網(wǎng)絡(luò)安全課件

網(wǎng)絡(luò)安全

安全很重要實(shí)際上你很無(wú)奈“你要力圖保護(hù)的是些什么資源?”“你需要防范誰(shuí)?”“你究竟需要什么級(jí)別的安全?”黑客HackerCracker和HackerKevinMitnick小莫里斯網(wǎng)絡(luò)入侵事件網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)安全維護(hù)人員和黑客之間的關(guān)系（白帽子和灰帽子）搜集網(wǎng)絡(luò)信息的常用工具FingerWhoisNslookupDigPingTraceroutePathpingVisualRouteSmartwhoisSamSpadeNeoTracePro網(wǎng)絡(luò)掃描TCP/IP協(xié)議的套節(jié)字和系統(tǒng)服務(wù)TCP和UDP系統(tǒng)服務(wù)的banner信息端口掃描的類型端口掃描程序主動(dòng)、被動(dòng)探測(cè)SuperscanNmap天眼漏洞掃描網(wǎng)絡(luò)安全掃描程序NessusISSScannerNAICyberCopScannerShadowScanner國(guó)產(chǎn)對(duì)抗網(wǎng)絡(luò)掃描的手段系統(tǒng)補(bǔ)丁Patch禁止與系統(tǒng)服務(wù)信息有關(guān)的回應(yīng)停止系統(tǒng)服務(wù)安裝防火墻軟件或者個(gè)人防火墻軟件使用入侵檢測(cè)系統(tǒng)提供系統(tǒng)安全的日志和審計(jì)功能一些小而有效的技巧網(wǎng)絡(luò)偵聽Sniffer原理網(wǎng)卡的工作模式廣播域集線器、交換機(jī)和路由器通用SnifferTcpdumpNAISnifferProNetX-RayIrisNetMonitorCommView網(wǎng)絡(luò)協(xié)議分析儀（Flock、HP公司）專用Sniffer口令SnifferSMBSnifferL0phtcrack其它服務(wù)的SnifferDsniff交換網(wǎng)絡(luò)下的Sniffer交換機(jī)的原理偽造MAC地址細(xì)化VLAN對(duì)抗SnifferAnfiSniff防止ARP欺騙數(shù)據(jù)加密通訊SSHSSLVPNPGP網(wǎng)絡(luò)攻擊拒絕服務(wù)攻擊Dos協(xié)議缺陷PingofDeathOOB缺陷WinNukeFlood攻擊UDPFloodSYNFloodIGMPFlood大量網(wǎng)絡(luò)應(yīng)用服務(wù)請(qǐng)求垃圾郵件系統(tǒng)內(nèi)部缺陷計(jì)算機(jī)病毒和木馬程序口令破解網(wǎng)絡(luò)欺騙（DNS欺騙、會(huì)話劫持）緩沖區(qū)溢出系統(tǒng)漏洞例：Windows2000輸入法漏洞服務(wù)器上的應(yīng)用代碼保護(hù)對(duì)策定期的安全掃描及時(shí)更新安全補(bǔ)丁停止系統(tǒng)上不必要的服務(wù)控制好文件訪問權(quán)限分布式拒絕服務(wù)攻擊模型事件對(duì)策木馬的防治入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)流量和服務(wù)器負(fù)荷的監(jiān)視路由器或防火墻的配置緩沖區(qū)溢出原理邊界檢查堆棧網(wǎng)絡(luò)服務(wù)請(qǐng)求對(duì)策安全編程知識(shí)使用代碼的質(zhì)量安全的編譯器和函數(shù)庫(kù)和代碼檢查工具口令破解口令的處理方法UNIXWindows系統(tǒng)98的.pwl文件NT和2000的散列表文件PWDump.exe網(wǎng)絡(luò)偵聽字典文件網(wǎng)格計(jì)算對(duì)策計(jì)算機(jī)病毒和木馬程序歷史種類引導(dǎo)區(qū)病毒文件病毒多變形病毒宏病毒網(wǎng)絡(luò)病毒網(wǎng)絡(luò)環(huán)境下的病毒傳播快速，無(wú)法全面清除來(lái)源多樣，更新快速危害巨大電子郵件文件下載及時(shí)通訊系統(tǒng)網(wǎng)絡(luò)資源共享幾種歷史上的主要病毒沖擊波（RPC漏洞）NimdaRedCode（可以攻擊IIS）美莉莎BO2000（木馬程序）CIH（破壞BIOS病毒）Dir2（多變形病毒）Stone（引導(dǎo)區(qū)病毒）病毒的發(fā)現(xiàn)和防&治病毒的掃描（靜態(tài)、被動(dòng)）病毒防火墻（動(dòng)態(tài)、主動(dòng)）病毒庫(kù)免疫技術(shù)全面的策略建立病毒處理機(jī)制網(wǎng)絡(luò)端口的掃描企業(yè)級(jí)的防病毒產(chǎn)品SymantecNortanAntivirus企業(yè)版病毒防火墻網(wǎng)關(guān)防病毒產(chǎn)品郵件服務(wù)器防止其它類型入侵Windows2000系統(tǒng)的安全策略文件系統(tǒng)格式NTFS停止系統(tǒng)內(nèi)部不必要的服務(wù)嚴(yán)格帳戶管理，去除不必要的帳戶設(shè)定文件權(quán)限，嚴(yán)格文件的共享和讀寫權(quán)為所有用戶配置口令策略定期檢查安全列表checklistWindows系統(tǒng)IIS系統(tǒng)記錄日志配置審計(jì)功能安裝防病毒軟件和個(gè)人防火墻軟件安裝系統(tǒng)補(bǔ)丁使用安全掃描程序搞好系統(tǒng)備份和恢復(fù)機(jī)制磁盤拷貝技術(shù)雙機(jī)備份系統(tǒng)或者群集系統(tǒng)備份主機(jī)學(xué)會(huì)數(shù)據(jù)恢復(fù)技術(shù)如何保證IIS的安全案例：RedCode蠕蟲病毒尼母達(dá)NimadaIIS的安全檢查列表繁殖階段(每個(gè)月的1號(hào)到19號(hào)):受感染的主機(jī)隨機(jī)挑選IP地址，然后以TCP80端口試圖連接對(duì)方，以進(jìn)一步繁殖蠕蟲。根據(jù)不同的主機(jī)系統(tǒng)配置，表現(xiàn)為不同的感染狀況。病毒產(chǎn)生100個(gè)新的線程，99個(gè)線程用于感染其它的服務(wù)器，第100個(gè)線程用于檢查本機(jī)首頁(yè)RedCode發(fā)作特征受感染的主機(jī)的癥狀表現(xiàn)涂改所有從webserver上收到的web

