《網絡安全基礎》

國內信息平安的熱點問題TCP/IP的網絡根本組成情況平安的根本元素攻擊者與攻擊方式網絡設備的平安問題講義內容整體介紹.年信息平安熱點問題軍事商業(yè)間諜事件開始浮出水面誤殺事件頻發(fā)平安管理能力提升成為最為需要的思考方向防火墻繼續(xù)硬件化道路的開展平安廠商的危機再次來臨做黑客站點被抓幾個G的攻擊流量不再陌生平安等級保護在我國全面推廣開始P2P等新應用也帶來了新的平安隱患.網絡攻擊變成了以經濟利益為目的犯罪最吸引國人眼球的應該是騰訊，2004年兩次QQ大規(guī)模無法使用，尤其是此后的勒索傳言，有人驚呼：中國網絡恐怖主義誕生了。入侵網站后販賣游戲帳號事件層出不窮。技術進步加上道德感的缺失，黑客們開始看清自己要的東西。

.已經有了眾多公開售賣SHELL的站點.“掛馬式〞攻擊的案例分析中國招商引資網://china228/站點最下方被填加惡意連接，是一次典型的掛馬式攻擊。://gowuyi/about_us/image/icyfox.htm.“當當網〞也沒有幸免.蠕蟲、病毒、網絡釣魚事件頻發(fā)MYDOOM/Netsky/Bagle/震蕩波/SCO炸彈/QQ尾巴/MSN射手等一系列新病毒和蠕蟲的出現，造成了巨大的經濟損失。而且病毒和蠕蟲的多樣化明顯，甚至蠕蟲編寫組織開始相互對抗，頻繁推出新版本。越來越多的間諜軟件，它們已經被更多的公司及個人利用，其目的也從初期簡單收戶信息演化為可能收集密碼、帳號等資料，大家還記得網銀大盜嗎？網絡釣魚，只看網絡釣客以“假網站〞試釣中國銀行、工商銀行等國內各大銀行用戶，就可以想見其猖獗程度了。.什么是網絡釣魚？.工行后續(xù)事件的追蹤涉案金額驚人.P2P下載謹防Real蛀蟲隨著BT下載以及播客的應用與繁榮，眾多網民熱衷于網上下載電影、電視等視頻文件，病毒開始瞄準這一傳播途徑大肆傳播。黑客最常用的視頻漏洞無疑應該是Real腳本漏洞。由于Real格式的視頻文件可以內嵌一個網址，并在翻開視頻文件時自動翻開內嵌的網址，因此許多黑客在一些熱門的視頻文件內嵌入一個帶有大量病毒的惡意網址。一旦網友下載并翻開了該視頻文件，即可從嵌入的惡意網址中下載大量的病毒，輕者電腦運行緩慢直至死機，嚴重的中毒電腦將會成為黑客手中肉雞，電腦內所有的數據和資料都可以被黑客輕易竊取。.警惕木馬“戀〞上賀歲大片.大學生自編黑客軟件盜款50余萬長沙某銀行多個用戶賬號被盜,近10萬元錢失蹤.民警經過4個月的調查得知,作案人竟是3個名牌大學的畢業(yè)生,他們通過“個人網上銀行〞平安漏洞,自編黑客軟件盜取用戶存款,長沙、上海等地20多名用戶受害,涉案金額高達50多萬元.5月2日,長沙某銀行儲戶李芳(化名)發(fā)現自己銀行賬號里的10050元存款離奇“蒸發(fā)〞,經查,該行共有10多名儲戶遭竊,近10萬元存款不翼而飛.經查,犯罪嫌疑人譚繼善、譚長庚、王裕新是高中同學,3人分別畢業(yè)于不同的名牌大學,畢業(yè)后長期糾合在一起.今年5月初,由于對工作不滿足,3人商量“搞錢〞.一次偶然時機,學計算機專業(yè)的譚繼善登錄某銀行網頁,發(fā)現網上銀行存在漏洞,于是編寫出一套黑客程序,套取局部儲戶的資料,在銀行專用機將錢取走.目前3人已被依法刑拘..股票“黑客〞獲刑一年.垃圾郵件與反垃圾郵件之間的斗爭愈演愈烈.“流氓軟件〞無空不入.誤殺事件頻頻發(fā)生.熊貓燒香所帶來的病毒產業(yè)化開展.主動防御成為了平安新名詞“主動防御〞主要包括兩個方面。一是在未知病毒和未知程序方面，通過“行為判斷〞技術，開發(fā)出了“危險行為監(jiān)控〞、“行為自動分析和診斷〞等技術。這些技術從動態(tài)和靜態(tài)兩個角度來判定程序的行為特征，可以識別大局部未被截獲的未知病毒和變種。除了識別未知病毒和變種之外，還將大力強化了系統(tǒng)漏洞管理模塊。一方面，該模塊強制掃描、主動修補系統(tǒng)漏洞，這樣的話，在相應的病毒乃至攻擊代碼出現之前，我們就堵死了它的傳播和攻擊渠道。另一方面，我們將對漏洞攻擊行為進行監(jiān)測，這樣可以防止病毒利用系統(tǒng)漏洞對其它計算機進行攻擊，從而阻止病毒的爆發(fā)?！爸鲃臃烙暺鋵嵤轻槍鹘y(tǒng)的“特征碼技術〞而言的。在傳統(tǒng)的反病毒方式中，平安軟件總是處于弱勢，只有病毒出現了，才能有病毒庫的更新，即便這之間的時間差很小，但仍然讓很多用戶遭受損失。主動防御根據病毒的行為模式，給用戶更多的信息，幫助完成對未知病毒的識別。.國家加強信息平安保障，公布系列文件信息平安等級保護逐漸成為當前國家重點開展的信息平安戰(zhàn)略。27號文件和66號文件等文件促進信息平安開展。1994年國務院公布了?中華人民共和國計算機信息系統(tǒng)平安保護條例?，條例中規(guī)定：我國的“計算機信息系統(tǒng)實行平安等級保護。平安等級的劃分標準和平安等級保護的具體方法，由公安部會同有關部門制定。〞?計算機信息系統(tǒng)平安保護等級劃分準那么?GB17859-1999的制定。這是一部強制性國家標準，是技術法規(guī)。2003年的?國家信息化領導小組關于加強信息平安保障工作的意見?(27號文件)中指出：“要重點保護根底信息網絡和關系國家平安、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級保護制度，制定信息平安等級保護的管理方法和技術指南〞。根據國家信息化領導小組的統(tǒng)一部署和安排，我國將在全國范圍內全面開展信息平安等級保護工作。.國家全力參與網絡打黃專項行動.國家出口路由封鎖.信息平安開展趨勢同時擁有高超的技術和偽裝手段的職業(yè)化攻擊者越來越多的出現在網絡世界中，他們目的性非常強。信息平安即國家平安，我國政府已經清楚的認識到信息平安的重要性，大力整改網絡空間中的問題。.國內信息平安的熱點問題TCP/IP的網絡根本組成情況平安的根本元素攻擊者與攻擊方式網絡設備的平安問題網絡平安技術防護體系介紹講義內容整體介紹.協(xié)議－－ISO/OSI協(xié)議分層應用層表示層會話層傳輸層數據鏈路層物理層網絡層數據鏈路層.協(xié)議－－ISO/OSI協(xié)議分層(cont.)物理層：涉及在物理信道上傳輸原始比特，處理與物理傳輸介質有關的機械的、電氣的和過程的接口。數據鏈路層：分為介質訪問控制〔MAC〕和邏輯鏈路控制〔LLC〕兩個子層。MAC子層解決播送型網絡中多用戶競爭信道使用權問題。LLC的主要任務是將有噪聲的物理信道變成無傳輸過失的通信信道，提供數據成幀、過失控制、流量控制和鏈路控制等功能。網絡層：負責將數據從物理連接的一端傳到另一端，即所謂點到點，通信主要功能是尋徑，以及與之相關的流量控制和擁塞控制等。.協(xié)議－－ISO/OSI協(xié)議分層(cont.)傳輸層：主要目的在于彌補網絡層效勞與用戶需求之間的差距。傳輸層通過向上提供一個標準、通用的界面，使上層與通信子網〔下三層〕的細節(jié)相隔離。傳輸層的主要任務是提供進程間通信機制和保證數據傳輸的可靠性。會話層：主要針對遠程終端訪問。主要任務包括會話管理、傳輸同步以及活動管理等。表示層：主要功能是信息轉換，包括信息壓縮、加密、與標準格式的轉換〔以及上述各操作的逆操作〕等等。應用層：提供最常用且通用的應用程序，包括電子郵件〔E-mail〕和文電傳輸等。.