網(wǎng)絡(luò)安全課件

網(wǎng)絡(luò)安全

安全很重要實際上你很無奈“你要力圖保護(hù)的是些什么資源?”“你需要防范誰?”“你究竟需要什么級別的安全?”黑客HackerCracker和HackerKevinMitnick小莫里斯網(wǎng)絡(luò)入侵事件網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)安全維護(hù)人員和黑客之間的關(guān)系（白帽子和灰帽子）搜集網(wǎng)絡(luò)信息的常用工具FingerWhoisNslookupDigPingTraceroutePathpingVisualRouteSmartwhoisSamSpadeNeoTracePro網(wǎng)絡(luò)掃描TCP/IP協(xié)議的套節(jié)字和系統(tǒng)服務(wù)TCP和UDP系統(tǒng)服務(wù)的banner信息端口掃描的類型端口掃描程序主動、被動探測SuperscanNmap天眼漏洞掃描網(wǎng)絡(luò)安全掃描程序NessusISSScannerNAICyberCopScannerShadowScanner國產(chǎn)對抗網(wǎng)絡(luò)掃描的手段系統(tǒng)補(bǔ)丁Patch禁止與系統(tǒng)服務(wù)信息有關(guān)的回應(yīng)停止系統(tǒng)服務(wù)安裝防火墻軟件或者個人防火墻軟件使用入侵檢測系統(tǒng)提供系統(tǒng)安全的日志和審計功能一些小而有效的技巧網(wǎng)絡(luò)偵聽Sniffer原理網(wǎng)卡的工作模式廣播域集線器、交換機(jī)和路由器通用SnifferTcpdumpNAISnifferProNetX-RayIrisNetMonitorCommView網(wǎng)絡(luò)協(xié)議分析儀（Flock、HP公司）專用Sniffer口令SnifferSMBSnifferL0phtcrack其它服務(wù)的SnifferDsniff交換網(wǎng)絡(luò)下的Sniffer交換機(jī)的原理偽造MAC地址細(xì)化VLAN對抗SnifferAnfiSniff防止ARP欺騙數(shù)據(jù)加密通訊SSHSSLVPNPGP網(wǎng)絡(luò)攻擊拒絕服務(wù)攻擊Dos協(xié)議缺陷PingofDeathOOB缺陷WinNukeFlood攻擊UDPFloodSYNFloodIGMPFlood大量網(wǎng)絡(luò)應(yīng)用服務(wù)請求垃圾郵件系統(tǒng)內(nèi)部缺陷計算機(jī)病毒和木馬程序口令破解網(wǎng)絡(luò)欺騙（DNS欺騙、會話劫持）緩沖區(qū)溢出系統(tǒng)漏洞例：Windows2000輸入法漏洞服務(wù)器上的應(yīng)用代碼保護(hù)對策定期的安全掃描及時更新安全補(bǔ)丁停止系統(tǒng)上不必要的服務(wù)控制好文件訪問權(quán)限分布式拒絕服務(wù)攻擊模型事件對策木馬的防治入侵檢測系統(tǒng)網(wǎng)絡(luò)流量和服務(wù)器負(fù)荷的監(jiān)視路由器或防火墻的配置緩沖區(qū)溢出原理邊界檢查堆棧網(wǎng)絡(luò)服務(wù)請求對策安全編程知識使用代碼的質(zhì)量安全的編譯器和函數(shù)庫和代碼檢查工具口令破解口令的處理方法UNIXWindows系統(tǒng)98的.pwl文件NT和2000的散列表文件PWDump.exe網(wǎng)絡(luò)偵聽字典文件網(wǎng)格計算對策計算機(jī)病毒和木馬程序歷史種類引導(dǎo)區(qū)病毒文件病毒多變形病毒宏病毒網(wǎng)絡(luò)病毒網(wǎng)絡(luò)環(huán)境下的病毒傳播快速，無法全面清除來源多樣，更新快速危害巨大電子郵件文件下載及時通訊系統(tǒng)網(wǎng)絡(luò)資源共享幾種歷史上的主要病毒沖擊波（RPC漏洞）NimdaRedCode（可以攻擊IIS）美莉莎BO2000（木馬程序）CIH（破壞BIOS病毒）Dir2（多變形病毒）Stone（引導(dǎo)區(qū)病毒）病毒的發(fā)現(xiàn)和防&治病毒的掃描（靜態(tài)、被動）病毒防火墻（動態(tài)、主動）病毒庫免疫技術(shù)全面的策略建立病毒處理機(jī)制網(wǎng)絡(luò)端口的掃描企業(yè)級的防病毒產(chǎn)品SymantecNortanAntivirus企業(yè)版病毒防火墻網(wǎng)關(guān)防病毒產(chǎn)品郵件服務(wù)器防止其它類型入侵Windows2000系統(tǒng)的安全策略文件系統(tǒng)格式NTFS停止系統(tǒng)內(nèi)部不必要的服務(wù)嚴(yán)格帳戶管理，去除不必要的帳戶設(shè)定文件權(quán)限，嚴(yán)格文件的共享和讀寫權(quán)為所有用戶配置口令策略定期檢查安全列表checklistWindows系統(tǒng)IIS系統(tǒng)記錄日志配置審計功能安裝防病毒軟件和個人防火墻軟件安裝系統(tǒng)補(bǔ)丁使用安全掃描程序搞好系統(tǒng)備份和恢復(fù)機(jī)制磁盤拷貝技術(shù)雙機(jī)備份系統(tǒng)或者群集系統(tǒng)備份主機(jī)學(xué)會數(shù)據(jù)恢復(fù)技術(shù)如何保證IIS的安全案例：RedCode蠕蟲病毒尼母達(dá)NimadaIIS的安全檢查列表繁殖階段(每個月的1號到19號):受感染的主機(jī)隨機(jī)挑選IP地址，然后以TCP80端口試圖連接對方，以進(jìn)一步繁殖蠕蟲。根據(jù)不同的主機(jī)系統(tǒng)配置，表現(xiàn)為不同的感染狀況。病毒產(chǎn)生100個新的線程，99個線程用于感染其它的服務(wù)器，第100個線程用于檢查本機(jī)首頁RedCode發(fā)作特征受感染的主機(jī)的癥狀表現(xiàn)涂改所有從webserver上收到的web