頁(yè)面。未打補(bǔ)丁的Cisco

600系列DSL路由器會(huì)處理該HTTP請(qǐng)求，因而觸發(fā)一個(gè)系統(tǒng)漏洞，該漏洞會(huì)導(dǎo)致路由器停止轉(zhuǎn)發(fā)數(shù)據(jù)包。沒有運(yùn)行IIS但是安裝了HTTP服務(wù)器的系統(tǒng)，其偵聽端口是TCP80這種系統(tǒng)可能會(huì)接受該HTTP請(qǐng)求，返回一個(gè)“HTTP400BadRequest”消息，其訪問日志里可能記錄該請(qǐng)求。洪水模式(該月20-26日)對(duì)某固定IP地址進(jìn)行拒絕服務(wù)攻擊在7/20時(shí)所有被感染的機(jī)器回參與對(duì)白宮網(wǎng)站的自動(dòng)攻擊.休眠期(27日之后)蠕蟲駐留在“休眠”；沒有活動(dòng)連接或者停止拒絕服務(wù)攻擊。IIS被“紅色代碼”利用的漏洞IIS

的一些ISAPI擴(kuò)展.dlls

提供一些擴(kuò)展功能微軟IIS在缺省安裝情況下帶了一個(gè)索引服務(wù)器(IndexService)。缺省安裝時(shí)，IIS支持兩種腳本映射：管理腳本(.ida文件)、Inernet數(shù)據(jù)查詢腳本(.idq文件)。這兩種腳本都由一個(gè)ISAPI擴(kuò)展——idq.dll來(lái)處理和解釋

IIS被“紅色代碼”利用的漏洞漏洞:idq.dll在一段處理URL輸入代碼中存在一個(gè)未經(jīng)檢查的緩沖區(qū)，如果攻擊者提供一個(gè)特殊格式的URL，就可能引發(fā)一個(gè)緩沖區(qū)溢出。一個(gè)攻擊者與有這樣的idq.dll存在的server建立web會(huì)話，通過(guò)此會(huì)話發(fā)出緩沖區(qū)溢出攻擊，并在webserver上執(zhí)行代碼。嚴(yán)重的是idq.dll是以SYSTEM身份運(yùn)行的，可利用此漏洞取得系統(tǒng)管理員權(quán)限應(yīng)對(duì)方法微軟在2001年6月份發(fā)布的修復(fù)程序

