系統特色及架構:請詳見特色服務。
(三)、網路流量分流設備應用
目前網路分流設備除持續偵測DNS流量異常及不當資訊防護系統,今年也應用在Layer 7網路流量服務分析系統上,請詳見特色服務。
(四) DNS版本升級及資安健檢服務
- DNS版本升級及資安健檢服務(服務網址:https://goo.gl/6PgWh4)
- 為連線單位夥伴提供DNS Bind版本升級服務(9.10.4以上版本),並包含DNS安全性
設定服務及健檢:
- ACL設定
- 限制來源查詢要求
- Response Rate Limit (RRL)
- Zone Transfer 限制
- Open DNS Resolver偵測服務(防止DNS放大攻擊)。
- Minimal-any設定(防止DNS放大攻擊)
- 提供設定好之範例VM檔(OVF)給連線單位夥伴下載使用
- 並於區網管理會議推廣此服務
(五) 建置容器化網路裝置監測系統服務
- 運用現行DevOps理念,導入容器化網路監測系統服務,意使轄下單位提升伺服器異常處理速度
與網路流量控管,提升即時發現異常設備能力。
- 容器化網路監測系統服務達成以下特點:
- 節省伺服器建置,輕量化,隨時隨地即可建置及監測。
- 透過Docker雲端可設置上船映像版本進行管理與備份效果,省去VM快照儲存容量消耗。
- 透過輕量化監測系統即時監測伺服器狀態與網路流量控管網路安全。
- 透過如Docker上傳版本號分享,快速支援轄下單位進行使用,幫助轄下單位有效管理網路裝置。
系統監測畫面
二、111年度網路管理營運方針
- 鑒於連線單位對於網路流量需求頻寬日益提升,111年度重點將持續精進網路流量分流設備,分流出各連線單位各服務流量如HTTP、HTTPS、NTP、DNS、LDAP、Redis等流量,並持續做Layer 7流量分析,分析並服務不同連線單位,以找出可能潛在之資安問題,以提早預警。
- 有鑑於近年資安攻擊頻繁(如DDoS攻擊),為主動監控連線單位網路流量,將監控並偵測各連線單位平常使用之網路流量,如超出平常使用之流量,將主動確認是否正發生DDoS攻擊,以緩解DDoS攻擊,以降低網路中斷之風險。
叁、區網中心之資安服務、資安政策及具體辦理事項(資安服務)
一、110年度資安服務維運具體辦理事項
(一)Layer 7網路流量分析
- 主要運作原理及架構:
- 透過網路分流器將區網連線單位流量過濾出來後導入網路流量分析軟體。
- 網路流量分析軟體使用ntopng,可解析Layer 7服務,並分析不同的session連線使用狀況。
- 如有發現任何異常,將Email通知連線單位修正
- 可偵測出大部份服務的異常連線,如SSH、RDP、NTP、Redis、SNMP
- 系統部署架構:
- 目前已偵測到服務及資安問題
(1).SSH異常連線
(2).NTP DDoS攻擊(大量的國外IP連線到連線單位的NTP Server,流量已達1.75GB)
(3).Redis資料庫流量分析 (國外IP嘗試連線)
(4).SNMP流量分析(國外IP嘗試連線)
(5).流量分析Breakdown(前3名流量依序為TLS、微軟及Facebook)
3. 容器化弱點掃描工具改版
- 改版特色:
(1)核心系統環境由Ubuntu18.04提升為20.04增加系統安全性。
(2)由過去OpenVAS10版本掃描引擎提升為11版本引擎,持續保持弱點定義庫更新。
(3)系統畫面
(4)弱點報告
二、111年度資安服務目標(實施措施)
- 持續精進Layer 7網路異常流量分析系統,將持續透過此系統協助分析連線單位網路流量及連線,至少協助3所以上連線單位進行此流量分所,以找出潛在的資安問題,並通知連線單位做修正。
- 除持續精進現有容器化弱點掃描系統,固定年度版本更新,另搭配容器化網路裝置服務監測系統,透過此兩套系統,弱點監測、網路流量監測、硬體裝置監測,三項並行,期鞏固轄下單位網路防護,提升異常流量處理,故障排除速度效率。