网络安全技术讲解

网络安全技术讲解,2008,年,4,月,中国电信东莞分公司商务领航企智通运营中心,技术部经理：李思文,网络安全简述,网络安全整体框架、体系,安全规划、服务、管理,防火墙,入侵检测,身份认证、访问控制、审计系统,漏洞扫描,防病毒系统,课,程,面临的安全威胁,以经济利益为动机的控制系统、窃取、篡改信息等犯罪活动,以破坏系统为目标的系统犯罪,以政治目的为动机的破坏系统等 信息犯罪活动,其他信息违法犯罪行为,内部系统网络,internet,网络入侵,黑客入侵工具,控制系统,窃取资料,修改资料,内部系统网络,SYN-ACK?, drop,SYN-ACK?, drop,SYN-ACK?, drop,SYN-ACK?, drop,SYN-ACK?, drop,TCP SYN : 80,SIP: 10.X.X.X or Null,DIP: 211.1.1.2,黑 客 攻 击,internet,内部系统网络,侦听、窃取资料,Snifer,工具,用户名、密码,传输的资料,服务器信息,操作系统信息,internet,内部系统网络,木马,蠕虫,Jokes,黑客工具,病 毒,感染操作系统,感染数据,堵塞网络,internet,被动式攻击,那些不改变正常通讯连接的数据流，而且不将数据加入到连接中,那些进入工作环境中等待捕获在网络上传输的有价值的信息活动,主动式攻击,打断正常的数据流，插入数据或修改数据流（欺骗）,攻击者寻找系统的漏洞，发动侵略性攻击,在发动主动式攻击前，首先要进行被动式攻击,攻击类型,病毒、蠕虫、炸弹和,特洛伊木马,陷门,【 Trap doors】,隐通道,【Covert Channels】,拒绝服务,【Denial of service】,侦听,【Sniffing】,欺骗,【Spoofing】,口令攻击,【Password attack】,寻找软件存在的漏洞和弱点,寻找系统配置的漏洞,路由攻击,【Routing Attacks】,中继攻击,【Replay Attacks】,会话窃取攻击,【Session Stealing Attacks】,目前已知的手段,陷门和隐通道,陷门,【 Trap doors 】,由软件设计者或程序员人为设置的漏洞，用来作为进入系统的后门,能够通过较好的软件检测过程来避免,隐通道,【 Covert Channels 】,是一种交互式处理通讯的方法，能够向没有正确安全权限的外人泄漏信息,很难防范，需要利用可信的人员处理或加工敏感信息,陷门和隐通道,广泛流行,不需要太多的技术,青少年占很大的比例,利用菜单驱动的程序很容易实现，而且能够跨平台,很难跟踪,经常需要很多,ISP,的协助，但是很难合作的很好,利用无用的或有害的数据包充斥网络、消耗系统缓冲或网络带宽，从而击溃系统,land.c,攻击：利用目标主机的地址同时作为源地址和目的地址,;,利用目标主机的同一端口同时作为源端口和目的端口发出,tcp,SYN,（,同步状态）数据包,ping,死亡攻击：通过从远程主机上发出特定大小（,65535,字节）的,ping,包来冲击、重启动或者,down,掉大量的系统。大于,65535,字节的,ip,包是不合法的,拒绝服务攻击,Tcp,SYN,泛滥和,IP,欺骗攻击,利用伪造的、根本不存在的源地址发出,Tcp_SYN,包,受害者试图发一个,Tcp_SYN_ACK,包，但找不到源地址，只好把它排队,信息排队时间 ,75,秒,填满了,SYN,队列,受害者无法通信或系统崩溃,Smurf,攻击（,Broadcast Ping Attack,）,发出“,Broadcast_ Ping_request ”,，,看起来是来自“受害者”，将它发给“无辜的第三方”,“无辜的第三方”的网络上的主机都向“受害者”回发“,broadcast_ping_reply”,包,“受害者”被大量的,ping,包攻击,对事件的跟踪却集中到“无辜的第三方”身上,拒绝服务攻击,难于跟踪,源地址一般都被隐藏或伪装,需要实时跟踪，经过一个又一个的路由器去寻找,高的数据包比率,有时受害者却不能用,Internet,去控诉或跟踪攻击,用户组的帐号或被丢弃的帐号被利用,学校的实验室、拨号用户、私有系统,拒绝服务攻击,入侵者通过,Internet,攻破数以千计的系统，包括大型网络间的网关。