《基本安全性》PPT課件.ppt

基本安全性 家庭和小型企業(yè)網(wǎng)絡(luò) 第八章 目標 識別和描述各種網(wǎng)絡(luò)威脅識別各種攻擊方式描述安全規(guī)程和應(yīng)用程序描述防火墻的特點 以及如何應(yīng)用防火墻來防范攻擊 內(nèi)容索引 8 1網(wǎng)絡(luò)威脅8 2攻擊方式8 3安全策略8 4使用防火墻 8 1 1網(wǎng)絡(luò)入侵者 計算機網(wǎng)絡(luò)中 不速之客的入侵可能導(dǎo)致代價高昂的網(wǎng)絡(luò)中斷和工作成果的丟失 針對網(wǎng)絡(luò)的攻擊有時具有相當?shù)钠茐男?可能造成重要信息或資產(chǎn)的損壞或失竊 導(dǎo)致時間上和金錢上的損失 入侵者可通過軟件漏洞 硬件攻擊甚至一些科技含量很低的方法 例如猜測某人的用戶名和密碼 來獲得對網(wǎng)絡(luò)的訪問權(quán) 通過修改或利用軟件漏洞來獲取訪問權(quán)的入侵者通常被稱為黑客 8 1 1網(wǎng)絡(luò)入侵者 一旦黑客取得網(wǎng)絡(luò)的訪問權(quán) 就可能給網(wǎng)絡(luò)帶來以下四種威脅 信息盜竊 身份盜竊 數(shù)據(jù)丟失 操縱 服務(wù)中斷 8 1 1網(wǎng)絡(luò)入侵者 參見電子版教材練習8 1 1 2 8 1 2網(wǎng)絡(luò)入侵者的來源 網(wǎng)絡(luò)入侵者造成的安全威脅可能來自網(wǎng)絡(luò)內(nèi)部和外部兩個源頭 外部威脅是由組織外部活動的個人引起的 他們沒有訪問組織計算機系統(tǒng)或網(wǎng)絡(luò)的權(quán)限 外部攻擊者主要通過Internet 無線鏈接或撥號訪問服務(wù)器進入網(wǎng)絡(luò) 8 1 2網(wǎng)絡(luò)入侵者的來源 內(nèi)部威脅是由具備授權(quán)用戶帳戶的個人 或能夠?qū)嶋H接觸網(wǎng)絡(luò)設(shè)備的人員導(dǎo)致的 內(nèi)部攻擊者了解內(nèi)部的政策和人員 他們往往清楚的知道 什么信息有價值而且易受攻擊 以及怎么獲得該信息 然而 并不是所有內(nèi)部攻擊都是故意的 在某些情況下 一個受信任的員工在公司外部工作時可能會感染上病毒或安全威脅 然后在不知情的情況下將它帶到內(nèi)部網(wǎng)絡(luò)中 從而造成內(nèi)部威脅 許多公司都在防御外部攻擊上花費了大量資源 但大多數(shù)威脅其實來自內(nèi)部 據(jù)FBI調(diào)查顯示 在報告的安全入侵事件中 約有70 都是因內(nèi)部訪問和計算機系統(tǒng)帳戶使用不當造成的 8 1 3社會和網(wǎng)絡(luò)釣魚 對于內(nèi)外兩個源頭的入侵者而言 要想獲得訪問權(quán) 最簡單的一種方法就是利用人類行為的弱點 常見方法之一便是 社會工程 SocialEngineering 社會工程中最常用的三種技術(shù)有 假托 網(wǎng)絡(luò)釣魚和語音網(wǎng)絡(luò)釣魚 8 1 3社會和網(wǎng)絡(luò)釣魚 假托 Pretexting 是一種社會工程方式 攻擊者會對受害人編造虛假情景 假托 以使受害人泄漏信息或執(zhí)行某種操作 通常是通過電話聯(lián)系攻擊目標 要使假托起作用 攻擊者必須能夠與目標人員或受害人建立合理聯(lián)系 為此 攻擊者一般需要預(yù)先進行一些了解或研究 例如 如果攻擊者知道攻擊目標的社會保險號碼 他們就會使用該信息來獲取攻擊目標的信任 那么攻擊目標便很有可能進一步泄漏信息 8 1 3社會和網(wǎng)絡(luò)釣魚 網(wǎng)絡(luò)釣魚是一種社會工程方式 網(wǎng)絡(luò)釣魚者將自己偽裝為外部機構(gòu)的合法人員 他們通常通過電子郵件聯(lián)系攻擊目標個人 