网络安全实用技术标准教程(下)147

网络平安实用技术标准教程网络平安实用技术标准教程第第1章章 网络平安概论网络平安概论 第第2章章 认证和访问控制技术认证和访问控制技术第第3章章 防火墙技术防火墙技术 第第4章章 网络层防范网络层防范 第第5章章 入侵侦测技术入侵侦测技术 第第6章章 虚拟专用网虚拟专用网(VPN)第第7章章 其他常用防御手段其他常用防御手段 第第8章章 漏洞扫描技术漏洞扫描技术 第第9章章 其他常用攻击手段其他常用攻击手段 第第10章章 风险评估风险评估 第第11章章 平安体系平安体系 第第6章章 虚拟专用网虚拟专用网(VPN)教学重点教学重点n虚拟专用网采用的技术虚拟专用网采用的技术n虚拟专用网带来的平安性虚拟专用网带来的平安性n虚拟专用网自身的平安性虚拟专用网自身的平安性 VPN技术概述技术概述 n虚拟专用网技术虚拟专用网技术n在公共网络中为特定需求的用户建立专用的通道在公共网络中为特定需求的用户建立专用的通道或者网络，用户的数据可以平安的传输或者网络，用户的数据可以平安的传输nVPNVPN组的形式组的形式n专线专线VPN VPN n基于客户端设备的加密基于客户端设备的加密VPN VPN VPN技术分类技术分类 nVPN网络按结构分类网络按结构分类l叠加形VPN l对等形VPN 虚拟网络VPNVLANVPDN叠加VPN对等VPN二层VPN三层VPNFRATMDDNGREMPLS VPNIPSec专用路由器VPN技术分类技术分类(续续)n叠加形叠加形VPN用户端设备VPN网络用户端设备VPN网络三层路由邻居虚电路运营商设备运营商设备运营商网络VPN技术分类技术分类(续续)n对等形对等形VPN 用户端设备VPN网络用户端设备VPN网络三层路由邻居虚电路运营商设备运营商设备运营商网络VPN技术分类技术分类(续续)nVPN按按层次和次和应用用类型分型分类n虚虚拟专用用线VLLn虚虚拟专用用LAN网段网段VPLS n虚虚拟专用路由网用路由网络VPRN n虚虚拟专用用拨号网号网络VPDN n必必备遂道遂道compulsory n自助遂道自助遂道Voluntary Tunnels 运营商网络VLL虚电路VLL示意图 三层三层VPN技术技术 n通用路由协议封装通用路由协议封装 GRE GREn通过单一协议的骨干网透明传输不同协议的远程通过单一协议的骨干网透明传输不同协议的远程网络网络 n扩大网络的工作范围扩大网络的工作范围 nIPSecIPSecnIPSecIPSec是是IETFIETF制定的一组基于密码学的平安的开发制定的一组基于密码学的平安的开发网络平安协议网络平安协议 nIPSecIPSecIP SecurityIP Security是一组开放协议的总称是一组开放协议的总称 nIPSec VPNIPSec VPN是一种叠加形的是一种叠加形的VPNVPN网络网络 nIPSecIPSec的扩展性存在问题的扩展性存在问题 MPLS VPN及其相关技术及其相关技术 n多协议标签交换多协议标签交换 MPLSl采用二层半的标签技术标签EXPSTTL019 20 22 23 2431MPLS VPN及其相关技术及其相关技术 n标签标签LabelLabel n转发等价类转发等价类 FEC FEC n标签交换通道标签交换通道LSP LSP nLSR LSR nLER LER MPLS VPN及其相关技术及其相关技术(续续)n标签标签LabelLabel(续续)nMPLSMPLS信令：信令：LDPLDPn发现消息发现消息 n会话消息会话消息 n通告消息通告消息 n通知消息通知消息 MPLS VPN及其相关技术及其相关技术(续续)n标签标签LabelLabel(续续)nMPLSMPLS信令：信令：RSVP RSVP nPathPath消息消息 nResvResv消息消息 nPathTearPathTear消息消息 nResvTearResvTear消息消息 nPathErrPathErr消息消息 nResvErrResvErr消息消息 nResvConfResvConf消息消息 PATHPATHPATHPATH 消息示意图 RESV消息示意图 RESV:295RESV:137RESV:0MPLS VPN及其相关技术及其相关技术(续续)nMP-BGP和和BGP/MPLS VPNlVPN地址重叠运营商网络分支结构A：VPN网络地址分支结构B：VPN网络地址总部：VPN网络地址MPLS VPN及其相关技术及其相关技术(续续)nMP-BGP和和BGP/MPLS VPN(续)nBGP解决方法解决方法n在同一台路由器上在同一台路由器上创立不同的路由表来解决立不同的路由表来解决 本地路由冲突本地路由冲突 n为每条不同的路由添加一个惟一的每条不同的路由添加一个惟一的标识 n同同时在在IP包包头之外附加信息之外附加信息 MPLS VPN及其相关技术及其相关技术(续续)nMP-BGP和和BGP/MPLS VPN(续)nVRF是在是在PE上虚上虚拟出来的一个路由器，包括一些出来的一个路由器，包括一些特定的接口、一特定的接口、一张路由表、一个路由路由表、一个路由协议、一个、一个RD和一和一组RT规那么那么 公司A公司B公司B公司APEPE运营商网络公司A公司B公司B公司APE运营商网络专用PE的示意图 VRF方式的示意图 MPLS