《网络安全技术讲解》PPT课件.ppt

资源描述

网络安全技术讲解 2008年4月中国电信东莞分公司商务领航企智通运营中心技术部经理李思文网络安全简述网络安全整体框架体系安全规划服务管理防火墙入侵检测身份认证访问控制审计系统漏洞扫描防病毒系统课程面临的安全威胁以经济利益为动机的控制系统窃取篡改信息等犯罪活动以破坏系统为目标的系统犯罪以政治目的为动机的破坏系统等信息犯罪活动其他信息违法犯罪行为内部系统网络 internet 网络入侵黑客入侵工具控制系统窃取资料修改资料内部系统网络 TCPSYN 80SIP 10 X X XorNullDIP 211 1 1 2 黑客攻击 internet 内部系统网络侦听窃取资料 Snifer工具用户名密码传输的资料服务器信息操作系统信息 internet 内部系统网络木马蠕虫Jokes黑客工具病毒感染操作系统感染数据堵塞网络 internet 被动式攻击那些不改变正常通讯连接的数据流而且不将数据加入到连接中那些进入工作环境中等待捕获在网络上传输的有价值的信息活动主动式攻击打断正常的数据流插入数据或修改数据流欺骗攻击者寻找系统的漏洞发动侵略性攻击在发动主动式攻击前首先要进行被动式攻击攻击类型病毒蠕虫炸弹和特洛伊木马陷门 Trapdoors 隐通道 CovertChannels 拒绝服务 Denialofservice 侦听 Sniffing 欺骗 Spoofing 口令攻击 Passwordattack 寻找软件存在的漏洞和弱点寻找系统配置的漏洞路由攻击 RoutingAttacks 中继攻击 ReplayAttacks 会话窃取攻击 SessionStealingAttacks 目前已知的手段陷门和隐通道陷门 Trapdoors 由软件设计者或程序员人为设置的漏洞用来作为进入系统的后门能够通过较好的软件检测过程来避免隐通道 CovertChannels 是一种交互式处理通讯的方法能够向没有正确安全权限的外人泄漏信息很难防范需要利用可信的人员处理或加工敏感信息陷门和隐通道广泛流行不需要太多的技术青少年占很大的比例利用菜单驱动的程序很容易实现而且能够跨平台很难跟踪经常需要很多ISP的协助但是很难合作的很好利用无用的或有害的数据包充斥网络消耗系统缓冲或网络带宽从而击溃系统land c攻击利用目标主机的地址同时作为源地址和目的地址利用目标主机的同一端口同时作为源端口和目的端口发出tcpSYN 同步状态数据包ping死亡攻击通过从远程主机上发出特定大小 65535字节的ping包来冲击重启动或者down掉大量的系统大于65535字节的ip包是不合法的拒绝服务攻击 TcpSYN泛滥和IP欺骗攻击利用伪造的根本不存在的源地址发出Tcp SYN包受害者试图发一个Tcp SYN ACK包但找不到源地址只好把它排队信息排队时间 75秒填满了SYN队列受害者无法通信或系统崩溃Smurf攻击 BroadcastPingAttack 发出 Broadcast Ping request 看起来是来自受害者将它发给无辜的第三方无辜的第三方的网络上的主机都向受害者回发 broadcast ping reply 包受害者被大量的ping包攻击对事件的跟踪却集中到无辜的第三方身上拒绝服务攻击难于跟踪源地址一般都被隐藏或伪装需要实时跟踪经过一个又一个的路由器去寻找高的数据包比率有时受害者却不能用Internet去控诉或跟踪攻击用户组的帐号或被丢弃的帐号被利用学校的实验室拨号用户私有系统拒绝服务攻击入侵者通过Internet攻破数以千计的系统包括大型网络间的网关通过安装侦听器程序来监视网络数据流从而获取连接网络系统时用户键入的用户名和口令电子邮件同样也象Telnet和Ftp会话一样可以被监视用来获取有关站点和其相关商业交易情况的信息侦听 Sniffing 欺骗是用来骗取目标系统使之认为信息是来自或发向其所相信的人的过程欺骗可在IP层及之上发生地址解析欺骗 IP源地址欺骗电子邮件欺骗等当一台主机的IP地址假定为有效并为Tcp和Udp服务所相信利用IP地址的源路由一个攻击者的主机可以被伪装成一个被信任的主机或客户欺骗 Spoofing 通常的做法是通过监视通信信道上的口令数据包破解口令的加密形式UNIX操作系统通常将口令加密保存成为一个能够被普通用户读取的文件一个入侵者可以运行现有的口令破解程序获取口令如果口令强度比较弱如少于8个字符的英文单词等就可以被破解并用来获得对系统的访问权UNIX操作系统中的r 命令在信任的系统中是不需要口令的口令攻击向路由系统中插入错误的路由信息重定向流量到一个黑洞中 blackhole 