信息系统安全第5章.ppt

第5章 信息系统防卫 5 1防火墙技术 5 1 1防火墙的功能 1 作为网络安全的屏障2 防止攻击性故障蔓延和内部信息的泄露3 强化网络安全策略4 对网络存取和访问进行监控审计和报警5 远程管理6 MAC与IP地址的绑定7 流量控制 带宽管理 和统计分析 流量计费8 其他功能 网络防火墙的基本结构 1 屏蔽路由器 ScreeningRouter 和屏蔽主机 ScreeningHost 具有数据包过滤功能的路由器称为屏蔽路由器 网络防火墙的基本结构 2 双宿主网关 DualHomedGateway 网络防火墙的基本结构 3 堡垒主机 BastionHost 网络防火墙的基本结构 4 屏蔽子网 ScreeningSubnet 防火墙 5 1 3网络防火墙的局限 1 防火墙可能留有漏洞 2 防火墙不能防止内部出卖性攻击或内部误操作3 防火墙不能防止数据驱动式的攻击 5 2信息系统安全审计 安全审计对系统安全方案中的功能提供持续的评估 这就是安全审计 安全审计功能 1 记录关键事件 关于关键事件的界定由安全官员决定 2 对潜在的攻击者进行威慑或警告 3 为系安全管理员提供有价值的系统使用日志 帮助系统管理员及时发现入侵行为和系统漏洞 4 为安全官员提供一组可供分析的管理数据 用于发现何处有违反安全方案的事件 5 2 2安全审计日志 典型的日志内容有 事件的性质 数据的输入和输出 文件的更新 改变或修改 系统的用途或期望 全部相关标识 人 设备和程序 有关事件的信息 日期和时间 成功或失败 涉及因素的授权状态 转换次数 系统响应 项目更新地址 建立 更新或删除信息的内容 使用的程序 兼容结果和参数检测 侵权步骤等 对大量生成的日志要适当考虑数据的保存期限 5 2 3安全审计的类型 1 根据审计的对象分类操作系统的审计 应用系统的审计 设备的审计 网络应用的审计 2 审计的关键部位 1 对来自外部攻击的审计 2 对来自内部攻击的审计 3 对电子数据的安全审计 5 3入侵检测 入侵检测 IntrusionDetection 就是对入侵行为的发觉 入侵检测系统的主要功能有 监视并分析用户和系统的行为 审计系统配置和漏洞 评估敏感系统和数据的完整性 识别攻击行为 对异常行为进行统计 自动收集与系统相关的补丁 审计 识别 跟踪违反安全法规的行为 使用诱骗服务器记录黑客行为 入侵检测系统 IntrusionDetectionSystem IDS 是进行入侵检测的软件和硬件的组合 5 3 2入侵检测原理 事后入侵检测的过程 实时入侵检测过程 入侵检测系统的优点及其局限 提高了信息系统安全体系其他部分的完整性 提高了系统的监察能力 可以跟踪用户从进入到退出的所有活动或影响 能够识别并报告数据文件的改动 可以发现系统配置的错误 并能在必要时予以改正 可以识别特定类型的攻击 并进行报警 作出防御响应 可以使管理人员最新的版本升级添加到程序中 允许非专业人员从事系统安全工作 可以为信息系统安全提供指导 在无人干预的情形下 无法执行对攻击的检测 无法感知组织 公司 安全策略的内容 不能弥补网络协议的漏洞 不能弥补系统提供信息的质量或完整性问题 不能分析网络繁忙时的所有事物 不能总是对数据包级的攻击进行处理 5 3 3入侵检测系统的功能结构 入侵检测系统的通用模型 1 信息收集 1 数据收集的内容 主机和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 2 入侵检测系统的数据收集机制 基于主机的数据收集和基于网络的数据收集 分布式与集中式数据收集机制 直接监控和间接监控 外部探测器和内部探测器 2 数据分析 1 异常发现技术 2 模式发现技术 状态建模 串匹配 专家系统 基于简单规则 3 混合检测人工免疫方法 遗传算法 