MS01-033尼母達(dá)Nimada4種傳播方式IE瀏覽器:利用IE的一個(gè)安全漏洞

(微軟在2001年3月份已發(fā)布修復(fù)程序MS01-020)IIS服務(wù)器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.(補(bǔ)丁和RedCode一樣)電子郵件附件（極端危險(xiǎn)）文件共享:針對(duì)所有未做安全限制的共享應(yīng)對(duì)方法安裝補(bǔ)丁使用殺毒軟件清除對(duì)所有的郵件附件進(jìn)行病毒檢查IIS系統(tǒng)的檢查表分區(qū)必須是NTFS格式IIS的目錄權(quán)限和NTFS文件系統(tǒng)權(quán)限配置日志功能為日后的審查提供信息清除特殊的腳本映射和組件清除遠(yuǎn)程管理和Sample文件使用IISLockdown使用來(lái)源可靠的源代碼IIS目錄設(shè)置推薦做法按文件類型建立目錄結(jié)構(gòu)對(duì)文件夾設(shè)置而不是文件配置屬性防止目錄設(shè)置重疊如設(shè)置ftp上載權(quán)限和IIS的網(wǎng)頁(yè)在同一個(gè)目錄如果不是必要?jiǎng)h除Web-basedPasswords.htrInternetDatabaseConnector.idcServer-sideIncludes.stm,.shtm,shtmlInternetPrinting.printerIndexServer.htw,.ida,idq清除不必要的映射移走不必要的文檔IISSamples \IISSamples c:\inetpub\iissamplesIISDocumentation \IISHelp c:\winnt\help\iishelp使用IISLockDown來(lái)完成上述工作對(duì)緩沖區(qū)溢出的問題代碼編寫人員的培訓(xùn)使用提供安全機(jī)制的開發(fā)工具使用特殊的工具軟件，提供邊界檢查的分析購(gòu)買有足夠技術(shù)支持和實(shí)力的公司開發(fā)的代碼入侵檢測(cè)被動(dòng)檢測(cè)主動(dòng)檢測(cè)入侵檢測(cè)系統(tǒng)IDS原理分類基于主機(jī)基于網(wǎng)絡(luò)網(wǎng)絡(luò)入侵規(guī)則SnortWinpcap.exeSnort.exeIDScenter.exesnort.exe–vde–l./log–hIPaddress/24-csnort.conf日志審計(jì)和分析日志系統(tǒng)安全策略日志分析工具Web服務(wù)器的日志分析軟件Samwill數(shù)據(jù)加密技術(shù)原理明文密文密鑰加密算法加密和解密加密算法對(duì)稱密鑰（古典）——同一個(gè)密鑰DES數(shù)據(jù)加密標(biāo)準(zhǔn)3DESIDEA國(guó)際數(shù)據(jù)加密算法公開密鑰（現(xiàn)代\非對(duì)稱）——不同密鑰RSA公開密鑰的用途安全通訊對(duì)稱和非對(duì)稱算法的結(jié)合數(shù)字簽名數(shù)據(jù)的完整和真實(shí)加密用私鑰消息摘要函數(shù)MD5數(shù)字認(rèn)證第三方交換公鑰Kerberos安全通訊通訊內(nèi)容的安全通訊對(duì)象的確認(rèn)SSHVPN隧道技術(shù)鏈路層PPTP、L2TP網(wǎng)絡(luò)層IPSecSSL文件加密PGP網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)安全維護(hù)安全分析和弱點(diǎn)評(píng)估（定期）數(shù)據(jù)備份系統(tǒng)（日常）系統(tǒng)冗余配置不間斷電源應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機(jī)制安全知識(shí)的普及和審計(jì)（）系統(tǒng)補(bǔ)丁的安裝微軟公司的補(bǔ)丁分類關(guān)鍵更新（必須）Windows的升級(jí)驅(qū)動(dòng)程序下載ServicePack下載特定的補(bǔ)丁程序使用WindowsUpdate使用微軟的SUSService提供自動(dòng)補(bǔ)丁安裝WindowsXPSP2問題其它應(yīng)用程序的補(bǔ)丁安裝問題微軟推薦的安全工具BaselineSecurityAnalyzerMBSA使用HFNetChk來(lái)確定在一個(gè)系統(tǒng)中是否應(yīng)用了安全更新程序，MBSA是HFNetChk的功能的一個(gè)超集。HFNetChk

