常用网络安全技术课件

常用网络安全技术介绍防火墙技术介绍漏洞扫描技术介绍入侵检测技术介绍讲义内容整体介绍FirewallInternetDMZInternal Network 防火墙是在不同安全区域之间进行访问控制的一种措施。什么是防火墙?防火墙概念防火墙概念 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙特征防火墙特征4保护脆弱和有缺陷的网络服务保护脆弱和有缺陷的网络服务4集中化的安全管理集中化的安全管理4加强对网络系统的访问控制加强对网络系统的访问控制4加强隐私加强隐私4对网络存取和访问进行监控审计对网络存取和访问进行监控审计保护脆弱和有缺陷的网络服务保护脆弱和有缺陷的网络服务v一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。v防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙特征防火墙特征防火墙特征防火墙特征集中化的安全管理集中化的安全管理通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。加强对网络系统的访问控制加强对网络系统的访问控制v一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。v防火墙不应向外界提供网络中任何不需要服务的访问权，这实际上是安全政策的要求了。v控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。防火墙特征防火墙特征加强隐私加强隐私v隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。v使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。防火墙特征防火墙特征对网络存取和访问进行监控审计对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防火墙特征防火墙特征防火墙实现策略对防火墙系统而言，共有两层网络安全策略：v网络服务访问策略：是高层策略，定义了受保护网络明确允许和明确拒绝的网络服务，分析网络服务的可用性（包括可用条件）、风险性等。v防火墙设计策略：是低层策略，描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限制访问和过滤服务。网络服务访问策略网络服务访问策略v不允许外部网络或Internet访问内部网络，但允许内部网络访问外部网络或Internet。v允许外部网络或Internet访问部分内部网络，这些特定的网络服务是经过严格选择和控制的，如一些信息服务器、电子邮件服务器或域名服务器等等。防火墙实现策略防火墙实现策略防火墙设计策略防火墙设计策略 防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙设计策略是：v允许所有除明确拒绝之外的通信或服务（很少考虑，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络）v拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并有可能拒绝网络用户的正常需求与合法服务）防火墙实现策略防火墙实现策略作为一个安全策略的设计者，应懂得以下问题的要点：v哪些Internet服务是本网络系统打算使用或提供的？（如TELNET、FTP、HTTP）v这些Internet服务在哪或哪个范围内使用？（如在本地网内、整个Internet或拨号服务等）v可能有哪些额外或临时的服务或需求？（如加密、拨入服务等）v提供这些服务和访问有哪些风险和总的花费？防火墙实现策略防火墙实现策略防火墙发展历程第一阶段：基于路由器的防火墙第二阶段：用户化的防火墙工具套第三阶段：建立在通用操作系统上的防火墙第四阶段：具有安全操作系统的防火墙对防火墙技术与产品发展的介绍对防火墙技术与产品发展的介绍第一代防火墙产品的特点是：v利用路由器本身对分组的解析,以访问控制表（access list）方式实现对分组的过滤；v过滤判决的依据可以是：地址、端口号、IP旗标及其它特征；v只有分组过滤的功能，且防火墙与路由器是一体的，对 安全要求低的网络可采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。第一阶段：基于路由器的防火墙第一阶段：基于路由器的防火墙第一代防火墙产品的不足之处为：4路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。4路由器上的分组过滤规则的设置和配置存在安全隐患。4攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。4防火墙的规则设置会大大降低路由器的性能。第二阶段：用户化的防火墙工具套作为第二代防火墙产品，用户化的防火墙工具套具有下特征：v将过滤功能从路由器中独立出来，并加上审计和告警功能；v针对用户需求，提供模块化的软件包；v软件可通过网络发送，用户可根据需要构造防火墙；v与第一代防火墙相比，安全性提高了，价格降低了。第二阶段：用户化的防火墙工具套不足之处：4配置和维护过程复杂、费时；4对用户的技术要求高；4全软件实现，安全性和处理速度均有局限；4实践表明，使用中出现差错的情况很多。