頁面。未打補(bǔ)丁的Cisco

600系列DSL路由器會處理該HTTP請求，因而觸發(fā)一個系統(tǒng)漏洞，該漏洞會導(dǎo)致路由器停止轉(zhuǎn)發(fā)數(shù)據(jù)包。沒有運(yùn)行IIS但是安裝了HTTP服務(wù)器的系統(tǒng)，其偵聽端口是TCP80這種系統(tǒng)可能會接受該HTTP請求，返回一個“HTTP400BadRequest”消息，其訪問日志里可能記錄該請求。洪水模式(該月20-26日)對某固定IP地址進(jìn)行拒絕服務(wù)攻擊在7/20時所有被感染的機(jī)器回參與對白宮網(wǎng)站的自動攻擊.休眠期(27日之后)蠕蟲駐留在“休眠”；沒有活動連接或者停止拒絕服務(wù)攻擊。IIS被“紅色代碼”利用的漏洞IIS

的一些ISAPI擴(kuò)展.dlls

提供一些擴(kuò)展功能微軟IIS在缺省安裝情況下帶了一個索引服務(wù)器(IndexService)。缺省安裝時，IIS支持兩種腳本映射：管理腳本(.ida文件)、Inernet數(shù)據(jù)查詢腳本(.idq文件)。這兩種腳本都由一個ISAPI擴(kuò)展——idq.dll來處理和解釋

