《網(wǎng)絡(luò)安全技術(shù)講解》

網(wǎng)絡(luò)平安技術(shù)講解2021年4月中國電信東莞分公司商務(wù)領(lǐng)航企智通運營中心技術(shù)部經(jīng)理：李思文網(wǎng)絡(luò)平安簡述網(wǎng)絡(luò)平安整體框架、體系平安規(guī)劃、效勞、管理防火墻入侵檢測身份認證、訪問控制、審計系統(tǒng)漏洞掃描防病毒系統(tǒng)課程面臨的平安威脅以經(jīng)濟利益為動機的控制系統(tǒng)、竊取、篡改信息等犯罪活動以破壞系統(tǒng)為目標(biāo)的系統(tǒng)犯罪以政治目的為動機的破壞系統(tǒng)等信息犯罪活動其他信息違法犯罪行為內(nèi)部系統(tǒng)網(wǎng)絡(luò)internet網(wǎng)絡(luò)入侵黑客入侵工具控制系統(tǒng)竊取資料修改資料……內(nèi)部系統(tǒng)網(wǎng)絡(luò)SYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropTCPSYN:80SIP:10.X.X.XorNullDIP:黑客攻擊internet內(nèi)部系統(tǒng)網(wǎng)絡(luò)偵聽、竊取資料Snifer工具用戶名、密碼傳輸?shù)馁Y料效勞器信息操作系統(tǒng)信息……internet內(nèi)部系統(tǒng)網(wǎng)絡(luò)

木馬

蠕蟲Jokes黑客工具病毒

感染操作系統(tǒng)

感染數(shù)據(jù)堵塞網(wǎng)絡(luò)

