安全評(píng)估工具及方法介紹.ppt

,安全評(píng)估工具及方法介紹,議程,評(píng)估概述 評(píng)估工具介紹 Windows 2000安全評(píng)估 Unix安全評(píng)估 網(wǎng)絡(luò)設(shè)備安全性評(píng)估 網(wǎng)絡(luò)架構(gòu)安全評(píng)估,安全風(fēng)險(xiǎn)評(píng)估三要素,資產(chǎn),“資產(chǎn)”定義 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)資產(chǎn)是具有價(jià)值的資源， 是安全防護(hù)體系保護(hù)的對(duì)象。它能夠以多種形式存在， 有無(wú)形的、有形的，有硬件、軟件，有文檔、代碼， 也有服務(wù)、形象等。,資產(chǎn)識(shí)別 資產(chǎn)是具有價(jià)值的資源，是安全策略保護(hù)的對(duì)象。風(fēng)險(xiǎn)評(píng)估中，首先需要將電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾源藶榛A(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。,資產(chǎn)分類及示例,威脅,威脅是一種對(duì)資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。 威脅可以通過(guò)威脅主體、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。威脅 可能導(dǎo)致對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)產(chǎn)生危害的不希望事件 潛在起因，它可能是人為的，也可能是非人為的；可能是無(wú)意 失誤，也可能是惡意攻擊。 常見(jiàn)的網(wǎng)絡(luò)威脅有盜取帳號(hào)密碼、冒名頂替、病毒、特洛伊木 馬、錯(cuò)誤路由、火災(zāi)、水災(zāi)等。,威脅賦值,評(píng)估者根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅出現(xiàn)的頻率,威脅發(fā)生頻率,威脅分類及示例,脆弱性,“脆弱性”定義 脆弱性是電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)資產(chǎn)中存在 的弱點(diǎn)、缺陷與不足，不直接對(duì)資產(chǎn)造成危害， 但可能被威脅所利用從而危及資產(chǎn)的安全。,脆弱性賦值,被威脅利用后對(duì)資產(chǎn)的損害程度,威脅利用脆弱性示例,風(fēng)險(xiǎn)值計(jì)算相乘法,風(fēng)險(xiǎn)值計(jì)算方法-相乘法,風(fēng)險(xiǎn)值 資產(chǎn)價(jià)值 威脅值 脆弱性值 風(fēng)險(xiǎn)值的取值范圍為1-125 ， 風(fēng)險(xiǎn)值等級(jí)化處理， 確定風(fēng)險(xiǎn)值對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)。,安全評(píng)估,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,物理安全,各層的安全需求： 1、保證本層自身的安全； 2、實(shí)現(xiàn)本層對(duì)上層的安全支撐； 3、增強(qiáng)對(duì)上層安全侵害的抵抗能力； 4、盡可能減少本層對(duì)下層的安全依賴； 5、盡可能減少本層對(duì)下層的安全侵害；,單系統(tǒng)評(píng)估風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖,風(fēng)險(xiǎn)評(píng)估規(guī)范的依據(jù),風(fēng)險(xiǎn)評(píng)估方法,工具評(píng)估 人工檢查 資料分析 訪談 問(wèn)卷調(diào)查 滲透測(cè)試,工具評(píng)估,目的：以網(wǎng)絡(luò)掃描的方式，發(fā)現(xiàn)易于被攻擊者利用的安全風(fēng)險(xiǎn)； 要求：盡可能和被掃描設(shè)備之間無(wú)訪問(wèn)控制 掃描影響：對(duì)網(wǎng)絡(luò)資源的影響在5%以下，對(duì)系統(tǒng)資源的影響在3%以下；,人工評(píng)估,目的： 對(duì)工具評(píng)估結(jié)果進(jìn)行分析； 查找工具評(píng)估無(wú)法發(fā)現(xiàn)的安全漏洞； 了解系統(tǒng)配置信息，為安全加固做準(zhǔn)備； 查看系統(tǒng)受攻擊情況； 要求：以系統(tǒng)管理員方式登陸系統(tǒng) 評(píng)估影響：不對(duì)系統(tǒng)進(jìn)行任何更改，沒(méi)有影響；,風(fēng)險(xiǎn)規(guī)避措施,評(píng)估前要求對(duì)重要系統(tǒng)進(jìn)行有效備份； 