《网络安全培训》课件

,单击此处编辑母版标题样式,精选ppt,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,精选ppt,*,网络安全培训,1,精选ppt,网络安全培训1精选ppt,主要内容,网络安全的概念,安全的网络,常见网络攻击的介绍,常见主机攻击介绍,安全的主机,网络监测,事故处理,案例分析,FAQ,2,精选ppt,主要内容网络安全的概念2精选ppt,计算机安全简介,3,精选ppt,计算机安全简介3精选ppt,安全？,什么是计算机安全？谁定义计算机安全？,计算机安全,(,公安部定义,1994),：,计算机系统的硬件、软件和数据受到保护，不因偶然或恶意的原因而遭到破坏、更改、显露，系统不能连续正常运行。,计算机安全的含义(1991)：,避免窃取和破坏硬件,避免窃取和破坏信息,避免破坏服务,4,精选ppt,安全？什么是计算机安全？谁定义计算机安全？4精选ppt,保密性、完整性和服务失效,保密性：防止信息在非授权情况下的泄漏。,完整性：保护信息使其不致被篡改或破坏。,服务失效：临时降低系统性能、系统崩溃而需要人工重新启动、因数据永久性丢失而导致较大范围的系统崩溃。,5,精选ppt,保密性、完整性和服务失效保密性：防止信息在非授权情况下的泄漏,可信系统的评价准则,类别,名称,主要特征,A1,验证设计,形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明,B3,安全区域,存取监督器,(,安全内核,),，高抗渗透能力,B2,结构化保护,形式化模型，隐密通道约束，面向安全的体系结构，较好的抗渗透能力,B1,有标识的安全保护,强制存取控制，安全标识，删去安全相关的缺陷,C2,受控存取保护,单独的可说明性，广泛的审核，附加软件包,C1,任意安全保护,任意存取控制，在共同工作的用户中防止事故,D,低级保护,不分等级,6,精选ppt,可信系统的评价准则类别名称主要特征A1验证设计形式化的最高级,计算机安全的内容,计算机实体安全,软件安全,数据安全,运行安全,环境安全,7,精选ppt,计算机安全的内容计算机实体安全7精选ppt,网络安全概述,8,精选ppt,网络安全概述8精选ppt,网络安全概述,什么是网络安全？谁定义网络安全？,体系是网络安全的重要特性,安全需求和安全政策,9,精选ppt,网络安全概述什么是网络安全？谁定义网络安全？9精选ppt,主要的网络安全体系,安全管理制度,安全域边界管理,数据安全体制,安全监测分析系统,病毒防护？,自动安全管理系统？,10,精选ppt,主要的网络安全体系安全管理制度10精选ppt,网络安全体系示意,11,精选ppt,网络安全体系示意11精选ppt,不同体系所面对的威胁,不同体系面对不同来源的威胁,管理制度面对人的威胁,边界管理面对来自网络外部的威胁,数据安全体制,主要,针对内部或外部信道的威胁,(,此外，防止泄密、进行鉴别等,),安全监测系统用于发现和补救存在的危险,12,精选ppt,不同体系所面对的威胁不同体系面对不同来源的威胁12精选ppt,威胁从何而来？,安全的模糊性,网络的开放性,产品的垄断性,技术的公开性,人类的天性,13,精选ppt,威胁从何而来？安全的模糊性13精选ppt,安全的模糊性,安全是相对的，不易明确安全的目标,安全是复杂的，不易认清存在的问题,安全是广泛的，不易普及安全的知识,14,精选ppt,安全的模糊性安全是相对的，不易明确安全的目标14精选ppt,网络的开放性,互联机制提供了广泛的可访问性,Client-Server,模式提供了明确的攻击目标,开放的网络协议和操作系统为入侵提供了线索,用户的匿名性为攻击提供了机会,15,精选ppt,网络的开放性互联机制提供了广泛的可访问性15精选ppt,产品的垄断性,工业界试图将专用技术引入,Internet,以获得垄断地位，从而将开放式的环境演变为商品化的环境，如,Active X,。,专用技术的细节通常受到有关厂家的保护，因而缺乏广泛的安全讨论，容易出现安全缺陷，例如,Active X,允许进行控件下载，又缺乏对控件的运行约束。,16,精选ppt,产品的垄断性工业界试图将专用技术引入Internet以获得垄,技术的公开性,如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此,Internet,要求对网络安全问题进行坦率公开地讨论。,基于上述原则，高水平的网络安全资料与工具在,Internet,中可自由获得。,17,精选ppt,技术的公开性如果不能集思广益，自由地发表对系统的建议，则会增,人类的天性,好奇心、显示心,惰性和依赖心理,家丑不可外扬,18,精选ppt,人类的天性好奇心、显示心18精选ppt,安全管理制度,木桶原则：木桶盛水的高度等于其最短的木板的长度,安全链条：链条的强度等于其最弱一环的强度,“人”是最短的木板和最弱的一环,!,19,精选ppt,安全管理制度木桶原则：木桶盛水的高度等于其最短的木板的长度1,网络边界安全,20,精选ppt,网络边界安全20精选ppt,网络边界安全,使用防火墙,!?,什么是防火墙,!,？