……internet被動式攻擊那些不改變正常通訊連接的數(shù)據(jù)流，而且不將數(shù)據(jù)參加到連接中那些進入工作環(huán)境中等待捕獲在網(wǎng)絡(luò)上傳輸?shù)挠袃r值的信息活動主動式攻擊打斷正常的數(shù)據(jù)流，插入數(shù)據(jù)或修改數(shù)據(jù)流〔欺騙〕攻擊者尋找系統(tǒng)的漏洞，發(fā)動侵略性攻擊在發(fā)動主動式攻擊前，首先要進行被動式攻擊攻擊類型病毒、蠕蟲、炸彈和特洛伊木馬陷門【Trapdoors】隱通道【CovertChannels】拒絕效勞【Denialofservice】偵聽【Sniffing】欺騙【Spoofing】口令攻擊【Passwordattack】尋找軟件存在的漏洞和弱點尋找系統(tǒng)配置的漏洞路由攻擊【RoutingAttacks】中繼攻擊【ReplayAttacks】會話竊取攻擊【SessionStealingAttacks】目前的手段陷門和隱通道陷門【Trapdoors】由軟件設(shè)計者或程序員人為設(shè)置的漏洞，用來作為進入系統(tǒng)的后門能夠通過較好的軟件檢測過程來防止隱通道【CovertChannels】是一種交互式處理通訊的方法，能夠向沒有正確平安權(quán)限的外人泄漏信息很難防范，需要利用可信的人員處理或加工敏感信息陷門和隱通道廣泛流行不需要太多的技術(shù)青少年占很大的比例利用菜單驅(qū)動的程序很容易實現(xiàn)，而且能夠跨平臺很難跟蹤經(jīng)常需要很多ISP的協(xié)助，但是很難合作的很好利用無用的或有害的數(shù)據(jù)包充滿網(wǎng)絡(luò)、消耗系統(tǒng)緩沖或網(wǎng)絡(luò)帶寬，從而擊潰系統(tǒng)land.c攻擊：利用目標(biāo)主機的地址同時作為源地址和目的地址;利用目標(biāo)主機的同一端口同時作為源端口和目的端口發(fā)出tcpSYN〔同步狀態(tài)〕數(shù)據(jù)包ping死亡攻擊：通過從遠程主機上發(fā)出特定大小〔>65535字節(jié)〕的ping包來沖擊、重啟動或者down掉大量的系統(tǒng)。大于65535字節(jié)的ip包是不合法的拒絕效勞攻擊TcpSYN泛濫和IP欺騙攻擊利用偽造的、根本不存在的源地址發(fā)出Tcp_SYN包受害者試圖發(fā)一個Tcp_SYN_ACK包，但找不到源地址，只好把它排隊信息排隊時間～75秒填滿了SYN隊列受害者無法通信或系統(tǒng)崩潰Smurf攻擊〔BroadcastPingAttack〕發(fā)出“Broadcast_Ping_request〞，看起來是來自“受害者〞，將它發(fā)給“無辜的第三方〞“無辜的第三方〞的網(wǎng)絡(luò)上的主機都向“受害者〞回發(fā)“broadcast_ping_reply〞包“受害者〞被大量的ping包攻擊對事件的跟蹤卻集中到“無辜的第三方〞身上拒絕效勞攻擊難于跟蹤源地址一般都被隱藏或偽裝需要實時跟蹤，經(jīng)過一個又一個的路由器去尋找高的數(shù)據(jù)包比率有時受害者卻不能用Internet去控訴或跟蹤攻擊用戶組的帳號或被丟棄的帳號被利用學(xué)校的實驗室、撥號用戶、私有系統(tǒng)拒絕效勞攻擊入侵者通過Internet攻破數(shù)以千計的系統(tǒng)，包括大型網(wǎng)絡(luò)間的網(wǎng)關(guān)。通過安裝偵聽器程序來監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流，從而獲取連接網(wǎng)絡(luò)系統(tǒng)時用戶鍵入的用戶名和口令電子郵件同樣也象Telnet和Ftp會話一樣，可以被監(jiān)視，用來獲取有關(guān)站點和其相關(guān)商業(yè)交易情況的信息偵聽【Sniffing】欺騙是用來騙取目標(biāo)系統(tǒng)，使之認為信息是來自或發(fā)向其所相信的人的過程欺騙可在IP層及之上發(fā)生〔地址解析欺騙、IP源地址欺騙、電子郵件欺騙等〕當(dāng)一臺主機的IP地址假定為有效，并為Tcp和Udp效勞所相信利用IP地址的源路由，一個攻擊者的主機可以被偽裝成一個被信任的主機或客戶欺騙【Spoofing】通常的做法是通過監(jiān)視通信信道上的口令數(shù)據(jù)包，破解口令的加密形式UNIX操作系統(tǒng)通常將口令加密保存成為一個能夠被普通用戶讀取的文件。