IIS被“紅色代碼”利用的漏洞漏洞:idq.dll在一段處理URL輸入代碼中存在一個未經(jīng)檢查的緩沖區(qū)，如果攻擊者提供一個特殊格式的URL，就可能引發(fā)一個緩沖區(qū)溢出。一個攻擊者與有這樣的idq.dll存在的server建立web會話，通過此會話發(fā)出緩沖區(qū)溢出攻擊，并在webserver上執(zhí)行代碼。嚴(yán)重的是idq.dll是以SYSTEM身份運(yùn)行的，可利用此漏洞取得系統(tǒng)管理員權(quán)限應(yīng)對方法微軟在2001年6月份發(fā)布的修復(fù)程序

MS01-033尼母達(dá)Nimada4種傳播方式IE瀏覽器:利用IE的一個安全漏洞

(微軟在2001年3月份已發(fā)布修復(fù)程序MS01-020)IIS服務(wù)器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.(補(bǔ)丁和RedCode一樣)電子郵件附件（極端危險）文件共享:針對所有未做安全限制的共享應(yīng)對方法安裝補(bǔ)丁使用殺毒軟件清除對所有的郵件附件進(jìn)行病毒檢查IIS系統(tǒng)的檢查表分區(qū)必須是NTFS格式IIS的目錄權(quán)限和NTFS文件系統(tǒng)權(quán)限配置日志功能為日后的審查提供信息清除特殊的腳本映射和組件清除遠(yuǎn)程管理和Sample文件使用IISLockdown使用來源可靠的源代碼IIS目錄設(shè)置推薦做法按文件類型建立目錄結(jié)構(gòu)對文件夾設(shè)置而不是文件配置屬性防止目錄設(shè)置重疊如設(shè)置ftp上載權(quán)限和IIS的網(wǎng)頁在同一個目錄如果不是必要刪除Web-basedPasswords.htrInternetDatabaseConnector.idcServer-sideIncludes.stm,.shtm,shtmlInternetPrinting.printerIndexServer.htw,.ida,idq清除不必要的映射移走不必要的文檔IISSamples \IISSamples c:\inetpub\iissamplesIISDocumentation \IISHelp c:\winnt\help\iishelp使用IISLockDown來完成上述工作對緩沖區(qū)溢出的問題代碼編寫人員的培訓(xùn)使用提供安全機(jī)制的開發(fā)工具使用特殊的工具軟件，提供邊界檢查的分析購買有足夠技術(shù)支持和實力的公司開發(fā)的代碼入侵檢測被動檢測主動檢測入侵檢測系統(tǒng)IDS原理分類基于主機(jī)基于網(wǎng)絡(luò)網(wǎng)絡(luò)入侵規(guī)則SnortWinpcap.exeSnort.exeIDScenter.exesnort.exe–vde–l./log–hIPaddress/24-csnort.conf日志審計和分析日志系統(tǒng)安全策略日志分析工具Web服務(wù)器的日志分析軟件Samwill數(shù)據(jù)加密技術(shù)原理明文密文密鑰加密算法加密和解密加密算法對稱密鑰（古典）——同一個密鑰DES數(shù)據(jù)加密標(biāo)準(zhǔn)3DESIDEA國際數(shù)據(jù)加密算法公開密鑰（現(xiàn)代\非對稱）——不同密鑰RSA公開密鑰的用途安全通訊對稱和非對稱算法的結(jié)合數(shù)字簽名數(shù)據(jù)的完整和真實加密用私鑰消息摘要函數(shù)MD5數(shù)字認(rèn)證第三方交換公鑰Kerberos安全通訊通訊內(nèi)容的安全通訊對象的確認(rèn)SSHVPN隧道技術(shù)鏈路層PPTP、L2TP網(wǎng)絡(luò)層IPSecSSL文件加密PGP網(wǎng)絡(luò)和計算機(jī)系統(tǒng)安全維護(hù)安全分析和弱點評估（定期）數(shù)據(jù)備份系統(tǒng)（日常）系統(tǒng)冗余配置不間斷電源應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機(jī)制安全知識的普及和審計（）系統(tǒng)補(bǔ)丁的安裝微軟公司的補(bǔ)丁分類關(guān)鍵更新（必須）Windows的升級驅(qū)動程序下載ServicePack下載特定的補(bǔ)丁程序使用WindowsUpdate使用微軟的SUSService提供自動補(bǔ)丁安裝WindowsXPSP2問題其它應(yīng)用程序的補(bǔ)丁安裝問題微軟推薦的安全工具BaselineSecurityAnalyzerMBSA使用HFNetChk來確定在一個系統(tǒng)中是否應(yīng)用了安全更新程序，MBSA是HFNetChk的功能的一個超集。HFNetChk