,机房里用防火砖砌的墙,?,不同的人对防火墙有不同的定义,!,一种定义：防火墙是允许或不允许特定信息通过网络的某一关键路径的访问控制政策,21,精选ppt,网络边界安全使用防火墙!?21精选ppt,防火墙和关键路径,关键路径可以是物理,的也可以是逻辑的,22,精选ppt,防火墙和关键路径关键路径可以是物理22精选ppt,防火墙体系,IP Packet Filter (,如路由器中的,access list),堡垒主机、多协议过滤器,(,如,checkpoint,防火墙),应用级防火墙,(,如,Proxy,、,分裂的,DNS,Sendmail,、,WEB,过滤的,Gaunlet,防火墙),参考,OSI,模型,的近,似防,火墙,分层,体系,23,精选ppt,防火墙体系IP Packet Filter (如路由器中的a,信息安全与网络安全,24,精选ppt,信息安全与网络安全24精选ppt,数据安全,数据保密：密码体制。,内容完整：数字签名，信息摘录。,无否认：公证机制，审计功能，数字签名。,25,精选ppt,数据安全数据保密：密码体制。25精选ppt,网络安全,传输安全：数据保密，内容完整；,访问安全：身份认证，访问控制；,运行安全：基础设施的可靠性，安全监测。,26,精选ppt,网络安全传输安全：数据保密，内容完整；26精选ppt,访问控制,用于限定对网络的使用，包括对某个用户进行访问控制；和对某个资源进行访问控制。,端系统访问控制,自主访问控制,强制访问控制,基于角色的访问控制政策,网络的访问控制：防火墙技术,27,精选ppt,访问控制27精选ppt,构建安全的网络,28,精选ppt,构建安全的网络28精选ppt,构建安全的网络,明确安全需求,制定安全政策,在边界建立符合安全政策的防火墙体系,划分内部的安全政策域,对特定的主机节点进行加固,使用合理的访问控制政策、鉴别机制和数据安全体制,建立有效的可承受的监测体制,29,精选ppt,构建安全的网络明确安全需求29精选ppt,明确安全需求,不同的网络安全需求是不同的,安全需求是建立安全政策的基础,例如校园网可以有：,保证网络的可用：路由器不瘫痪、邮件发送正常等等,保证网络用户使用的可管理,防止出现异常的流量导致异常的费用,防止对核心服务器的攻击，以保护学校的声望,对学校某学生的机器不特别关心，除非他报案,30,精选ppt,明确安全需求30精选ppt,制定安全政策,根据安全需求制定安全政策,安全政策可以是形式化的，也可以是口语化的,安全政策表示的是什么是允许的什么是不允许的,例如,(,可以不用书面定义，可以包括所采用的技术手段的种类,),：,在边界使用防火墙，允许内部注册用户的对外访问，禁止随意的对内部访问等,内部开发网段使用,SSH,作为数据安全手段,鉴别采用口令认证的方式,31,精选ppt,制定安全政策根据安全需求制定安全政策31精选ppt,在边界建立符合安全政策的防火墙体系,Internet,路由器,防火墙,WWW,、,SMTP,Proxy,内部用户,DMZ,32,精选ppt,在边界建立符合安全政策的防火墙体系Internet路由器防火,划分内部的安全政策域,例如某公司可以划为：用户上网域、服务器域、开发域等,Internet,路由器,WWW,、,SMTP,内部开发区,服务器域,(DMZ),用户上网区,服务器开发,服务器禁止,开发 禁止,(,允许,FTP),33,精选ppt,划分内部的安全政策域例如某公司可以划为：用户上网域、服务器域,对特定的主机节点进行加固,对特殊位置的主机必须进行加固,如上例,WWW,服务器和,Mail,服务器,对于内部开发服务器也需要加固,可以制定一定的制度，要求内部员工也对各自的主机进行加固,34,精选ppt,对特定的主机节点进行加固对特殊位置的主机必须进行加固34精选,使用合理的访问控制、鉴别机制和数据安全体制,建立授权访问控制的政策，例如：哪些人可以访问哪些信息、权限如何等,选择内部或外部使用的鉴别机制，例如口令机制、证书、,LDAP,、,NIS,选择使用或不使用数据安全体制，使用哪种数据安全体制，例如,CA,、,KDC,。如采用,Kerberos(KDC),35,精选ppt,使用合理的访问控制、鉴别机制和数据安全体制建立授权访问控制的,建立有效的可承受的监测体制,使用不使用安全监测系统,基于网络还是基于主机的安全监测系统,例如：,在边界上使用基于网络的入侵检测系统,在服务器上使用基于主机的安全状态检查系统,等等,36,精选ppt,建立有效的可承受的监测体制使用不使用安全监测系统36精选pp,总结,计算机安全是指对计算机硬件、软件和数据的保护,网络安全是成体系的,网络边界的管理常常使用防火墙体系,信息安全依靠数据安全体系保障,安全监测体系可以用于发现系统漏洞和入侵行为,根据安全需求和安全政策建立相对安全的网络,37,精选ppt,总结计算机安全是指对计算机硬件、软件和数据的保护37精选pp,常见攻击介绍,针对网络的攻击,拒绝服务攻击（,Deny of Service),针对主机的攻击,缓冲区溢出攻击（,buffer overflow),后门和木马,(backdoor&Trojan),蠕虫、病毒,38,精选ppt,常见攻击介绍针对网络的攻击38精选ppt,网络入侵的步骤,(,简单服务失效攻击,),获取目标系统信息,从远程获取系统的部分权利,从远程获取系统的特权,清除痕迹,留后门,破坏系统,39,精选ppt,网络入侵的步骤(简单服务失效攻击)39精选ppt,常见网络攻击,DoS,消耗有限资源,网络链接,带宽消耗,其他资源,处理时间,磁盘空间,账号封锁,配置信息的改变,40,精选ppt,常见网络攻击 