應用層表示層會話層傳輸層網絡層數據鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI參考模型Internet協(xié)議簇OSI參考模型與Internet協(xié)議簇注解：通過對每一個協(xié)議簇中各種協(xié)議結構的詳細了解，就可以非常輕松的針對包過濾型、應用代理型等防火墻的ACL〔訪問控制列表〕進行制定和理解，并有助于了解防火墻的架構體系。.協(xié)議－－TCP/IP協(xié)議分層應用層傳輸層網間網層網絡接口層.協(xié)議－－TCP/IP協(xié)議分層應用層：向用戶提供一組常用的應用程序，比方文件傳輸訪問、電子郵件、遠程登錄等。用戶完全可以在“網間網〞之上〔即傳輸層之上〕，建立自己的專用應用程序，這些專用應用程序要用到TCP/IP，但不屬于TCP/IP。傳輸層〔TCP/UDP〕：提供給用程序間〔即端到端〕的可靠〔TCP〕或高效〔UDP〕的通信。其功能包括：格式化信息流及提供可靠傳輸。傳輸層還要解決不同應用程序的識別問題。網間網層〔IP〕：負責相鄰計算機之間的通信。其功能包括：處理來自傳輸層的分組發(fā)送請求；處理輸入數據包；處理ICMP報文。網絡接口層：TCP/IP協(xié)議的最低層，負責接收IP數據報并通過網絡發(fā)送，或者從網絡上接收物理幀，抽出IP數據包，交給IP層。.TCP/IP效勞注解：通過該效勞體系的理解，大家一定要了解清楚IP包過濾型防火墻中的TCP協(xié)議簇包括那些具體協(xié)議、UDP協(xié)議簇包括那些具體協(xié)議，并要特別注意怎樣通過防火墻的ICMP協(xié)議去平安有效的控制PING命令的執(zhí)行。.SMTP-SimpleMailTransferProtocol,用于發(fā)送、接收電子郵件。TELNET-可以遠程登陸到網絡的每個主機上，直接使用他的資源。FTP-FileTransferProtocol,用于文件傳輸。DNS-DomainNameService,被TELNET、FTP、WWW及其它效勞所用，可以把主機名字轉換為IP地址。WWW-WorldWideWeb,是FTP、gopher、WAIS及其它信息效勞的結合體,使用超文本傳輸協(xié)議()。TCP/IP效勞(cont.).RPC-遠程過程調用效勞。如NFS-NetworkFileSystem,可允許系統(tǒng)共享目錄與磁盤。NIS-NetworkInformationServices,網絡信息效勞容許多個系統(tǒng)共享數據庫,如passwordfile容許集中管理。XWindowSystem：一個圖形化的窗口系統(tǒng)。Rlogin、rsh、及其它“r〞效勞。運用相互信任的主機的概念，在其它系統(tǒng)上可以執(zhí)行命令且不要求password。TCP/IP效勞(cont.).IPIP協(xié)議的主要內容包括無連接數據報傳送、數據報尋徑及過失處理三局部。IP層作為通信子網的最高層，屏蔽底層各種物理網絡的技術環(huán)節(jié)，向上〔TCP層〕提供一致的、通用性的接口，使得各種物理網絡的差異性對上層協(xié)議不復存在。IP數據報分為報頭和數據區(qū)兩局部，IP報頭由IP協(xié)議處理，是IP協(xié)議的表達；數據體那么用于封裝傳輸層數據或過失和控制報文〔ICMP〕數據，由TCP協(xié)議或ICMP協(xié)議處理。.TCPTCP是傳輸層的重要協(xié)議之一，提供面向連接的可靠字節(jié)流傳輸。面向連接的TCP要求在進行實際數據傳輸前，必須在信源端與信宿端建立一條連接。且面向連接的每一個報文都需接收端確認，未確認報文被認為是出錯報文，出錯的報文協(xié)議要求出錯重傳。TCP采用可變窗口進行流量控制和擁塞控制以保證可靠性。分組是TCP傳輸數據的根本單元，分TCP頭和TCP數據體兩大局部。.UDPUDP是傳輸層的重要協(xié)議之一；基于UDP的效勞包括NIS、NFS、NTP及DNS等。UDP不是面向連接的效勞，幾乎不提供可靠性措施；因此，基于UDP的效勞具有較高的風險。.TCP與UDP端口一個TCP或UDP連接由下述要素唯一確定：源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用協(xié)議端口標識通信進程，端口是一種抽象的軟件結構〔包括一些數據結構和I/O緩沖區(qū)〕。應用程序〔即進程〕通過系統(tǒng)調用與某些端口建立連接后，傳輸層傳給該端口的數據被相應進程所接收。接口又是進程訪問傳輸效勞的人口點。每個端口擁有一個叫端口號的16位整數標識符，用于區(qū)分不同端口。TCP和UDP軟件分別可以提供65536個不同的端口。端口有兩局部，一局部是保存端口〔端口號小于1024，對應于效勞器進程〕，一局部是自由端口〔以本地方式分配〕。.某些效勞進程通常對應于特定的端口。如SMTP為25，XWINDOWS為6000?？蛻羰褂枚丝谔柤澳康牡豂P地址初始化與一個特定主機或效勞的連接。TCP與UDP端口(cont.).國內信息平安的熱點問題TCP/IP的網絡根本組成情況網絡平安的根本元素攻擊者與攻擊方式網絡設備的平安問題講義內容整體介紹.平安是什么？網絡平安〔通俗的解釋〕一種能夠識別和消除不平安因素的能力平安是一個持續(xù)的過程.平安是一種特殊商品我的PC中的軟件：MSWord2000，微軟公司2000年出品，安裝后從未升過級Norton防病毒系統(tǒng)，Symantec公司2002年出品，最近一次升級時間是2天以前對于我們正在使用的軟件價值來說，我們關心Symantec的健康要比對微軟的關心強很多倍.平安系統(tǒng)的時間特性平安產品的平安能力隨時間遞減；根底設施隨時間增加積累越來越多的全缺陷；平安產品升級可以提高系統(tǒng)的平安保護能力；根底設施修補漏洞；根底設施發(fā)生結構性變化〔原有的平安系統(tǒng)全面失效〕；應用系統(tǒng)發(fā)生變化；平安維護人員知識技能提高〔平安性提高〕；人員變動〔保護能力突變，平安風險增加〕；.為什么我們不能杜絕攻擊事件的發(fā)生日趨精密的攻擊以及以INTERNET為根底的技術快速開展由于IT技術人員和資金的缺乏無法獲得更多的資源沒有被充分保護的系統(tǒng)大量的快速的部署.復雜程度Internet技術的飛速增長InternetEmailWeb瀏覽Intranet站點電子商務電子政務電子交易時間.百分之百的平安？開放最少效勞提供最小權限原那么平安既需求平衡過分繁雜的平安政策將導致比沒有平安政策還要低效的平安。需要考慮一下平安政策給合法用戶帶來的影響在很多情況下如果你的用戶所感受到的不方便大于所產生的平安上的提高，那么執(zhí)行的平安策略是實際降低了你公司的平安有效性。.百分之百的平安？“真空中〞的硬盤才是絕對平安平安平衡和平安策略.全面的看待平安的平衡問題Confidentiality保密性Availability可用性Integrity完整性.安全需求平衡平安需求平衡為平安設計考慮的根本.建立有效的平安矩陣允許訪問控制容易使用合理的花費靈活性和伸縮性優(yōu)秀的警報和報告.黑客的分類偶然的破壞者——大多數堅決的破壞者——特殊動機商業(yè)和軍事間諜.平安的根本元素審計管理加密訪問控制用戶驗證平安策略.平安元素1：平安策略為你的系統(tǒng)分類指定危險因數確定每個系統(tǒng)的平安優(yōu)先級定義可接受和不可接受的活動決定在平安問題上如何教育所有員工確定誰管理你的政策.系統(tǒng)分類——平安分類級別級別數據系統(tǒng)安全級別3：

