第三章 網絡安全策略_第1頁
第三章 網絡安全策略_第2頁
第三章 網絡安全策略_第3頁
第三章 網絡安全策略_第4頁
第三章 網絡安全策略_第5頁
已閱讀5頁,還剩39頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

第三章網絡安全策略及實施2023/2/51計算機網絡安全基礎3.1安全策略概述3.1.1安全策略的定義

“安全策略是對訪問規(guī)則的正式陳述,所有需要訪問某個機構的技術和信息準資產的人員都應該遵守這些規(guī)則”2023/2/52計算機網絡安全基礎3.1.2安全策略的內容

權威的聲明和效力范圍:用以識別安全策略的發(fā)起者和覆蓋的主題范圍。物理安全策略

:包括環(huán)境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。網絡安全策略:包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施(防火墻、入侵檢測系統(tǒng)、VPN等)、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等。它規(guī)定了組織內部用戶關于網絡訪問能力的規(guī)范。數(shù)據(jù)加密策略:包括加密算法、適用范圍、密鑰交換和管理等。數(shù)據(jù)備份策略:包括適用范圍、備份方式、備份頻率,備份數(shù)據(jù)的安全存儲、負責人等。2023/2/53計算機網絡安全基礎病毒防護策略:包括防病毒軟件的安裝、配置、對軟盤使用、網絡下載等作出的規(guī)定等。應用系統(tǒng)安全策略:包括WWW訪問策略、內部郵件與外部郵件的訪問策略,數(shù)據(jù)庫系統(tǒng)安全策略、應用服務器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其它業(yè)務相關系統(tǒng)安全策略等。身份識別與認證策略:用來規(guī)定用什么樣的技術和設備來確保只有授權的用戶才能訪問組織的信息與數(shù)據(jù),包括認證及授權機制、方式、審計記錄等。災難恢復與應急響應策略:用來規(guī)定如何建立安全事件響應小組,如何針對突發(fā)事件采取的響應措施,包括響應小組、聯(lián)系方式、事故處理計劃、控制過程、恢復機制、方式、歸檔管理、硬件、軟件等。主要工作有保護機構的系統(tǒng)與信息,還原操作,起訴入侵者,減少損失等。2023/2/54計算機網絡安全基礎密碼管理策略:包括密碼管理方式、密碼設置規(guī)則、密碼適應規(guī)則等。補丁管理策略:包括軟件升級、系統(tǒng)補丁的更新、測試、安裝等。系統(tǒng)變更控制策略:包括對設備更新、軟件配置、控制措施、數(shù)據(jù)變更管理、一致性管理等。商業(yè)伙伴、客戶關系策略:包括合同條款安全策略、客戶服務安全建議等。復查審計策略:包括對安全策略的定期復查與審計。安全教育策略:包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓、安全意識教育等。對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術發(fā)展的跟蹤等。2023/2/55計算機網絡安全基礎3.1.2網絡安全模型網絡安全模型1、保護階段:身份認證和驗證,訪問控制,數(shù)據(jù)加密,防火墻,漏洞補丁2.監(jiān)控階段:管理員通過利用網絡漏洞掃描器,對網絡進行掃描監(jiān)控,預先識別漏洞區(qū)域,進行漏洞的修補。通過IDS系統(tǒng),對正在發(fā)生的安全事件進行監(jiān)視并響應。對當前網絡上傳輸?shù)臄?shù)據(jù)流有一個清晰的判斷。3.測試階段:通過測試,知道現(xiàn)有的和最新的攻擊方式,模擬受到安全侵害后的及時響應。4.改進過程:利用監(jiān)視和測試階段得來的數(shù)據(jù)去改進安全措施,并根據(jù)識別的漏洞和風險對安全策略加以調整。確保得到最新的安全修復。2023/2/56計算機網絡安全基礎3.2網絡安全策略設計與實施安全策略的制定是比較繁瑣和復雜的工作,許多安全策略將重點放在了有效實施的概念上,這種觀點的出發(fā)點在于,如果策略無法得到實施,那么制定的策略再好也沒有可用之處。從安全系統(tǒng)的設計人員的角度看,重要的是理解實施策略有若干不同的方式,而具體的實施過程并不屬于安全系統(tǒng)的設計人員的考慮范圍。所以,由于用戶對網絡的具體需求不同,可能會包含不同的設計與實施要求。從大的方面來說,一般需要包括以下幾個部分:2023/2/57計算機網絡安全基礎3.2.1物理安全控制