第三阶段：建立在通用操作系统上的防火墙具有以下特点：4是批量上市的专用防火墙产品；4包括分组过滤或者借用路由器的分组过滤功能；4装有专用的代理系统，监控所有协议的数据和指令；4保护用户编程空间和用户可配置内核参数的设置；4安全性和速度大为提高。第三阶段：建立在通用操作系统上的防火墙存在的问题：v作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证；v由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；v从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。v用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。第四阶段：具有安全操作系统的防火墙 具有以下特点：v防火墙厂商具有操作系统的源代码，并可实现安全内核；v对安全内核实现加固处理:即去掉不必要的系统特性，加固内核，强化安全保护；v对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；v在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；v透明性好，易于使用。第四代防火墙的主要技术与功能 第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能特点：4双端口或三端口的结构4透明的访问方式4灵活的代理系统4多级的过滤技术4网络地址转换技术4 Internet网关技术4 安全服务器网络（SSN）4 用户鉴别与加密4 用户定制服务4 审计和告警Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略v基于源基于源IP地址地址v基于目的基于目的IP地址地址v基于源端口基于源端口v基于目的端口基于目的端口v基于时间基于时间v基于用户基于用户v基于流量基于流量v基于访问内容基于访问内容可以灵活的制定的控制策略灵活的包过滤规则Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet下班时间可以自由访问公司的网络Internet基于时间对象的访问控制Host C Host D Host B Host A 受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可用户级权限控制客户机客户机A客户机客户机BInternet192161192162192161192161-MAC(A)192162-MAC(B)内部网络内部网络IP地址和MAC地址绑定 防止IP地址盗用MAC与IP绑定规则的技术挑战视频H323协议动态开放通讯端口防火墙正常工作状态只开放端口防火墙正常工作状态只开放端口1718或或1719(发向网守的发向网守的RAS消息消息所用端口所用端口)、1720(呼叫信令消息呼叫信令消息所用端口所用端口)。媒体流需要通过媒体流需要通过RTP协议来传输，协议来传输，而传输所需要的源端口和目的端口而传输所需要的源端口和目的端口是动态确定的，这些端口可能是大是动态确定的，这些端口可能是大于于1024的任意端口，因此要使的任意端口，因此要使H323数据流通过防火墙，需要在防火墙数据流通过防火墙，需要在防火墙规则中打开所有大于规则中打开所有大于1024的端口，的端口，这显然是非常不安全的。这显然是非常不安全的。防火墙需要全程跟踪防火墙需要全程跟踪H323协议过协议过程，可以动态开放特定端口保证程，可以动态开放特定端口保证安全与应用相统一。安全与应用相统一。用户 C 用户 D 用户 B 用户 A 受保护网络用户 A的流量已达到 10M用户 A的流量已达到 极限值30M阻断用户 A的连接基于帐号的流量限制基于帐号的流量限制InternetInternetInternetRADIUSRADIUS服务器服务器服务器服务器认证服务器认证服务器认证服务器认证服务器admin12354876防火墙将认证信防火墙将认证信防火墙将认证信防火墙将认证信息传给真正的息传给真正的息传给真正的息传给真正的RADIUSRADIUS服务器服务器服务器服务器进行认证进行认证进行认证进行认证将认证结果将认证结果将认证结果将认证结果传给防火墙传给防火墙传给防火墙传给防火墙根据认证结果决定用根据认证结果决定用根据认证结果决定用根据认证结果决定用户对资源的访问权限户对资源的访问权限户对资源的访问权限户对资源的访问权限支持第三方认证服务器带宽优先级别管理Web服务器服务器视频应用服务器视频应用服务器客户机客户机客户机客户机客户机客户机浏览浏览下载下载一级一级二级二级三级三级视频视频Ftp服务器服务器带宽管理规则库带宽管理规则库内网内网外网外网外网外网内网内网双机热备份保证网络高可用性客户机客户机 客户机客户机 客户机客户机服务器服务器服务器服务器服务器服务器请求请求请求请求请求请求请求请求多链路负载均衡功能多多ISPISP链路冗余链路冗余互联网连接（互联网连接（ISP)ISP)已经成为最后的故障点已经成为最后的故障点将高可用性引入将高可用性引入ISPISP连接可以消除此故障点，防火连接可以消除此故障点，防火墙出口可能会有几个网关，管理员可以通过此功能墙出口可能会有几个网关，管理员可以通过此功能平均分流给各个网关，而对源平均分流给各个网关，而对源IPIP则无需考虑。则无需考虑。