VPN及其相关技术及其相关技术(续续)nMP-BGP和和BGP/MPLS VPN(续续)lVRF表的RD和RT属性RD定义RT定义Type(0 x0002)Type(0 x0102)AS#(16bit)IP address(32bit)Value(32bit)Value(16bit)类型管理子域分配地址子域IP地址前缀6字节的值域2字节的类型域8字节的路由标识RD4字节的IP地址MPLS VPN及其相关技术及其相关技术(续续)nBGP/MPLS VPN的体系结构的体系结构 n路由信息分发过程路由信息分发过程l CE-PE间路由协议 PECECE标准路由协议标准路由协议MPLS VPN及其相关技术及其相关技术(续续)n路由信息分发过程路由信息分发过程(续续)lPE-PE间路由协议 VPN-v4 update:RD:1:32:202.112.58.0/24,Next-hop=PE BSOO=Tsinghua,RT=VPN-A,Label=(79)BGP,OSPF,RIPv2 update for 202.112.58.0/24,NextHop=CE B标准路由协议标准路由协议CE BCE APE BPE AMP-iBGPMPLS VPN及其相关技术及其相关技术(续续)n路由信息分发过程路由信息分发过程(续续)lCE接收路由 VPN-v4 update:RD:1:32:202.112.58.0/24,Next-hop=PE BSOO=Tsinghua,RT=VPN-A,Label=(79)BGP,OSPF,RIPv2 update for 202.112.58.0/24,NextHop=CE BVPN-v4 路由变为IPV4路由，并且根据本地VRF的import RT属性加入到相应的VRF中,私网标签保留，留做转发时使用。再由本VRF的路由协议引入并转发给相应的CE标准路由协议标准路由协议CE BCE APE BPE AMP-iBGPMPLS VPN及其相关技术及其相关技术(续续)n数据转发过程数据转发过程l标签交换 VPN-v4 update:RD:1:27:166.111.8.0/24,NH=202.112.58.200RT=VPN-A,Label=(28)CE ACE BPE BPE APIn Label211.147.1.1/32211.147.1.1/32202.112.58.200/32Out LabelFECFECPOP100FEC200Out LabelIn LabelIn LabelOut LabelMPLS VPN及其相关技术及其相关技术(续续)n数据转发过程数据转发过程(续续)lCE到PE的转发过程 VPN-A VRF202.112.58.0/24,NH=211.147.1.1Label=(32)211.147.1.1/32-In LabelFECOut Label4747 32 202.112.58.200目的地址：202.112.58.200166.111.8.0/24202.112.58.0/24PE BPE APMPLS VPN及其相关技术及其相关技术(续续)n数据转发过程数据转发过程(续续)l数据从P到PE的转发过程 166.111.8.0/24VPN-A VRF202.112.58.0/24,NH=211.147.1.1Label=(32)202.112.58.0/24目的地址：202.112.58.200VPN-A VRF202.112.58.0/24,NH=Tsinghua目的地址：202.112.58.200211.147.1.1/32211.147.1.1/32202.112.58.0/32-POP3247In LabelFECOut LabelIn LabelFECOut Label47In LabelFECOut Label4732202.112.58.20032 202.112.58.200PPE APE BCE BCE AMPLS VPN及其相关技术及其相关技术(续续)nMPLS VPN的的优势 n跨跨AS的的MPLS VPN nMPLS VPN部署部署nVPN的命名的命名规那么那么 nRD的分配的分配 nRF的分配的分配 nPE-CE之之间的路由的路由协议 MPLS VPN的一般配置的一般配置 nVRF的配置的配置 n创立立VRF n为每个每个VRF分配分配RD n确定确定输入和入和输出的出的RT策略策略 n将将VRF分配到接口分配到接口 nCE-PE之之间的配置的配置 n为每个每个VRF配置配置BGP参数参数 n配置路由配置路由 n配置配置VRF地址信息地址信息 MPLS VPN的一般配置的一般配置(续续)nPE之间的配置之间的配置 l配置BGP地址 l配置MP-BGP的邻居 l配置跨域的MP-BGP邻居 l配置标准和扩展的BGP属性 VPN的平安性的平安性 n路由隔离路由隔离 n隐藏隐藏MPLSMPLS核心结构核心结构 n攻击防范攻击防范 n拒绝标记哄骗拒绝标记哄骗 nIPSecIPSec的平安性的平安性 n数据机密性数据机密性 n数据完整性数据完整性 n数据真实性数据真实性 n防止回放防止回放 二层二层MPLS VPN技术技术 n概述概述 n二二层层MPLS VPN技术的方式技术的方式l基于Draft-Martini虚电路的概念(VC)VC的定义l基于Draft-Kompella 