對物理基礎設施、物理設備的安全和訪問的控制。包括選擇適當?shù)慕橘|類型及電纜的鋪設路線,網絡資源的存放位置也極為重要,為保護關鍵的網絡資源,必須安裝和充分的使用環(huán)境安全防護。2023/2/58計算機網絡安全基礎3.2.2邏輯安全控制 指在不同網段之間構造邏輯邊界,同時還對不同網段之間的數(shù)據(jù)流量進行控制。邏輯訪問控制通過對不同網段間的通信進行邏輯過濾來提供安全保障。對內部網絡進行子網劃分是進行邏輯安全控制的有效方法。需要執(zhí)行兩類控制一是預防性控制,用于識別每個授權用戶并拒絕非授權用戶的訪問。二是探測性控制,用于記錄和報告授權用戶的行為,以及記錄和報告非授權的訪問,或者對系統(tǒng)、程序和數(shù)據(jù)的訪問企圖。2023/2/59計算機網絡安全基礎3.2.3基礎設備和數(shù)據(jù)完整性1.防火墻2.入侵檢測系統(tǒng)3.安全審計系統(tǒng)4.病毒防護系統(tǒng)如何保證有效通信,對于網絡服務和協(xié)議的選擇是一項復雜而艱巨的任務。2023/2/510計算機網絡安全基礎3.2.4數(shù)據(jù)保密性 指保證網絡實體間通信數(shù)據(jù)的保密,使其不能被非法修改,它屬于加密的范疇。如何確定哪些數(shù)據(jù)需要加密,以及哪些數(shù)據(jù)不需要加密。這個過程應該使用風險分析步驟來進行決策。2023/2/511計算機網絡安全基礎3.2.5用戶行為控制人員角色管理是整個網絡安全的重要組成部分,網絡中所有的軟硬件系統(tǒng)、安全策略等最終都需要人來實踐,所以對人員角色的定義及行為規(guī)則的制定是非常重要的。應當根據(jù)網絡安全策略來為負責網絡基礎設施維護和升級的人員制定特殊的指導方針,以幫助完成各自的任務。1.安全備份2.審計跟蹤2023/2/512計算機網絡安全基礎3.2.6一個網絡安全策略示例2023/2/513計算機網絡安全基礎3.3網絡安全測試工具的使用3.3.1掃描原理及其工具掃描技術利用TCP/IP協(xié)議標準和其在各種操作系統(tǒng)中不同的實現(xiàn)方式,向目標主機的服務端口發(fā)送探測數(shù)據(jù)包,并記錄目標主機的響應。通過分析響應的數(shù)據(jù)包來判斷服務端口是打開還是關閉,就可以得知端口提供的服務或信息。它可以搜集到目標主機的各種信息,如是否能用匿名登陸,是否有可寫的FTP目錄,是否能用Telnet等。掃描也可以通過捕獲本地主機或服務器的流入流出數(shù)據(jù)包來監(jiān)視本地IP主機的運行情況,它能對接收到的數(shù)據(jù)進行分析,幫助人們發(fā)現(xiàn)目標主機的某些內在弱點,掃描工作本身不會提供侵入一個系統(tǒng)的詳細方法,只是系統(tǒng)入侵的前奏。2023/2/514計算機網絡安全基礎系統(tǒng)掃描通常采用兩種策略,第一種是被動式策略,第二種是主動式策略。所謂被動式策略就是基于主機之上,對系統(tǒng)中不合適的設置、脆弱的口令以及其它同安全規(guī)則抵觸的對象進行檢查;而主動式策略是基于網絡的,它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應,從而發(fā)現(xiàn)其中的漏洞。2023/2/515計算機網絡安全基礎目前常用的專業(yè)掃描工具有:Superscan:免費的掃描軟件,可以在

下載NmapNessusShadowscan等2023/2/516計算機網絡安全基礎Nmap使用舉例

Nmap是在免費軟件基金會的GNU

General

Public

License

(GPL)下發(fā)布的,可從/nmap站點上免費下載。下載格式可以是tgz格式的源碼或RPM格式。目前最新版本號nmap-4.76。Nmap的語法相當簡單。Nmap的不同選項和-s標志組成了不同的掃描類型,比如:一個Ping-scan命令就是"-sP"。在確定了目標主機和網絡之后,即可進行掃描。如果以root來運行Nmap,Nmap的功能會大大的增強,因為超級用戶可以創(chuàng)建便于Nmap利用的定制數(shù)據(jù)包。2023/2/517計算機網絡安全基礎在目標機上,Nmap運行靈活。使用Nmap進行單機掃描或是整個網絡的掃描很簡單,只要將帶有“/mask”的目標地址指定給Nmap即可。地址是“victim/24”,則目標是c類網絡,地址是“victim/16”,則目標是B類網絡。