重定向流量到慢速连接重定向流量到不同的地方进行侦听或修改需要可靠的认证仅从已知的路由器接收路由的更新中继攻击保存一份原始信息的拷贝一段时间后再转发保存一份商业交易而后转发攻击者可以中继一个网络使之停止更新并对该网段实施拒绝服务攻击所有的交易需要携带一个序列ID或加盖时间戳路由和中继攻击在找到一个没有用到的网络接口或者攻破网络上的一台主机后入侵者可以主动地侦听该网段上的数据流试图找到被主机认证的感兴趣的会话发出大量的无用的数据包去击溃原始系统入侵者利用已崩溃系统的地址向其它主机发送数据包需要通过加密来防止数据包侦听或会话窃听保证物理端口的安全防止不被使用的接口被非法使用会话窃取攻击攻击者的策略识别脆弱的系统获得对系统的访问获得特殊访问权限扩展访问至其它的系统或网络简单攻击识别目标端口或薄弱点扫描识别安全漏洞利用已识别的安全漏洞攻击策略复杂攻击识别目标收集信息操作系统的类型和版本系统网络管理员的意见所用防火墙类型安全措施研究薄弱点开发攻击策略进行攻击调试站在受害者的角度看攻击效果背后不留痕迹确定是否值得冒险扫描应用社会工程获得范围内的支持帮助攻击策略 IncidentsReportedtoCERT CC 网络安全整体框架体系三维安全体系结构框架安全特性网络层次系统单元身份鉴别访问控制数据完整数据保密防止否认跟踪审计可靠可用信息处理网络安全管理物理环境物理层链路层网络层传输层会话层表示层应用层安全特性网络层次系统单元安全防御子系统网络防火墙网络层传输层网络平台系统平台访问控制身份认证子系统 Kerberos或X 509 传输层应用层系统平台安全管理身份鉴别桌面VPN子系统端到端加密通道网络层会话层系统平台应用平台数据完整数据加密授权管理子系统用户和对象的授权策略应用层应用平台安全管理访问控制密钥管理子系统密钥生成存储和发放传输层应用层系统平台安全管理身份鉴别安全检测子系统安全扫描攻击报警网络层传输层网络平台应用平台跟踪设计可靠可用病毒防御子系统过滤删除病毒传输层应用层系统平台应用平台数据完整可靠可用机要保密子系统机要信息加密处理表示层应用层系统平台应用平台数据保密安全数据库子系统集成数据库安全机制应用层系统平台应用平台身份鉴别可靠可用安全审计子系统安全日志存储分析网络层应用层安全管理防止否认跟踪审计网络安全子系统网络安全设计注意点网络环境网络拓扑结构 LAN MAN WAN 系统和网络设备位置软件和硬件的版本负责部门供货商定义可能的威胁应用程序供货商负责部门版本由谁来使用怎样来用用户数量用户类型内部用户合作伙伴竞争对手到底做什么如何连接的什么样的数据流信息是如何流动的定义信息流的安全级别定义可能存在的威胁网络安全设计注意点了解安全的关注点方案整体性提出安全可能存在的问题网络安全模型防病毒漏洞扫描身份认证授权应用层加密访问控制防火墙入侵检测VPN物理隔离安全规划服务管理安全服务的内容安全系统规划全面细致地分析网络的安全需求利用科学的方法论和安全漏洞扫描分析工具分析企业信息网络的网络应用管理的现状和安全风险提出针对网络的全面的科学的安全体系规划和完整可行的整体安全解决方案安全服务安全服务与安全技术的区别谁可以提供安全服务安全服务的内容安全咨询最新发现的各种安全风险如系统漏洞攻击手段新的病毒安全技术的最新发展新的安全技术新的攻击防御和检测手段安全技术的发展趋势企业信息网络安全系统建设的方法和步骤安全服务的内容其它的内容安全策略制定根据企业的安全需求制定统一的安全策略对企业信息网络而言需要采取什么样的安全措施在什么时候什么地方使用什么样的安全技术都需要由一个统一的安全策略作为指导在企业信息网络的不同平台不同部分都需要在一个统一的安全策略指导下采取相应的安全措施安全系统集成根据安全系统规划和统一的安全策略根据企业信息网络的特点把不同安全厂商的不同安全技术和产品进行集成安全培训包括对用户的安全意识安全技术的培训对系统管理员的安全技术培训安全专业知识的培训等应急安全服务在紧急情况下的各种安全服务包括特殊情况下的安全防护发生安全事故时的现场保护追踪以及采取各种必要的安全补救措施等内部系统的安全服务网络安全实施前了解内部系统的网络结构安全需求对网络进行安全扫描安全分析确定网络中存在的问题提出符合内部系统的网络安全解决方案论证方案的可行性进一步完善方案内部系统的安全服务定义安全要求 ISO IEC15408GB T18336 保护轮廓访问控制身份认证授权审计密码系统操作系统数据库系统防火墙应用安全检测应急措施 VPNs 用户在某一特定的IT领域提出的技术安全要求以灵活实用的方法对标准的信息技术安全要求进行分类特征和保证内部系统的安全服务网络安全实施后对系统进行全面检查全面的安全培训制定应急安全服务措施定期进行安全交流定期进行网络检查及时提供安全补丁应用案例谢谢技术支持 Support

展开阅读全文

《网络安全技术讲解》PPT课件.ppt

最新文档