二层帧头 外层隧道VC其他可选IP报头VC TLVCVC类型VC信息长度组IDVC ID接口参数0 7 8 9 23 24 31VPLS技术详解技术详解 nVPLSVirtual Private LAN Service就是一种用就是一种用于企业分支办公室局域网互联的解决方案于企业分支办公室局域网互联的解决方案 VPLS技术详解技术详解(续续)nVPLS的关键在于的关键在于PE设备对设备对VPLS相关特性的支持相关特性的支持nVPLS 技术上是对技术上是对Martini解决方案中引入概念的解决方案中引入概念的扩展扩展nVC标签信息的交换标签信息的交换 lLDP标签分配方式 lBGP标签分配的方式 VPLS技术详解技术详解(续续)nVPLS的信令机制的信令机制 nVPLS的自动发现机制的自动发现机制 n层次化层次化VPLS 习题习题1.1.按照网络结构分类，按照网络结构分类，VPNVPN一般分为几种？一般分为几种？2.2.虚拟专线虚拟专线VLLVLL目前采用了那种标准进行协议目前采用了那种标准进行协议封装？封装？3.3.VPLSVPLS目前有哪两种主流的标准？目前有哪两种主流的标准？4.4.通过什么方式，通过什么方式，MPLSMPLS解决了解决了VPNVPN的地址空间重叠的地址空间重叠的问题？的问题？5.5.在在Cisco IOSCisco IOS路由器上配置一个典型的路由器上配置一个典型的VRFVRF？第第7章章 其他常用防御手段其他常用防御手段 教学重点教学重点n防病毒技术和容灾备份技术的优缺点防病毒技术和容灾备份技术的优缺点n防病毒技术和容灾备份技术的简单部署防病毒技术和容灾备份技术的简单部署 HoneyNet与与HoneyPot nHoneyNet与与HoneyPot的根本原理的根本原理nHoneyPot和和HoneyNet的区的区别 nHoneyPot 的的优势n入侵入侵侦测能力能力 n有价有价值资源源 nHoneyPot 的劣的劣势n设置不当的置不当的HoneyPot极有可能成极有可能成为黑客的下一个黑客的下一个跳板跳板 n投入无投入无产出的出的风险 防病毒技术概述防病毒技术概述 n病毒的分类病毒的分类 l按破坏性分类良性恶性极恶性灾难性 防病毒技术概述防病毒技术概述(续续)n病毒的分类病毒的分类(续续)l按传染方式分类 文件型引导扇区混合型 防病毒技术概述防病毒技术概述(续续)n病毒的分类病毒的分类(续续)l按连接方式分类 源码型入侵型操作系统型外壳型 防病毒技术概述防病毒技术概述(续续)n病毒的分类病毒的分类(续续)l按特有算法分类伴随型蠕虫型练习型诡秘型变形病毒 防病毒技术概述防病毒技术概述(续续)n防病毒技术的分类防病毒技术的分类 l特征代码法 l校验和法 l行为监测法 l软件模拟法 病毒的传播与防护病毒的传播与防护 n病毒传播途径和方式病毒传播途径和方式l通过电子邮件 l通过光盘感染网络中的客户端，然后病毒通过网络感染整个内部网络，甚至通过Internet传播 l用户上网，通过HTTP、FTP等把病毒和一些恶意的移动代码带入内部网络 病毒的传播与防护病毒的传播与防护(续续)n病毒防护考虑的因素病毒防护考虑的因素l多层次、全方位 l具有统一、集中、智能和自动化的管理手段和管理工具 l采用先进的防病毒技术，能够有效查杀各种多态病毒和未知病毒 l集中和方便地进行病毒定义码和扫描引擎的更新 l方便、全面、友好的病毒警报和报表系统管理机制病毒的传播与防护病毒的传播与防护(续续)n病毒防护考虑的因素续病毒防护考虑的因素续n病毒防护自动化效劳机制病毒防护自动化效劳机制 n客户端防病毒策略的强制定义和执行客户端防病毒策略的强制定义和执行 n紧急处理能力和对新病毒具有最快的响应速度紧急处理能力和对新病毒具有最快的响应速度病毒防护的案例病毒防护的案例 nNorton网络病毒体系结构网络病毒体系结构 外网内网移动用户InternetInternet网关保护AVERT防病毒应急小组文件服务器保护管理解决方案桌面系统保护E-mail服务器保护无线设备保护灾难备份技术概述灾难备份技术概述 n灾难指局部或全部的计算机软硬件设施、附属设灾难指局部或全部的计算机软硬件设施、附属设备、机房环境等损坏以至于严重影响数据处理正备、机房环境等损坏以至于严重影响数据处理正常运行的事件常运行的事件 n灾难备份那么是指利用技术、管理手段以及相关灾难备份那么是指利用技术、管理手段以及相关资源确保既定的关键数据、关键数据处理系统和资源确保既定的关键数据、关键数据处理系统和关键业务在灾难发生后可以恢复的过程关键业务在灾难发生后可以恢复的过程n灾难备份的方式灾难备份的方式 n基于磁盘系统的硬件方式灾难备份技术基于磁盘系统的硬件方式灾难备份技术 n同步数据复制模式同步数据复制模式 n异步数据复制模式异步数据复制模式 n软件方式的灾难备份技术软件方式的灾难备份技术 习题习题1.Honeypot作作为新新兴的平安技的平安技术具有那些具有那些优势？2.灾灾难备份技份技术目前有哪两种主要方式？目前有哪两种主要方式？3.RAID即廉价冗余磁即廉价冗余磁盘阵列目前一般有哪几种方列目前一般有哪几种方式？式？4.如何在如何在Linux系系统上上实现RAID？5.防病毒技防病毒技术目前主要分目前主要分为哪几哪几类？