網(wǎng)絡(luò)釣魚受害者 網(wǎng)絡(luò)釣魚者可能會聲稱 為了避免某些糟糕的后果 要求攻擊目標提供確認信息 例如密碼或用戶名 8 1 3社會和網(wǎng)絡(luò)釣魚 語音網(wǎng)絡(luò)釣魚 電話網(wǎng)絡(luò)釣魚一種使用IP語音 VoIP 的新式社會工程被稱為 語音網(wǎng)絡(luò)釣魚 vishing 在語音網(wǎng)絡(luò)釣魚攻擊中 用戶會收到一封語音郵件 郵件中指示他們撥打一個看上去像是正規(guī)電話銀行服務(wù)的電話號碼 隨后 沒有設(shè)防的用戶撥打該號碼時 通話會被竊賊截聽 為了進行確認而通過電話輸入的銀行帳戶號碼或密碼便被攻擊者竊取 8 2 1病毒 蠕蟲和特洛伊木馬 其它類型的攻擊 借助計算機軟件的漏洞來執(zhí)行 此類攻擊技術(shù)包括 病毒 蠕蟲和特洛伊木馬 所有這些都是侵入主機的惡意軟件 它們會損壞系統(tǒng) 破壞數(shù)據(jù)以及拒絕對網(wǎng)絡(luò) 系統(tǒng)或服務(wù)的訪問 它們還可將數(shù)據(jù)和個人詳細信息從沒有設(shè)防的PC用戶轉(zhuǎn)發(fā)到犯罪者手中 在許多情況下 它們會自身復(fù)制 然后傳播至連接到該網(wǎng)絡(luò)的其它主機 8 2 1病毒 蠕蟲和特洛伊木馬 病毒是通過修改其它程序或文件來運行和傳播的一種程序 病毒無法自行啟動 而需要受到激活 有的病毒一旦激活 便會迅速自我復(fù)制并四處傳播 但不會執(zhí)行其它操作 這類病毒雖然很簡單 但仍然非常危險 因為它們會迅速占用所有可用內(nèi)存 導(dǎo)致系統(tǒng)停機 編寫的更為惡毒的病毒可能會在傳播前刪除或破壞特定的文件 病毒可通過電子郵件附件 下載的文件 即時消息或磁盤 CD或USB設(shè)備傳輸 參見電子版教材動畫8 2 1 2 8 2 1病毒 蠕蟲和特洛伊木馬 蠕蟲類似于病毒 與病毒不同的是它無需將自身附加到現(xiàn)有的程序中 蠕蟲使用網(wǎng)絡(luò)將自己的副本發(fā)送到任何所連接的主機中 蠕蟲可獨立運行并迅速傳播 它并不一定需要激活或人類干預(yù)才會發(fā)作 自我傳播的網(wǎng)絡(luò)蠕蟲所造成的影響可能比單個病毒更為嚴重 而且可迅速造成Internet大面積感染 特洛伊木馬是一種非自體復(fù)制型程序 它以合法程序的面貌出現(xiàn) 但實質(zhì)上卻是一種攻擊工具 特洛伊木馬依賴于其合法的外表來欺騙受害人啟動該程序 它的危害性可能相對較低 但也可能包含可損壞計算機硬盤內(nèi)容的代碼 特洛伊木馬還可為系統(tǒng)創(chuàng)建后門 從而使黑客獲得訪問權(quán) 8 2 1拒絕服務(wù)和暴力攻擊 拒絕服務(wù) DoS DoS攻擊是針對單個計算機或一組計算機執(zhí)行的一種侵略性攻擊 目的是拒絕為特定用戶提供服務(wù) DoS攻擊可針對最終用戶系統(tǒng) 服務(wù)器 路由器和網(wǎng)絡(luò)鏈接發(fā)起 兩種常見的DoS攻擊為 SYN 并發(fā) 洪水攻擊 向服務(wù)器發(fā)送大量請求客戶端連接的數(shù)據(jù)包 這些數(shù)據(jù)包中包含無效的源IP地址 服務(wù)器會因為試圖響應(yīng)這些虛假請求而變得極為忙碌 導(dǎo)致無法響應(yīng)合法請求 死亡之ping 向設(shè)備發(fā)送超過IP所允許的最大大小 65 535字節(jié) 的數(shù)據(jù)包 這可導(dǎo)致接收系統(tǒng)崩潰 8 2 1拒絕服務(wù)和暴力攻擊 8 2 1拒絕服務(wù)和暴力攻擊 分布式拒絕服務(wù) DDoS DDoS的運行規(guī)模遠比DoS攻擊更大 通常會有成百上千個攻擊點試圖同時淹沒攻擊目標 攻擊點可能是之前感染了DDoS代碼的沒有設(shè)防的計算機 