另外,Nmap允許你使用各類指定的網絡地址,比如192.168.1.*,是指/24,或,4,8-12,對所選子網下的主機進行掃描。2023/2/518計算機網絡安全基礎1.Ping掃描(Ping

Sweeping)入侵者使用Nmap掃描整個網絡尋找目標。通過使用"

-sP"命令,進行ping掃描。缺省情況下,Nmap給每個掃描到的主機發(fā)送一個ICMP

echo和一個TCP

ACK,主機對任何一種的響應都會被Nmap得到。

舉例:掃描網絡:

#

nmap

-sP

/242023/2/519計算機網絡安全基礎2.端口掃描(Port

Scanning)

由于攻擊者使用TCP連接掃描很容易被發(fā)現(xiàn),因為Nmap將使用connect()系統(tǒng)調用打開目標機上相關端口的連接,并完成三次TCP握手。黑客登錄到主機將顯示開放的端口。一個tcp連接掃描使用"-sT"命令如下。

#

nmap

-sT

22023/2/520計算機網絡安全基礎3.隱蔽掃描(Stealth

Scanning)

如果一個攻擊者不愿在掃描時使其信息被記錄在目標系統(tǒng)日志上,TCP

SYN掃描可幫你的忙,它很少會在目標機上留下記錄,三次握手的過程從來都不會完全實現(xiàn)。通過發(fā)送一個SYN包(是TCP協(xié)議中的第一個包)開始一次SYN的掃描。任何開放的端口都將有一個SYN|ACK響應。然而,攻擊者發(fā)送一個RST替代ACK,連接中止。三次握手得不到實現(xiàn),也就很少有站點能記錄這樣的探測。如果是關閉的端口,對最初的SYN信號的響應也會是RST,讓NMAP知道該端口不在監(jiān)聽。"-sS"命令將發(fā)送一個SYN掃描探測主機或網絡:

#

nmap

-sS

2023/2/521計算機網絡安全基礎4.UDP掃描(UDP

Scanning)

如果一個攻擊者尋找一個流行的UDP漏洞,比如rpcbind漏洞或cDc

Back

Orifice。為了查出哪些端口在監(jiān)聽,則進行UDP掃描,即可知哪些端口對UDP是開放的。Nmap將發(fā)送一個O字節(jié)的UDP包到每個端口。如果主機返回端口不可達,則表示端口是關閉的。但這種方法受到時間的限制,因為大多數(shù)的UNIX主機限制ICMP錯誤速率。幸運的是,Nmap本身檢測這種速率并自身減速,也就不會產生溢出主機的情況。

#

nmap

-sU

2023/2/522計算機網絡安全基礎5.操作系統(tǒng)識別(OS

Fingerprinting)

通常一個入侵者可能對某個操作系統(tǒng)的漏洞很熟悉,能很輕易地進入此操作系統(tǒng)的機器。一個常見的選項是TCP/IP上的指紋,帶有"-O"選項決定遠程操作系統(tǒng)的類型。Nmap通過向主機發(fā)送不同類型的探測信號,縮小查找的操作系統(tǒng)系統(tǒng)的范圍。指紋驗證TCP包括使用FIN探測技術發(fā)現(xiàn)目標機的響應類型。有一篇權威的關于指紋(fingertprinting)的文章/nmap/nmap-fingerprinting-article.html

Nmap's操作系統(tǒng)的檢測是很準確也是很有效的,舉例:使用系統(tǒng)Solaris

10帶有SYN掃描的指紋驗證堆棧。

#

nmap

-sS

-O

52023/2/523計算機網絡安全基礎6.ident掃描(Ident

Scanning)

一個攻擊者常常尋找一臺對于某些進程存在漏洞的電腦。比如,一個以root運行的WEB服務器。如果目標機運行了identd,一個攻擊者使用Nmap通過"-I"選項的TCP連接,就可以發(fā)現(xiàn)哪個用戶擁有http守護進程。我們將掃描一個Linux