日常工作

桌面電腦一些用于操作的數據一般的系統(tǒng)，數據丟失不會導致公司商業(yè)行為癱瘓一般的安全策略和防范級別2：

較重要

非關鍵業(yè)務系統(tǒng)如果數據保護不好的話會使公司產生極大的風險操作系統(tǒng)或電子商務在線系統(tǒng)，宕機時間不能超過48小時一般的安全策略+特殊的監(jiān)視、審計和恢復策略級別1：

最重要

商務運行至關重要的系統(tǒng)高度保護的重要數據，如商業(yè)機密和客戶資料等重要任務級的系統(tǒng)，系統(tǒng)停止運行不能超過幾個小時，如證書服務器，Web服務器安全分析及擴展的安全機制，系統(tǒng)級別的審計、監(jiān)視和安全功能.平安策略細分明智的為系統(tǒng)分類E-mail效勞器CEO的筆記本Web效勞器(機器流量/信息敏感度/系統(tǒng)性質)資源優(yōu)先級劃分一個危險優(yōu)先級列表和—個行動列表哪種級別需最大平安/時間和金錢的花費指定危險因數危險因數指的是一個黑客攻擊某種資源的可能性.平安策略細分定義可接受和不可接受的活動將策略應用到資源上最正確性能價格比.平安策略細分定義教育標準指派策略管理級別需要的知識用戶對一些安全威脅和漏洞敏感,要對保護公司的信息和資源引起重視執(zhí)行者需要達到熟悉公司安全知識的級別并做出使用信息安全程序的決策 管理者尋找、開發(fā)防止威脅和漏洞的技能，并把它們整合到安全策略中，來滿足系統(tǒng)和資源安全的需要.平安元素2：加密加密類型Symmetric〔對稱加密〕Asymmetric〔非對稱加密〕Hash〔哈希算法多用在一些簽名算法的應用中例如MD5SHA等〕.加密的優(yōu)勢數據保密性這是使用加密的通常的原因。通過小心使用數學方程式，你可以保證只有特定的接受者才能查看內容。數據完整性對需要更安全來說數據保密是不夠的。數據仍能夠被非法破解并修改。一種叫HASH的運算方法能確定數據是否被修改過。更安全。認證數字簽名提供認證服務不可否定性數字簽名允許用戶證明信息交換確實發(fā)生過，金融組織尤其依賴于這種方式的加密，用于電子貨幣交易.平安元素3：認證認證方法whatyouknow？常用密碼認證方式whatyouhave？智能卡，磁卡，雙因素數字卡等whoyouare？物理，生理上的特征認證，比方指紋，聲音識別whereyouare？原始IP地址驗證.特殊的認證技術一次性密碼〔OTP〕Kerberos到效勞器的身份認證更高效相互身份認證.平安元素4：訪問控制訪問控制列表〔ACL〕Objects執(zhí)行控制列表〔ECL〕.平安元素5：審計被動式審計簡單地記錄一些活動，并不做什么處理主動式審計結束一個登陸會話拒絕一些主機的訪問(包括WEB站點，FTP效勞器和e-mail效勞器)跟蹤非法活動的源位置.平安元素6：管理“三分技術、七分管理〞管理要表達在細節(jié)的執(zhí)行力管理也需要技巧與“中國特色〞.國內信息平安的熱點問題TCP/IP的網絡根本組成情況網絡平安的根本元素攻擊者與攻擊方式網絡設備的平安問題講義內容整體介紹.典型的攻擊方式及平安規(guī)那么前門攻擊和暴力破解法BUG和后門社會工程和非直接攻擊.攻擊的分類社交工程學和非直接攻擊前門攻擊后門攻擊.非直接攻擊的介紹目標的信息收集踩點社交工程學的欺騙網絡釣魚的技術分析拒絕效勞攻擊可怕的搜索引擎自己也可以搜索的方法.目標主機的信息收集踩點NSLOOKUPTRACERTSNMP信息收集效勞器實地勘察WHOIS查詢與旁注攻擊.社交工程學的攻擊案例.郵件病毒是最常采用社交工程學攻擊方式.欺騙用戶執(zhí)行或者訪問惡意程序和站點.什么是DoS/DDoS攻擊？.拒絕效勞攻擊的可怕針對TCP/IP協(xié)議網絡層的攻擊行為針對應用層程序的壓力拒絕效勞攻擊例如QQ軟件.針對網絡層的協(xié)議拒絕效勞攻擊.針對應用軟件的拒絕效勞攻擊.搜索引擎也可以成為攻擊者的輔助工具.擴大攻擊范圍尋找可利用突破目標.前門攻擊特殊字符繞過口令驗證通過網絡進行暴力口令猜解本地文件密碼破解從網絡中直接嗅嘆收集密碼無需口令也可以進入效勞器的另類方法.腳本驗證過程的可繞過漏洞.容易獲取的ADSL上網帳號.后門攻擊SQL的注射攻擊ARP欺騙的“中間人攻擊〞.SQL注射式攻擊介紹數據型字符型搜索型.利用簡單的出錯信息來判斷是否存在.搜索型.數據型注射式攻擊.年國內信息平安的熱點問題TCP/IP的網絡根本組成情況網絡平安的根本元素攻擊者與攻擊方式網絡設備的平安問題講義內容整體介紹.網絡設備的多樣形路由器交換機根本的網絡連接設備網絡打印機等辦公設備開展趨勢越來越多的應用集成在一個硬件中來實現，比方家用電器的上網等等。.目前網絡設備面臨的平安威脅攻擊者利用Tracert/SNMP命令很容易確定網絡路由設備位置和根本結構成為新一代DDOS攻擊的首選目標泄露網絡拓撲結構成為攻擊者的攻擊跳板(telnetping命令的使用)交換機楨聽口的平安問題.路由器缺省帳號設備用戶名密碼級別Bay路由器UsernulluserManagernullmanagerCisco路由器〔telnet〕cuser〔telnet〕ciscouser〔enable〕ciscomanagerShiva root nullmanagerGuestnulluserWebrampwradmintracellmanagerMotorolacablecomroutermanager3comsecuritysecuritymanager.Cisco路由器密碼非加密和弱加密enablepassword7011B03085704linevty04password7130B12061B03132F39loginMD5加密enablesecret5$1$uh9n$2yBbtgtNsSdz46yodGnOE0.對其中的簡單加密的密碼進行直接解密.CISCOMD5加密HASH的本地暴力破解.SNMP協(xié)議版本SNMPv1，SNMPv2，SNMPv3SnmpAgentMIB輪循〔polling-only〕和中斷〔interupt-based〕CommunityStringSNMP網管軟件Solarwinds,HPOpenview,IBMNetview.十種最易受攻擊端口某組織I-Trap曾經收集了來自24個防火墻12小時工作的數據，這些防火墻分別位于美國俄亥俄州24個企業(yè)內網和本地ISP所提供的Internet主干網之間。其間，黑客攻擊端口的事件有12000次之多，下表是攻擊的詳細情況。