RAID技术技术 nRAID技技术简介介 nLinux操作系操作系统下下RAID的的实现 n下下载最新版本的并安装最新版本的并安装 n使用使用fdisk工具工具创立立RAID分区分区 n编辑/etc/raidtab n创立立RAID阵列列 n格式化格式化RAID分区分区 n挂接挂接该分区分区 第第8章章 漏洞扫描技术漏洞扫描技术 教学重点教学重点n漏洞扫描技术的原理漏洞扫描技术的原理 扫描技术概述扫描技术概述 n漏洞扫描漏洞扫描的定义的定义n扫描器的原理扫描器的原理 n漏洞扫描系统漏洞扫描系统的作用的作用扫描器的分类扫描器的分类 n按照所采用的技术分类按照所采用的技术分类l直接配置检查 l模拟入侵 n按照安装的位置分类按照安装的位置分类l主机漏洞扫描器 l网络漏洞扫描器 扫描器的优缺点扫描器的优缺点 n扫描器的优点扫描器的优点l运行相对独立 l全面检测流行漏洞 l安装运行简单 n扫描器的缺点扫描器的缺点l过于死板 l滞后l只能提供报告，无法解决实际问题 TCP协议字段的含义协议字段的含义 nTCP各标注位的含义各标注位的含义 n标志控制功能的含义标志控制功能的含义 端口扫描技术端口扫描技术 n全连接扫描全连接扫描 nTCP connect()TCP connect()扫描扫描 n调用操作系统本身的调用操作系统本身的socketsocket函数函数connect()connect()来与来与 每一个目标主机的端口进行连接每一个目标主机的端口进行连接 n扫描主机通过扫描主机通过TCP/IPTCP/IP协议的三次握手与目标协议的三次握手与目标 主机的指定端口建立一次完整的连接主机的指定端口建立一次完整的连接 n如果端口处于侦听状态，那么如果端口处于侦听状态，那么connect()connect()就能就能 成功返回。连接由系统调用成功返回。连接由系统调用connect()connect()开始开始 n如果端口开放，那么连接将建立成功如果端口开放，那么连接将建立成功 n如果目标端口处于关闭状态，那么目标主时机如果目标端口处于关闭状态，那么目标主时机 向扫描主机发送向扫描主机发送RSTRST的响应的响应 nTCPTCP反向反向identident扫描扫描端口扫描技术端口扫描技术(续续)n半开放半开放SYNSYN扫描扫描 n扫描程序发送的是一个扫描程序发送的是一个SYNSYN数据包，一个数据包，一个SYN|ACKSYN|ACK的返回信息表示端口处于侦听状态。一个的返回信息表示端口处于侦听状态。一个RSTRST返回，返回，表示端口处于关闭状态。如果应答中包含表示端口处于关闭状态。如果应答中包含SYNSYN和和ACKACK包，说明目标端口处于监听状态，再传送一个包，说明目标端口处于监听状态，再传送一个RSTRST包给目标机从而停止建立连接。包给目标机从而停止建立连接。n由于端口扫描没有完成一个完整的由于端口扫描没有完成一个完整的TCPTCP连接，在扫连接，在扫描主机和目标主机的一个指定端口建立连接时只描主机和目标主机的一个指定端口建立连接时只完成了前两次握手，在第完成了前两次握手，在第3 3步时，扫描主机中断了步时，扫描主机中断了本次连接，这样的端口扫描称为半开放扫描间本次连接，这样的端口扫描称为半开放扫描间接扫描。现有的半开放扫描有接扫描。现有的半开放扫描有TCP SYNTCP SYN扫描和扫描和IP IP IDID头头dumbdumb扫描等扫描等 端口扫描技术端口扫描技术(续续)nTCP间接接扫描描n扫描主机通描主机通过伪造第三方主机造第三方主机IP地址向目地址向目标主机主机发起起SYN扫描，并通描，并通过观察其察其IP序列号的增序列号的增长规律律获取端口的状取端口的状态 n隐蔽蔽扫描技描技术 nTCP FIN 扫描描 扫描器向目描器向目标主机端口主机端口发送送FIN包。当包。当FIN数据包数据包到达一个关到达一个关闭端口，数据包会被端口，数据包会被丢掉，并返回一掉，并返回一个个RST数据包。假数据包。假设是翻开的端口，数据包也被是翻开的端口，数据包也被丢掉，但不返回掉，但不返回RST端口扫描技术端口扫描技术(续续)n隐蔽扫描技术隐蔽扫描技术(续续)nTCP Xmas TCP Xmas 和和TCP Null TCP Null 扫描扫描 XmasXmas扫描翻开扫描翻开FINFIN、URGURG和和PUSHPUSH标记，而标记，而NullNull扫描扫描关闭所有标记。当一个关闭所有标记。当一个FINFIN标记数据包到达一个关标记数据包到达一个关闭的端口，数据包会被丢掉，并返回一个闭的端口，数据包会被丢掉，并返回一个RSTRST数据数据包。否那么，假设是翻开的端口，数据包也被丢包。否那么，假设是翻开的端口，数据包也被丢掉，但不返回掉，但不返回RSTRSTnTCP FTP TCP FTP 代理扫描代理扫描FTPFTP协议支持代理协议支持代理FTPFTP连接，目的是允许一客户从连接，目的是允许一客户从自己的计算机自己的计算机a a 和目标主机和目标主机target target 的的FTP FTP server-PIserver-PI协议解释器进行连接，建立一个控协议解释器进行连接，建立一个控制通信连接。然后请求此制通信连接。