ISP的网的网络ISP的网的网络ISP的网的网络内网内网以太网通道功能极大地节省企业租用网络线路和带宽的投资极大地节省企业租用网络线路和带宽的投资1000M2000M聚合链路聚合链路Port 1Port 2Port 3Port n帧分发器帧分发器发送队列发送队列Higher-layer ProtocolsPort 1Port 2Port 3Port n帧接收器帧接收器接收队列接收队列Higher-layer ProtocolsSystem ASystem B实现链路备份，单条链路故障不影响应用的正常运行实现链路备份，单条链路故障不影响应用的正常运行网络设备通过两个或多个端口并行传输数据以提供更高的带宽网络设备通过两个或多个端口并行传输数据以提供更高的带宽网络适应性虚拟防火墙v建立有自己的地址簿、策略和管理系统的虚拟防火墙建立有自己的地址簿、策略和管理系统的虚拟防火墙v工作原理工作原理:根据根据IPIP地址、物理接口或地址、物理接口或VLANVLAN标记将流量路由到标记将流量路由到VSYSVSYSVSYSVSYS可以支持多个客户或域而不需要共享策略可以支持多个客户或域而不需要共享策略可以独立进行管理以便于分工可以独立进行管理以便于分工v优点优点:简化管理简化管理通过对网络进行分段来提高安全性通过对网络进行分段来提高安全性无需部署额外的硬件，从而降低总拥有成本无需部署额外的硬件，从而降低总拥有成本Vsys#1Vsys#2Vsys#3VLAN标记标记IP地址地址物理物理接口接口内网内网2/专网专网2网络适应性策略路由v当防火墙同一接口有多个路由网关，可以根据源当防火墙同一接口有多个路由网关，可以根据源IPIP、端口、协议来进行网络流量分流，防止网络拥塞，提端口、协议来进行网络流量分流，防止网络拥塞，提高网络利用率高网络利用率电信网电信网教育网教育网内部专网内部专网内网内网1/专网专网1通往电信网的出口通往电信网的出口通往教育网的出口通往教育网的出口Internet应用适应性：服务器负载均衡Web Server AInternet分支机构分支机构远程用程用户IntranetWeb Server CWeb Server BInternetDMZEmailFtpHTTP财务部市场部研发部Router来自内部来自内部的攻击的攻击来自外部来自外部的攻击的攻击告警告警!攻击次攻击次数数 比比率率(%)(%)源地源地址址 目的地目的地址址 攻击方攻击方法法2013071921683270 1921683212 Port scan内置入侵检测系统和入侵检测产品联动的工作方式DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继外部攻击外部攻击外部攻击外部攻击商务伙伴商务伙伴警告警告!记录进攻记录进攻,发送消息发送消息,终止连接终止连接外部攻击外部攻击外部攻击外部攻击中止连接中止连接重新配置重新配置防火墙以便防火墙以便阻断攻击者阻断攻击者邮件等多种方式邮件等多种方式通知管理员通知管理员VPN 设备设备容易被攻容易被攻击击 例如：例如：denial of service（DOS）需要在防火需要在防火墙墙上开通上开通VPN流量的流量的通道通道VPN流量的安全性得不到保流量的安全性得不到保证证InternetInternetInternetInternet不同种类的 VPN/Firewall 结构VPN 设备设备容易被攻容易被攻击击 例如：例如：denial of service（DOS）需要在防火需要在防火墙墙上开通上开通VPN流量的流量的通道通道VPN流量的安全性得不到保流量的安全性得不到保证证InternetInternetInternetInternet不同种类的 VPN/Firewall 结构只有只有VPN/firewall集成的解决方案集成的解决方案才能实现完全的访问控制才能实现完全的访问控制和全局一致的安全策略和全局一致的安全策略安全=最少服务最小权限v公理：所有的程序都有缺陷（摩菲定理）v大程序定律：大程序的缺陷甚至比它包含的内容还多v推理：一个安全相关程序有安全性缺陷v定理：只要不运行这个程序，那么这个程序有缺陷，也无关紧要v推理：只要不运行这个程序，那么这个程序有安全性漏洞，也无关紧要v定理：对外暴露的计算机，应尽可能少地运行程序，且运行的程序也尽可能地小v推论：防火墙基本法则：防火墙必须配置得尽可能地小，才能降低风险。防火墙的网络应用防火墙应用失败案例辨析 v未制定完整的企业安全策略v 没有及时升级系统和安全漏洞库v 安全策略更新缓慢v 合作伙伴选择失败v 缺少有效的管理手段对防火墙技术的展望：对防火墙技术的展望：几点趋势v防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展；v过滤深度不断加强,从目前的地址、服务过滤，发展到URL（页面）过滤，关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫除功能。v单向防火墙（又叫网络二极管）将作为一种产品门类而出现；v利用防火墙建立专用网(VPN)是较长一段时间的用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点；v对网络攻击的检测和告警将成为防火墙的重要功能；v安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。对防火墙技术的展望：几点趋势Internet/公网公网内部网内部网路由器路由器NEsec300FW2035968?