..SNMP泄露網絡拓撲結構.利用SNMP的團體字下載CISCO的配置文件.專門針對SNMP的暴力破解程序.CISCOSNMP的越權訪問查詢可寫團體字.SNMP解決方法修改默認的communitystringsnmp-servercommunitymy_readonlyROsnmp-servercommunitymy_readwriteRW添加訪問控制規(guī)那么〔ACL〕access-list110permitudp02anyeq161logaccess-list110denyudpanyanyeq161loginterfacef0/0ipaccess-group110關閉SNMP支持nosnmp-server.Cisco路由器80端口漏洞〔二〕越權訪問如果開放了80端口，將允許任意遠程攻擊者獲取該設備的完全管理權限。構造一個如下的URL:://ip/level/xx/exec/其中xx是一個16-99之間的整數，不同設備可能不同。例如://20/level/19/exec/show%20config.CISCOWEB接口的越權訪問管理.路由器平安配置物理訪問控制密碼恢復機制密碼策略enablesecretvsenablepaswordservicepassword-encryption交互訪問控制〔console,aux,vty〕lineconsole|aux|vtyloginpasswordnetpoweripaccess-class88exec-timeout300.路由器平安配置SNMP配置snmp-servercommunitymycommrwsnmp-serverpartyauthenticationmd5snmp-servertrap-sourceEthernet0snmp-serverhost91sercetpasswdnosnmp-serverHTTP配置ipauthenticationipaccess-classnoip.路由器平安配置審計aaaloggingaaaaccountingsnmp-traploggingsnmp-servertrapsystemloggingloggingconsoleloggingtraploggingmonitor防止欺騙

anti-spoofingwithaccesslistsaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyiphostany

.路由器平安配置控制播送noip-directedbroadcast禁止源路由noipsource-route禁止路由重定向access-list110denyicmpanyany5路由協(xié)議過濾和驗證.路由器平安配置關閉不需要的效勞noservicefingernontpenablenocdpenablenoservicetcp-small-serversnoserviceudp-small-servers更多請參考：://cisco/warp/public/707/21.html://cisco/warp/public/707/advisory.html.全球超過30萬個黑客站點提供系統(tǒng)漏洞和攻擊知識，國內有將近1000個。越來越多的容易使用的攻擊軟件的出現過去國內法律制裁打擊力度不夠近期國家已經逐漸加大了法律和制裁力度網絡普及使學習攻擊變得容易..DMZE-Mail

FileTransferHTTPIntranet企業(yè)網絡生產部工程部市場部人事部路由Internet中繼外部個體外部/組織內部個體內部/組織不平安因素的來源定位..不安全的安全的安全策略實際安全到達標準安全間隙未知平安間隙不容無視.課程小結