然后请求此server-PIserver-PI激活一个有效激活一个有效的的server-DTPserver-DTP数据传输进程来给数据传输进程来给InternetInternet上上任何地方发送文件，通过这种方式实现不同效劳任何地方发送文件，通过这种方式实现不同效劳器之间直接传输数据。器之间直接传输数据。端口扫描技术端口扫描技术(续续)n隐蔽扫描技术隐蔽扫描技术(续续)n分段扫描分段扫描 并不直接发送并不直接发送TCPTCP探测数据包，是将数据包分成两探测数据包，是将数据包分成两个较小的个较小的IPIP段。这样就将一个段。这样就将一个TCPTCP头分成好几个数头分成好几个数据包，从而包过滤器就很难探测到据包，从而包过滤器就很难探测到 nTCP FIN TCP FIN 扫描扫描 关闭的端口会用适当的关闭的端口会用适当的RSTRST来回复来回复FINFIN数据包数据包,翻开翻开的端口会忽略对的端口会忽略对FINFIN数据包的回复数据包的回复 端口扫描技术端口扫描技术(续续)n隐蔽扫描技术隐蔽扫描技术(续续)nIUDP ICMPIUDP ICMP端口不能到达扫描端口不能到达扫描 向许多主机的未翻开的向许多主机的未翻开的UDPUDP端口发送一个数据包时，端口发送一个数据包时，会返回一个会返回一个ICMP_PORT_UNREACHICMP_PORT_UNREACH错误。这样就能发错误。这样就能发现哪个端口是关闭的现哪个端口是关闭的 nUDP recvfrom()UDP recvfrom()和和write()write()扫描扫描 当非当非rootroot用户不能直接读到端口不能到达错误时，用户不能直接读到端口不能到达错误时，LinuxLinux能间接地在他们到达时通知用户。比方，对能间接地在他们到达时通知用户。比方，对一个关闭的端口的第一个关闭的端口的第2 2个个write()write()调用将失败。在调用将失败。在非阻塞的非阻塞的UDPUDP套接字上调用套接字上调用recvfrom()recvfrom()时，如果时，如果ICMPICMP出错还没有到达时回返回出错还没有到达时回返回EAGAINEAGAIN重试重试 主机扫描技术主机扫描技术 nICMP Echo扫描扫描 nBroadcast ICMP扫描扫描 nNon-Echo ICMP扫描扫描 n反向映射探测反向映射探测 漏洞扫描器的指标漏洞扫描器的指标 n部署方式部署方式 n系统结构系统结构 n评估方法评估方法 n端口扫描端口扫描 n支持扫描优化支持扫描优化 n支持网络拓扑结构发现支持网络拓扑结构发现 n数据库特性数据库特性 n更新方式更新方式 漏洞扫描器的指标漏洞扫描器的指标 续续n报告形式报告形式 n分析的准确性分析的准确性 n平安问题平安问题 n性能性能 n升级问题升级问题 n可扩充性可扩充性 n全面的解决方案全面的解决方案 n人员培训人员培训 常见产品介绍常见产品介绍 nISS Internet Scanner nNessus nSAINT Nmap的安装使用的安装使用 nNmap的安装的安装 nNmap的语法和使用的语法和使用 绿盟科技的极光远程平安评估系统绿盟科技的极光远程平安评估系统 n基于浏览器的用户前端基于浏览器的用户前端n系统漏洞的描述系统漏洞的描述 绿盟科技的极光远程平安评估系统绿盟科技的极光远程平安评估系统(续续)n扫描结果的统计扫描结果的统计绿盟科技的极光远程平安评估系统绿盟科技的极光远程平安评估系统(续续)n漏洞的分类统计漏洞的分类统计 绿盟科技的极光远程平安评估系统绿盟科技的极光远程平安评估系统(续续)n开放效劳的平安问题对应表开放效劳的平安问题对应表绿盟科技的极光远程平安评估系统绿盟科技的极光远程平安评估系统(续续)n漏洞的详细描述及解决方法漏洞的详细描述及解决方法 漏洞扫描技术开展动态和趋势漏洞扫描技术开展动态和趋势 n使用插件技术使用插件技术 n使用专用脚本语言使用专用脚本语言 n由平安扫描程序到平安评估专家系统由平安扫描程序到平安评估专家系统 习题习题1.1.按照部署位置的不同，扫描器一般分为哪几种？按照部署位置的不同，扫描器一般分为哪几种？2.2.描述描述TCP协议的标志位的组成和含义。协议的标志位的组成和含义。3.3.全连接扫描一般有哪几种方式？全连接扫描一般有哪几种方式？4.4.描述描述TCP FIN扫描的原理。扫描的原理。5.5.如何利用如何利用Nmap扫描某一个网段，例如扫描某一个网段，例如？第第9章章 其他常用攻击手段其他常用攻击手段 教学重点教学重点n攻击技术的根本原理攻击技术的根本原理n攻击技术的手法攻击技术的手法 网络攻击的步骤网络攻击的步骤 n黑客攻击的步骤黑客攻击的步骤n信息收集信息收集 n系统平安弱点扫描系统平安弱点扫描 n从薄弱点突破从薄弱点突破 n消除入侵痕迹消除入侵痕迹 n扩大入侵范围扩大入侵范围 网络攻击的步骤网络攻击的步骤(续续)n标准攻击的几个阶段标准攻击的几个阶段n信息收集信息收集 n端口扫描端口扫描 n直接在直接在WebWeb效劳器上查询效劳器上查询 n通过通过sendmaisendmai的的exvf/expnexvf/expn方式猜测方式猜测 n通过在通过在whoiswhois数据库中的信息猜测数据库中的信息猜测 n社会工程社会工程 n搜索该主机发送的信件搜索该主机发送的信件 n安装应用软件后的默认用户安装应用软件后的默认用户 ntftp tftp n固定固定HTTP CGIHTTP CGI漏洞漏洞 phf