数据挖掘 3 入侵检测系统的特征库 来自保留IP地址的连接企图 可通过检查IP报头 IPheader 的来源地址识别 带有非法TCP标志联合物的数据包 可通过TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别 含有特殊病毒信息的Email 可通过对比每封Email的主题信息和病态Email的主题信息来识别 或者通过搜索特定名字的外延来识别 查询负载中的DNS缓冲区溢出企图 可通过解析DNS域及检查每个域的长度来识别 另外一个方法是在负载中搜索 壳代码利用 exploitshellcode 的序列代码组合 对POP3服务器大量发出同一命令而导致DoS攻击 通过跟踪记录某个命令连续发出的次数 看看是否超过了预设上限 而发出报警信息 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击 通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话 发现未经验证却发命令的入侵企图 4 响应 1 主动响应针对入侵者采取的措施 修正系统 收集更详细的信息 2 被动响应在被动响应系统中 系统只报告和记录发生的事件 5 3 4入侵检测系统的实现 入侵检测系统设置的基本过程 在基于网络的入侵检测系统中部署入侵检测器 检测器位置 1 DMZ区内 2 内网主干 防火墙内侧 3 外网入口 防火墙外侧 4 在防火墙的内外都放置 5 关键子网 在基于主机的入侵检测系统中部署入侵检测器 基于主机的入侵检测系统通常是一个程序 在基于网络的入侵检测器的部署和配置完成后 基于主机的入侵检测将部署在最重要 最需要保护的主机上 4 报警策略 检测到入侵行为需要报警 具体报警的内容和方式 需要根据整个网络的环境和安全需要确定 例如 对一般性服务企业 报警集中在已知的有威胁的攻击行为上 对关键性服务企业 需要尽将可能多的报警记录并对部分认定的报警进行实时反馈 5 3 4入侵检测产品的选择 1 购买入侵检测系统考虑的基本因素实时性 自动反应能力 能检测到所有事件 不会发生遗漏警报 跨平台性好 能在多种平台上运行 2 理想的入侵检测系统的几个特点快速控制 良好的误报警管理 显示过滤器 标志已经分析过的事件 层层探究的能力 关联分析能力 报告能力 5 4网络诱骗 5 4 1蜜罐 1 蜜罐的特点蜜罐是一个包含有漏洞的诱骗系统 它通过模拟一个或多个易受攻击的主机 给攻击者提供一个容易攻击的目标 蜜罐不向外界提供真正有价值的服务 所有与蜜罐的连接尝试都被视为可疑的连接 2 蜜罐的目的引诱攻击 拖延对真正有价值目标的攻击 消耗攻击者的时间 以便收集信息 获取证据 3 蜜罐的主要形式 1 空系统 2 镜像系统 3 虚拟系统 5 4 2蜜网技术 1 第一代蜜网 2 第二代蜜网 3 第三代蜜网 5 4 3常见网络诱骗工具及产品 1 蜜罐实现工具 1 winetd 2 DTK 3 Honeyd2 蜜网实现工具 1 数据控制 Jptable snort inline 2 数据捕获 Termlog Sebek2 snort Comlog 3 数据收集 Obfugator 4 数据分析 Privmsg TASK WinInterrogate 5 5计算机取证 5 5 1数字证据的特点1 依附性和多样性2 可伪性和弱证明性3 数据的挥发性 5 5 2数字取证的基本原则 1 符合程序2 共同监督3 保护隐私4 影响最小如果取证要求必须运行某些业务程序 应当使运行时间尽量短 必须保证取证不给系统带来副作用 如引进病毒等 5 连续完全6 原汁原味必须保证提取出来的证据不受电磁或机械的损害 必须保证收集的证据不被取证程序破坏 5 5 3数字取证的一般步骤 1 保护现场在取证过程中 