本課程先從近年來網絡平安的熱點問題介紹開始，然后體系化的介紹了TCP/IP網絡的組成與分層情況。然后以介紹網絡平安中重要元素和常見的網絡平安黑客攻擊方式與防護方式，同時還側重的介紹了網絡根底設備的常見平安問題與漏洞。.WINDOWS系統(tǒng)平安提綱引導平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理.禁止從軟盤和CD－ROM啟動系統(tǒng),并給BIOS設置密碼。不要與其他操作系統(tǒng)共存安裝。引導平安.引導平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理WINDOWS系統(tǒng)平安提綱.改變默認的系統(tǒng)安裝目錄〔c:\winnt〕使用NTFS格式化磁盤盡可能地少安裝windows組件盡可能地少安裝第三方應用軟件工作組成員而不是域控制器安裝最新servicepack及其他最新補丁.刪除多余的系統(tǒng)帳號合理分配帳號的組權限更名默認的系統(tǒng)帳號Administrator、Guest等帳號管理.如何更名默認的系統(tǒng)帳號.所有平安強壯的密碼至少要有以下四方面內容的三種：大寫字母、小寫字母、數字、非字母數字的字符，如標點符號等。平安的密碼還要符合以下的規(guī)那么：不使用普通的名字或昵稱；不使用普通的個人信息，如生日日期；密碼里不含有重復的字母或數字；至少使用八個字符另外，應該還要求用戶60天必須修改一次密碼。以下舉例說明強壯密碼的重要性：假設密碼設置為6位〔包括任意五個字母和一位數字或符號〕，那么其可能性將近有163億種。不過這只是是理論估算，實際上密碼比這有規(guī)律得多。例如，英文常用詞條約5000條，從5000個詞中任取一個字母與一個字符合成口令，僅有688萬種可能性，在一臺賽揚600〔CPU主頻〕的計算機上每秒可運算10萬次，那么破解時間僅需1分鐘！即使采用窮舉方法，也只需9個小時；因此6位密碼十分不可靠。而對于8位密碼〔包括七個字母和一位數字或符號〕來說，假設完全破解，那么需要將近三年的時間。因此，密碼不要用全部數字，不要用自己的中英文名，不要用字典上的詞，一定要數字和字母交替夾雜，并最好參加@#$%!&*?之類的字符。.如何強制使用平安強壯的密碼.設置帳號鎖定策略防止暴力猜解口令。建議：嘗試5次失敗鎖定；鎖定30分鐘.如何設置帳戶鎖定策略.設置平安選項登陸屏幕上不要顯示上次登陸的用戶名對匿名連接的限制用戶試圖登陸時的消息標題用戶試圖登陸時的消息內容在關機時清理虛擬內存頁面交換文件.如何設置平安選項.合理設置目錄及文件權限windows默認情況下Everyone對所有盤符都具有完全控制的權限，這是很危險的，尤其是對于有些重要的系統(tǒng)及效勞目錄例如IIS的根目錄等。另外當我們新建一個共享目錄時，默認情況下也是Everyone具有完全控制的權限。我們需要改變這種不平安的權限設置。.如何設置目錄及文件權限.如何設置目錄及文件權限.刪除默認共享

WindowsNT/2000出于管理的目的自動地建立了一些默認共享，包括C$，D$磁盤共享以及ADMIN$目錄共享等。盡管它們僅僅是針對管理而配置的，但卻隱藏了一定的風險，成為方便攻擊者入侵的途徑。.如何刪除默認共享.如何刪除默認共享我們翻開注冊表，找到主鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters針對server：創(chuàng)立一個叫AutoShareServer的雙字節(jié)〔DWORD〕鍵名，鍵值為0。針對workstation：創(chuàng)立一個叫AutoShareWks的雙字節(jié)〔DWORD〕鍵名，鍵值為0。.加強對平安帳號管理器(SAM)數據庫的管理在WindowsNT/2000中，關于本機或者域的所用平安機制信息以及用戶帳號信息都存放在平安帳號管理器(SAM)數據庫中。平安帳號管理器〔SAM〕數據庫在磁盤上的具體位置就是保存在系統(tǒng)安裝目錄下的system32\config\中的SAM文件，在這個目錄下還包括一個Security文件，也是平安數據庫的內容。平安帳號管理器〔SAM〕數據庫中包含所有組、帳戶的信息，包括密碼HASH結果、帳戶的SID等。另外在系統(tǒng)安裝目錄下的repair目錄下也有SAM文件，這是每次生成系統(tǒng)修復盤時創(chuàng)立的備份。所以應該特別小心這個repair目錄下的SAM文件，嚴格限制訪問權限，并加強對這個SAM文件的審核。.禁止不必要的效勞WindowsNT/2000系統(tǒng)中有許多用不著的效勞自動處于激活狀態(tài)，它們中可能存在的平安漏洞使攻擊者甚至不需要賬戶就能控制機器.為了系統(tǒng)的平安，應把不必要的功能效勞及時關閉，從而大大減少平安風險。.如何停止不必要的系統(tǒng)效勞.防范NetBIOS漏洞攻擊NetBIOS〔NetworkBasicInputOutputSystem，網絡根本輸入輸出系統(tǒng)〕，是一種應用程序接口〔API〕，系統(tǒng)可以利用WINS〔管理計算機netbios名和IP影射關系〕效勞、播送及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址，從而實現信息通訊。在局域網內部使用NetBIOS可以非常方便地實現消息通信，但是如果在互聯網上，NetBIOS就相當于一個后門程序，很多攻擊者都是通過NetBIOS漏洞發(fā)起攻擊。.如何防范NetBIOS漏洞攻擊.啟用TCP/IP篩選TCP/IP篩選就像一個簡單的包過濾防火墻，用來控制連接本機的網絡協(xié)議和端口。.如何設置TCP/IP篩選.限制危險命令的使用把一些工具從你的NT目錄中轉移到一個只有系統(tǒng)管理員能夠訪問的隱藏目錄。例如：arp.exe，asdial.exe，at.exe，atsvc.exe，cacls.exe，cmd.exe，cscript.exe，debug.exe，edit，edlin.exe，finger.exe，ftp.exe，ipconfig.exe，nbtstat.exe，net.exe，netstat.exe，nslookup.exe，ping.exe，posix.exe，qbasic.exe，rcp.exe，rdisk.exe，regedit.exe，regedt32.exe，rexec.exe，route.exe，rsh.exe，runonce.exe，secfixup.exe，syskey.exe，telnet.exe，tracert.exe，wscript.exe，xcopy.exe，或者干脆刪除掉其中不經常使用的系統(tǒng)程序。.加固IIS效勞器的平安Windows系統(tǒng)近幾年的攻擊都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通過利用IIS的一些漏洞入侵并且開始傳播的。由于NT/2000系統(tǒng)上使用IIS作為WWW效勞程序居多，再加上IIS的脆弱性以及與操作系統(tǒng)相關性，整個NT/2000系統(tǒng)的平安性也受到了很大的影響。通過IIS的漏洞入侵來獲得整個操作系統(tǒng)的管理員權限對于一臺未經平安配置的機器來說是輕而易舉的事情，所以，配置和管理好你的IIS在整個系統(tǒng)配置里面顯得舉足輕重了。.如何加固IIS效勞器的平安改變IIS默認安裝的根目錄。 例如將默認的C:\inetpub移到D:\web、E:\FTP；將web和FTP根目錄分別放在不同的分區(qū)，防止利用Unicode等漏洞遍歷目錄以及利用文件上傳導致塞滿此盤空間。刪除所有默認的映射目錄和所對應的真實目錄。刪除不需要的應用程序映射。禁止Frontpage擴展效勞。限制連接數和性能。使用SSL〔SecureSocketsLayer〕每次更改IIS配置后都需要重新安裝IIS的補丁，并在安裝后重新檢查IIS配置。..Windows系統(tǒng)平安提綱引導平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理.設置審核策略Windows日志IIS日志TaskScheduler日志系統(tǒng)帳號帳號配置文件及目錄系統(tǒng)效勞后臺進程自啟動程序.設置審核策略審核是開啟日志記錄功能的必需條件。有些審核日志記錄在windows日志中；另有些審核日志記錄在其自己特有的日志中。.如何設置審核策略.如何設置審核策略.如何設置終端效勞審核策略.Windows日志.Windows日志.IIS日志.IIS日志.TaskScheduler日志.TaskScheduler日志.系統(tǒng)帳號.系統(tǒng)帳號.系統(tǒng)帳號.帳號配置文件.帳號配置目錄.系統(tǒng)效勞.后臺進程.后臺進程.后臺進程－連接狀態(tài).自啟動程序啟動文件〔開始－程序－啟動〕系統(tǒng)注冊表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServersHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers.引導平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理WINDOWS系統(tǒng)平安提綱.平時對效勞器的操作用普通用戶登陸；需要特權管理時再改為管理員身份登陸。在效勞器上絕對不能上網，例如瀏覽Web頁面、OQ聊天等。不要把密碼放在容易被別人看到的地方。加強數據備份。管理平安.Windows系統(tǒng)平安小結操作系統(tǒng)平安的防護工作永無止境，按照以上推薦的方法進行安裝和配置只是防護系統(tǒng)平安的開始。為Windows2000/XP/2003系統(tǒng)提供平安的運行環(huán)境需要不斷地努力，因此我們建議你至少應該做到以下幾條：啟動系統(tǒng)自動平安更新，安裝最新的SP〔servicepack〕及HotFix。定期運行平安掃描工具分析系統(tǒng)，確保沒有遺漏任何補丁程序；微軟提供了一個叫MicrosoftBaselineSecurityAnalyzer的工具，可以定期檢測系統(tǒng)漏洞，IIS漏洞，弱帳號等等。.UNIX系統(tǒng)根本平安知識和平安配置.UNIX系統(tǒng)概況什么是UNIX?UNIX是:1.Novell公司的注冊商標2.多任務、多用戶的操作系統(tǒng)3.相關操作系統(tǒng)應用工具、編譯程序的總稱4.功能豐富的可擴展、開放的計算環(huán)境.UNIX簡介在互聯網上應用最廣種類最多有多家廠商提供不同的版本.UNIX變種關系圖.系統(tǒng)平安根底平安來自于平安配置的操作系統(tǒng)許多平安問題源于系統(tǒng)的部署和薄弱的配置… 1.默認配置 2.改變的二進制代碼 3.未授權訪問.默認配置與默認配置有關的系統(tǒng)風險: 1.許多特征與效勞是可用的； 2.默認的用戶賬戶被翻開:3.Guest賬戶4.空口令賬戶 5.寬松的訪問控制.改變的二進制代碼攻擊者可能會利用弱配置的系統(tǒng)，改變的系統(tǒng)文件或植入木馬程序.損害的操作系統(tǒng)呈現以下的危險：有可進入系統(tǒng)的后門2.密碼泄露3.系統(tǒng)平安措施失效4.不可靠的系統(tǒng)或審計日志.未授權訪問默認賬戶或合法用戶賬戶僅通過簡單的口令進行防護，這為攻擊者提供一個進入系統(tǒng)的簡單的攻擊點。具有合法用戶權限的攻擊者利用權限提升的漏洞來獲得管理員權限一些提供遠程效勞的進程沒有限制訪問,被遠程溢出.UNIX的平安威脅管理類的威脅1.缺乏本地平安策略2.沒有重視多余效勞進程的危害性3.錯誤的配置4.弱口令技術類的威脅1.軟件本身的缺陷(緩沖區(qū)溢出)2.會話劫持,竊聽等……UNIX平安威脅的種類?.UNIX系統(tǒng)平安根底本地(物理)平安系統(tǒng)補丁平安配置網絡平安平安管理策略.物理平安保護硬件環(huán)境；保護硬件；關閉不用的接口：并行口、串行、紅外或USB；設置開機口令；嚴格限制對系統(tǒng)的物理存儲；安裝操作系統(tǒng)時應該在非生產的網絡中，或放置在斷開的網絡中；使用第二系統(tǒng)來接收廠商提供的升級報或補丁程序.系統(tǒng)安裝使用常規(guī)介質；備份可能包括改變的代碼對于具有網絡功能的設備只安裝必要的選項系統(tǒng)安裝結束后，將最新的補丁程序打上去掉不用的用戶名或者修改其密碼使用第二系統(tǒng)來獲得補丁程序在正式裝補丁程序前需要校驗(md5sum)