一個入侵者可以運行現(xiàn)有的口令破解程序獲取口令。如果口令強度比較弱，如少于8個字符的英文單詞等，就可以被破解，并用來獲得對系統(tǒng)的訪問權(quán)UNIX操作系統(tǒng)中的r*命令，在信任的系統(tǒng)中是不需要口令的口令攻擊向路由系統(tǒng)中插入錯誤的路由信息重定向流量到一個黑洞中〔blackhole〕重定向流量到慢速連接重定向流量到不同的地方進行偵聽或修改需要可靠的認證，僅從的路由器接收路由的更新中繼攻擊保存一份原始信息的拷貝，一段時間后再轉(zhuǎn)發(fā)保存一份商業(yè)交易，而后轉(zhuǎn)發(fā)攻擊者可以中繼一個網(wǎng)絡(luò)使之停止更新，并對該網(wǎng)段實施拒絕效勞攻擊所有的交易需要攜帶一個序列ID或加蓋時間戳路由和中繼攻擊在找到一個沒有用到的網(wǎng)絡(luò)接口或者攻破網(wǎng)絡(luò)上的一臺主機后，入侵者可以主動地偵聽該網(wǎng)段上的數(shù)據(jù)流，試圖找到被主機認證的感興趣的會話發(fā)出大量的、無用的數(shù)據(jù)包去擊潰原始系統(tǒng)入侵者利用已崩潰系統(tǒng)的地址向其它主機發(fā)送數(shù)據(jù)包需要通過加密來防止數(shù)據(jù)包偵聽或會話竊聽保證物理端口的平安，防止不被使用的接口被非法使用會話竊取攻擊攻擊者的策略識別脆弱的系統(tǒng)獲得對系統(tǒng)的訪問獲得特殊訪問權(quán)限擴展訪問至其它的系統(tǒng)或網(wǎng)絡(luò)簡單攻擊識別目標(biāo)端口或薄弱點掃描識別平安漏洞利用已識別的平安漏洞攻擊策略復(fù)雜攻擊識別目標(biāo)收集信息操作系統(tǒng)的類型和版本系統(tǒng)/網(wǎng)絡(luò)管理員的意見所用防火墻類型/平安措施研究薄弱點開發(fā)攻擊策略進行攻擊調(diào)試站在受害者的角度，看攻擊效果〔背后不留痕跡〕確定是否值得冒險掃描應(yīng)用社會工程獲得范圍內(nèi)的支持幫助攻擊策略IncidentsReportedtoCERT/CC網(wǎng)絡(luò)平安整體框架、體系三維平安體系結(jié)構(gòu)框架平安特性網(wǎng)絡(luò)層次系統(tǒng)單元身份鑒別訪問控制數(shù)據(jù)完整數(shù)據(jù)保密防止否認跟蹤審計可靠可用信息處理網(wǎng)絡(luò)平安管理物理環(huán)境物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層平安特性網(wǎng)絡(luò)層次系統(tǒng)單元平安防御子系統(tǒng)網(wǎng)絡(luò)防火墻：網(wǎng)絡(luò)層、傳輸層網(wǎng)絡(luò)平臺、系統(tǒng)平臺訪問控制身份認證子系統(tǒng)Kerberos或X.509：傳輸層~應(yīng)用層系統(tǒng)平臺~平安管理身份鑒別桌面VPN子系統(tǒng)端到端加密通道：網(wǎng)絡(luò)層~會話層系統(tǒng)平臺、應(yīng)用平臺數(shù)據(jù)完整、數(shù)據(jù)加密授權(quán)管理子系統(tǒng)用戶和對象的授權(quán)策略：應(yīng)用層應(yīng)用平臺、平安管理訪問控制密鑰管理子系統(tǒng)密鑰生成、存儲和發(fā)放：傳輸層~應(yīng)用層系統(tǒng)平臺~平安管理身份鑒別平安檢測子系統(tǒng)平安掃描、攻擊報警網(wǎng)絡(luò)層、傳輸層網(wǎng)絡(luò)平臺~應(yīng)用平臺跟蹤設(shè)計、可靠可用病毒防御子系統(tǒng)過濾、刪除病毒：傳輸層~應(yīng)用層系統(tǒng)平臺、應(yīng)用平臺數(shù)據(jù)完整、可靠可用機要保密子系統(tǒng)機要信息加密處理：表示層、應(yīng)用層系統(tǒng)平臺、應(yīng)用平臺數(shù)據(jù)保密平安數(shù)據(jù)庫子系統(tǒng)集成數(shù)據(jù)庫平安機制：應(yīng)用層系統(tǒng)平臺、應(yīng)用平臺身份鑒別~可靠可用平安審計子系統(tǒng)平安日志存儲、分析：網(wǎng)絡(luò)層~應(yīng)用層平安管理防止否認、跟蹤審計網(wǎng)絡(luò)平安子系統(tǒng)網(wǎng)絡(luò)平安設(shè)計注意點網(wǎng)絡(luò)環(huán)境