通過(guò)引用一個(gè)XML安全即時(shí)修復(fù)程序數(shù)據(jù)庫(kù)來(lái)完成此項(xiàng)工作，該數(shù)據(jù)庫(kù)由Microsoft不斷地更新。XML數(shù)據(jù)庫(kù)中包含了針對(duì)Microsoft產(chǎn)品有哪些補(bǔ)丁程序可供使用方面的信息。此文件包含安全公告的名稱和標(biāo)題等詳細(xì)信息。其中就包括相關(guān)的Microsoft知識(shí)庫(kù)文章編號(hào)鏈接。SoftwareUpdateServices（SUS）從微軟公司下載最新的SUS服務(wù)程序安裝并配置SUS與微軟的升級(jí)服務(wù)器同步簽發(fā)認(rèn)可的升級(jí)補(bǔ)丁組策略的配置管理SUSService在活動(dòng)目錄下配置企業(yè)方式的升級(jí)策略定期簽發(fā)關(guān)鍵升級(jí)補(bǔ)丁為自己的局域網(wǎng)建立多個(gè)SUS服務(wù)群?jiǎn)螜C(jī)的組策略配置組策略編輯器gpedit.msc為管理模板添加組策略wuau在里面的Windows組件中配置WindowsUpdate策略配置自動(dòng)更新和SUS的服務(wù)器位置活動(dòng)目錄下的配置活動(dòng)目錄下的組策略配置點(diǎn)擊“開始→程序→管理工具→ActiveDirectory用戶和計(jì)算機(jī)”，選擇“組織單元（OU）”，可以是域或者是是組，在“屬性”中選擇“組策略”，點(diǎn)擊“新建”，為該策略取名“SUS”，然后“編輯”，同上。自動(dòng)安裝客戶端程序下載客戶端自動(dòng)升級(jí)程序Wuau22chs.msi復(fù)制到SUS服務(wù)器的NETLOGON默認(rèn)共享目錄下（WINNT\SYSVOL\sysvol\DomainName\scripts下）在SUS組策略中配置“軟件設(shè)置”，在“軟件安裝”中選擇“新建→程序包”，在文件名中填入“\\ServerName\NETLOGON\WUAU22CHS.msi”，點(diǎn)擊“打開”，選擇“已指派”。SUS的問題Windows2000必須預(yù)安裝SP1包，否則沒有WUAU策略只提供關(guān)鍵性更新Windows98不支持防火墻原理和技術(shù)包過(guò)濾（網(wǎng)絡(luò)中的第二層）代理（網(wǎng)絡(luò)中的第三層和以上各層）狀態(tài)檢測(cè)NAT網(wǎng)絡(luò)地址翻譯防火墻產(chǎn)品ISAServerCheckPointFireWallCiscoIPXNetScreen安氏公司東方龍馬啟明星辰防火墻的部署FirewallInternetDMZInternalNetworkISAServerISA的安全特性通過(guò)ICSA認(rèn)證支持IP包過(guò)濾,進(jìn)程級(jí)過(guò)濾和應(yīng)用級(jí)過(guò)濾支持流媒體和多址廣播報(bào)表功能入侵檢測(cè)功能SystemHarden集中的安全控制安全信息網(wǎng)站微軟:其他:國(guó)內(nèi)：綠盟科技主要的殺毒軟件公司，比如：金山毒霸

安全規(guī)范和安全評(píng)估機(jī)構(gòu)TCSEC(美國(guó)1985)ITSEC(歐洲1991)CTCPEC(加拿大1993)FC(美國(guó)1992)CC(歐美1999)CNISTEC(中國(guó)1998)1、有時(shí)候讀書是一種巧妙地避開思考的方法。6月-236月-23Thursday,June8,20232、閱讀一切好書如同和過(guò)去最杰出的人談話。10:20:5310:20:5310:206/8/202310:20:53AM3、越是沒有本領(lǐng)的就越加自命不凡。6月-2310:20:5310:20Jun-2308-Jun-234、越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。10:20:5310:20:5310:20Thursday,June8,2