掃描中不使用DoS掃描策略； 對(duì)重要業(yè)務(wù)系統(tǒng)選擇業(yè)務(wù)量比較小的時(shí)間段進(jìn)行評(píng)估； 雙機(jī)熱備系統(tǒng)分別掃描，確認(rèn)工作正常后再繼續(xù)掃描； 發(fā)現(xiàn)問(wèn)題，及時(shí)中止，確認(rèn)問(wèn)題解決后再繼續(xù)掃描,議程,評(píng)估概述 評(píng)估工具介紹 Windows 2000安全評(píng)估 Unix安全評(píng)估 網(wǎng)絡(luò)設(shè)備安全性評(píng)估 網(wǎng)絡(luò)架構(gòu)安全評(píng)估,什么是掃描器,什么是掃描器 黑客實(shí)施盜竊之前，最先進(jìn)行的工作窺探，利用掃描器可以收集到：操作系統(tǒng)類型、開(kāi)放端口、開(kāi)放服務(wù)及版本號(hào)、共享目錄， 無(wú)疑掃描器成了黑客的幫兇！但掃描器無(wú)罪，關(guān)鍵看掌握在誰(shuí)的手里；,什么是掃描器,安全管理者眼中的掃描器 知己知彼，百戰(zhàn)不殆。通過(guò)掃描器可以對(duì)己方的安全隱患了如指掌； 利用掃描器提供的漏洞修補(bǔ)建議，完成系統(tǒng)的加固； 防范未授權(quán)的掃描：部署防火墻、IDS等； 與其它產(chǎn)品聯(lián)動(dòng)：防火墻阻斷主機(jī)、IDS入侵事件過(guò)濾;,主流掃描器,ISS SSS WebRavor Linktrust Network Scanner XSCAN SPUER-SCAN NMAP NESSUS 流光 ,X-Scan,X-Scan,NESSUS,NESSUS,議程,評(píng)估概述 評(píng)估工具介紹 Windows 2000安全評(píng)估 Unix安全評(píng)估 網(wǎng)絡(luò)設(shè)備安全性評(píng)估 網(wǎng)絡(luò)架構(gòu)安全評(píng)估,主要檢查項(xiàng),補(bǔ)丁與版本 用戶與口令 服務(wù)狀況 安全配置 系統(tǒng)日志 主要應(yīng)用軟件 被攻擊情況檢查,版本與補(bǔ)丁,版本查看辦法 “我的電腦”屬性” 開(kāi)始菜單 “管理工具”計(jì)算機(jī)管理系統(tǒng)信息系統(tǒng)摘要 補(bǔ)丁查看辦法 通過(guò)在線Windows Update，檢查有哪些安全更新需要安裝 通過(guò)“控制面板”添加/刪除軟件”查看已經(jīng)安裝了哪些補(bǔ)丁 通過(guò)注冊(cè)表HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates 通過(guò)其它工具,用戶與口令,確保禁用Guest等賬戶； 檢查用戶所屬的組，關(guān)注administrators組；,用戶與口令,C:winntrepairsam文件,服務(wù)狀況,“管理工具”服務(wù) 需要關(guān)注的服務(wù) Alerter、messenger、snmp、remote registry service、routing and remote access、run as、telnet、ftp、smtp、nntp、terminal service、www 其他遠(yuǎn)程服務(wù)、可疑的服務(wù) 遠(yuǎn)程管理服務(wù) Terminal service、pcanywhere、netmeeting等 共享服務(wù) C:net share “管理工具”計(jì)算機(jī)管理”共享” 注意共享訪問(wèn)權(quán)限,安全配置,安全選項(xiàng) “管理工具”“本地安全策略”“安全設(shè)置/本地策略/安全選項(xiàng)” 對(duì)匿名連接的額外限制； 允許在未登錄前關(guān)機(jī)； 是否顯示上次登錄帳號(hào)； LAN Manager身份驗(yàn)證級(jí)別； 發(fā)送未加密的密碼以連接到第三方SMB服務(wù)器； 允許彈出可移動(dòng)NTFS媒體； 在斷開(kāi)會(huì)話之前所需的空閑時(shí)間； 如果無(wú)法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)； 登錄屏幕上不要顯示上次登錄的用戶名； 禁用按CTRL+ALT+DEL進(jìn)行登錄的設(shè)置； 在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件；,系統(tǒng)日志,系統(tǒng)日志設(shè)置,系統(tǒng)日志,日志審核設(shè)置,主要應(yīng)用軟件,MS SQL Server等數(shù)據(jù)庫(kù)軟件 Seru-U等f(wàn)tp軟件 Apache、IIS等WWW服務(wù)軟件,被攻擊情況檢查,查看系統(tǒng)進(jìn)程 任務(wù)管理器 