感染DDoS代碼的系統(tǒng)會在被調(diào)用時攻擊目標站點 暴力攻擊攻擊者使用運行速度很快的計算機來嘗試猜測密碼或破解加密密鑰 攻擊者會在短時間內(nèi)嘗試大量可能的密碼來獲取訪問權(quán)限或破譯密鑰 暴力攻擊可引起針對特定資源的通信量過大或用戶帳戶鎖定 從而導(dǎo)致拒絕服務(wù) 參見電子版教材動畫8 2 2 2 8 2 3間諜軟件 跟蹤Cookie 廣告軟件和彈出廣告 許多威脅的目的是收集用戶的相關(guān)信息以用于廣告 盡管它們可能不會損壞計算機 但仍會侵犯隱私 而且非常招人反感 間諜軟件是一種程序 用于在未得到用戶認可或用戶不知情的情況下從計算機中收集個人信息 然后 這些個人信息會發(fā)送至Internet上的廣告商或第三方 其中可能包含密碼和帳戶號碼 間諜軟件通常是在下載文件 安裝其它程序或單擊彈出廣告時暗中安裝 它會降低計算機速度 更改內(nèi)部設(shè)置 導(dǎo)致更多的漏洞暴露給其它威脅 此外 間諜軟件也難以刪除 跟蹤Cookie Cookie是間諜軟件的一種形式 但也有一些Cookie起到積極的作用 Cookie用于在Internet用戶訪問網(wǎng)站時記錄用戶的信息 由于它允許個性化定制以及其它一些節(jié)省時間的方法 所以可能相當有用并受人歡迎 許多網(wǎng)站都要求用戶啟用cookie后才能進行連接 8 2 3間諜軟件 跟蹤Cookie 廣告軟件和彈出廣告 廣告軟件是另一種形式的間諜軟件 它通過用戶訪問的網(wǎng)站收集用戶信息 這些信息之后會被利用進行針對性的廣告宣傳 彈出廣告和背投廣告是用戶在瀏覽網(wǎng)站時顯示的附加廣告宣傳窗口 與廣告軟件不同 彈出廣告和背投廣告并不收集關(guān)于用戶的信息 而且通常只與所訪問的網(wǎng)站關(guān)聯(lián) 彈出廣告 在當前瀏覽器窗口的前端打開 背投廣告 在當前瀏覽器窗口的后端打開 8 2 3間諜軟件 跟蹤Cookie 廣告軟件和彈出廣告 8 2 4垃圾郵件 垃圾郵件是非常嚴重的網(wǎng)絡(luò)威脅 可導(dǎo)致ISP 電子郵件服務(wù)器和最終用戶系統(tǒng)不堪重負 垃圾郵件發(fā)送者通常利用未受安全保護的電子郵件服務(wù)器來轉(zhuǎn)發(fā)電子郵件 垃圾郵件發(fā)送者可能使用黑客技術(shù) 例如病毒 蠕蟲和特洛伊木馬 來控制家用計算機 受控的這些計算機就會被用來在主人毫不知情的情況下發(fā)送垃圾郵件 垃圾郵件可通過電子郵件發(fā)送 如今它們還可通過即時消息軟件發(fā)送 據(jù)估計 Internet上的每個用戶每年收到的垃圾電子郵件超過3 000封 垃圾郵件消耗了大量的Internet帶寬 此問題的嚴重性已引起了許多國家的重視 各國紛紛出臺法律管制垃圾郵件的使用 參見電子版教材動畫8 2 4 1 8 3 1常用安全措施 安全風險無法徹底消除或預(yù)防 但有效的風險管理和評估可顯著減少現(xiàn)有的安全風險 要將風險降至最低 人們必須認識到一點 沒有任何一件產(chǎn)品可為組織提供絕對的安全保護 要獲得真正的網(wǎng)絡(luò)安全 需要結(jié)合應(yīng)用多種產(chǎn)品和服務(wù) 制定徹底的安全策略并嚴格實施該策略 安全策略 標識和身份驗證策略密碼策略合理使用規(guī)定遠程訪問策略網(wǎng)絡(luò)維護程序事件處理程序 參見電子版教材動畫8 3 1 1 8 3 1常用安全措施 安全策略通過安全規(guī)程實施 這些規(guī)程定義了主機和網(wǎng)絡(luò)設(shè)備的配置 登錄 審計和維護過程 其中包括使用預(yù)防性措施來降低風險 以及采用主動措施來處理已知安全威脅 可保護網(wǎng)絡(luò)安全的一些安全工具和應(yīng)用程序有 軟件補丁和更新病毒防護間諜軟件防護垃圾郵件攔截器彈出廣告攔截器防火墻 參見電子版教材動畫8 3 1 2 8 3 