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令,电子邮件同样也象,Telnet,和,Ftp,会话一样，可以被监视，用来获取有关站点和其相关商业交易情况的信息,侦听,【,Sniffing,】,欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程,欺骗可在,IP,层及之上发生（地址解析欺骗、,IP,源地址欺骗、电子邮件欺骗等）,当一台主机的,IP,地址假定为有效，并为,Tcp,和,Udp,服务所相信,利用,IP,地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户,欺骗,【,Spoofing,】,通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式,UNIX,操作系统通常将口令加密保存成为一个能够被普通用户读取的文件。一个入侵者可以运行现有的口令破解程序获取口令。如果口令强度比较弱，如少于,8,个字符的英文单词等，就可以被破解，并用来获得对系统的访问权,UNIX,操作系统中的,r*,命令，在信任的系统中是不需要口令的,口令攻击,向路由系统中插入错误的路由信息,重定向流量到一个黑洞中（,blackhole,）,重定向流量到慢速连接,重定向流量到不同的地方进行侦听或修改,需要可靠的认证，仅从已知的路由器接收路由的更新,中继攻击保存一份原始信息的拷贝，一段时间后再转发,保存一份商业交易，而后转发,攻击者可以中继一个网络使之停止更新，并对该网段实施拒绝服务攻击,所有的交易需要携带一个序列,ID,或加盖时间戳,路由和中继攻击,在找到一个没有用到的网络接口或者攻破网络上的一台主机后，入侵者可以,主动地侦听该网段上的数据流，试图找到被主机认证的感兴趣的会话,发出大量的、无用的数据包去击溃原始系统,入侵者利用已崩溃系统的地址向其它主机发送数据包,需要通过加密来防止数据包侦听或会话窃听,保证物理端口的安全，防止不被使用的接口被非法使用,会话窃取攻击,攻击者的策略,识别脆弱的系统,获得对系统的访问,获得特殊访问权限,扩展访问至其它的系统或网络,简单攻击,识别目标,端口或薄弱点扫描,识别安全漏洞,利用已识别的安全漏洞,攻击策略,复杂攻击,识别目标,收集信息,操作系统的类型和版本,系统,/,网络管理员的意见,所用防火墙类型,/,安全措施,研究薄弱点,开发攻击策略,进行攻击调试,站在受害者的角度，看攻击效果（背后不留痕迹）,确定是否值得冒险扫描,应用社会工程,获得范围内的支持帮助,攻击策略,Incidents Reported to CERT/CC,网络安全整体框架、体系,三维安全体系结构框架,安全特性,网络层次,系统单元,身份鉴别,访问控制,数据完整,数据保密,防止否认,跟踪审计,可靠可用,信息处理,网络,安全管理,物理环境,物理层,链路层,网络层,传输层,会话层,表示层,应用层,安全特性,网络层次,系统单元,安全防御子系统,网络防火墙：,网络层、传输层,网络平台、系统平台,访问控制,身份认证子系统,Kerberos,或,X.509,：,传输层,应用层,系统平台,安全管理,身份鉴别,桌面,VPN,子系统,端到端加密通道：,网络层,会话层,系统平台、应用平台,数据完整、数据加密,授权管理子系统,用户和对象的授权策略：,应用层,应用平台、安全管理,访问控制,密钥管理子系统,密钥生成、存储和发放：,传输层,应用层,系统平台,安全管理,身份鉴别,安全检测子系统,安全扫描、攻击报警,网络层、传输层,网络平台,应用平台,跟踪设计、可靠可用,病毒防御子系统,过滤、删除病毒：,传输层,应用层,系统平台、应用平台,数据完整、可靠可用,机要保密子系统,机要,信息加密处理：,表示层、应用层,系统平台、应用平台,数据保密,安全数据库子系统,集成数据库安全机制：,应用层,系统平台、应用平台,身份鉴别,可靠可用,安全审计子系统,安全日志存储、分析：,网络层,应用层,安全管理,防止否认、跟踪审计,网络安全子系统,网络安全设计注意点,网络环境,网络拓扑结构（,LAN,、,MAN,、,WAN,）,系统和网络设备,位置,软件和硬件的版本,负责部门,供货商,定义可能的威胁,应用程序,供货商,负责部门,版本,由谁来使用,怎样来用,用户数量,用户类型,内部用户,合作伙伴,竞争对手,到底做什么,如何连接的,什么样的数据流,信息是如何流动的,定义信息流的安全级别,定义可能存在的威胁,网络安全设计注意点,了解安全的关注点,方案整体性,提出安全可能存在的问题,网 