保护目标系统 避免发生任何改变 损害 保护证据的完整性 防止证据信息的丢失和破坏 防止病毒感染 2 证据发现证据信息分为两大类 实时信息 或易失信息 例如网络连接 非易失信息 即不会随时间或设备断电消失 3 证据固定4 证据提取过滤和挖掘 解码 对软件或数据碎片进行残缺分析 上下文分析 恢复原来的面貌 5 证据分析犯罪行为重构 嫌疑人画像 确定犯罪动机 受害程度行为分析等 6 提交证据 5 5 4数字取证的基本技术和工具 利用IDS取证利用蜜罐取证 1 利用IDS取证 1 确认攻击检查的主要内容有 寻找嗅探器 如sniffer 寻找远程控制程序 如netbus backorifice 寻找黑客可能利用的文件共享或通信程序 如eggdrop irc 寻找特权程序 如find perm 4000 print 寻找未授权的服务 如netstat a checkinetd conf 寻找异常文件 考虑系统磁盘大小 检查文件系统的变动 检查口令文件的变动并寻找新用户 检测cron和atjobs 核对系统和网络配置 特别注意过滤规则 检查所有主机 特别是服务器 2 取证过程1决定取证的目的观察研究攻击者 跟踪并驱赶攻击者 捕俘攻击者 准备起诉攻击者 2启动必要的法律程序 3对系统进行完全备份 包括用tcpdump作完全的分组日志 有关协议分组的来龙去脉 一些会话 如telnet rlogin IRC FTP等 的可能内容 4根据情况有选择地关闭计算机系统不彻底关闭系统 否则造成信息改变 证据破坏 不断开网络 将系统备份转移到单用户模式下制作和验证备份 考虑制作磁盘镜像 同步磁盘 暂停系统 5调查攻击者来源利用tcpdump who syslog 运行finger对抗远程系统 寻找攻击者可能利用的账号 2 利用蜜罐取证 1 获取入侵者信息 2 获取关于攻击的信息 攻击的手段 日期和时间 入侵者添加了一些什么文件 是否安装了嗅探器或密码 若有 在何处 是否安装有 rootkit 或木马程序 若有 传播途径是什么 3 建立事件的时间序列 4 事故费用分析 5 向管理层 媒体以及法庭提交相应的报告 5 5 5数字证据的法律问题 1 数字证据的真实性2 数字证据的证明力 3 数字取证工具的法律效力 1 可测试性漏判测试误判测试 2 错误率可能存在两类错误 工具执行错误提取错误 3 公开性 4 可接受性 5 6数据容错 数据容灾和数据备份 保证系统可靠性的三条途径 避错纠错容错 完善设计和制造 试图构造一个不会发生故障的系统 但是 这是不太现实的 任何一个系统总会有纰漏 因此 人们不得不用纠错作为避错的补充 灾害对系统危害要比错误要大 要严重 即使出现错误 系统也还能执行一组规定的程序 5 6 1数据容错 1 数据容错系统分类 1 高可用度系统 2 长寿命系统 3 延迟维修系统 4 高性能系统 5 关键任务系统 2 常用数据容错技术 1 空闲 设备 空闲 设备也称双件热备 就是配置两套相同的部件 2 镜像镜像是两个相同的部件 3 复现复现也称延迟镜像 4 负载均衡 5 6 2数据容灾 1 数据容灾等级 1 第0级 本地备份 本地保存的冷备份 2 第1级 本地备份 异地保存的冷备份 3 第2级 热备份站点备份 4 第3级 活动互援备份 2 异地容灾技术 1 远程镜像技术 2 快照技术 3 互连技术 4 虚拟存储 5 6 3数据备份 1 数据备份的策略 1 完全备份 fullbackup 2 增量备份 incrementalbackup 3 差别备份 differentialbackup 4 按需备份 2 数据备份模式 1 逻辑备份 基于文件 file based 备份 2 物理备份 基于块 block based 备份或基于设备 device based 备份 3 数据备份环境 1 冷备份 2 热备份