校园网络安全课件

,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,校园网络安全,段运生,安徽大学网络中心,暴力破解,利用系统自身安全漏洞,木马程序,拒绝服务攻击,蠕虫病毒,ARP,欺骗攻击,嗅,探,sniffer,网络钓鱼,WEB,攻击,常见的安全攻击方法,采用穷举法，破译密码：从口令候选器中选取单词或用枚举法选取，然后用各种同样的加密算法进行加密再比较，一致则猜测成功，否则再尝试。,暴力,破解,微软安全公告,bugtraq,利用已知漏洞攻击,木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。,具有隐蔽性的可执行程序，通常在点击后生效,可读取各种密码，下载、上传文件,可,对局域网其它信息进行嗅探,木马程序,通过向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而无法对合法的用户提供服务。,Botnet,：由,Bot,工具组成的可通信、可被攻击者远程控制的网络。,拒绝服务攻击,ARP,欺骗攻击,ARP,Address Resolution Protocol,地址解释协议,帧,类型,0 x0806,ARP,欺骗都是通过填写错误的源,MAC-IP,对应关系来实现的,通过伪造虚假源,IP-MAC,对应的,ARP,报文，导致网关或主机无法找到正确的通信对象,利用,ARP,协议本身的缺陷来实现,可以利用帧类型来识别,ARP,报文,ARP,攻击仿冒网关,攻击者发送伪造的网关,ARP,报文，欺骗同网段内的其它主机。,主机访问网关的流量，被重定向到一个错误的,MAC,地址，导致该用户无法正常访问外网。,正常用户,A,网关,G,网关,MAC,更新了,网关,ARP,表项已更新,攻击者,B,IP Address G,MAC G,1.1.1.1,1-1-1,IP Address,MAC,Type,1.1.1.1(,网关,),1-1-1,Dynamic,IP Address,MAC,Type,1.1.1.1,（网关）,2-2-2,Dynamic,ARP,表项更新为,这种攻击为最为常见的攻击类型,访问外网数据发向错误的网关,ARP,攻击欺骗网关,攻击者伪造虚假的,ARP,报文，欺骗网关相同网段内的某一合法用户的,MAC,地址已经更新,网关发给该用户的所有数据全部重定向到一个错误的,MAC,地址，导致该用户无法正常访问外网,正常用户,A,网关,G,用户,A,的,MAC,更新了,用户,A,的,ARP,表项已更新,发送伪造,ARP,信息,攻击者,B,IP Address,MAC,Type,1.1.1.5,3-3-3,Dynamic,IP Address,MAC,Type,1.1.1.5,2-2-2,Dynamic,ARP,表项更新为,IP Address A,MAC A,1.1.1.5,3-3-3,外网来的数据流被转发到错误的终端,ARP,攻击欺骗终端用户,攻击者以伪造虚假的,ARP,报文，欺骗相同网段内的其他主机，,某一合法用户的,MAC,地址已经更新,网段内的其他主机发给该用户的所有数据都被重定向到错误的,MAC,地址，同网段内的用户无法正常互访,正常用户,A,网关,G,用户,C,的,MAC,更新了,知道了,发送伪造,ARP,信息,攻击者,B,IP Address G,MAC G,1.1.1.1,1-1-1,IP Address,MAC,Type,1.1.1.1,9-9-9,Dynamic,IP Address,MAC,Type,1.1.1.1,2-2-2,Dynamic,用户,C,的,MAC is 2-2-2,ARP,表项更新为,目的,MAC,源,MAC,2-2-2,3-3-3,IP Address A,MAC A,1.1.1.5,3-3-3,数据流被中断,IP Address B,MAC B,1.1.1.20,5-5-5,IP Address C,MAC