phf、phpphp、test-cgi test-cgi 网络攻击的步骤网络攻击的步骤(续续)l密码猜测 l用户名作为密码 l用户全名作为密码 l特殊数字密码 l密码为用户名反写 l密码为用户名加上数字 l密码为用户名首字母大写 l安装应用软件后的默认用户的默认口令 l某特定用户的通用密码 l系统中可能存在的backdoor口令 l用户名的其他变形 网络攻击的步骤网络攻击的步骤(续续)l获取root或管理员权限 llocal overflow lremote overflow l安装陷阱，等待root用户进入 l寻找其他攻击者留下的后门 l符号连接争用 l放置后门并去除日志 l参加一个新账号 l通过.rhosts l通过.profile 网络攻击的步骤网络攻击的步骤(续续)l放置后门并去除日志(续)l通过.forword l通过bind tcp shell licmp backdoor ludp backdoor l替换标准效劳进程 linetd lcrontab backdoor linetd.conf 参加bind shell l动态连接库后门 网络攻击的步骤网络攻击的步骤(续续)l放置后门并去除日志(续)l内核后门 l防火墙下的后门l去除日志记录 拒绝效劳攻击技术简介拒绝效劳攻击技术简介 nDDoS分布式拒分布式拒绝效效劳攻攻击n探探测扫描大量主机以描大量主机以寻找可入侵主机找可入侵主机 n入侵有平安漏洞的主机并入侵有平安漏洞的主机并获取控制取控制权 n在每台被入侵主机中安装攻在每台被入侵主机中安装攻击所用的客所用的客户进程或程或守守护进程程 n向安装有客向安装有客户进程的主控端主机程的主控端主机发出命令，由它出命令，由它们来控制代理主机上的守来控制代理主机上的守护进程程进行行协同入侵同入侵 n反反弹效效劳器攻器攻击 利用型攻击利用型攻击 n口令猜测口令猜测 n特洛伊木马特洛伊木马 n缓冲区溢出缓冲区溢出 IP欺骗技术和欺骗技术和TCP欺骗技术欺骗技术 nIP欺骗就是攻击者伪装成目标主机与其他计算机欺骗就是攻击者伪装成目标主机与其他计算机进行通信，隐藏自己的进行通信，隐藏自己的IP地址，防止被跟踪，以地址，防止被跟踪，以IP地址作为授权依据穿越防火墙地址作为授权依据穿越防火墙 l单向IP欺骗 l双向IP欺骗 习题习题1.IP欺欺骗一般包含哪些形式？一般包含哪些形式？2.简单描述描述DDoS的攻的攻击步步骤？3.反反弹式式DDoS的根本原理是什么？的根本原理是什么？4.描述一个根本的网描述一个根本的网络攻攻击步步骤？5.什么叫做特洛伊木什么叫做特洛伊木马？第第10章章 风风 险险 评评 估估 教学重点教学重点n风险评估的原理风险评估的原理n风险评估的方法风险评估的方法n风险评估对于现在平安体系的意义风险评估对于现在平安体系的意义 风险评估概述风险评估概述 n风险评估的由来风险评估的由来n风险评估的概念风险评估的概念n风险评估的目的风险评估的目的 风险评估相关术语风险评估相关术语 n威胁威胁 l自然威胁 l人为和技术的威胁 l环境威胁 n资产资产 l物理资产 l软件资产 l数据资产 l其他资产 风险评估相关术语风险评估相关术语(续续)n影响影响 n脆弱性脆弱性 n风险风险 风险评估的风险模型风险评估的风险模型 n平安风险评估原理平安风险评估原理 威胁利用脆弱性暴露资产具有资产价值安全要求指出达到安全措施防御增加增加安全风险降低增加风险评估的风险模型风险评估的风险模型(续续)n微软的平安风险管理框架微软的平安风险管理框架 6.完成部署是变革的第一阶段（按MOF循环继续）5.安全策略和对策部署4.安全补救方案测试和资助功能测试3.安全补救方案开发2.安全评估和分析1.项目定义开始MSS进程模型项目规划认可范围完整发行就绪认可部署完成前景范围认可风险评估的风险模型风险评估的风险模型(续续)n风险评估的步骤风险评估的步骤 信息收集和取证风险分析评估风险控制信息平安管理标准信息平安管理标准ISO 17799和和BS7799 nBS7799 平安平安风险评估原理估原理探查威胁保护增加增加暴露评估安全风险安全控制满足指出增加具有评估价值和潜在影响安全需求降低脆弱性信息平安管理标准信息平安管理标准ISO 17799和和BS7799 nBS7799 BS7799 信息平安管理体系信息平安管理体系 信息平安管理标准信息平安管理标准ISO 17799和和BS7799(续续)nBS7799 信息平安管理的信息平安管理的过程程 第4步第2步第3步第1步第5步第6步威胁脆弱性影响组织的风险管理方法需要的保证程度控制目标和控制附加控制确定方针明确ISMS范围进行一个风险评估管理风险选择控制目标和控制方式制定可用性的声明方针文件ISMS范围风险评估可用性声明信息资产结果和结论选择的控制选项选择的控制目标和控制信息平安通用准那么信息平安通用准那么ISO 15408 n平安概念和关系平安概念和关系 拥有最小化减少所有者措施脆弱性风险资产希望滥用威胁威胁主体引起到增加导致到可能具有可能被减少利用可能意识到系统平安工程能力成熟模型系统平安工程能力成熟模型SSE-CMM nISSE的三大原那么的三大原那么n始始终将将问题空空间和解决方案空和解决方案空间相相别离离 n问题空空间要根据客要根据客户的使命或的使命或业务需求来定需求来定义 