2更新和補丁 黑客用來獲取主機和 或 網(wǎng)絡(luò)訪問權(quán)的最常見方法之一便是利用軟件漏洞 因而及時對軟件應(yīng)用程序應(yīng)用最新安全補丁和更新以阻止威脅極為重要 補丁是修復(fù)特定問題的一小段代碼 更新則可能包含要添加到軟件包中的附加功能以及針對特定問題的補丁 操作系統(tǒng) 例如Linux Windows等 和應(yīng)用程序廠商會不斷提供更新和安全補丁 以更正軟件中已知的漏洞 此外 廠商通常還會發(fā)布補丁和更新的集合 稱為服務(wù)包 值得慶幸的是 許多操作系統(tǒng)都具有自動更新功能 可在主機上自動下載和安裝操作系統(tǒng)與應(yīng)用程序更新 8 3 3防病毒軟件 檢測病毒 即使操作系統(tǒng)和應(yīng)用程序應(yīng)用了所有最新的補丁和更新 仍然容易遭到攻擊 任何連接到網(wǎng)絡(luò)的設(shè)備都可能會感染上病毒 蠕蟲和特洛伊木馬 這些攻擊可損壞操作系統(tǒng)代碼 影響計算機性能 更改應(yīng)用程序和毀壞數(shù)據(jù) 感染病毒 蠕蟲或特洛伊木馬后 可能出現(xiàn)的癥狀有 計算機行為開始變得不正常 程序不響應(yīng)鼠標和擊鍵 程序自行啟動或關(guān)閉 電子郵件程序開始外發(fā)大量電子郵件 CPU使用率非常高 有不認識的 或大量進程運行 計算機速度顯著下降或崩潰 8 3 3防病毒軟件 防病毒軟件可用作預(yù)防工具和反應(yīng)工具 它可預(yù)防感染 并能檢測和刪除病毒 蠕蟲和特洛伊木馬 連接到網(wǎng)絡(luò)的所有計算機都應(yīng)安裝防病毒軟件 市面上存在許多防病毒程序 防病毒程序可具有以下功能 電子郵件檢查 掃描傳入和傳出電子郵件 識別可疑的附件 駐留內(nèi)容動態(tài)掃描 在訪問可執(zhí)行文件和文檔時對它們進行檢查 計劃掃描 可根據(jù)計劃按固定的間隔運行病毒掃描以及檢查特定的驅(qū)動器或整個計算機 自動更新 檢查和下載已知的病毒特征碼和樣式 并可設(shè)為定期檢查更新 8 3 4反垃圾郵件 垃圾郵件不僅惹人討厭 還可能造成電子郵件服務(wù)器過載 有時還攜帶有病毒和其它安全威脅 垃圾郵件發(fā)送者還可以通過在主機上植入病毒或特洛伊木馬代碼來控制主機 讓受控主機在用戶毫不知情的情況下發(fā)送垃圾郵件 受到這種形式感染的計算機稱為 垃圾郵件工廠 反垃圾郵件軟件可識別垃圾郵件并執(zhí)行相應(yīng)操作 例如將其放置到垃圾郵件文件夾或刪除 從而為主機提供保護 此類軟件可在機器本地加載 也可在電子郵件服務(wù)器上加載 此外 許多ISP也提供垃圾郵件過濾器 反垃圾郵件軟件無法識別所有的垃圾郵件 因此打開電子郵件時仍須非常謹慎 有時候 有用的電子郵件也會被錯誤地當作垃圾郵件處理了 參見電子版教材動畫8 3 4 1 除了使用垃圾郵件攔截器以外 還可使用其它預(yù)防措施來防止垃圾郵件傳播 這些措施包括 及時應(yīng)用現(xiàn)有的操作系統(tǒng)和應(yīng)用程序更新 定期運行防病毒程序 并始終保持最新版本 不要轉(zhuǎn)發(fā)可疑的電子郵件 不要打開電子郵件附件 尤其是來自陌生人的郵件附件 設(shè)置電子郵件規(guī)則 刪除繞過反垃圾郵件軟件的垃圾郵件 標識垃圾郵件來源 并將其報告給網(wǎng)絡(luò)管理員以便阻隔該來源 將事件報告給處理垃圾郵件濫用的政府機構(gòu) 8 3 4反垃圾郵件 8 3 5反間諜軟件 反間諜軟件和廣告軟件間諜軟件和廣告軟件也會導(dǎo)致類似病毒的癥狀 除了收集未經(jīng)授權(quán)的信息外 它們還會占用重要的計算機資源并影響性能 反間諜軟件可檢測和刪除間諜軟件應(yīng)用程序 并防止這些程序?qū)碓俣劝惭b 許多反間諜軟件應(yīng)用程序還包括cookie及廣告軟件的檢測和刪除功能 