C,1.1.1.8,9-9-9,正常用户,C,ARP,泛洪攻击,攻击者伪造大量不同,ARP,报文在同网段内进行广播，导致网关,ARP,表项被占满，合法用户的,ARP,表项无法正常学习，导致合法用户无法正常访问外网,正常用户,A,网关,G,用户,A,、,A1,、,A2,、,A3,的,MAC,更新了,已更新,发送大量伪造,ARP,信息,攻击者,B,IP Address G,MAC G,1.1.0.1,1-1-1,IP Address,MAC,Type,1.1.0.2,2-2-2,Dynamic,1.1.0.3,2-2-3,Dynamic,1.1.0.4,2-2-4,Dynamic,1.1.0.5,2-2-5,Dynamic,1.1.0.6,2-2-6,Dynamic,.,Dynamic,1.1.0.2 MAC is 2-2-2,ARP,表项被占满,IP Address A,MAC A,1.1.1.103,3-3-3,ARP,表项无法学习,IP Address B,MAC B,1.1.1.20,5-5-5,1.1.0.3 MAC is 2-2-3,1.1.0.4 MAC is 2-2-4,1.1.1.103 MAC is 3-3-3,网络接口只响应两种数据帧：与自己硬件地址相匹配的数据帧；发向所有机器的广播数据帧。,网卡的工作模式：正常模式和混杂模式（在这种模式下的网卡能够接收一切通过它的数据，而不管数据是否是传给它的）,嗅探,Sniffer,攻击,通过欺骗性的电子邮件、网页欺诈用户，诱使用户泄露重要信息的诈骗方式。,属于黑客攻击方式中的社会工程学方法，更多的依靠欺骗手段来达到目的。,网络钓鱼,SQL,注入,跨,站脚本,远程命令非法执行,Cookie,篡改,敏感信息泄露,WEB,攻击,信息搜集,漏洞利用,窃取、篡改、破坏,进一步渗透其他主机,安装后门,一般的入侵流程,找到网络地址范围,找到机器的地址,找到开放端口和入口点,找到系统的制造商和版本,扫描流程：存活性扫描、端口扫描、漏洞扫描、,OS,识别,获取信息,网络层,系统,层,应用层,管理层,常用的安全防范措施,用户接入,二层安全,流量控制,防火墙,入侵防御,抗拒绝服务攻击,远程安全接入,网络层,用户认证,终端准入控制,用户接入,802.1x,：基于端口的访问控制认证。,Portal,：未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户使用互联网中的其他信息时，必须在门户网站通过认证才可以使用。,用户认证,对接入网络的终端实施安全准入策略,集成了网络准入、终端安全、桌面管理功能。,终端准入控制,VLAN,ARP,攻击,DHCP SNOOPING,二层安全,ARP,攻击控制点,网关,G,用户,接入设备,网关防御,合法,ARP,绑定，防御网关被欺骗,VLAN,内的,ARP,学习数量限制，防御,ARP,泛洪攻击,1,接入设备防御,将合法网关,IP/MAC,进行绑定，防御仿冒网关攻击,合法用户,IP/MAC,绑定，过滤掉仿冒报文,ARP,限速,绑定用户的静态,MAC,2,客户端防御,合法,ARP,绑定，防御网关被欺骗,3,流量攻击,攻击原理,广播报文或者组播报文在网络中泛滥，或者同时发送大量单播报文至同一目的网络，导致带宽资源耗尽，整个网络瘫痪,攻击危害,从一个带宽足够大的网络向一个带宽较小的网络发送大量数据，导致被攻击网络由于流量过大使正常的传输失败,调动网络中多个主机或设备同时向同一个设备发送大量流量，导致网络拥塞,流量控制,访问,频度较大的业务：,Internet,、,Mail,、,DNS,带宽占用较大的业务：迅雷、,BT,、电驴、,QQ,、,MSN,领导关注的业务：,Netmeeting,、,VoIP,、,Oracle,、,VPN,内部员工因为各种,IM,即时通讯软件、网络在线游戏、,P2P,下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、,Internet,出口网络性能下降,先到先得 带宽资源严重失控,内部网络与外部网络的边界，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络访问。