查看系統(tǒng)開(kāi)放服務(wù) 查看系統(tǒng)端口和連接 Netstat an結(jié)合fport工具 查看系統(tǒng)日志 系統(tǒng)日志、安全日志、應(yīng)用日志、IIS等訪問(wèn)日志 C:winntsystem32logfiles,被攻擊情況檢查,系統(tǒng)注冊(cè)表 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun和HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce項(xiàng)下是否有異常程序 菜單程序啟動(dòng) Txt、exe等關(guān)聯(lián)程序 C:ftype txtfile等,議程,評(píng)估概述 評(píng)估工具介紹 Windows 2000安全評(píng)估 Unix安全評(píng)估 網(wǎng)絡(luò)設(shè)備安全性評(píng)估 網(wǎng)絡(luò)架構(gòu)安全評(píng)估,主要檢查項(xiàng),系統(tǒng)基本信息 root用戶安全配置 系統(tǒng)服務(wù)啟動(dòng)狀況 關(guān)鍵服務(wù)配置 用戶與口令 系統(tǒng)審計(jì) 文件系統(tǒng)與文件權(quán)限 其他,系統(tǒng)基本信息（補(bǔ)?。?系統(tǒng)補(bǔ)丁信息 使用oslevel確定系統(tǒng)版本 補(bǔ)丁分為三類 Recommended Maintenance Package (RM) Critical Fix (cfix) Emergence Fix (efix) 推薦使用RPM安裝系統(tǒng)補(bǔ)丁 對(duì)于最新的漏洞，需要efix,系統(tǒng)基本信息（其他）,系統(tǒng)基本信息 uname -a 系統(tǒng)網(wǎng)卡信息 ifconfig -a 系統(tǒng)路由信息 netstat -nr 網(wǎng)絡(luò)連接信息 netstat -na 系統(tǒng)進(jìn)程信息 ps -ef,root用戶安全配置,是否允許root用戶遠(yuǎn)程登錄 在/etc/security/user文件中設(shè)定 使用lsuser可以查看 使用chuser更改 root用戶的環(huán)境變量 /etc/environment是全局的環(huán)境變量 /etc/security/environ中可以設(shè)定單個(gè)用戶的環(huán)境變量 也可以通過(guò)啟動(dòng)文件設(shè)定環(huán)境變量,系統(tǒng)服務(wù)啟動(dòng)狀況,初始的啟動(dòng)文件/etc/inittab piobe qdaemon writesrv httpdlite 通常服務(wù)在/etc/rc.*文件中啟動(dòng) rc.nfs rc.tcpip rc.d/ inetd的啟動(dòng)文件/etc/inetd.conf,關(guān)鍵服務(wù)配置,R命令（rlogin, rsh）的配置情況 CDE（dtlogin）是否設(shè)置訪問(wèn)控制 Ftp服務(wù)是否限制系統(tǒng)用戶訪問(wèn)（/etc/ftpusers） Cron服務(wù) NFS服務(wù) SNMP服務(wù) Sendmail服務(wù) DNS服務(wù),用戶與口令,刪除無(wú)用用戶 查看是否存在空/弱口令 口令策略設(shè)定 在/etc/security/user文件中設(shè)定 使用lsuser/chuser查看與修改 登錄策略設(shè)定 在/etc/security/login.cfg文件中設(shè)定 通用用戶的環(huán)境變量設(shè)定 在/etc/environment文件中設(shè)定,系統(tǒng)審計(jì),syslog日志的配置狀況 記錄失敗登錄：/etc/security/failedlogin 使用who查看：who /etc/security/failedlogin 記錄最新登錄：/etc/security/lastlog 文本文件，使用more查看 記錄su的使用：/var/adm/sulog 文本文件，使用more查看,文件系統(tǒng)與文件權(quán)限,以安全模式加載文件系統(tǒng) 文件基本權(quán)限 查找setuid, setgid與全局可寫的文件 find / -perm -4000 -ls 查找所有setuid的文件 find / -perm -2000 -ls 查找所有setgid的文件 find / -perm -0004 -ls 查找所有全局可寫的文件和目錄,其他,修改banner信息 在/etc/security/login.cfg中修改herald參數(shù) 對(duì)網(wǎng)絡(luò)連接設(shè)置訪問(wèn)控制,服務(wù)安全管理,盡可能少泄露系統(tǒng)信息 更改telnetdftpdbindsendmail等的banner信息 編寫安全的用戶程序 注意避免自己編寫的用戶程序中常見(jiàn)的安全漏洞，它們往往成為黑客攻擊的突破口。