告警内网接口外网接口电源控制台服务器服务器服务器主机主机内外网络隔离内外网络隔离 截取IP包，根据安全策略控制其进/出 双向网络地址转换（NAT）基于一次性口令对移动访问进行身份识别和控制 IPMAC捆绑，防止IP地址的滥用安全记录安全记录 通信事件记录 操作事件记录 违规事件记录 异常情况告警移动用户移动用户拨号用户拨号用户局域网用户局域网用户常见防火墙部署模式（内部地址）（内部地址）路由器HTTP服务器DNS服务器Email服务器防火墙DMZDMZ区区（Demilitarized ZoneDemilitarized Zone）内部专用网络内部专用网络InternetInternetDDNDDNPSTNPSTNATMATMISDNISDNX25X25帧中继帧中继防火墙管理器外部网络外部网络安装方式之一安装方式之一防火墙防火墙防火墙管理工作站防火墙管理工作站分支机构分支机构受保护局域网受保护局域网防火墙防火墙防火墙防火墙资源子网资源子网路由器路由器路由器路由器路由器路由器分支机构分支机构受保护局域网受保护局域网公共网络公共网络总部总部路由器路由器路由器路由器安装方式之二安装方式之二安装方式之三安装方式之三防火墙防火墙评测指标防火墙评测指标(1)v对防火墙的评估通常包括对其功能、性能和可用性进行测试评估。v对防火墙性能的测试指标主要有 吞吐量 延迟 帧丢失率 防火墙防火墙评测指标防火墙评测指标(2)v对防火墙的功能测试通常包含身份鉴别访问控制策略及功能密码支持审计管理对安全功能自身的保护防火墙的日常运维管理v定期升级系统配置，关注厂商升级包。v分析系统各种告警日志信息，配置SNMP、SYSLOG告警管理服务器进行统一管理。v规则策略应该定期进行必要的配置调整完善。v对于网络中新增加的应用业务系统做好调研工作，了解实际TCP端口的应用需求。课程小结v防火墙章节重要在防火墙的功能高级应用v与管理维护部署，重点突出了日常运维中的各种常见问题总结与注意要点。防火墙的技术知识漏洞扫描技术知识漏洞扫描技术知识议题整体介绍漏洞扫描技术漏洞扫描技术掌握漏洞掌握漏洞扫描相关概念描相关概念了解系了解系统的脆弱性的脆弱性掌握漏洞掌握漏洞扫描的原理描的原理掌握分析漏洞解决漏洞的方法掌握分析漏洞解决漏洞的方法 漏洞漏洞扫描概述描概述 漏洞漏洞源自源自“vulnerabilityvulnerability”（脆弱性）。一般认为，漏（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。击者能够在未授权的情况下访问、控制系统。标准化组织标准化组织CVECVE（Common Vulnerabilities and Exposures,即即“公共漏洞与暴露公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容兼容。1 1 漏洞的概念漏洞的概念信息安全的信息安全的“木桶理论木桶理论”对一个信息系统来说，它的安全性不在于它是否对一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。发现，系统就有可能成为网络攻击的牺牲品。漏洞漏洞扫描概述描概述 2 2 漏洞的漏洞的发现 一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。通常收集安全信息的途径包括：新闻组、邮件列表、通常收集安全信息的途径包括：新闻组、邮件列表、WebWeb站点、站点、FTPFTP文文档。档。网网络管理者的部分工作就是管理者的部分工作就是关心信息安全相关新闻，了解信息安全的关心信息安全相关新闻，了解信息安全的动态。动态。管理者需要制定一个收集、分析以及抽取信息的策略，以便管理者需要制定一个收集、分析以及抽取信息的策略，以便获取有取有用的信息。用的信息。漏洞漏洞扫描概述描概述 3 3 漏洞漏洞对系系统的威的威胁 漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。者才可以得手。目前，因特网上已有目前，因特网上已有3 3万多个黑客站点，而且黑客技术不万多个黑客站点，而且黑客技术不断创新，基本的攻击手法已多达断创新，基本的攻击手法已多达800800多种。多种。目前我国目前我国9595的与因特网相连的网络管理中心都遭到过的与因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入，其中银行、金融和证券机构是境内外攻击者的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络安全形势非常不容黑客攻击的重点。国内乃至全世界的网络安全形势非常不容乐观。乐观。漏洞可能影响一个漏洞可能影响一个单位或公司的生存位或公司的生存问题。漏洞漏洞扫描概述描概述 4 4 漏洞扫描的必要性漏洞扫描的必要性 v帮助网管人员了解网络安全状况帮助网管人员了解网络安全状况v对资产进行风险评估的依据对资产进行风险评估的依据v安全配置的第一步安全配置的第一步v向领导上报数据依据向领导上报数据依据82 82 系系统脆弱性分析脆弱性分析 信息系信息系统存在存在着着许多漏洞多漏洞，如，如IISIIS的安全性的安全性、CGICGI的安全的安全性、性、DNSDNS与与FTPFTP协议的安全性、的安全性、缓冲区溢出冲区溢出问题、拒、拒绝服服务和和后后门。由于网。由于网络的的飞速速发展，越来越多的漏洞也必将随之出展，越来越多的漏洞也必将随之出现。821 IIS821 IIS安全安全问题 WindowsWindows的的IISIIS服服务器存在着很多漏洞，如拒器存在着很多漏洞，如拒绝服服务、泄、泄露信息、泄露源代露信息、泄露源代码、获得更多得更多权限、目限、目录遍遍历、执行任意行任意命令、命令、缓冲区溢出冲区溢出执行任意代行任意代码等。等。