,包,过滤防火墙,基于状态监测的包过滤防火墙,防火墙,防火墙的选择,单向访问的,需求,财务部,门,防火墙,办公室,主管领导,市场部门,单向访问,交换机和路由器的,ACL,都没办法实现的需求,防火墙的局限,Web services,防火墙,l,Web enabled apps,HTTP,载荷中的病毒、木马、蠕虫等恶意代码,80,端口,服务器被攻破,http:/10.74.16.88/scripts/.%c0%af.cmd.exe?/c+dir+c:,防火墙可被应用层的攻击穿透，而目前,90,以上的攻击是基于应用层的攻击。,防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码。,入侵检测由于旁路部署，不能第一时间阻断所有攻击，侧重安全状态监控,入侵防御在线部署，主动防御，实时阻断攻击。,入侵防御系统,入侵防御系统作用,应用层攻击抵御,：,蠕虫、木马、间谍软件的实时防护。,全球漏洞特征升级,：,设备自动完成升级，实现实时防护,初始事件,标准化,规则过滤,特征匹,配,WEB,E-Mail,DownLoader,掐断非法或受控应用,发现和阻断滥用误用,制止应用系统的漏洞利用,杀除病毒、木马,非法或受控应用,滥用误用,应用系统的漏洞,病毒、木马,深度过滤,用户网络内部多种应用潜藏各类威胁,inside,抗拒绝服务攻击,禁止对主机非公开服务的访问,限制特定,IP,地址的访问,启用设备的,DDOS,属性,抗拒绝服务攻击,远程安全接入,公有基础网络,分支机构网络,企业内部网络,IPsecVPN,网关,IPsecVPN,网关,SSL VPN,网关,业务,提供区,类型,应用场景,核心关注点,技术要求,MPLS VPN,专网，纵向互联,区分业务，不加密,沿途设备支持,MPLS,IPSEC VPN,Internet,，,分支网络间互联,安全传输，加密,两端网关支持,IPSEC,SSL VPN,Internet,，,移动终端接入,安全传输，加密,中心网关支,持,SSL,VPN,漏洞扫描,系统安全加固,补丁安全管理,系统层,对计算机系统或其它网络设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。,既是攻击者攻击系统的技术手段之一，也是保证计算机系统和网络安全必不可少的技术方法。,漏洞扫描,Windows,系统：注册表和系统文件监控，帐号安全策略，系统服务安全设置，系统进程和端口检查分析，,IIS,安全设置,Linux,系统：例如密码长度，,root,用户远程登录，是否存在其他,uid=0,的用户，重要目录和文件权限设置，查找任何人都有写权限的目录和文件，,syslog,配置。,系统安全加固,限时,修补,系统,进行自动补丁,补丁安全管理,防病毒,WEB,防火墙,内容安全,安全,审计,应用层,有效检测通过,HTTP,、,FTP,、,IM,、,SMTP,、,POP3,、,IMAP,等协议传输的病毒，如网络木马病毒、蠕虫病毒、宏病毒、脚本病毒等。,防病毒,HTTP,请求数据进站时接受并经过,HTTP,规则化筛选,每个请求穿过通信层，并匹配最好的安全检查组,安全对象包括虚拟主机和虚拟目录，将在安全对象上运行的具体要求验证。,只有过滤器充分验证的请求，才会最终通过并被转发到,Web,服务器。,WEB,防火墙,采用,URL,网页过滤数据库和内容关键字技术，对网络中各类高风险、不良、反动网站及敏感信息进行告警、过滤；,监控网站访问、邮件收发、论坛、即时通讯等网络应用行为；,不良敏感信息扫描，网站挂马扫描,内容安全,有针对性地对运行状态和过程进行记录、跟踪和审查。,对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原。,安全审计,管理策略,安全制度,管理层,