隨時注意并更新系統(tǒng)和軟件補丁.日志審計審計特性: 1.操作系統(tǒng)都具有一些審計與日志的功能 2.平安配置的操作系統(tǒng)應使用這些特性 3.審計與日志會紀錄各種應用軟件的事件，系統(tǒng)消息及用戶活動，例如用戶登陸等。4.應用效勞進程自身也有日志功能.日志審計1.提供一種追蹤用戶活動的方法2.系統(tǒng)管理員可以知道系統(tǒng)的日常活動3.及時了解和處理平安事件4.它是一種在平安事件發(fā)生后，可以提供法律證據的機制

為什么要啟用審計?.日志審計1.在UNIX中,主要的審計工具是syslogd,2.可以通過配置這個后臺進程程序，可以提供各種水平的系統(tǒng)審計和指定輸出目錄如何啟用審計?.帳號平安根底選擇復雜口令的意義:防止兩層攻擊基于用戶信息簡單密碼猜測基于口令強制猜測程序的攻擊人類傾向于使用易于猜測到的口令,這在使用字典猜測攻擊面前變得非常脆弱口令選擇的弱點:.選擇口令的原那么如何選擇口令?嚴禁使用空口令和與用戶名相同的口令不要選擇可以在任何字典或語言中找到的口令

不要選擇簡單字母組成的口令不要選擇任何和個人信息有關的口令不要選擇短于6個字符或僅包含字母或數字不要選擇作為口令范例公布的口令

采取數字混合并且易于記憶.口令的管理如何保管好自己的口令?不要把口令寫在紙上不要把口令貼到任何計算機的硬件上面不要把口令以文件的形式放在計算機里不要把口令與人共享5.防止信任欺騙(,E-mail等).Passwd文件剖析條目的格式:name:coded-passwd:UID:GID:user-info:homedirectory:shell2.條目例子:jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh

3.密文的組成

Salt+ 口令的密文

Np ge08fdehjkl.帳號管理1.偽用戶帳號 通常不被登錄，而是進程和文件所有權保存位置，如bin、daemon、mail和uucp等。2.單獨命令帳號 如date、finger、halt等帳號。3.相應策略 檢查/etc/passwd文件，確?？诹钣蛑惺恰?〞，而非空白。4.公共帳號 原那么上每個用戶必須有自己的帳號，假設一個系統(tǒng)必須提供guest帳號，那么設置一個每天改變的口令。最好是設置受限shell,并且做chroot限制..禁用或刪除帳號1.禁用帳號 在/etc/passwd文件中用戶名前加一個“#〞，把“#〞去掉即可取消限制。2.刪除帳號a)殺死任何屬于該用戶的進程或打印任務。b)檢查用戶的起始目錄并為任何需要保存的東西制作備份。c)刪除用戶的起始目錄及其內容。d)刪除用戶的郵件文件(/var/spool/mail)。e)把用戶從郵件別名文件中刪除(/etc/sendmail/aliases)。.保護root除非必要，防止以超級用戶登錄。嚴格限制root只能在某一個終端登陸，遠程用戶可以使用/bin/su-l來成為root。不要隨意把rootshell留在終端上。假設某人確實需要以root來運行命令，那么考慮安裝sudo這樣的工具，它能使普通用戶以root來運行個人命令并維護日志。不要把當前目錄(“./〞)和普通用戶的bin目錄放在root帳號的環(huán)境變量PATH中。永遠不以root運行其他用戶的或不熟悉的程序.受限環(huán)境應用受限制shell(restrictedshell) 1.不能用cd命令切換到其它工作目錄 2.不能改變PATH環(huán)境變量 3.不能執(zhí)行包含“/〞的命令名 4.不能用“>〞和“>>〞重定向輸出創(chuàng)立chrootjail chroot()系統(tǒng)調用改變一個進程對root目錄所在位置的,如調用chroot(“/usr/restricted〞)后，訪問的根目錄/其實是/usr/restricted。.穩(wěn)固帳號平安加強口令平安1.策略傳播(對用戶培訓和宣傳)2.進行口令檢查3.產生隨機口令4.口令更新5.設置口令失效時間.穩(wěn)固帳號平安使用影子口令(shadow)文件組成 /etc/passwd：口令域置為“X〞或其它替代符號。 /etc/shadow：只被root或passwd等有SUID位的程序可讀。設置影子口令 在可選影子口令系統(tǒng)中，執(zhí)行pwconv命令。.除了包含用戶名和加密口令還包含以下域： 1.上次口令修改日期。 2.口令在兩次修改間的最小天數。 3.口令建立后必須修改的天數。 4.口令更改前向用戶發(fā)出警告的天數。5.口令終止后被禁用的天數。 6.自從1970/1/1起帳號被禁用的天數。 7.保存域。例如： root:*:10612:0:99999:7:::/etc/shadow文件剖析.文件系統(tǒng)的平安文件類型

1.普通文件——文本文件，二進制文件。

2.目錄——包括一組其它文件的二進制文件。

3.特殊文件——/dev目錄下的設備文件等。

4.鏈接文件——硬鏈接和符號鏈接。

5.Sockets——進程間通信時使用的特殊文件。.i-node包含的信息

1.UID——文件擁有者。

2.GID——文件的權限設置。

3.模式節(jié)點上次修改時間。

4.文件大小——文件所在的分組。

5.文件類型——文件、目錄、鏈接等。

6.ctime——i-訪問時間。

7.mtime——文件上次修改時間。

8.atime——文件上次——以字節(jié)為單位。

9.nlink——硬鏈接的數目。文件系統(tǒng)的平安.文件系統(tǒng)權限各種許可權限的含義是什么?.計算8進制權限位如何計算各種權限位?4000SUID0040同組用戶可寫2000SGID0020同組用戶可讀1000“粘著位”0010同組用戶可執(zhí)行0400屬主可寫0004其他用戶可寫0200屬主可讀0002其他用戶可讀0100屬主可執(zhí)行0001其他用戶可執(zhí)行.計算文件權限的例子某文件的權限位為:〞-rwxr-x〞轉換成8進制為:0750即: 0400 0200 0100 0040 0000 0010+0000 0750.ls-l命令可以來顯示文件名與特性。下面信息的第一欄可以說明文件類型和該文件賦予不同組用戶的權限查看文件權限[root@smithers/etc]#ls-al|moretotal937drwxr-xr-x32rootroot3072Aug3111:07.drwxr-xr-x16rootroot1024May2708:05..-rw1rootroot0May2508:22.pwd.lock-rw-r--r--1rootroot20May2508:55HOSTNAME-rw-r--r--1rootroot42May2512:56MACHINE.SID-rw-r--r--1rootroot5468Mar291999Muttrcdrwxr-xr-x14rootroot1024May2707:46X11-rw-r--r--1rootroot39Jun208:24adjtime-rw-r--r--1rootroot732Apr1916:38aliases-rw-r--r--1rootroot16384May2508:36aliases.db--More--.文件修改命令1.chmod—改變文件權限設置。2.chgrp—改變文件的分組。3.chown—改變文件的擁有權。4.Chattr—設置文件屬性.操作實例1.取消groups與others組用戶的讀權限2.目錄的r與x的設置3.目錄〞粘著位〞的設置-rw-r--r--1rootroot1Mar211999at.deny#chmod600at.deny-rw1rootroot1Mar211999at.deny.umask值什么是umask值?用來指明要禁止的訪問權限，通常在登錄文件.login或.profile中建立。三位8進制值用來指定新創(chuàng)立文件和目錄權限的缺省許可權限通過umask值來計算文件目錄的許可權限(mod&~umask常用的值有022,027,077.SUID和SGID什么是SUID和SGID程序?UNIX中的SUID(SetUserID)/SGID(SetGroupID)設置了用戶id和分組id屬性，允許用戶以特殊權利來運行程序,

這種程序執(zhí)行時具有宿主的權限.

如passwd程序,它就設置了SUID位-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序passwd程序執(zhí)行時就具有root的權限.SUID和SGID為什么要有SUID和SGID程序?SUID程序是為了使普通用戶完成一些普通用戶權限不能完成的事而設置的.比方每個用戶都允許修改自己的密碼,但是修改密碼時又需要root權限,所以修改密碼的程序需要以管理員權限來運行..非法命令執(zhí)行和權限提升為了保證SUID程序的平安性，在SUID程序中要嚴格限制功能范圍，不能有違反平安性規(guī)那么的SUID程序存在。并且要保證SUID程序自身不能被任意修改。SUID和SGIDSUID程序對系統(tǒng)平安的威脅..用戶可以通過檢查權限模式來識別一個SUID程序。如果“x〞被改為“s〞，那么程序是SUID。如： ls-l/bin/su -rwsr-xr-x 1rootroot12672oct271997/bin/su查找系統(tǒng)中所有的SUID/SGID程序find find/-typef\(-perm+4000-or-perm+2000\)-execls-alF{}\;用命令chmodu-sfile可去掉file的SUID位.堆棧溢出攻擊有漏洞的SUID程序在SUID程序堆棧中填入過長的數據,使數據覆蓋返回地址.