通過引用一個XML安全即時修復(fù)程序數(shù)據(jù)庫來完成此項工作，該數(shù)據(jù)庫由Microsoft不斷地更新。XML數(shù)據(jù)庫中包含了針對Microsoft產(chǎn)品有哪些補(bǔ)丁程序可供使用方面的信息。此文件包含安全公告的名稱和標(biāo)題等詳細(xì)信息。其中就包括相關(guān)的Microsoft知識庫文章編號鏈接。SoftwareUpdateServices（SUS）從微軟公司下載最新的SUS服務(wù)程序安裝并配置SUS與微軟的升級服務(wù)器同步簽發(fā)認(rèn)可的升級補(bǔ)丁組策略的配置管理SUSService在活動目錄下配置企業(yè)方式的升級策略定期簽發(fā)關(guān)鍵升級補(bǔ)丁為自己的局域網(wǎng)建立多個SUS服務(wù)群單機(jī)的組策略配置組策略編輯器gpedit.msc為管理模板添加組策略wuau在里面的Windows組件中配置WindowsUpdate策略配置自動更新和SUS的服務(wù)器位置活動目錄下的配置活動目錄下的組策略配置點擊“開始→程序→管理工具→ActiveDirectory用戶和計算機(jī)”，選擇“組織單元（OU）”，可以是域或者是是組，在“屬性”中選擇“組策略”，點擊“新建”，為該策略取名“SUS”，然后“編輯”，同上。自動安裝客戶端程序下載客戶端自動升級程序Wuau22chs.msi復(fù)制到SUS服務(wù)器的NETLOGON默認(rèn)共享目錄下（WINNT\SYSVOL\sysvol\DomainName\scripts下）在SUS組策略中配置“軟件設(shè)置”，在“軟件安裝”中選擇“新建→程序包”，在文件名中填入“\\ServerName\NETLOGON\WUAU22CHS.msi”，點擊“打開”，選擇“已指派”。SUS的問題Windows2000必須預(yù)安裝SP1包，否則沒有WUAU策略只提供關(guān)鍵性更新Windows98不支持防火墻原理和技術(shù)包過濾（網(wǎng)絡(luò)中的第二層）代理（網(wǎng)絡(luò)中的第三層和以上各層）狀態(tài)檢測NAT網(wǎng)絡(luò)地址翻譯防火墻產(chǎn)品ISAServerCheckPointFireWallCiscoIPXNetScreen安氏公司東方龍馬啟明星辰防火墻的部署FirewallInternetDMZInternalNetworkISAServerISA的安全特性通過ICSA認(rèn)證支持IP包過濾,進(jìn)程級過濾和應(yīng)用級過濾支持流媒體和多址廣播報表功能入侵檢測功能SystemHarden集中的安全控制安全信息網(wǎng)站微軟:其他:國內(nèi)：綠盟科技主要的殺毒軟件公司，比如：金山毒霸

安全規(guī)范和安全評估機(jī)構(gòu)TCSEC(美國1985)ITSEC(歐洲1991)CTCPEC(加拿大1993)FC(美國1992)CC(歐美1999)CNISTEC(中國1998)1、有時候讀書是一種巧妙地避開思考的方法。6月-236月-23Thursday,June8,20232、閱讀一切好書如同和過去最杰出的人談話。10:20:5310:20:5310:206/8/202310:20:53AM3、越是沒有本領(lǐng)的就越加自命不凡。6月-2310:20:5310:20Jun-2308-Jun-234、越是無能的人，越喜歡挑剔別人的錯兒。10:20:5310:20:5310:20Thursday,June8,2