DoS消耗有限资源40精选,DoS,分类,Syn flood,其他,flood,（,smurf,等）,分布式,DoS(DDoS),41,精选ppt,DoS分类Syn flood41精选ppt,Syn flood,攻击原理,攻击,TCP,协议的实现,攻击者不完成,TCP,的三次握手,服务器显示,TCP,半开状态的数目,与带宽无关,通常使用假冒的源地址,给追查带来很大的困难,42,精选ppt,Syn flood 攻击原理攻击TCP协议的实现42精选pp,TCP Three-Way Handshake,SYN,Client wishes to establish connection,SYN-ACK,Server agrees to connection request,ACK,Client finishes handshake,Client initiates request,Connection is now half-open,Client connection Established,Server connection Established,Client connecting to a TCP port,43,精选ppt,TCP Three-Way HandshakeSYNClie,SYN Flood Illustrated,Client spoofs request,half-open,S,half-open,S,half-open,S,Queue filled,S,Queue filled,S,Queue filled,S,SA,SA,SA,Client SYN Flood,44,精选ppt,SYN Flood IllustratedClient sp,Syn flood,攻击实例,服务器很容易遭到该种攻击,南邮“紫金飞鸿”曾遭受该攻击的困扰,45,精选ppt,Syn flood攻击实例45精选ppt,SYN Flood Protection,Cisco routers,TCP,截取,截取,SYN,报文，转发到,server,建链成功后在恢复,client,与,server,的联系,Checkpoint Firewall-1,SYN Defender,与,Cisco,路由器的工作原理累死,攻击者依然可以成功,耗尽路由器或者防火墙的资源,46,精选ppt,SYN Flood ProtectionCisco rout,TCP Intercept Illustrated,Request connection,Answers for server,S,SA,Finishes handshake,A,Request connection,Server answers,S,SA,Finishes handshake,A,Knit half connections,47,精选ppt,TCP Intercept IllustratedReque,SYN Flood Prevention,增加监听队列长度,依赖与操作系统的实现,将超时设短,半开链接能快速被淘汰,有可能影响正常使用,采用对该攻击不敏感的操作系统,BSD,Windows,48,精选ppt,SYN Flood Prevention增加监听队列长度48,Smurf,攻击原理,一些操作系统的实现会对目的地址是本地网络地址的,ICMP,应答请求报文作出答复。,以网络地址为目标地址发送,ICMO,应答请求报文，其中很多主机会作出应答。,攻击者将,ICMP,报文源地址填成受害主机，那么应答报文会到达受害主机处，造成网络拥塞。,49,精选ppt,Smurf 攻击原理一些操作系统的实现会对目的地址是本地网络,Smurf Attack Illustrated,ICMP Echo Request,Src: target,Dest: 10.255.255.255,10.1.1.1,Attacker spoofs address,10.1.1.2,10.1.1.3,10.1.1.4,Amplifier:Every host replies,50,精选ppt,Smurf Attack IllustratedICMP E,Smurf,攻击的预防,关闭外部路由器或防火墙的广播地址特性；防止目标地址为广播地址的,ICMP,报文穿入。,成为,smurf,攻击的目标，需要在上级网络设备上做报文过滤。