,主要應(yīng)用軟件安全性,服務(wù)的安全補(bǔ)丁 除了操作系統(tǒng)的安全補(bǔ)丁外，各廠商的應(yīng)用服務(wù)，也需要安裝相應(yīng)的安全補(bǔ)丁。 比如sendmail、Bind、Apache、WUFTP、數(shù)據(jù)庫(kù)、網(wǎng)管系統(tǒng)等等，都會(huì)不定期出現(xiàn)嚴(yán)重的安全漏洞，需要單獨(dú)安裝其安全補(bǔ)丁。,主要應(yīng)用軟件安全性,對(duì)服務(wù)的安全配置 對(duì)主要的服務(wù)，比如snmpd、 sendmail、bind、apache、NFS等，如果必須開(kāi)放的話，也應(yīng)該進(jìn)行相應(yīng)的安全配置。,入侵檢查,基本理念 了解后門的形式 會(huì)有助于對(duì)攻擊者入侵行為和后門的檢查 系統(tǒng)是否可信 系統(tǒng)已經(jīng)或者有可能受到攻擊，那么許多信息已經(jīng)不再完全可信 通過(guò)lsnetstatpsfind等獲得的信息不再可信，因?yàn)檫@些應(yīng)用程序本身可能已經(jīng)被入侵者篡改； syslog日志可能已經(jīng)被刪除或者篡改； 文件或者目錄的大小屬性、時(shí)間戳等都可能被偽造。 入侵痕跡 入侵者往往會(huì)由于技術(shù)或者非技術(shù)的原因留下蛛絲馬跡 當(dāng)攻擊者多次登錄、或者多臺(tái)機(jī)器被入侵時(shí)，由于疏忽的原因，留下痕跡的可能性會(huì)更大,入侵檢查,使用基本的系統(tǒng)命令 ls命令： 注意查看文件的ACLTime時(shí)間戳、權(quán)限位、大小、屬主等； find命令： 可以根據(jù)文件的ACLtime時(shí)間戳、權(quán)限、大小、屬主、類型等特性進(jìn)行查找； ps eaf或者/bin/ucb/ps aux查看進(jìn)程信息； ldd查看命令所調(diào)用的動(dòng)態(tài)庫(kù) netstat an命令查看端口鏈接信息； lsof查看進(jìn)程打開(kāi)的端口、打開(kāi)的文件等屬性； strings和file命令查看文件信息；,入侵檢查,使用基本的系統(tǒng)日志 查看系統(tǒng)本身的相關(guān)日志， 但它們被篡改的可能性較大； 查看網(wǎng)絡(luò)日志服務(wù)器的日志或者查看IDS系統(tǒng)日志等 它們一般比較可靠，被篡改的可能性相對(duì)較小。 使用其它工具（ chkrootkit ）,常見(jiàn)的后門形式,suid后門 把重要的文件cp到隱藏的目錄下，設(shè)置suid位，比如： cp /bin/ksh /tmp/.aa chown root:root .aa chmod 4755 .aa,常見(jiàn)的后門形式,inetd后門 選擇一個(gè)不常被使用的服務(wù)，用可以產(chǎn)生某種后門的守護(hù)進(jìn)程代替原先的守護(hù)進(jìn)程 ,比如： 將用于提供日期時(shí)間的服務(wù) daytime 替換為能夠產(chǎn)生一個(gè) suid root 的 shell vi /etc/inetd.conf daytime stream tcp nowait /bin/sh sh -i.,常見(jiàn)的后門形式,rc等啟動(dòng)腳本后門 在rc啟動(dòng)腳本中運(yùn)行后門服務(wù)，比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加： nc l p 9999 e /bin/sh & 將會(huì)在tcp 9999端口監(jiān)聽(tīng)。,常見(jiàn)的后門形式,更改/etc/passwd和/etc/shadow文件 echo footq:x:0:0:/export/home/footq:/bin/sh /etc/passwd echo footq: /etc/shadow,常見(jiàn)的后門形式,攻擊者可能在crontab或者at中增加定期運(yùn)行的后門 Crontab的語(yǔ)法為： 幾分 幾點(diǎn) 幾號(hào) 幾月 周幾 命令 10 3 * * 0 /usr/lib/newsyslog crontab l aaa 將當(dāng)前用戶的crontab內(nèi)容導(dǎo)入到aaa文件 crontab bbb 將編輯好的crontab文件bbb加載到當(dāng)前用戶的crontab中，使之生效 crontab e 編輯當(dāng)前的crontab文件,常見(jiàn)的后門形式,rootkit 黑客的后門工具箱，比如lrk5、ark等，包括以下功能： 自動(dòng)清除日志中的登錄記錄的工具，比如wipe、zap2等； 隱藏攻擊者目錄和文件、進(jìn)程等的工具，如替換的netstat、ps、ls、ifconfig等； 木馬，比如替換的login、su等； 后門程序，比如nc，或者其他的BindShell等； 以太網(wǎng)的sniffer； 它能偽裝被替換文件的sum校驗(yàn)和，更改時(shí)間戳等，由于許多命令被替換更改，所以許多東西不再可信，比較難于檢查，但是： 往往也會(huì)存在紕漏和蛛絲馬跡，能夠被人工發(fā)現(xiàn)； tripwire等文件系統(tǒng)完整性檢查工具、chkrootkit可以發(fā)現(xiàn)它。