系系统脆弱性分析脆弱性分析 缓冲区溢出冲区溢出 lBufferoverflowattack缓冲区溢出攻击缓冲区溢出攻击缓冲区溢出漏洞大量存在于各种软件中缓冲区溢出漏洞大量存在于各种软件中利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。果。l最早的攻击最早的攻击1988年年UNIX下的下的Morrisworml最近的攻击最近的攻击Codered利用利用IIS漏洞漏洞SQLServerWorm利用利用SQLServer漏洞漏洞Blaster利用利用RPC漏洞漏洞Sasser利用利用LSASS漏洞漏洞系系统脆弱性分析脆弱性分析 l向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。l原因：程序中缺少错误检测:voidfunc(char*str)charbuf16;strcpy(buf,str);如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。系系统脆弱性分析脆弱性分析 l类似函数有strcat、sprintf、vsprintf、gets、scanf等l一般溢出会造成程序读/写或执行非法内存的数据，引发segmentationfault异常退出l如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。系系统脆弱性分析脆弱性分析 l对于使用C语言开发的软件，缓冲区溢出大部分是数组越界或指针非法引用造成的。l有时并不引发溢出也能进行攻击。l现存的软件中可能存在缓冲区溢出攻击，因此缓冲区溢出攻击短期内不可能杜绝。l缓冲区溢出的危害很大:可以植入并运行攻击代码比大部分DoS攻击危害严重系系统脆弱性分析脆弱性分析 l在进程的地址空间安排适当的代码l通过适当的初始化寄存器和内存，跳转到以上代码段执行l利用进程中存在的代码传递一个适当的参数如程序中有exec(arg)，只要把arg指向“/bin/sh”就可以了l植入法把指令序列放到缓冲区中堆、栈、数据段都可以存放攻击代码，最常见的是利用栈系系统脆弱性分析脆弱性分析 拒拒绝服服务攻攻击 软件弱点是包含在操作系件弱点是包含在操作系统或或应用程序中与安全相关的系用程序中与安全相关的系统缺陷，缺陷，这些缺陷大多是由于些缺陷大多是由于错误的程序的程序编制，粗心的源代制，粗心的源代码审核，无心的副效核，无心的副效应或或一些不适当的一些不适当的绑定所造成的。根据定所造成的。根据错误信息所信息所带来的来的对系系统无限制或者未无限制或者未经许可的可的访问程度，程度，这些漏洞可以被分些漏洞可以被分为不同的等不同的等级。典型的拒典型的拒绝服服务攻攻击有如下两种形式：有如下两种形式：资源耗尽和源耗尽和资源源过载。当一个当一个对资源的合理源的合理请求大大超求大大超过资源的支付能力源的支付能力时就会造成拒就会造成拒绝服服务攻攻击（例例如，如，对已已经满载的的WebWeb服服务器器进行行过多的多的请求。）拒求。）拒绝服服务攻攻击还有可能有可能是由于是由于软件的弱点或者件的弱点或者对程序的程序的错误配置造成的。区分配置造成的。区分恶意的拒意的拒绝服服务攻攻击和非和非恶意的服意的服务超超载依依赖于于请求求发起者起者对资源的源的请求是否求是否过份，从而使份，从而使得其他的用得其他的用户无法享用无法享用该服服务资源。源。错误配置也会成配置也会成为系系统的安全的安全隐患。患。这些些错误配置通常配置通常发生在硬件装生在硬件装置，系置，系统或者或者应用程序中。如果用程序中。如果对网网络中的路由器，防火中的路由器，防火墙，交，交换机以及机以及其他网其他网络连接接设备都都进行正确的配置会减小行正确的配置会减小这些些错误发生的可能性。如果生的可能性。如果发现了了这种漏洞种漏洞应当当请教教专业的技的技术人人员来修理来修理这些些问题。系系统脆弱性分析脆弱性分析 以下的两种情况最容易以下的两种情况最容易导致拒致拒绝服服务攻攻击：由于由于程序程序员对程序程序错误的的编制，制，导致系致系统不停的建立不停的建立进程，最程，最终耗尽耗尽资源源，只能重新启只能重新启动机器。不同的系机器。不同的系统平台都平台都会采取某些方法可以防止一些特殊的用会采取某些方法可以防止一些特殊的用户来占用来占用过多的系多的系统资源，我源，我们也建也建议尽量采用尽量采用资源管理的方式来减源管理的方式来减轻这种安全种安全威威胁。还有一种情况是有一种情况是由磁由磁盘存存储空空间引起引起的。假如一个用的。假如一个用户有有权利存利存储大量的文件的大量的文件的话，他就有可能只，他就有可能只为系系统留下很小留下很小的空的空间用来存用来存储日志文件等系日志文件等系统信息。信息。这是一种不良的操作是一种不良的操作习惯，会，会给系系统带来来隐患。患。这种情况下种情况下应该对系系统配配额作出作出考考虑。