,51,精选ppt,Smurf攻击的预防关闭外部路由器或防火墙的广播地址特性；防,分布式,DoS(Distributed DOS),从多个源点发起攻击,堵塞一个源点不影响攻击的发生,采用攻击二级结构,攻击控制用的称为,handlers,发起攻击用的,agents,攻击目标为,targets,52,精选ppt,分布式DoS(Distributed DOS)从多个源点发起,DDOS Illustrated,Client,Agent,Handler,Agent,Agent,Handler,Agent,Agent,Agent,53,精选ppt,DDOS IllustratedClientAgentHan,DDoS,攻击,目前没有 很好的预防方法,DDoS,攻击开销巨大,但是一般主机不可能成为,DDoS,的目标,Yahoo,曾经遭受过,DDoS,攻击,Sadmind/unicode,蠕虫为,DDoS,做准备,54,精选ppt,DDoS攻击54精选ppt,针对主机的攻击,缓冲区溢出,后门和木马,蠕虫、病毒,55,精选ppt,针对主机的攻击缓冲区溢出55精选ppt,缓冲区溢出,程序收到的参数比预计的长,程序的栈结构产生混乱,任意输入会导致服务器不能正常工作,精心设计的输入会导致服务器程序执行任意指令,56,精选ppt,缓冲区溢出56精选ppt,Buffer Overflow Illustrated,main,() ,show,(“THIS IS MORE THAN 24,CHARACTERS!”);,show,(char*p) ,strbuff24;,strcpy,(strbuf,p);,Stack,main(),data,main(),return,Saved register,Show(),data,Strbuf,24 bytes,strcpy(),return,E R S !,T H I S. I S .,M O R E. T H AN . 2 4. C H A,R A C T,Return address corrupt,57,精选ppt,Buffer Overflow Illustratedmai,缓冲区溢出的预防,联系供应商,下载和安装相关的补丁程序,如果有源代码,自己修改源代码，编译安装,58,精选ppt,缓冲区溢出的预防联系供应商58精选ppt,后门和木马,应用背景：攻入系统之后，为以后方便、隐蔽的进入系统，有时候攻击者会在系统预留后门。,Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often malicious) task.,59,精选ppt,后门和木马应用背景：攻入系统之后，为以后方便、隐蔽的进入系统,后门、木马技术,获得系统控制权之后，可以做什么？,修改系统配置,修改文件系统,添加系统服务,后门技术通常采用以上的手段或其组合。,60,精选ppt,后门、木马技术获得系统控制权之后，可以做什么？修改系统,后门、木马的检测和预防,MD5,基线,给干净系统文件做,MD5,校验,定时做当前系统的,MD5,校验，并做比对,入侵检测系统,后门活动有一定的规律,安装入侵检测系统，一定程度上能够发现后门,从,CD-ROM,启动,防止后门隐藏在引导区中,61,精选ppt,后门、木马的检测和预防MD5 基线61精选ppt,蠕虫,能够自行扩散的网络攻击程序,各种攻击手段的组合,有时候为,DDoS,做攻击准备,具体问题具体分析,62,精选ppt,蠕虫能够自行扩散的网络攻击程序62精选ppt,一个蠕虫实例,第一步，随机生成,IP,作为二级受害主机的超集，对这些,IP,所在的,C,类网段的,111,口进行横向扫描（检测是否存在,rpc,服务），保存结果，获得存在,rpc,服务的主机集合；,第二步，对上述存在,rpc,服务的主机，检测是否运行,sadmind,服务，保存检测结果，获得存在,sadmind,服务的主机集合，即二级受害主机集合一；,第三步，对二级受害主机集一以轮询方式尝试,sadmind,栈溢出攻击；,63,精选ppt,一个蠕虫实例第一步，随机生成IP作为二级受害主机的超集，对这,蠕虫实例（续上）,第四步，检查栈溢出攻击是否成功。如果成功则进行第五步（扩散攻击系统）否则跳第九步（进行另一种攻击尝试）；,第五步，,sadmind,栈溢出攻击成功后，攻击程序可以通过登录二级受害主机的,600,口获得一个具有超级用户权限的,shell,。攻击程序利用这个,shell,，添加二级受害主机对一级受害主机的信任关系，使一级受害主机可以执行二级受害主机的远程,shell,指令。,64,精选ppt,蠕虫实例（续上）第四步，检查栈溢出攻击是否成功。如果成功则进,一个蠕虫实例（续上）,第六步，一级受害主机将攻击代码上载至二级受害主机，设置二级受害主机的攻击环境，修改系统启动文件并且消除入侵痕迹。,第七步，一级受害主机远程启动二级受害主机的攻击进程。由于在第六步中，一级受害主机设置了二级受害主机的攻击环境、修改了系统配置，因此，二级受害主机不能通过重新启动系统阻止,CUC,攻击的扩散。这样，二级受害主机迅速完成了从受害者到“帮凶”的角色转换。,65,精选ppt,一个蠕虫实例（续上）第六步，一级受害主机将攻击代码上载至二级,一个蠕虫实例（续上）,第八步，一级受害主机发现它作为攻击者已经成功的感染了一定数量的主机（目前已发现版本的数量为,2000,）后，允许自身暴露。,第九步，随机生成,IP,作为二级受害主机的超集，对这些,IP,所在的,C,类网段的,80,口进行横向扫描（检测是否为,WWW,服务器），保存结果，获得存在,WWW,服务的主机集合（即二级受害主机集合二）；,第十步，对二级受害主机集合尝试,UNICODE,攻击（该攻击针对,Windows NT,系列系统），试图修改其主页。