,議程,評(píng)估概述 評(píng)估工具介紹 Windows 2000安全評(píng)估 Unix安全評(píng)估 網(wǎng)絡(luò)設(shè)備安全性評(píng)估 網(wǎng)絡(luò)架構(gòu)安全評(píng)估,主要檢查項(xiàng),設(shè)備負(fù)載 訪問(wèn)安全 賬號(hào)和口令 認(rèn)證 banner 服務(wù)管理 log acl 防范DOS攻擊功能,路由器負(fù)載,路由器的負(fù)載通常取決于下列因素: 路由器在網(wǎng)絡(luò)中所處的層次 核心層, 匯聚層, 或者接入層 路由器執(zhí)行的軟件功能 NAT , policy-route , 加密等等都會(huì)加重設(shè)備負(fù)擔(dān) 命令 show process mem show process cpu,IOS版本有無(wú)漏洞,系統(tǒng)漏洞, 在非人為條件下, 系統(tǒng)在特定網(wǎng)絡(luò)環(huán)境中出現(xiàn)異常; 安全性漏洞, 破壞者借此控制設(shè)備或者造成設(shè)備運(yùn)行異常; 網(wǎng)絡(luò)設(shè)備運(yùn)行中斷或者異常即可造成經(jīng)濟(jì)損失 檢測(cè)方式 網(wǎng)絡(luò)掃描工具 如LinkTrust Network Scanner 檢查版本號(hào), 版本過(guò)低即可能有漏洞 命令 show version,訪問(wèn)安全,Console,訪問(wèn)安全,auxiliary,訪問(wèn)安全,vty,vty,訪問(wèn)安全,vty,訪問(wèn)安全,Privilege 從015 默認(rèn)是： 1（exec） 15（enable） 可以自定義其他級(jí)別,訪問(wèn)安全,訪問(wèn)安全,賬號(hào)和口令,應(yīng)按照用戶分配賬號(hào) Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username ruser1 password 3d-zirc0nia Router(config)# username ruser1 privilege 1 Router(config)# username ruser2 password 2B-or-3B Router(config)# username ruser2 privilege 1 Router(config)# end,賬號(hào)和口令,Type 7 Cisco的算法 很容易被破解 enable password username * password * service password-encryption（可以保證不在屏幕上直接顯示） Type 5 MD5算法 安全 enable secret,賬號(hào)和口令,Enable password和enable secret同時(shí)存在時(shí)，只有enable secret起作用 應(yīng)該禁止enable password，尤其注意二者不能相同,認(rèn)證,認(rèn)證系統(tǒng)聯(lián)動(dòng) Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ Router(config)#aaa authentication enable default group tacacs+ Router(config)#tacacs-server host 8 Router(config)#tacacs-server key Ir31yh8n#w9swD Router(config)#end,有些時(shí)候， 缺省BANNER信息會(huì)為黑客提供入侵線索；,User Access Verification Password:,如上信息意味著該設(shè)備是Cisco設(shè)備。 Router(config)#banner login This is secured device. Unauthorized use is prohibited by law. ,修改缺省banner,HTTP 管理模式,HTTP管理模式可以使用戶以WEB方式管理路由器， 但是也帶來(lái)安全隱患。 