系系统脆弱性分析脆弱性分析 基于网基于网络的拒的拒绝服服务攻攻击：（1 1）Ping of DeathPing of Death发送送长度超度超过6553565535字字节的的ICMP Echo Request ICMP Echo Request 数据包数据包导致目致目标机机TCP/IPTCP/IP协议栈崩崩溃，系，系统死机或重启死机或重启现有的操作系有的操作系统基本上都能正确基本上都能正确处理理这种异常数据包，种异常数据包，不会出不会出现问题（2 2）TeardropTeardrop发送特送特别构造的构造的IP IP 数据包数据包导致目致目标机机TCP/IPTCP/IP协议栈崩崩溃，系，系统死死锁现有的操作系有的操作系统基本上都能正确基本上都能正确处理理这种异常数据包，种异常数据包，不会出不会出现问题系系统脆弱性分析脆弱性分析 基于网基于网络的拒的拒绝服服务攻攻击 (续续)（3 3）Syn floodingSyn flooding发送大量的送大量的SYNSYN包包系系统中中处于于SYN_RECVSYN_RECV状状态的的 socketsocket （4 4）LandLand发送一个送一个TCP SYNTCP SYN包，包的包，包的SRC/DST IPSRC/DST IP相同，相同，SPORT/DPORTSPORT/DPORT相同相同导致目致目标机机TCP/IPTCP/IP协议栈崩崩溃，系，系统死机或失去响死机或失去响应现有的操作系有的操作系统基本上都能正确基本上都能正确处理理这种异常数据包，种异常数据包，不会出不会出现问题系系统脆弱性分析脆弱性分析 基于网基于网络的拒的拒绝服服务攻攻击 (续续)（5 5）SmurfSmurf攻攻击者冒充服者冒充服务器向一个网段的广播地址器向一个网段的广播地址发送送ICMP echoICMP echo包包整个网段的所有系整个网段的所有系统都向此服都向此服务器回器回应一个一个icmp replyicmp reply包包 （6 6）WinnukeWinnuke发送特送特别构造的构造的TCPTCP包，使得包，使得WindowsWindows机器机器篮屏屏 （7 7）分布式拒）分布式拒绝服服务攻攻击 使得分散在因特网各使得分散在因特网各处的机器共同完成的机器共同完成对一台主机攻一台主机攻击的操作，从而使主机看起来好像是遭到了不同位置的的操作，从而使主机看起来好像是遭到了不同位置的许多多主机的攻主机的攻击。系系统脆弱性分析脆弱性分析 DNSDNS的安全性的安全性对DNSDNS服服务器的攻器的攻击主要有三种方法：地址欺主要有三种方法：地址欺骗、远程漏程漏洞入侵和拒洞入侵和拒绝服服务。1 1）地址欺）地址欺骗。地址欺。地址欺骗攻攻击利用了利用了RFCRFC标准准协议中的某些中的某些不完善的地方，达到修改域名指向的目的。不完善的地方，达到修改域名指向的目的。2 2）远程漏洞入侵。程漏洞入侵。BINDBIND服服务器器软件的件的许多版本存在多版本存在缓冲冲区溢出漏洞，黑客可以利用区溢出漏洞，黑客可以利用这些漏洞些漏洞远程入侵程入侵BINDBIND服服务器所器所在的主机，并以在的主机，并以rootroot身份身份执行任意命令。行任意命令。3 3）拒）拒绝服服务。一种攻。一种攻击针对DNSDNS服服务器器软件本身件本身；另一种另一种攻攻击的目的目标不是不是DNSDNS服服务器，而是利用器，而是利用DNSDNS服服务器作器作为中中间的的“攻攻击放大器放大器”，去攻，去攻击其他其他InternetInternet上的主机上的主机。系系统脆弱性分析脆弱性分析 FTPFTP协议漏洞分析漏洞分析 1 1）FTPFTP反反弹(FTP Bounce)(FTP Bounce)。FTPFTP的代理服务特性，形成的代理服务特性，形成FTPFTP反弹漏洞。反弹漏洞。2 2）有限制的）有限制的访问(Restricted Access)(Restricted Access)。可能形成可能形成控制控制连接接是可是可信任的，而数据信任的，而数据连接却不是。接却不是。3 3）保保护密密码(Protecting(Protecting Passwords)Passwords)。漏漏洞洞：在在FTPFTP标准准PR85PR85中中，FTPFTP服服务器器允允许无无限限次次输入入密密码；“PASSPASS”命命令以明文令以明文传送密送密码。4 4）端端口口盗盗用用(Port(Port SteaUng)SteaUng)。漏漏洞洞：当当使使用用操操作作系系统相相关的方法分配端口号关的方法分配端口号时，通常都是按增序分配。，通常都是按增序分配。系系统脆弱性分析脆弱性分析 后门后门 后后门通常是一个服通常是一个服务端程序，它可能由黑客端程序，它可能由黑客编写，被写，被恶意攻意攻击者通者通过一定手段放在目一定手段放在目标主机上以达到非法目的；也主机上以达到非法目的；也可能是目可能是目标主机正在运行的授主机正在运行的授权应用用软件，其本身具有可被件，其本身具有可被攻攻击者利用的特性。更形象地者利用的特性。更形象地说，第一种情况是小，第一种情况是小偷趁主人趁主人度假期度假期间，在房主院子后面，在房主院子后面为自己打造了一个后自己打造了一个后门，并稍加，并稍加装装饰，使人，使人轻易易发现不了他的杰作；第二种情况可能是主人不了他的杰作；第二种情况可能是主人为了方便，本来就在院子后面留有一了方便，本来就在院子后面留有一门，但由于疏忽竟然忘，但由于疏忽竟然忘了上了上锁，这就就给小小偷以可乘之机。当然，在第一种情况下，以可乘之机。当然，在第一种情况下，若小若小偷在主人眼皮底下开工，自然需要更高超的技在主人眼皮底下开工，自然需要更高超的技术，通常，通常人人们所所说的特洛伊木的特洛伊木马就是就是这种情况。种情况。很多网管软件也有类似的功能，若被误用或滥用，后果很多网管软件也有类似的功能，若被误用或滥用，后果会非常严重。会非常严重。系系统脆弱性分析脆弱性分析 扫描技描技术与原理与原理 扫描是描是检测InternetInternet上的上的计算机当前是否是活算机当前是否是活动的、提的、提供了什么供了什么样的服的服务，以及更多的相关信息，主要使用的技，以及更多的相关信息，主要使用的技术有有PingPing扫描、端口描、端口扫描和操作系描和操作系统识别。扫描所收集的信息描所收集的信息主要可以分主要可以分为以下几种：以下几种：1 1）标识主机上运行的主机上运行的TCPTCPUDPUDP服服务。