,66,精选ppt,一个蠕虫实例（续上）第八步，一级受害主机发现它作为攻击者已经,攻击示意图,67,精选ppt,攻击示意图67精选ppt,UNIX,简史,68,精选ppt,UNIX简史68精选ppt,UNIX,安全管理基本原则,好的安全管理起始于安全规划,危险评估,哪些需要被保护？,他们有多大的价值？,要使他抵御什么样的危险？,怎样来保护？,69,精选ppt,UNIX安全管理基本原则好的安全管理起始于安全规划69精选p,UNIX,安全管理基本原则（续上）,成本收益分析,用户培训,了解社会工程,管理员素质培养,遵守安全守则,70,精选ppt,UNIX安全管理基本原则（续上）70精选ppt,安全的主机（,UNIX,）,主机的安全配置,配置管理,服务裁剪,主机的安全管理,日常安全管理,系统审计,常用工具介绍,71,精选ppt,安全的主机（UNIX）主机的安全配置71精选ppt,UNIX,的安全配置,帐号管理,文件系统的管理,服务管理,72,精选ppt,UNIX的安全配置72精选ppt,一个,UNIX,防御模型,73,精选ppt,一个UNIX防御模型73精选ppt,UNIX,帐号管理,侵入系统最简洁的方式是获得系统帐号,选择安全的口令,最安全的口令是完全随机的由字母、数字、标点、特殊字符组成,选择的口令要经得住两层攻击,依据个人信息猜测,用口令猜测程序猜测,74,精选ppt,UNIX帐号管理侵入系统最简洁的方式是获得系统帐号74精选p,UNIX,帐号管理（续上）,口令禁忌,不要选择字典中的单词,不要选择简单字母组合（,abcdef,等）,不要选择任何指明个人信息的口令,不要选择包含用户名的口令,尽量不要短于,6,个字符,不要选择全大写或者全小写的组合,75,精选ppt,UNIX帐号管理（续上）口令禁忌75精选ppt,UNIX,帐号管理（续上）,好的口令,不能短于,6,个字符,选择包含非字母字符的口令,选择一个容易记住而不必写下来的口令,选择一个易于输入的口令,口令不能落纸,关闭不必要的帐号,76,精选ppt,UNIX帐号管理（续上）好的口令76精选ppt,UNIX,文件系统安全,定义用户安全级别,系统文件的访问控制,重要数据的备份和加密存放,重要数据一定要做分机备份,外部可访问主机的重要数据需要加密存放,77,精选ppt,UNIX文件系统安全定义用户安全级别77精选ppt,UNIX,文件系统安全,Web server,学生资料库,internet,78,精选ppt,UNIX文件系统安全Web server学生资料库inter,UNIX,启动过程,UNIX,启动,（,Redhat 6.0 Linux 2.2.19 for Alpha/AXP,）,Bootloader,Kernel,引导入口,核心数据结构初始化,-,内核引导第一部分,外设初始化,-,内核引导第二部分,init,进程和,inittab,引导指令,rc,启动脚本,getty,和,login,bash,79,精选ppt,UNIX启动过程UNIX启动（Redhat 6.0 Linu,UNIX,服务配置,基本原则,尽量关闭不必要的服务,服务越多，被攻入的可能性越大,服务裁剪,参考,UNIX,的启动过程,减弱,inetd,的能力,消弱,cron,中定时启动的服务,80,精选ppt,UNIX服务配置基本原则80精选ppt,服务裁剪,linux,把,/etc/inetd.conf,中的大部分服务都注释掉，仅仅保留所需要的部分服务。,在该配置文件中没有不可以注释的部分,。,在一般情况下可以保留,telnet,、,FTP,，以及其它该服务器所提供的特殊服务，如,DNS,服务器的,named,等等,注释方法为：在不使用的服务前加,#,81,精选ppt,服务裁剪linux把/etc/inetd.conf中的大,服务裁剪,linux,（,cont.,）,需要注意：,Linux,自身携带的,FTPd,在许多版本中有安全漏洞。,reboot,系统,Linux,各版本内核注释方法基本相同。,82,精选ppt,服务裁剪linux（cont.）需要注意：Linux自身,服务裁剪,linux,（,cont.,）,超级用户,(root),直接使用命令：,linuxconf,选择,Control(Control Panel),Control service activity,仅保留以下服务：,inet, keytable, kudzu, linuxconf(,即该配置界面,),，,network, syslog,。,此外，部分,Linux,也可以在控制台上使用,setup,命令进行配置。如果可以使用,setup,则,linuxconf,服务建议关闭。,83,精选ppt,服务裁剪linux（cont.）超级用户(root)直接,服务裁剪,Solaris,为了系统安全，尽量减少系统对外提供的服务，使系统服务最小化。,编辑,/etc/inetd.conf,文件，注释调所有不需要的服务,(,在注释行开始加入,#),。,其中可以被注释的一些比较有代表性的服务有：,shell, login, exec, talk, combat, uucp, tftp, finger, netstat, ruserd, sprayd, walld, rstatd, cmsd, ttdbserverd,等等，可以仅保留需要使用的,telnet,、,FTP,、,DNS(in.named),等等。