router(config)#no ip http server 關(guān)閉HTTP模式 router(config)#ip http access-class access-list 用ACL限制可以訪問(wèn)的地址 router(config)#ip http authentication 驗(yàn)證方式：本機(jī)或者radius服務(wù)器,Router(config)#no access-list 11 Router(config)#access-list 11 permit host Router(config)#access-list 11 deny any Router(config)#ip http access-class 11 Router(config)#ip http authentication local Router(config)#ip http server,HTTP 管理模式,SNMP是否有安全隱患,盡可能禁用SNMP， 如確實(shí)需要使用SNMP， 必須： 確保使用SNMP 版本3，因?yàn)镾NMP V3使用了較強(qiáng)的MD5認(rèn)證技術(shù) 必須確保MIB庫(kù)的讀寫密碼（Community String Password）必須設(shè)定為非缺省值（Public and Private ） Community String Password必須為健壯口令，并定期更換； 確保授權(quán)使用SNMP進(jìn)行管理的主機(jī)限定在指定網(wǎng)段范圍內(nèi)（ACL）,Router(config)# no snmp community public Router(config)# no snmp community private Router(config)#access-list 8 permit Router(config)#access-list 8 permit 0 Router(config)#access-list 8 deny any Router(config)# !make SNMP read-only and subject to access list Router(config)#snmp-server community hello!# ro 8 Router(config)#snmp-server host 8 maddog Router(config)#snmp-server trap-source loopback 0 Router(config)#snmp-server enable traps snmp,SNMP是否有安全隱患,關(guān)閉無(wú)用服務(wù),很多服務(wù)目前Internet 上已經(jīng)很少使用，而且這類服務(wù)服務(wù)往往存在可供黑客利用的缺陷。 Small services (echo, discard, chargen, etc.) : Router(config)#no service tcp-small-servers Router(config)#no service udp-small-servers BOOTP : Router(config)#no ip bootp server Finger Router(config)#no ip finger Router(config)#no service finger,CDP是否構(gòu)成隱患？,無(wú)必要時(shí)， 關(guān)閉CDP協(xié)議， 黑客通?？梢越柚鶦DP更快地了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),XXXX-NMSW-1#show cdp nei Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID JAB032008YP(XXXX-Gig 4 155 T S WS-C4003 2/2 JAB032008YP(XXXX-Gig 3 155 T S WS-C4003 2/1,LOG,Log類型 Console logging Terminal line logging Buffered logging 空間有限 Syslog logging SNMP trap logging,LOG,LOG,LOG,LOG,日志是否開(kāi)啟,確保路由器開(kāi)啟日志功能。若路由器沒(méi)有足夠的空間，需要將日志傳送到日志服務(wù)器上保存； 若邊界路由器未配合防火墻、IDS、Sniffer等技術(shù)使用，必須支持詳盡的日志信息； 在日志文件中需要記錄登錄過(guò)該設(shè)備的用戶名、時(shí)間和所作的命令操作等詳細(xì)信息，為發(fā)現(xiàn)潛在攻擊者的不良行為提供有力依據(jù)；,Router(config)# logging on Router(config)# logging 00 Router(config)# logging buffered 16000 information Router(config)# logging console critical Router(config)# logging trap debugging,日志是否開(kāi)啟,SNMP,SNMP,訪問(wèn)控制列表,標(biāo)準(zhǔn)ACL Interface# access-group list-number in(out),訪問(wèn)控制列表,擴(kuò)展ACL Interface# access-group list-number in(out),訪問(wèn)控制列表,基于name的擴(kuò)展ACL Interface# access-group list-number in(out),訪問(wèn)控制列表,ACL匹配順序 默認(rèn)是deny 最少一個(gè)permit 只是單向訪問(wèn)控制,是否需要和合理利用RPF功能？