執(zhí)行攻擊者指定的代碼..SUID程序效勞進程攻擊目標來自bufferoverflow的威脅越來越多的bufferoverflow被發(fā)現

Internet上可以獲得大量利用bufferoverflow漏洞攻擊的程序一旦被成功攻擊，系統(tǒng)將暴露無遺

更多的攻擊形式(heap,format…)堆棧溢出的危害.防止堆棧溢出攻擊及時發(fā)現系統(tǒng)和應用程序存在的問題及時下載并修補最新的程序和補丁去掉不必要或者發(fā)生問題的SUID程序s位養(yǎng)成良好的編程習慣如何更好的防止堆棧溢出攻擊?.1.Libsafe: ://research.avayalabs/project/libsafe/2.PAX:non-execstackmodule:///3.RSX:non-execstack/heapmodule ://ihaquer/software/rsx/4.kNoX:non-execstack/heapmodule://isec.pl/projects/knox/knox.html設置non-execstack.文件的特殊屬性針對特定系統(tǒng)的特殊文件屬性/標志

Linux下的chattr命令

Freebsd下的chflags命令

sappnd設置只追加標志

schg設置不可改變標志

sunlnk設置不可刪除標志.文件系統(tǒng)的結構常見目錄的用途/bin—用戶命令可執(zhí)行文件。/dev—特殊設備文件。/etc—系統(tǒng)執(zhí)行文件、配置文件、管理文件。/home—用戶的起始目錄。/lib—引導系統(tǒng)及在root文件系統(tǒng)中運行命令所需共享。/lost+found—與特定文件系統(tǒng)斷開連接的喪失文件。/mnt—臨時安裝的文件系統(tǒng)。/proc—偽文件系統(tǒng)，是到內核數據結構或運行進程的接口。/sbin—為只被root使用的可執(zhí)行文件及引導系統(tǒng)啟動的文件。/usr—分成許多目錄，包含可執(zhí)行文件、頭文件、幫助文件。/var—用于電子郵件、打印、cron等的文件，統(tǒng)計、日志文件。.文件系統(tǒng)權限限制與平安有關的mount選項noodevnoexecnosuidrdonly.網絡效勞平安效勞:效勞就是運行在網絡效勞器上監(jiān)聽用戶請求的進程,效勞是通過端口號來區(qū)分的.常見的效勞及其對應的端口 ftp:21 telnet:23 (www):80 pop3:110.網絡效勞平安1.inetd超級效勞器 inetd的功能 inetd的配置和管理2.效勞的關閉 關閉通過inetd啟動的效勞 關閉獨立啟動的效勞.網絡效勞平安建議禁止使用的網絡效勞fingertftpr系列效勞telnet大多數rpc效勞其他不必要的效勞.網絡效勞平安系統(tǒng)啟動腳本sysV風格的啟動腳本 rcX.d/KNprogSNprogK03rhnsdK24irdaS10networkS90crondK05anacronK25squidK60lpdS12syslogK05keytableK30sendmailS91smb2.BSD風格的啟動腳本/etc/rc.confsshd_enable=“YES〞.網絡效勞平安使用命令工具來監(jiān)視網絡狀況

netstat

ifconfigLinux下的socklist

Freebsd下的sockstat

lsof–I

tcpdump.系統(tǒng)記帳1.普通的系統(tǒng)記賬連接/登錄記賬 ac命令(記錄登錄時長) last命令 who命令 w命令 lastlog/lastlogin命令2.進程記賬翻開進程記賬(FreeBSD為例)cd/var/accounttouchacctsavacctusracct accton/var/account/acct sa–a lastcomm.系統(tǒng)記帳系統(tǒng)計帳的相關記錄文件

/var/run/utmp/var/log/wtmp/var/account/acct.系統(tǒng)日志syslog的功能syslog的配置把syslog的信息輸出到其它效勞器或打印機把syslog的信息輸出到打印機:authpriv.*;mail.*;local7.*;auth.*;/dev/lp04.系統(tǒng)日志/記賬信息可以做什么和不可以做什么5.syslog的替代品syslog工具.主流UNIX廠商的平安信息Sun(Solaris)://sunsolve.sun/pub-cgi/show.pl?target=patches/patch-access=patches/patch-accessIBM(AIX)://www-1.ibm/services/continuity/recovery1.nsf/advisoriesHP(HP-UX)://us-support.external.hpSGI(IRIX)://sgi/support/security/index.htmlCompaq(Tru64UNIX,OpenVMS,Ultrix)ftp://ftp.service.digital/publicLinux(RedHatLinux)://redhat/apps/support/errata/Freebsd://FreeBSD.org/security/美國國家平安局發(fā)布的SE-Linux補丁:///selinux.應用平安身份認證技術：公開密鑰根底設施〔PKI〕是一種遵循標準的密鑰管理平臺，能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼效勞所必需的密鑰和證書管理。應用效勞平安性：Web效勞器、郵件效勞器等的平安增強，使用S-HTTP、SSH、PGP等技術提高Web數據、遠程登錄、電子郵件的平安性。網絡防病毒技術：病毒是系統(tǒng)中最常見的威脅來源。建立全方位的病毒防范系統(tǒng)是計算機網絡系統(tǒng)建設的重要任務。.身份認證分類單因素認證雙因素認證挑戰(zhàn)/應答機制認證時間同步機制認證.認證手段知道某事或某物擁有某事或某物擁有某些不變特性在某一特定場所〔或特定時間〕提供證據通過可信的第三方進行認證.非密碼認證機制口令機制一次性口令機制挑戰(zhàn)/應答機制基于地址的機制基于個人特征的機制個人認證令牌.基于密碼的認證機制根本原理是使驗證者信服聲稱者所聲稱的，因為聲稱者知道某一秘密密鑰。基于對稱密碼技術基于公鑰密碼技術.零知識認證零知識認證技術可使信息的擁有者無需泄露任何信息就能夠向驗證者或任何第三方證明它擁有該信息。在網絡認證中，已經提出了零知識技術的一些變形，例如，FFS方案、FS方案和GQ方案。一般情況下，驗證者公布大量的詢問給聲稱者，聲稱者對每個詢問計算一個答復，而在計算中使用了秘密信息。.典型的認證協(xié)議Kerberos系統(tǒng)Kerberos系統(tǒng)為工作站用戶〔客戶〕到效勞器以及效勞器到工作站用戶提供了認證方法，Kerberos系統(tǒng)使用了對稱密碼技術和在線認證效勞器。缺陷：需要具有很高利用率的可信〔物理上平安的〕在線效勞器；重放檢測依賴于時戳，意味著需要同步和平安的時鐘；如果認證過程中的密鑰受到威脅，那么傳遞在使用該密鑰進行認證的任何會話過程中的所有被保護的數據將受到威脅。.典型的認證協(xié)議X.509認證交換協(xié)議與Kerberos協(xié)議相比，X.509認證交換協(xié)議有一個很大的優(yōu)點：不需要物理上平安的在線效勞器，因為一個證書包含了一個認證授權機構的簽名。公鑰證書可通過使用一個不可信的目錄效勞被離線地分配。X.509雙向交換同樣依賴于時戳，而X.509三向交換那么克服了這一缺陷。但X.509認證交換協(xié)議仍存在K