n解决方案空解决方案空间要由要由问题空空间相相驱动，并由系，并由系统工工程程师和信息系和信息系统平安工程平安工程师来定来定义 平安风险过程 系统平安工程能力成熟模型系统平安工程能力成熟模型SSE-CMM续续 nISSE覆盖了以下覆盖了以下 方面方面n整个生命期整个生命期 n整个整个组织 n与其他与其他标准并行的相互作用准并行的相互作用 n与其他机构的相互作用与其他机构的相互作用 平安风险过程 信息平安管理指南信息平安管理指南ISO 13335 n根本风险评估根本风险评估 n快速风险评估快速风险评估 n详细风险评估详细风险评估 n综合风险评估综合风险评估 风险评估分析方法风险评估分析方法 n风险评估分析方法的分类风险评估分析方法的分类 n定量分析方法定量分析方法 定量分析方法利威胁事件发生的概率和可能造成定量分析方法利威胁事件发生的概率和可能造成的损失这两个根本元素简单相乘的结果作为计算的损失这两个根本元素简单相乘的结果作为计算威胁事件的风险等级，并且做出相应的决策威胁事件的风险等级，并且做出相应的决策 n定性分析方法定性分析方法多数定性风险分析方法依据组织面临的威胁、脆多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定平安风险等级弱点以及控制措施等元素来决定平安风险等级 n现有的平安风险评估工具现有的平安风险评估工具 风险评估的过程风险评估的过程 n风险评估概述风险评估概述l定义 l执行阶段 l分析并产生报告阶段 l风险控制阶段 n确定评估范围确定评估范围 l信息资产 l人员 l环境 l活动 风险评估的过程风险评估的过程 n执行阶段执行阶段 l资产的识别和估价 l威胁的识别与评估 l脆弱性的识别和评估 n风险分析和报告阶段风险分析和报告阶段 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法 n手工评估对象手工评估对象 n评估范围包括评估范围包括1010台设备或主机台设备或主机 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH001主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH002主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH003主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH012主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH018主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH008主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH020主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAH029主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAN001主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n手工评估对象手工评估对象(续续)lAN002主机信息 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nSolaris系统系统 l补丁安装情况 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nSolaris系统系统(续续)l账号、口令策略 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nSolaris系统系统(续续)l文件系统加固 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nRed Hat Linux系统系统 l补丁安装情况 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nRed Hat Linux系统系统(续续)l账号、口令策略 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nHP-UX系统系统 l补丁安装情况 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nHP-UX系统系统(续续)l账号、口令策略 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nWindows系统系统 l补丁安装情况 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nWindows系系统(续)n网网络与效与效劳 实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nWindows系系统(续)n网网络与效与效劳(续)实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)nWindows系系统(续)n网网络与效与效劳(续)实例：手工评估报告和风险计算方法实例：手工评估报告和风险计算方法(续续)n风险控制风险控制 n鉴定已有措施鉴定已有措施 n组织平安策略的标准化组织平安策略的标准化 n平安需求补充平安需求补充 n技术和费用衡量技术和费用衡量 n生成平安风险评估报告及系统平安策略生成平安风险评估报告及系统平安策略 风险评估本卷须知风险评估本卷须知 n可持续性要求可持续性要求 n建立平安信息库建立平安信息库 习题习题1.1.