某些防病毒軟件包具有反間諜軟件功能 彈出廣告攔截器可安裝彈出廣告攔截器軟件來阻止彈出廣告和背投廣告 許多Web瀏覽器默認包含彈出廣告攔截器的功能 請注意 某些程序和網(wǎng)頁會生成必要和有用的彈出窗口 因此 大多數(shù)彈出廣告攔截器都具有忽略功能 即允許某些彈出窗口 8 4 1什么是防火墻 防火墻是保護內(nèi)部網(wǎng)絡(luò)用戶遠離外部威脅的最為有效的安全工具之一 防火墻駐留在兩個或多個網(wǎng)絡(luò)之間 控制其間的通信量并幫助阻止未授權(quán)的訪問 數(shù)據(jù)包過濾 根據(jù)IP或MAC地址阻止或允許訪問 應(yīng)用程序 網(wǎng)站過濾 根據(jù)應(yīng)用程序來阻止或允許訪問 網(wǎng)站阻隔則通過指定網(wǎng)站URL地址或關(guān)鍵字來實現(xiàn) 狀態(tài)封包偵測 SPI 傳入數(shù)據(jù)包必須是對內(nèi)部主機所發(fā)出請求的合法響應(yīng) 除非得到特別允許 否則未經(jīng)請求的數(shù)據(jù)包會被阻隔 狀態(tài)封包偵測還可具有識別和過濾特定類型攻擊 例如DoS 的能力 8 4 1什么是防火墻 防火墻可支持一個或多個此類過濾功能 此外 防火墻通常會執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換將一個內(nèi)部地址或一組地址轉(zhuǎn)換為一個公開的外部地址 該地址會通過網(wǎng)絡(luò)傳送 從而實現(xiàn)了對外部用戶隱藏內(nèi)部IP地址的目的 8 4 1什么是防火墻 防火墻產(chǎn)品具有各種形式 基于設(shè)備的防火墻 此類防火墻內(nèi)置在專用的硬件設(shè)備 稱為安全設(shè)備 中 基于服務(wù)器的防火墻 此類防火墻是在網(wǎng)絡(luò)操作系統(tǒng) NOS 例如UNIX Windows或Novell 上運行的防火墻應(yīng)用程序 集成防火墻 此類防火墻通過對現(xiàn)有設(shè)備 例如路由器 添加防火墻功能來實現(xiàn) 個人防火墻 此類防火墻駐留在主機計算機中 不能用于LAN實施 它可以由操作系統(tǒng)默認提供 也可以由外部廠商提供安裝 8 4 2使用防火墻 通過在內(nèi)部網(wǎng)絡(luò) 內(nèi)部網(wǎng) 和Internet之間設(shè)置防火墻作為邊界設(shè)備 所有往來Internet的通信量都會被監(jiān)視和控制 如此一來 便在內(nèi)部和外部網(wǎng)絡(luò)之間劃分了一條清晰的防御界線 然而 可能會有一些外部客戶需要訪問內(nèi)部資源 為此 可配置一個非軍事區(qū) DMZ 術(shù)語 非軍事區(qū) 借用自軍事用語 它代表兩股勢力之間的一個指定區(qū)域 在該區(qū)域內(nèi)不允許執(zhí)行任何軍事活動 在計算機網(wǎng)絡(luò)中 非軍事區(qū)代表內(nèi)部和外部用戶都可訪問的網(wǎng)絡(luò)區(qū)域 其安全性高于外部網(wǎng)絡(luò) 低于內(nèi)部網(wǎng)絡(luò) 它是由一個或多個防火墻創(chuàng)建的 這些防火墻起到分隔內(nèi)部 非軍事區(qū)和外部網(wǎng)絡(luò)的作用 用于公開訪問的Web服務(wù)器通常位于非軍事區(qū)中 參見電子版教材動畫8 4 2 1 8 4 2使用防火墻 單防火墻配置單個防火墻包含三個區(qū)域 分別用于外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò)和非軍事區(qū) 來自外部網(wǎng)絡(luò)的所有通信量都被發(fā)送到防火墻 然后防火墻會監(jiān)控通信量 決定哪些通信量應(yīng)傳送到非軍事區(qū) 哪些應(yīng)