需要特别注意,Solaris,系统自身携带的,DNS(in.named),、,FTP,、,POP,、,IMAP,等主要服务均有问题。,84,精选ppt,服务裁剪Solaris为了系统安全，尽量减少系统对外提供,服务裁剪,Solaris(,续,),注释掉服务后重新启动,inetd,Ps ef |grep inetd,获得,inetd,的进程号,Kill 9 processid,杀死,inetd,进程,/usr/sbin/inetd -s,重新启动,inetd,Sun OS 5.7,与上面类似,上述服务中，只保留必须的服务，并且务必保证运行服务的版本的及时更新。,85,精选ppt,服务裁剪Solaris(续) 注释掉服务后重新启动ine,服务裁剪,Solaris(,续,),通过注释掉不必要的,RC,程序，可以使某些服务不启动。,对于,Solaris,系统而言，可以在非,MAIL,服务器上注释掉,sendmail,服务；,可以在不需要使用,NFS,的环境下注释掉,statd,服务和,automountd,服务；,86,精选ppt,服务裁剪Solaris(续)通过注释掉不必要的RC程序，,服务裁剪,Solaris(,续,),注释的方法为：,进入,/etc,目录，在,rc0.d,到,rc6.d,的各个目录中，利用,grep,命令搜索自己关心的服务,发现启动的文件后，把该文件移走即可。,为了防止将来需要使用该文件建议使用如下方法：,在,/etc,目录下建立,rcbackuprc,目录，对文件做备份,具体资料见附件,87,精选ppt,服务裁剪Solaris(续)注释的方法为： 87精选pp,UNIX,主机的安全管理,日常管理原则,系统审计,常用管理工具介绍,88,精选ppt,UNIX主机的安全管理日常管理原则88精选ppt,日常管理原则,管理员必须对主机全权管理,必须是管理员管理,管理员必须管理,管理员必须定期审计主机,系统软件的安装必须进行授权,超级用户的控制,原则上只有管理员和备份管理员有超级用户口令,超户的扩散必须有足够的理由,89,精选ppt,日常管理原则管理员必须对主机全权管理89精选ppt,系统审计,日常审计,系统进程检查,系统服务端口检查,系统日志检查,针对性审计,怀疑发生攻击后，对系统进行针对性审计,针对具体怀疑情况，具体操作。,90,精选ppt,系统审计日常审计90精选ppt,日常审计,系统进程检查,ps ef |more (solaris),ps ax|more (linux),系统管理员应该清楚系统应该启动哪些进程,91,精选ppt,日常审计系统进程检查91精选ppt,日常审计系统进程,92,精选ppt,日常审计系统进程92精选ppt,服务器端口检查,netstat a,列出所有活动端口,管理员应该熟知所管理系统应该活动的端口,发现异常端口活动，那么这个系统的可靠性值得怀疑,93,精选ppt,服务器端口检查netstat a93精选ppt,日志检查,系统日志位置,/var/adm/messages.* (solaris),/var/log/messages.* (linux),日志的生成,syslogd,minilogd,94,精选ppt,日志检查系统日志位置94精选ppt,日志检查,记录重要的系统事件是系统安全的一个重要因素,使用,wtmp/utmp,文件的连接时间日志,使用,acct,和,pacct,文件的进程统计,经过,syslogd,实施的错误日志,日志为两个重要功能提供数据：审计和监测,95,精选ppt,日志检查记录重要的系统事件是系统安全的一个重要因素95精选p,日志检查,日志使用户对自己的行为负责,日志能够帮助检测,日志最重要的功能使制止,日志文件本身易被攻击,96,精选ppt,日志检查96精选ppt,日志检查,日志是否缺失？,日志是否异常,缺失,是否有段错误,登录失败记录,其他异常情况,97,精选ppt,日志检查日志是否缺失？97精选ppt,一个例子,98,精选ppt,一个例子98精选ppt,第二个例子,99,精选ppt,第二个例子99精选ppt,日志检查,应用程序日志,mail,maillog(,或,syslog),ftp,xferlog,存放在,Linux,在相同的目录下,Apache access_log,和,error_log,帐号相关日志,lastlog,last,命令,sulog(solaris),100,精选ppt,日志检查应用程序日志100精选ppt,一种日常系统审计的方法,见附件系统检查流程,101,精选ppt,一种日常系统审计的方法见附件系统检查流程101精选ppt,针对性审计,针对流行蠕虫的审计,参考当前流行蠕虫的行为和表现，对系统进行检查。,例如：,Cinik worm,。, core),上网查询怀疑被缓冲区溢出的服务是否存在漏洞，并且将特征进行比对。,安全专家还可以对,core,文件进行观察和调试,103,精选ppt,针对性审计缓冲区攻击漏洞103精选ppt,针对性审计,后门和木马的检测,对系统命令做,MD5,校验，与干净系统的,MD5,校验和进行比对,login,文件,in.telnetd,文件,ls, du, dk, find,等常用命令,104,精选ppt,针对性审计104精选ppt,针对性审计,后门和木马的检测（续上）,观察系统配置和系统服务是否正常,inetd.conf,是否被修改过？