,RPF可以有效地防止基于地址欺騙的攻擊手段，提供全網(wǎng)的抗攻擊能力，的使用基于以下原則： 路由器必須可以開(kāi)啟交換模式 如果路由器從某接口接收到的任何包， 其回應(yīng)包必定從該接口返回， 則可以在該接口上使用RPF功能； 盡可能在靠近接入用戶的網(wǎng)絡(luò)設(shè)備上使用；,Router(config)#ip cef Router(config)#inter e0/0 Router(config-if)#ip verify unicast reverse-path,訪問(wèn)控制列表,訪問(wèn)控制列表,訪問(wèn)控制列表,訪問(wèn)控制列表,議程,評(píng)估概述 評(píng)估工具介紹 Windows 2000安全評(píng)估 Unix安全評(píng)估 網(wǎng)絡(luò)設(shè)備安全性評(píng)估 網(wǎng)絡(luò)架構(gòu)安全評(píng)估,網(wǎng)絡(luò)架構(gòu)安全評(píng)估,安全域劃分 邊界防護(hù) 網(wǎng)絡(luò)安全管理 冗余、備份與恢復(fù) IP地址規(guī)劃,安全域劃分（1）,為什么要?jiǎng)澐职踩颍?組網(wǎng)方式隨意性強(qiáng)，缺乏統(tǒng)一規(guī)劃 網(wǎng)絡(luò)區(qū)域之間邊界不清晰，互連互通沒(méi)有統(tǒng)一控制規(guī)范 安全防護(hù)手段部署原則不明確 擴(kuò)展性差,無(wú)法有效隔離不同業(yè)務(wù)領(lǐng)域，跨業(yè)務(wù)領(lǐng)域的非授權(quán)互訪難于發(fā)現(xiàn)和控制 無(wú)法有效控制網(wǎng)絡(luò)病毒的發(fā)作區(qū)域和影響 不能及時(shí)的發(fā)現(xiàn)安全事件和響應(yīng) 第三方維護(hù)人員缺乏訪問(wèn)控制和授權(quán) 管理員密碼和權(quán)限的難以管理 關(guān)鍵服務(wù)器、信息資產(chǎn)的缺乏重點(diǎn)防護(hù),安全域劃分（2）,安全域劃分的根本目的是把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，化解為更小區(qū)域的簡(jiǎn)單系統(tǒng)的安全保護(hù)問(wèn)題。這也是實(shí)現(xiàn)大規(guī)模復(fù)雜信息的系統(tǒng)安全分等級(jí)保護(hù)的有效方法。,安全域是指具有相同或近似安全保護(hù)需求的一系列IT要素的邏輯集合。這些要素主要包括： 業(yè)務(wù)應(yīng)用 網(wǎng)絡(luò)區(qū)域 主機(jī)/系統(tǒng) 組織人員 物理環(huán)境,主體、性質(zhì)、安全目標(biāo)和策略等元素的不同來(lái)劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問(wèn)控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。,安全域劃分,安全域劃分（3）,安全域劃分的基本步驟,作為實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)的前提，首先應(yīng)提出各信息系統(tǒng)組網(wǎng)、設(shè)備部署的基本原則，即進(jìn)行安全域劃分的原則。 在明確安全域劃分基本原則基礎(chǔ)上，根據(jù)不同信息系統(tǒng)的價(jià)值和安全風(fēng)險(xiǎn)等級(jí)，確定各安全域不同的保護(hù)等級(jí)。 結(jié)合冗余備份、提高數(shù)據(jù)傳輸效率等原則，明確組網(wǎng)的基本要求，并據(jù)此進(jìn)行邊界保護(hù)和基本安全防護(hù)手段的建設(shè)工作。,安全域劃分（4）,安全域劃分的原則,業(yè)務(wù)保障原則： 安全域劃分的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。 結(jié)構(gòu)簡(jiǎn)化原則： 安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。 等級(jí)保護(hù)原則： 安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等。 生命周期原則： 對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化； 在安全域的建設(shè)和調(diào)整過(guò)程中要考慮工程化的管理。