简要描述简要描述BS7799-2的主要内容？的主要内容？2.2.描述描述BS7799的的9个实施步骤？个实施步骤？3.ISO 13335中定义了哪几种风险评估方法？中定义了哪几种风险评估方法？4.4.描述风险的主要构成元素。描述风险的主要构成元素。5.5.描述常见风险评估的步骤。描述常见风险评估的步骤。第第11章章 安安 全全 体体 系系 教学重点教学重点n主流厂家的平安模型主流厂家的平安模型n完整的平安体系结构完整的平安体系结构 网络平安模型网络平安模型 nBell_LaPadula模型模型n公开公开unclassified n受限受限restricted n秘密秘密confidential n机密机密secret n高密高密Top Secret 高密不允许写不允许读秘密网络平安模型网络平安模型(续续)nClark-WilsonClark-Wilson模型模型l数据项约束CDI l完整性检测过程 l转换过程 nChina-WallChina-Wall模型模型l用户必须选择一个他可以访问的区域 l用户必须自动拒绝来自其他与用户所选区域的利益冲突区域的访问 网络平安模型网络平安模型(续续)nPDR、P2DR模型和国内平安厂家模型模型和国内平安厂家模型nFESS平安体系模型平安体系模型评估规划运营培训实施安全目标安全需求网络平安模型网络平安模型(续续)nPDR、P2DR模型和国内平安厂家模型模型和国内平安厂家模型(续)n深度防御体系深度防御体系 网络平安模型网络平安模型(续续)nPDR、P2DR模型和国内平安厂家模型模型和国内平安厂家模型(续)n绿盟科技的信息系盟科技的信息系统平安体系平安体系 网络平安模型网络平安模型(续续)nPADIMEE模型模型 平安体系结构概述平安体系结构概述 n平安体系结构的功能实体平安体系结构的功能实体 n提供未定义环境的概念上的平安定义和结构提供未定义环境的概念上的平安定义和结构 n在环境内可以独立设计平安组件在环境内可以独立设计平安组件 n说明平安独立组件应该如何集成在整体环境中说明平安独立组件应该如何集成在整体环境中 n保证完成后的环境符合最初建立的虚拟实体保证完成后的环境符合最初建立的虚拟实体 n平安体系结构的要点平安体系结构的要点n不依赖于系统的存在不依赖于系统的存在 n由一些构件部件组成由一些构件部件组成 ISO 7498-2 n平安效劳平安效劳 n身份认证身份认证 n授权控制授权控制 n通信加密通信加密 n数据完整性数据完整性 n抗抵赖抗抵赖 ISO 7498-2(续续)n平安机制平安机制 n数据加密机制数据加密机制 n数据签名机制数据签名机制 n访问控制机制访问控制机制 n数据完整性机制数据完整性机制 n鉴别交换机制鉴别交换机制 n业务填充机制业务填充机制 n路由控制机制路由控制机制 n公证机制公证机制 ISO 7498-2(续续)n平安机制平安机制(续续)n8 8种机制和种机制和5 5种平安效劳的对应关系种平安效劳的对应关系 ISO 7498-2(续续)n平安机制平安机制(续续)nISO 7498-2ISO 7498-2的平安体系结构的平安体系结构 物理平安物理平安 n环境平安环境平安 n设备平安设备平安 n媒体平安媒体平安 网络平安网络平安 n内外网隔离及访问控制系统内外网隔离及访问控制系统 n内部网不同网络平安域的隔离及访问控制内部网不同网络平安域的隔离及访问控制 n入侵侦测入侵侦测 n审计与监控审计与监控 n防病毒防病毒 n容灾备份系统容灾备份系统 信息平安信息平安 n鉴别鉴别 n口令机制口令机制 n智能卡智能卡 n主体特征鉴别主体特征鉴别 n数据传输平安系统数据传输平安系统n链路加密链路加密 n节点加密节点加密 n端到端加密端到端加密 信息平安信息平安(续续)n数据完整性鉴别技术数据完整性鉴别技术 l报文鉴别 l校验和 l加密校验和 l消息完整性编码MIC n防抵赖技术防抵赖技术 信息平安信息平安(续续)n数据存储平安系统数据存储平安系统 n数据库平安数据库平安 n终端平安终端平安 n信息内容审计系统信息内容审计系统 平安管理平安管理 n平安管理原那么平安管理原那么 n多人负责原那么多人负责原那么 n任期有限原那么任期有限原那么 n职责别离原那么职责别离原那么 n平安管理的实现平安管理的实现习题习题1.Bell-LaPadula保密模型两大主要原那么是什么？保密模型两大主要原那么是什么？2.PDR模型的构成元素是什么？模型的构成元素是什么？3.ISO 7498-2中描述了哪中描述了哪5类平安效平安效劳？4.ISO 7498-2中描述的中描述的8种平安机制是什么？种平安机制是什么？5.简单举一个国内平安厂家的平安效一个国内平安厂家的平安效劳模型。模型。