2 2）系）系统的的结构构(SPARC(SPARC、ALPHAALPHA、X86)X86)。3 3）经由由INTERNETINTERNET可以到达主机的可以到达主机的详细IPIP地址信息。地址信息。4 4）操作系）操作系统的的类型。型。扫描的几个分描的几个分类 PingPing扫描描：ICMPICMPTCPTCP扫描描UDPUDP扫描描端口端口扫描描扫描器的描器的类型和型和组成成 扫描器的作用就是用描器的作用就是用检测、扫描系描系统中存在的漏洞或缺中存在的漏洞或缺陷。目前主要有两种陷。目前主要有两种类型的型的扫描工具，即主机描工具，即主机扫描器和网描器和网络扫描器，它描器，它们在功能上各有在功能上各有侧重。重。1 1主机主机扫描器描器主机主机扫描器又称本地描器又称本地扫描器，它与待描器，它与待检查系系统运行于同运行于同一一节点，点，执行行对自身的自身的检查。它的主要功能。它的主要功能为分析各种系分析各种系统文件内容，文件内容，查找可能存在的找可能存在的对系系统安全造成威安全造成威胁的漏洞或配的漏洞或配置置错误。2 2网网络扫描器描器 网网络扫描器又称描器又称远程程扫描器，一般它和待描器，一般它和待检查系系统运行于运行于不同的不同的节点上，通点上，通过网网络远程探程探测目目标节点，点，检查安全漏洞。安全漏洞。远程程扫描器描器检查网网络和分布式系和分布式系统的安全漏洞。的安全漏洞。扫描器的描器的类型和型和组成成 扫描器的描器的组成组成一般一般说来，来，扫描器由以下几个描器由以下几个模模块组成：用成：用户界面、界面、扫描引擎、描引擎、扫描方法集、漏洞数据描方法集、漏洞数据库、扫描描输出出报告等。整个告等。整个扫描描过程是由用程是由用户界面界面驱动的，首先由用的，首先由用户建立新会建立新会话，选定定扫描策略后，启描策略后，启动扫描引描引擎，根据用擎，根据用户制制订的的扫描策略，描策略，扫描引擎开始描引擎开始调度度扫描方法，描方法，扫描方描方法将法将检查到的漏洞填入数据到的漏洞填入数据库，最，最后由后由报告模告模块根据数据根据数据库内容内容组织扫描描输出出结果。果。天天镜网网络漏洞漏洞扫描系描系统 天天镜漏洞漏洞扫描系描系统分分单机、便携和分布式三种版本，分布式机、便携和分布式三种版本，分布式产品品组成成包含几个部分：包含几个部分：1 1）管理控制中心管理控制中心。负责添加、修改添加、修改扫描引擎的属性，描引擎的属性，进行策略行策略编辑和和扫描任描任务制定和下制定和下发执行，完成漏洞行，完成漏洞库和和扫描方法的升描方法的升级，同，同时支持主、支持主、子控子控设置。置。2 2）综合合显示中心示中心。实时显示示扫描的描的结果信息。可以果信息。可以进行行树形分形分类察看察看和分窗口信息察看，和分窗口信息察看，显示示扫描描进度，提供漏洞解度，提供漏洞解释的的详细帮助。帮助。3 3）日志分析日志分析报表表。查询历史史扫描描结果，提供多种果，提供多种报表模版，形成表模版，形成图、表表结合的丰富合的丰富报表，以多种文件格式表，以多种文件格式输出出。4 4）扫描引擎描引擎软件件。执行管理控制中心行管理控制中心发来的来的扫描任描任务，返回，返回扫描描结果果到到综合合显示中心示中心显示并存入数据示并存入数据库中。中。5 5）扫描描对象授象授权。通通过授授权许可具体的可具体的扫描引擎描引擎软件可件可扫描描对象，包象，包括同括同时扫描的数量，也可以指定那些目描的数量，也可以指定那些目标可以可以扫描或禁止描或禁止扫描描。6 6）数据数据库。产品缺省提供品缺省提供MSDE MSDE 的桌面数据的桌面数据库安装包，用安装包，用户可以根据可以根据扫描描规模的大小模的大小选用用MSDE MSDE 或者或者SQL Server SQL Server 作作为使用数据使用数据库。天天镜网网络漏洞漏洞扫描系描系统 图图8-3 8-3 单中心分布式部署单中心分布式部署天天镜网网络漏洞漏洞扫描系描系统 渐进式扫描：根据被扫描主机的操作系统和主机应用等渐进式扫描：根据被扫描主机的操作系统和主机应用等信息智能确定进一步的扫描流程；信息智能确定进一步的扫描流程；授权扫描：系统支持用户提供被扫描主机的权限信息，授权扫描：系统支持用户提供被扫描主机的权限信息，以获取更深入、更全面的漏洞信息；以获取更深入、更全面的漏洞信息；系统稳定性高：扫描过程实时正确处理各种意外情况：系统稳定性高：扫描过程实时正确处理各种意外情况：如网卡故障、资源耗尽等；如网卡故障、资源耗尽等；扫描系统资源占用少、速度快、误报低、漏报低、稳定扫描系统资源占用少、速度快、误报低、漏报低、稳定性高。性高。天镜扫描技术特点天镜扫描技术特点天天镜网网络漏洞漏洞扫描系描系统 支持扫描的主流操作系统：支持扫描的主流操作系统：WindowsWindows9x/2000/2003/NT/XP9x/2000/2003/NT/XP、SunSunSolarisSolaris、HPHPUNIXUNIX、IBMIBMAIXAIX、IRIXIRIX、LinuxLinux、BSDBSD等。等。天镜可以扫描的对象包括各种服务器、工作站、网络打印机以及相应天镜可以扫描的对象包括各种服务器、工作站、网络打印机以及相应的网络设备如：的网络设备如：3Com3Com交换机、交换机、CISCO CISCO 路由器、路由器、Checkpoint FirewallCheckpoint Firewall、HP HP 打印机、打印机、Cisco PIX Firewall Cisco PIX Firewall 等。等。天镜可以提供扫描对象的账户信息，便于检查是否异常账户出现。天镜可以提供扫描对象的账户信息，便于检查是否异常账户出现。