,cron,的配置文件是否被修改过？,rc.d,系列有没有被修改过,inetd.conf,中启动的服务可执行码是否被修改过,105,精选ppt,针对性审计105精选ppt,UNIX,常用工具介绍,日志工具综述,Chklastlog:,该工具通过检查,/var/adm/lastlog,和,/var/adm/wtmp,之间的不一致性来删除信息。程序找出记录在,wtmp,中，而在,lastlog,中没有的用户登录,ID,。,下载参见：,ftp:/coast.cs.purdue.edu/pub/tools/unix/chklastlog,通过搜索引擎搜索，关键字,chklastlog,106,精选ppt,UNIX常用工具介绍日志工具综述106精选ppt,UNIX,常用工具介绍,日志检查工具,Logcheck,检查日志文件中违反安全或不正常的活动，并用电子邮件发送警告的信息。,可以通过设定关键字来报告需要查找的事件,可以通过设定关键字来报告它所忽略的事件,下载参见：,ftp:/ tiger, tara,不论使用什么工具，用户都应该定期（对重要的主机，每天）进行弱点测试,下列情况下需要测试：,安全一个新系统,怀疑收到了入侵,确定收到了入侵,应该不定期测试，以防止攻击者发现了时间安排而进行工具,110,精选ppt,UNIX常用工具介绍常见工具cops, tiger, tar,UNIX,常用工具,Cops,ftp:/coast.cs.purdue.edu/pub/tools/unix/cops/1.04/,Tara,通过搜索引擎检索下载,111,精选ppt,UNIX常用工具Cops111精选ppt,UNIX,常用工具介绍,基于网络的弱点发现工具,扫描器,漏洞扫描：检测系统服务的漏洞,网络扫描：检测网络的可用性，主机的可达性,网络监测设备,112,精选ppt,UNIX常用工具介绍基于网络的弱点发现工具112精选ppt,UNIX,常用工具介绍,漏洞扫描器,SATAN,SAINT,NESSUS,Internet Security Scanner(ISS),端口扫描工具,NMAP,113,精选ppt,UNIX常用工具介绍漏洞扫描器113精选ppt,UNIX,常用工具介绍,端系统扫描（以,saint,为例）,一个综合的网络安全检查工具,最简单工作模式,高级模式,命令行工作模式,基于,Web,工作模式（,client/server,模式）,扫描器使用的访问控制,114,精选ppt,UNIX常用工具介绍端系统扫描（以saint为例）114精选,SAINT,的使用启动,115,精选ppt,SAINT的使用启动115精选ppt,SAINT,的使用运行,116,精选ppt,SAINT的使用运行116精选ppt,SAINT,的使用,117,精选ppt,SAINT的使用117精选ppt,UNIX,常用工具,扫描器使用警告,不要在一个远程系统或那些在管理范围外且没有权限的系统上运行网络扫描工具,未授权的网络和主机扫描会花费精力、资源和职业声誉,在进行系统搜索前，务必获得许可,118,精选ppt,UNIX常用工具扫描器使用警告118精选ppt,UNIX,常用工具介绍,漏洞扫描器的获得,一般通过搜索引擎可以获得,Saint:, 对于任何试图穿越被保,入侵检测系统的类型,实时日志监测器,记录日志条目中的特殊事件,近似于实时响应,实时网络传输监测器,记录网络传输中的特殊事件,实时响应,事后的日志分析器,检查事先建立的日志信息,不能够实时响应,125,精选ppt,入侵检测系统的类型实时日志监测器125精选ppt,入侵检测系统的使用,攻击识别,事件响应,政策检验,政策加强,126,精选ppt,入侵检测系统的使用攻击识别126精选ppt,入侵检测系统的响应,被动响应,:,不直接的针对入侵者采取行动。,主动响应,:,直接保护被入侵的目标采取行动。,127,精选ppt,入侵检测系统的响应被动响应: 不直接的针对入侵者采取行动。1,被动响应,忽略,记录日志,额外日志,通知,128,精选ppt,被动响应忽略128精选ppt,主动响应,切断,(,连接、会话、进程,),网络重配置,还击,欺骗,129,精选ppt,主动响应切断(连接、会话、进程)129精选ppt,不同响应方式的优点,被动响应方式不会影响合法的传输,记录日志方式可以收集合法过程的证据,主动响应可以及时保护目标系统,主动响应方式可以减少管理员的工作强度,130,精选ppt,不同响应方式的优点被动响应方式不会影响合法的传输130精选p,不同响应方式的缺点,被动响应方式可能会允许入侵者进一步获取系统的访问权限,通知方式可能导致管理员工作量过大,切断方式可能影响合法用户的使用,还击可能影响无辜的系统，从而导致该系统采取针对你的合法行为,欺骗是困难的,131,精选ppt,不同响应方式的缺点被动响应方式可能会允许入侵者进一步获取系统,入侵检测系统的政策,定义入侵检测系统的目标,确定监视的内容和位置,选择响应,设置坎值,实现政策,132,精选ppt,入侵检测系统的政策定义入侵检测系统的目标132精选ppt,漏报和误报,误报,(false positive),漏报,(false negative),133,精选ppt,漏报和误报误报(false positive)133精选pp,设置坎值,用户经验,网络速率,预期的网络连接,管理员的安全工作强度,感应器的敏感度,安全程序的效率,存在的漏洞,系统信息的敏感程度,误报的后果,漏报的后果,134,精选ppt,设置坎值用户经验134精选ppt,入侵检测系统举例,监视,Internet,入口,服务器保护,事件响应,135,精选ppt,入侵检测系统举例监视Internet入口135精选ppt,监视,Internet,入口,系统目标：,系统用户可以访问色情站点以外的所有站点；系统外部用户只能够访问内部分,WWW,、,SMTP,服务器。