NISC x NTTU 網路安全與社會 ps.助教到處跑心得

Chihhh Linnn 香菇頭
  2025-07-04 23:04:49 2025-07-04 23:04:49 Created   2025-07-04 23:04:49 2025-07-04 23:04:49 Updated   

LT;DR

  • 本課程由 國家資通安全研究院 委託 國立臺東大學 辦理,屬於「網路安全實務與社會人才培訓及實習輔導計畫」的一環,目的是培養資安實務技能,並透過學生協助中小型企業進行基礎的資安健檢
  • 主要執行內容:
    1. 網路拓樸 (必做)
    2. 資產盤點 (必做)
    3. 封包側錄 (選做)
    4. 弱點掃描 (選做)
    5. Vans 軟體盤點 (選做)

這次很幸運被老師指派擔任這堂課的助教,雖然一開始需要帶領同屆的同學進行課程實作,讓我一度擔心自己能力不夠,但後來發現自己過去累積的基礎其實能夠派上用場,也逐漸建立起信心 :>>>

透過這堂課,我對於企業內部的 網路架構設計(Network Architecture Design)、資安健診流程(Security Assessment Procedure) 有了更實務面的理解,同時也學會了如何與企業方進行溝通協調,在解釋資安風險與提出改善建議時,必須兼顧 技術語言與商業語言的轉換。

操作實務紀錄

這次課程由 3 位助教協同支援,每位助教負責帶領 5 人一組的三組學生小隊,進行企業實地資安健檢演練。課程分為幾個核心實作任務,主要分為以下幾大項:

網路拓樸繪製

學生需實際走訪現場,與企業負責人訪談、查看實體線路與交換器、記錄 IP 分配狀況,最後繪製一份完整的網路拓樸圖。

困難點

  • 許多學生對企業內的 實體硬體架構(如交換器、VLAN、L3 router)不熟悉,導致在畫出實際網路連線路徑時,容易遺漏或誤判節點。
  • 有些設備未標示明確名稱或型號,需手動查詢 MAC Address 對應表。

網路架構

這次總共去了四間企業,每個都使用不同的架構方式

有 NAS 架構所有的伺服器系統,
比較完整的架構是兩間飯店的系統,通過VDSL提供客房網路,內部系統透過 Hinet 走防火牆後連接,並配備 VPN 裝置,使用 routeros 裝置。
也有建置在 AWS 上的訂票系統

封包側錄與流量分析(Packet Capture with Suricata)

會部署一台具備 mirror port 監聽功能的 網管型 Switch,接入 Linux VM 安裝 Suricata 偵測流量中的潛在異常,並導出 EVE JSON log 作後續分析。

遇到問題

  1. 網路鏡像架構配置不清楚,學生不確定要將側錄機器接在哪個交換器上,也不確定是否有設 VLAN Tag Filtering。
  2. 配置後無法擷取預期流量,經查是由於鏡像設定未生效或錯接到 access port。

弱點掃描(Vulnerability Scanning)

針對盤點出的關鍵設備,使用多種工具進行掃描:

  • Nessus(商業掃描器,需申請教育版授權)
  • GVM / OpenVAS(開源工具,報告詳細但較吃資源)
  • OWASP ZAP(針對 Web 應用程式進行動態掃描)

實際狀況

感覺大家都不太會做這邊的實作部分,包括 VM Network nat 改 bridge , 跟軟體使用都不太熟練。

網路架構觀察與挑戰

在這次資安健檢實作中,我走訪了四間不同類型的企業,每一間的網路架構設計皆有所不同,反映出中小企業在網路建設上的多樣性與現實考量:

1. 集中式架構:NAS 為核心

其中有一家公司採用 NAS 作為核心伺服器系統,將檔案伺服器、系統備份與簡易應用主機統一建置在多台 NAS 上;
雖然使用 NAS 作為內部資料儲存與伺服器整合的主體,但也觀察到他們額外架設了一台 Proxy Server(正向代理/反向代理),作為內部 Web Server 的「第一道防線」。

優點:管理簡便、部署快速。

2. 飯店系統:VDSL + RouterOS + VPN

有兩間飯店業者的系統架構較為完整,使用 VDSL 提供客房 MOD 設備網路,同時將內部行政系統(如訂房、財務、人事)透過 HiNet 線路,經由防火牆串接

  • RouterOS 路由器,負責客房 WIFI NAT 機制運作
  • 使用 VPN 裝置實現內外網分離的安全機制。

常見設備:RouterOS (Mikrotik)、switch、防火牆(部分自建 NAT ACL)

3. 雲端架構:AWS 訂票系統

其中一間企業將其訂票系統建置在 AWS EC2 上,並使用 MySQL 作為資料庫儲存後端,前端則使用 Nginx + PHP。

實務挑戰

  • 雲端系統雖然本地無設備可掃描,但學生仍需針對 AWS IP 進行 Web App 弱點分析
  • 使用 OWASP ZAP 時,需考慮掃描速度與 API Token 的管理問題

總結

教學帶領中的觀察
過程中有幾個常見的困難:

  • 對於工具操作(如 Suricata、GVM、Nessus)能執行但不理解背後邏輯
  • 對企業網路架構(如 NAT、VLAN、VPN、proxy)理解不足,導致判斷錯誤
  • 實地環境複雜度遠高於課堂實驗,操作需要更多耐心與靈活調整

助教視角與實作反思
這次實地走訪了多家企業,看到了各種不同的網路架構與實體設備,讓我對網路基礎建設有了更多的理解與認識,真的超級開心 :>>>>>

身為助教,在協助課程的過程中,我也學會了如何從學生的角度出發,引導他們釐清問題、找出盲點,包括:

  • 協助他們理解 Layer 2 與 Layer 3 設備的差異
  • 協助辨認常見的企業設備(如:交換器、防火牆、RouterOS)
  • 解釋 Suricata 的 IDS 原理與 log 格式分析 —— 剛好也跟我的畢業專題主題有關

在這些實作中,我也更加體會到:

資訊安全不只是技術問題,更是環境與人之間的互動。

尤其在與企業方溝通的過程中,如何用清楚、簡單、具體的方式說明風險、建議對策,是最容易忽略、但在真實場域中卻最關鍵的一環。

  • Title: NISC x NTTU 網路安全與社會 ps.助教到處跑心得
  • Author: Chihhh Linnn
  • Created at : 2025-07-04 23:04:49
  • Updated at : 2025-07-04 23:04:49
  • Link: https://chihhhs.github.io/2025/07/04/nisc-nsc/
  • License: This work is licensed under CC BY-NC-SA 4.0.
推薦閱讀
2024沙崙資安新秀媒合培育計畫成果心得 2024沙崙資安新秀媒合培育計畫成果心得 SSH Key Exchange Workflow SSH Key Exchange Workflow 威脅情資 LLM 應用 威脅情資 LLM 應用
推薦閱讀
2024沙崙資安新秀媒合培育計畫成果心得 2024沙崙資安新秀媒合培育計畫成果心得 SSH Key Exchange Workflow SSH Key Exchange Workflow
On this page
NISC x NTTU 網路安全與社會 ps.助教到處跑心得
  1. LT;DR
    1. 操作實務紀錄
    2. 網路架構觀察與挑戰
    3. 3. 雲端架構:AWS 訂票系統
  2. 總結