扫描漏洞分类扫描漏洞分类：Windows Windows 系统漏洞、系统漏洞、WEB WEB 应用漏洞、应用漏洞、CGI CGI 应用漏洞、应用漏洞、FTP FTP 类漏洞、类漏洞、DNSDNS、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、MAIL MAIL 类、类、RPCRPC、NFSNFS、NISNIS、SNMPSNMP、守护进程、守护进程、PROXYPROXY强力攻击等强力攻击等1000 1000 种种以上。支持对以上。支持对MS SQLServerMS SQLServer、OracleOracle、SybaseSybase、DB2 DB2 数据库的扫描功能。数据库的扫描功能。自由定制扫描策略自由定制扫描策略漏洞信息规范全面符合漏洞信息规范全面符合CNCVE CNCVE 标准，兼容国际标准，兼容国际CVE CVE 标准与标准与BUGTRAQ BUGTRAQ 等等其他漏洞标准。其他漏洞标准。本章小结本章小结 漏漏洞洞是是指指硬硬件件、软软件件或或策策略略上上存存在在的的的的安安全全缺缺陷陷，从从而而使使得得攻攻击击者者能能够够在在未未授授权权的的情情况况下下访访问问、控控制制系系统统。简简要要说说明明了了漏漏洞洞的的威威胁胁、后后果果及及发发现现的的方方法法。针针对对流流行行的的WindowsWindows系系统统，分分析析了了CGICGI、缓缓冲冲区区溢溢出出、拒拒绝绝服服务务、DNSDNS协协议议分分析析、FTPFTP协议分析，介绍存在的缺陷及检测方法。协议分析，介绍存在的缺陷及检测方法。在在此此基基础础上上介介绍绍漏漏洞洞扫扫描描技技术术：端端口口扫扫描描、PingPing扫扫描描、TCPTCP扫扫描描、UDPUDP扫扫描描等等。扫扫描描器器的的类类型型分分主主机机型型和和网网络络型型两两种种。主要由扫描引擎、扫描方法集、漏洞数据库等几方面组成。主要由扫描引擎、扫描方法集、漏洞数据库等几方面组成。最后介绍一种主流的扫描系统最后介绍一种主流的扫描系统天镜网络漏洞扫描系天镜网络漏洞扫描系统。统。防火墙的技术知识防火墙的技术知识漏洞扫描技术知识漏洞扫描技术知识入侵检测技术知识入侵检测技术知识议题整体介绍安全审计与入侵检测安全审计v安全审计用于对安全方案中的功能提供持续的评估，为管理员提供一组可进行分析的管理数据，利用安全审计结果，可调整安全策略，堵住出现的漏洞。v安全审计应具备：1.记录关键事件2.提供可集中处理审计日志的数据形式3.提供易于使用的软件工具4.实时的安全报警哪些站点最容易遭受攻击哪些站点最容易遭受攻击什么是入侵检测入侵检测的主要检测方式入侵检测系统主要能够实现的安全功能有什么入侵检测所面临的技术挑战从入侵检测系统说起政府站点很多站点甚至都没有发现自己已经被攻击一例利用FORNTPAGE的攻击事件利用同样的手段远程进入调试页面状态修改后的结果入侵过程描述入侵主机情况描述：入侵主机情况描述：v该主机位于国家xx局的x层计算机办公室，在11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家xx局网络安全管理部门报告，我公司在接到国家xx局的报告后，立即赶到现场取证分析。操作系统和补丁情况：操作系统和补丁情况：vWIN2000个人版操作系统 SP2的补丁包主要服务用途：主要服务用途：v做为国家xx局计算中心内部网站使用，负责发布计算中心内部信息。网站运行IIS5，后台数据库采用ACCESS。入侵后的行为表现：入侵后的行为表现：v主页页面新闻栏目内容被删除，后台数据库内容被人非法删改。分析审计WEB服务器访问日志v08:40:59 1071198 GET/mynewsmdb 200v该记录表明1071198在早上8点40分的时候非法下载了mynewsmdb数据库，服务器返回200正确请求值，表示请求成功该数据库已经被非法下载。v08:42:14 1071198 GET/loginasp 200v随后该攻击者直接访问网站的在线管理系统。入侵检测的基本概念v入侵检测是指对于计算机和网络资源的恶意行为的识别和响应的过程。v通过对于网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭受攻击的迹象的一种安全技术。v真正的入侵检测系统是在20世纪80年代末才开始被研究v我们先来明确计算机安全的特性有那三个方面CIA1.机密性2.完整性3.可用性什么是入侵呢？v破坏上面四性的行为都可以定义为入侵，不管成功与否。v从受害者的角度可以说：1.发生了什么？2.谁是受害者？3.受害程度大不大？4.谁是入侵者？5.入侵者的来源在哪里？6.入侵发生的时间？7.入侵是怎么发生的？8.为什么发生入侵？v但很多时候我们身边没有一个安全专家可以帮助我们解答这些问题为什么需要入侵检测系统v监视分析用户和系统的行为v审计系统配置和漏洞v评估敏感系统和数据的完整性v识别攻击行为v对异常行为进行统计v自动收集和系统相关的补丁v进行审计跟踪，识别违反安全法规的行为v安全诱骗服务器，记录非法入侵行为。入侵检测的分类和检测方式v基于主机的入侵检测系统v基于网络的入侵检测系统全面的检测方式v统计分析：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。v模式匹配：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。支持用户自定义攻击特征代码分析。v事后检测：完整的将网络中所有活动数据报的特征记录下来，当发生不可确定的安全时间时，可以将信息包全部回放，进行事后检测分析。v协议内容检测：支持常见的明文应用层协议记录，