WEB服務器為例:

#

nmap

-sT

-p

80

-I

-O

2023/2/524計算機網絡安全基礎7.其它選項(Options)

除了以上這些掃描,Nmap還提供了無數(shù)選項。有一個是"-PT",,我們已經介紹過了。在目標機或網絡上常見的未經過濾的端口,進行TCP

"ping"掃描。

另一個選項是"-P0"。在缺省設置下試圖掃描一個端口之前,Nmap將用TCP

ping"和ICMP

echo命令ping一個目標機,如果ICMP和TCP的探測掃描得不到響應,目標主機或網絡就不會被掃描,即使他們是運行著的。而"-P0"選項允許在掃描之前不進行ping,即可進行掃描。2023/2/525計算機網絡安全基礎端口掃描的防范:

由于對目標主機進行端口掃描非常簡單和方便,作為系統(tǒng)管理員或普通的用戶都需要時刻關注所管理的機器的端口狀況,要最大限度隱藏端口狀況,減少不必要的安全漏洞。防范主機端口的非法掃描,可以從兩個方面下手解決,一個是主機級的防范,一個是網絡級的防范。對于主機級的防范,又可以從下面兩個方面著手。(1)關閉閑置和有潛在危險的端口。(2)對無法關閉的端口進行監(jiān)控。2023/2/526計算機網絡安全基礎3.3.2網絡監(jiān)聽原理及其工具網絡監(jiān)聽工具又被稱為嗅探器(Sniffer),它是一種利用計算機網絡接口截獲目的計算機的數(shù)據(jù)報文的技術,其目的就是截獲通信的內容,其手段是對協(xié)議進行分析。網絡監(jiān)聽對于安全的威脅來自于其被動性和非干繞性,它往往讓網絡信息泄密變得不容易發(fā)現(xiàn)。監(jiān)聽器工作在網絡的底層,在某個廣播域中進行數(shù)據(jù)包監(jiān)聽,它將網絡傳輸?shù)臄?shù)據(jù)記錄下來,可以利用這些記錄分析流量,查找網絡漏洞,檢測網絡性能,以便找出網絡中可能存在的安全問題很多黑客入侵時都把局域網掃描和監(jiān)聽作為實施入侵的最基本步驟和手段,試圖用這種方法獲取用戶的密碼等信息。對入侵活動和其它網絡犯罪進行偵查、取證時,也可以使用網絡監(jiān)聽技術來獲取必要的信息。2023/2/527計算機網絡安全基礎Sniffer軟件本身處于數(shù)據(jù)鏈路層之上,同物理層和數(shù)據(jù)鏈路層無關,因此Sniffer軟件可以運行在各種數(shù)據(jù)鏈路層的協(xié)議和物理傳輸介質上。

sniffer在以太網下的工作原理2023/2/528計算機網絡安全基礎Sniffer硬件通常稱為協(xié)議分析儀Sniffer分為硬件和軟件兩種。2023/2/529計算機網絡安全基礎sniffer軟件Windows系統(tǒng)下的:SnifferPro和EtherPeekNXSolaris下的NfswatchUnix/Linux下的Tcpdump和sniffit等2023/2/530計算機網絡安全基礎1.SnifferPro的使用與說明2.Tcpdump的使用與說明2023/2/531計算機網絡安全基礎4.網絡監(jiān)聽的檢測與防范簡單的現(xiàn)象判斷:較高的通訊丟包率

通過一些管理軟件,可以看到數(shù)據(jù)包傳送情況,最簡單是ping命令,它會告訴用戶掉了百分之多少的數(shù)據(jù)包。如果網絡結構正常,在排除病毒的影響外,如果有20%~30%數(shù)據(jù)包丟失,以致數(shù)據(jù)包無法順暢的到達目的地,網絡被監(jiān)聽的可能性較大,可能是由于嗅探器攔截數(shù)據(jù)包而導致。網絡帶寬出現(xiàn)異常

通過某些帶寬控制器,可以實時看到目前網絡帶寬的分布情況,如果某臺機器長時間的占用了較大的帶寬,這臺機器就有可能在實施網絡監(jiān)聽。由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源,如果某臺機器服務性能下降,也應該可以察覺出網絡通訊速度的變化。2023/2/532計算機網絡安全基礎防范措施:

(a)采用安全的拓撲結構。

(b)采用用加密技術。

(c)用靜態(tài)的ARP或者IP-MAC對應表代替動態(tài)的ARP或者IP-MAC對應表。(d)重視重點區(qū)域的安全防范2023/2/533計算機網絡安全基礎3.4路由器安全策略3.4.1路由器訪問安全配置secret命令設置密碼,該加密機制是IOS采用MD5散列算法進行加密。Router(config-t)#enablesecretRouter(config-t)#noenablepasswordRouter(config-t)#servicepassword-encryptionRouter(config-t)#linevty04Router(config-line)#exec-timeout100或者使用基于用戶名和口令的強認證方法。

Router(config-t)#usernameadminpass5434535e2Router(config-t)#aaanew-modelRouter(config-t)#radius-serverhostkeykey-stringRouter(config-t)#aaaauthenticationloginnetadmingroupradiuslocalRouter(config-t)#linevty04Router(config-line)#loginauthennetadmin2023/2/534計算機網絡安全基礎3.4.2路由器服務安全管理1.更新路由器操作系統(tǒng)2.修改默認的口令3.關閉CDP服務4.禁用HTTP設置和SNMP5.VTY的服務控制6.其它需要關閉的服務7.封鎖ICMP(互聯(lián)網控制消息協(xié)議)ping請求8.禁用來自互聯(lián)網的telnet命令9.禁用IP定向廣播10.禁用IP路由和IP重新定向11.包過濾12.審查安全記錄2023/2/535計算機網絡安全基礎3.4.3其它相關安全問題1.系統(tǒng)漏洞問題路由器自己的操作系統(tǒng)即網絡操作系統(tǒng)(IOS)也會出現(xiàn)漏洞及安全隱患,需要管理員及時關注產品信息打上安全補丁,同時認真嚴格的為IOS作安全備份。2.訪問控制問題要做好以下兩個方面的限制,一是限制物理訪問,二是限制邏輯訪問。3.路由協(xié)議問題在路由協(xié)議方面,要避免使用路由信息協(xié)議(RIP),因為RIP很容易被欺騙從而接受不合法的路由更新。最好是各個分支機構都統(tǒng)一配置,使用開放最短路徑優(yōu)先協(xié)議(OSPF)。4.配置管理問題要有控制存放、檢索及更新路由器配置的配置管理策略,將配置備份文檔妥善保存在安全服務器上,以防新配置遇到問題時方便更換、重裝或恢復到原先的配置。2023/2/536計算機網絡安全基礎3.4.4訪問控制列表的制定

1.標準ACL通過使用IP包中的源IP地址進行過濾,一個標準訪問控制列表的基本配置語如下所示。access-listaccess-list-number{deny|permit}source[source-wildcard]2.擴展ACL擴展訪問列表能夠對數(shù)據(jù)包的源地址、目的地址和端口等項目進行檢查,它比標準ACL具有更多的匹配選項,功能更加強大和細化,可以針對包括協(xié)議類型、源地址、目的地址,源端口、目的端口和TCP連接等進行過濾,表號范圍是100~199或2000~2699。Router#configuretRoute(config)#ipaccess-listextended101Route(config-ext-nacl)#permittcpanyhostestablishedlogRoute(config-ext-nacl)#permittcpanyhosteqwwwlogRoute(config-ext-nacl)#permittcpanyhosteqftplogRoute(config-ext-nacl)#permittcpanyhostlog

2023/2/537計算機網絡安全基礎3.4.5使用路由器ACL保護網絡1.過濾TCP協(xié)議access-list100permittcpany0.0.0255eq23access-list100permittcpany55eq25access-list100permittcpany55eq110access-list100permittcpany55eq80access-list100permittcpanyanyestablishedinterfaceserial0ipaccess-group100in

2.過濾UDP協(xié)議

IP地址為45,假設端口為137,根據(jù)客戶機的端口號是在1023以上隨機選擇的這樣一個規(guī)則,使用如下命令來抵制利用Netbios漏洞發(fā)起的攻擊。access-list100permitudp450.0.00eq137anygt10233.過濾ICMP協(xié)議interfaceserial0ipaccess-group100inipaccess-group101outaccess-list100permiticmpany55echo-replyaccess-list100permiticmpany55packet-too-bigaccess-list100permiticmpany55ttl-exceededaccess-list101permiticmp55anyecho-replyaccess-list101permiticmp55anypacket-too-bigaccess-list101permitip55any

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論