,监视器的位置：防火墙内外各一个实时网络传输监视器；,Proxy,一个日志分析器。,监视内容：网络传输监视器忽略向外的主要服务和向内的,WWW,、,SMTP,流量，捕捉企图流量；日志分析器捕捉非法站点。,响应：记录日志。网络传输的监视器还可以切断连接或重配防火墙；日志分析器也可以通知用户。,136,精选ppt,监视Internet入口系统目标：系统用户可以访问色情站点以,监视,Internet,入口,Internet,路由器,网络监视器,防火墙,WWW,、,SMTP,Proxy,日志分析器,内部用户,137,精选ppt,监视Internet入口Internet路由器网络监视器防火,服务器保护,系统目标：,保护内部网络的服务器，防止内部攻击。仅允许,HTTP,访问。,监视器的位置：在服务器网段设置一个实时网络传输监视器。,监视内容：记录所有网络流量，在,HTTP,流量中分析攻击特征；其它流量均记录。,响应：记录所有非,HTTP,流量的日志。切断,HTTP,攻击的连接，也可以重新进行网络路由等配置。,138,精选ppt,服务器保护系统目标：保护内部网络的服务器，防止内部攻击。仅允,服务器保护,Internet,路由器,网络监视器,防火墙,各种服务器,139,精选ppt,服务器保护Internet路由器网络监视器防火墙各种服务器1,事件响应,系统目标：,对入侵自动响应，尽量获取攻击的信息，系统中有一个陷井。,监视器的位置：在网络的入口设置一个实时网络传输监视器，在陷井中设置一个实时日志监视器。,监视内容：网络传输监视器记录所有网络流量，分析攻击特征；日志记录器记录陷井中的日志。,响应：记录攻击模式的流量，把攻击引向陷井，并且通知管理员。,140,精选ppt,事件响应系统目标：对入侵自动响应，尽量获取攻击的信息，系统中,事件响应,Internet,路由器,网络监视器,防火墙,陷井,服务器,陷井的日志监视器,141,精选ppt,事件响应Internet路由器网络监视器防火墙陷井服务器陷井,总结,网络安全监测是网络安全的体系之一。,入侵检测系统是网络安全监测中的部分功能。,包括入侵检测在内的各种技术手段的采用都是由安全需求和安全政策所决定。,其它相关领域,(,如：安全信息表示、分布协同、事件处理等等,),142,精选ppt,总结网络安全监测是网络安全的体系之一。142精选ppt,事故处理,143,精选ppt,事故处理143精选ppt,事故处理的过程,A.,在着手处理事故之前,B.,夺回控制权,C.,分析入侵,D.,与相关的,CSIRT,和其他站点联系,E.,从入侵中恢复,F.,提高你系统和网络的安全性,G.,重新连上因特网,H.,更新你的安全策略,144,精选ppt,事故处理的过程A. 在着手处理事故之前 144精选ppt,着手处理事故之前,对照你的安全策略,如果你还没有安全策略,请教管理层,请教律师,联系法律强制代理,(FBI),通知机构里的其他人,记录下恢复过程中采取的所有步骤,记录下恢复过程中采取的所有步骤有助于防止草率的决定,这些记录在未来还有参考价值,.,这对法律调查来说也是很有用的,.,145,精选ppt,着手处理事故之前对照你的安全策略 145精选ppt,夺回控制权,将遭受入侵的系统从网络上断开,为了夺回控制权,可能需要从网络上,(,包括拨号连接,),断开所有的遭受入侵的机器,.,之后可以在,UNIX,的单用户模式下或,NT,的本地管理员状态下操作,确保拥有对机器的完全控制权,;,然而,通过重启动或切换到单用户,/,本地管理员模式,可能会丢失一些有用的信息,.,146,精选ppt,夺回控制权将遭受入侵的系统从网络上断开 146精选ppt,夺回控制权（续上）,复制遭受入侵系统的镜象,在分析入侵之前,我们推荐建立一个系统的当前备份,.,这可以提供入侵被发现时刻文件系统的快照,.,将来这个备份或许用的上,.,例如,UNIX,的,dd,命令,147,精选ppt,夺回控制权（续上）147精选ppt,夺回控制权？,Lock-in vs. Lock-out,Lock-in,：使攻击者保持活动,Lock-out,：夺回控制权,取证原则在有的情况下也要求,Lock-in,的处理方式,因此，夺回控制权不适用于全部情况,148,精选ppt,夺回控制权？Lock-in vs. Lock-out148精,分析入侵,查看系统软件和配置文件的更改,查看数据的更改,查看入侵者留下的工具和数据,检查日志文件,149,精选ppt,分析入侵查看系统软件和配置文件的更改 149精选ppt,分析入侵,查看是否有,sniffer,检查网络中的其他系统,检查与遭受入侵系统有关或受到影响的远程主