司法三等申論題
105年
[檢察事務官電子資訊組] 資通安全
第 一 題
📖 題組:
現今很多企業網路在與網際網路連結的閘道路由器(gateway router)使用網路位址轉換(Network Address Translation, NAT)技術,使得企業網路內部之聯網裝置的 IP位址是私有的(private),只有閘道路由器或特殊用途的伺服器才使用合法(legitimate)IP 位址。
現今很多企業網路在與網際網路連結的閘道路由器(gateway router)使用網路位址轉換(Network Address Translation, NAT)技術,使得企業網路內部之聯網裝置的 IP位址是私有的(private),只有閘道路由器或特殊用途的伺服器才使用合法(legitimate)IP 位址。
📝 此題為申論題,共 2 小題
小題 (一)
使用網路位址轉換技術對企業而言,除了節省使用合法 IP 位址的成本費用外,請列出至少三項在資安管理上的好處。(10 分)
思路引導 VIP
看到此題應先聯想 NAT 的核心技術本質:「IP 隱藏」與「連線狀態追蹤(Stateful)」。在資安管理上,建議從防禦面的「網路拓樸隱匿」、架構面的「隱性存取控制(阻擋外部主動連線)」,以及管理面的「集中化日誌與攔截點(利於鑑識)」三個維度進行切入,並結合深度防禦(Defense in Depth)概念來論述。
小題 (二)
網際網路資安犯罪偵查與鑑識之溯源追蹤(IP Traceback)是指例如有疑似來自企業內部設備攻擊外部網路某一伺服器的事件。在偵查鑑識上,假如擬從受害機器端根據攻擊封包的來源 IP 位址(source address)一路追蹤回溯,但是因為 NAT 功能,追蹤到企業的閘道路由器線索可能被迫中斷。請説明應該在 NAT 設備上採取何種措施,以利溯源追蹤可以一直延伸到企業內網偵查,找到真正的攻擊來源。(15 分)
思路引導 VIP
考生看到此題應先聯想 NAT(網路位址轉換)的運作原理,其核心在於「內部私有 IP/Port」與「外部合法 IP/Port」的對應。要突破 NAT 進行 IP Traceback,關鍵在於NAT設備必須留存詳細的「連線轉換日誌(Session Logs)」,並確保時間同步(NTP)與日誌的不可否認性(防篡改),以符合鑑識追蹤與司法證據力的要求。