,安全域劃分（5）,安全域劃分方法,安全域的劃分除了遵循上述根本原則外，安全域的劃分還應(yīng)考慮如下兩個(gè)重要特征： 安全域內(nèi)的系統(tǒng)應(yīng)具有相同或者相近的保護(hù)等級(jí)； 屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任，也就是說(shuō)即使保護(hù)需求相同，如果屬于不同的系統(tǒng)而且互不信任，也不應(yīng)該納入同一安全域進(jìn)行保護(hù)，“信任”是一個(gè)相對(duì)的概念。 應(yīng)當(dāng)根據(jù)業(yè)務(wù)邏輯、地域與管理模式、業(yè)務(wù)特點(diǎn)劃分安全域、安全子域、安全區(qū)域。 在安全域內(nèi)部進(jìn)一步劃分安全區(qū)域時(shí)，如核心生產(chǎn)區(qū)、日常工作區(qū)、漫游區(qū)、DMZ區(qū)、第三方互聯(lián)區(qū)等等，重點(diǎn)參考了IATF計(jì)算區(qū)域劃分的理論，并考慮了不同區(qū)域和不同的威脅。,邊界防護(hù)（1）,根據(jù)IATF等安全理論，安全域劃分的原則明確以后，安全域的邊界訪問(wèn)控制是關(guān)注的重點(diǎn)。 安全域邊界的保護(hù)原則是：應(yīng)以通為主，以隔為輔，即在保證業(yè)務(wù)系統(tǒng)連通需求的前提下，根據(jù)各安全域的威脅等級(jí)、保護(hù)等級(jí)，部署支撐系統(tǒng)的保護(hù)方式。,邊界防護(hù)（2）,安全域邊界的保護(hù)方式,在邊界整合基礎(chǔ)上，結(jié)合安全域的威脅等級(jí)和保護(hù)等級(jí)，采用“重點(diǎn)防護(hù)、重兵把守”的原則，建立安全域互聯(lián)邊界的防護(hù)措施，以實(shí)施安全域互訪的原則。 目前的互聯(lián)與保護(hù)方式主要有： 單層防火墻控制下的直接互聯(lián) 雙重異構(gòu)防火墻控制下的直接互聯(lián) 接口服務(wù)器（如PORTAL）方式實(shí)現(xiàn)的服務(wù)器服務(wù)器的互聯(lián) 接口服務(wù)器結(jié)合物理隔離的互聯(lián)等。 確定防護(hù)方式主要考慮以下因素： 技術(shù) 安全性 實(shí)施難度 投資角度 安全域的保護(hù)等級(jí)、威脅等級(jí)，,邊界防護(hù)（3）,安全域邊界的安全部署,在進(jìn)行安全域邊界部分、尤其是漫游區(qū)接入的安全部署時(shí)，除了采用上述的保護(hù)方式外，還要綜合考慮病毒自動(dòng)查殺的病毒墻、補(bǔ)丁管理、漏洞掃描、入侵檢測(cè)、訪問(wèn)控制、雙因素認(rèn)證、信息加密等安全技術(shù)的統(tǒng)一部署，并實(shí)施集中的實(shí)時(shí)監(jiān)控。 除了實(shí)施必要的安全保障措施控制外，加強(qiáng)安全管理也是不可或缺的一個(gè)重要環(huán)節(jié)。,網(wǎng)絡(luò)安全管理（1）,使用了何種網(wǎng)管系統(tǒng)？ OpenView、Tivoli等 使用了何種管理協(xié)議？ telnet、snmp、http等 是采用帶內(nèi)管理還是帶外管理？ 帶外管理，是否注意隔離？ 是否采用了Windows Domain或Unix NIS管理？,網(wǎng)絡(luò)安全管理（2）,使用流量分析工具進(jìn)行正常情況下的網(wǎng)絡(luò)流量進(jìn)行分析和建模，出現(xiàn)異常流量時(shí)立即觸發(fā)告警并啟動(dòng)相關(guān)工單和響應(yīng)流程； 使用各類安全手段的集中管控系統(tǒng)（OMC），如防火墻的控制端、防病毒系統(tǒng)的集中控制端、IDS的集中日志分析系統(tǒng)等，進(jìn)行較為集中的安全監(jiān)控； 利用部分網(wǎng)管系統(tǒng)，如IP數(shù)據(jù)網(wǎng)管，對(duì)各業(yè)務(wù)系統(tǒng)工作狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，出現(xiàn)安全相關(guān)異常時(shí)立即觸發(fā)安全告警并啟動(dòng)相關(guān)工單和響應(yīng)流程； 建設(shè)安全運(yùn)營(yíng)中心（SOC），實(shí)現(xiàn)安全事件進(jìn)行全局監(jiān)控預(yù)警和響應(yīng)。,網(wǎng)絡(luò)安全管理（3）,對(duì)于安全告警監(jiān)控的技術(shù)手段上，主要存在兩種情況。 第一、部署了多種專業(yè)安全技術(shù)手段，但并沒(méi)有部署統(tǒng)一安全管理監(jiān)控平臺(tái)的情況，按照專業(yè)安全系統(tǒng)的分類，開(kāi)展相對(duì)集中的安全監(jiān)控工作。 第