络 安 全 模 型,防病毒,漏洞扫描,身份认证,授权,应用层加密,访问控制,防火墙,入侵检测,VPN,物理隔离,Layer 1,Layer 2,Layer 3,Layer 4,Layer 5,Layer 6,Layer 7,Protocol Example,Ethernet,IP,SSL,TCP,HTTP& URL,L1-3,L4-7,Physical,安全规划、服务、管理,安全服务的内容,安全系统规划,全面、细致地分析网络的安全需求,利用科学的方法论和安全漏洞扫描、分析工具，分析企业信息网络的网络、应用、管理的现状和安全风险,提出针对网络的全面的、科学的安全体系规划和完整、可行的整体安全解决方案,安全服务,安全服务与安全技术的区别,谁可以提供安全服务,安全服务的内容,安全咨询,最新发现的各种安全风险，如系统漏洞、攻击手段、新的病毒,安全技术的最新发展，新的安全技术，新的攻击防御和检测手段,安全技术的发展趋势,企业信息网络安全系统建设的方法和步骤,安全服务的内容,其它的内容,安全策略制定：,根据企业的安全需求，制定统一的安全策略。对企业信息网络而言，需要采取什么样的安全措施，在什么时候、什么地方使用什么样的安全技术，都需要由一个统一的安全策略作为指导。在企业信息网络的不同平台、不同部分，都需要在一个统一的安全策略指导下，采取相应的安全措施。,安全系统集成：,根据安全系统规划和统一的安全策略，根据企业信息网络的特点，把不同安全厂商的不同安全技术和产品进行集成。,安全培训：,包括对用户的安全意识、安全技术的培训，对系统管理员的安全技术培训、安全专业知识的培训等。,应急安全服务：,在紧急情况下的各种安全服务，包括特殊情况下的安全防护、发生安全事故时的现场保护、追踪、以及采取各种必要的安全补救措施等。,内部系统的安全服务,网络安全实施前,了解内部系统的网络结构、安全需求,对网络进行安全扫描、安全分析，确定网络中存在的问题,提出符合内部系统的网络安全解决方案,论证方案的可行性，进一步完善方案,内部系统的安全服务,定义安全要求,ISO/IEC 15408 GB/T18336,保护轮廓,访问控制,身份认证,授权,审计,密码系统,操作系统,数据库系统,防火墙,应用,安全检测,应急措施,VPNs,用户在某一特定的,IT,领域提出的技术安全要求,以灵活实用的方法对标准的,信息技术安全要求进行分类,(,特征和保证,),内部系统的安全服务,网络安全实施后,对系统进行全面检查,全面的安全培训,制定应急安全服务措施,定期进行安全交流,定期进行网络检查,及时提供安全补丁,应用案例,核心交换机,机关楼层,机关服务器,Catalyst 6506,Catalyst 6506,Cisco2948,Cisco2948,Cisco 2924 *3,Cisco2948,Cisco 2924 *4,调度所,10,楼,6,楼,2,楼,至Internet,Cisco 1200,Cisco 2924,Cisco 2924 *2,报装办,Cisco 2924,至省局,Catalyst 6509,OA,服务器,GIS,服务器,主域控制器,备份域控制器,邮件服务器,SCADA,服务器,WWW,服务器,外部网站,数据库,服务器,文件服务器,财务专用服务器,宣传专用,服务器,营销应用服务器,1000M,100M,主页防篡改系统,防病毒网关,防病毒网关,主通道到：,招商银行,分局,主通道到：,工商银行,农业银行,分局,备用通道到：,工商银行,农业银行,招商银行,接电信,Internet,接电信,Internet,网络入侵检测,漏洞扫描,/,安全日志审计,身份认证,/,授权,/,数据加密,VPN,接入,VPN,VPN,VPN,防火墙,防火墙,防火墙,防火墙,防火墙,防火墙,防火墙,防火墙,服务器防病毒,数据库、文件服务器等的数据备份,身份认证,/,授权,/,数据加密系统对,OA,、,数据库、,WWW,服务器的认证保护,VPN,Cisco8540,谢 谢！,技术支持：,Support,