網(wǎng)絡(luò)拓撲結(jié)構(gòu)〔LAN、MAN、WAN〕系統(tǒng)和網(wǎng)絡(luò)設(shè)備位置軟件和硬件的版本負責(zé)部門供貨商定義可能的威脅應(yīng)用程序供貨商負責(zé)部門版本由誰來使用怎樣來用用戶數(shù)量用戶類型內(nèi)部用戶合作伙伴競爭對手到底做什么如何連接的什么樣的數(shù)據(jù)流信息是如何流動的定義信息流的平安級別定義可能存在的威脅網(wǎng)絡(luò)平安設(shè)計注意點了解平安的關(guān)注點方案整體性提出平安可能存在的問題

網(wǎng)絡(luò)安全模型

防病毒

漏洞掃描身份認證授權(quán)應(yīng)用層加密訪問控制

……防火墻

入侵檢測VPN物理隔離

……Layer1Layer2Layer3Layer4Layer5Layer6Layer7ProtocolExampleEthernetIPSSLTCPHTTP&URLL1-3L4-7Physical平安規(guī)劃、效勞、管理平安效勞的內(nèi)容平安系統(tǒng)規(guī)劃全面、細致地分析網(wǎng)絡(luò)的平安需求利用科學(xué)的方法論和平安漏洞掃描、分析工具，分析企業(yè)信息網(wǎng)絡(luò)的網(wǎng)絡(luò)、應(yīng)用、管理的現(xiàn)狀和平安風(fēng)險提出針對網(wǎng)絡(luò)的全面的、科學(xué)的平安體系規(guī)劃和完整、可行的整體平安解決方案平安效勞平安效勞與平安技術(shù)的區(qū)別誰可以提供平安效勞平安效勞的內(nèi)容平安咨詢最新發(fā)現(xiàn)的各種平安風(fēng)險，如系統(tǒng)漏洞、攻擊手段、新的病毒平安技術(shù)的最新開展，新的平安技術(shù)，新的攻擊防御和檢測手段平安技術(shù)的開展趨勢企業(yè)信息網(wǎng)絡(luò)平安系統(tǒng)建設(shè)的方法和步驟平安效勞的內(nèi)容其它的內(nèi)容平安策略制定：根據(jù)企業(yè)的平安需求，制定統(tǒng)一的平安策略。對企業(yè)信息網(wǎng)絡(luò)而言，需要采取什么樣的平安措施，在什么時候、什么地方使用什么樣的平安技術(shù)，都需要由一個統(tǒng)一的平安策略作為指導(dǎo)。在企業(yè)信息網(wǎng)絡(luò)的不同平臺、不同局部，都需要在一個統(tǒng)一的平安策略指導(dǎo)下，采取相應(yīng)的平安措施。平安系統(tǒng)集成：根據(jù)平安系統(tǒng)規(guī)劃和統(tǒng)一的平安策略，根據(jù)企業(yè)信息網(wǎng)絡(luò)的特點，把不同平安廠商的不同平安技術(shù)和產(chǎn)品進行集成。平安培訓(xùn)：包括對用戶的平安意識、平安技術(shù)的培訓(xùn)，對系統(tǒng)管理員的平安技術(shù)培訓(xùn)、平安專業(yè)知識的培訓(xùn)等。應(yīng)急平安效勞：在緊急情況下的各種平安效勞，包括特殊情況下的平安防護、發(fā)生平安事故時的現(xiàn)場保護、追蹤、以及采取各種必要的平安補救措施等。內(nèi)部系統(tǒng)的平安效勞網(wǎng)絡(luò)平安實施前了解內(nèi)部系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、平安需求對網(wǎng)絡(luò)進行平安掃描、平安分析，確定網(wǎng)絡(luò)中存在的問題提出符合內(nèi)部系統(tǒng)的網(wǎng)絡(luò)平安解決方案論證方案的可行性，進一步完善方案內(nèi)部系統(tǒng)的平安效勞定義平安要求ISO/IEC15408GB/T18336保護輪廓訪問控制身份認證授權(quán)審計密碼系統(tǒng)ü操作系統(tǒng)ü數(shù)據(jù)庫系統(tǒng)ü防火墻ü應(yīng)用平安檢測應(yīng)急措施üVPNs用戶在某一特定的IT領(lǐng)域提出的技術(shù)平安要求以靈活實用的方法對標(biāo)準(zhǔn)的信息技術(shù)平安要求進行分類(特征和保證)內(nèi)部系統(tǒng)的平安效勞網(wǎng)絡(luò)平安實施后對系統(tǒng)進行全面檢查全面的平安培訓(xùn)制定應(yīng)急平安效勞措施定期進行平安交流定期進行網(wǎng)絡(luò)檢查及時提供平安補丁應(yīng)用案例核心交換機機關(guān)樓層機關(guān)服務(wù)器Catalyst6506Catalyst6506Cisco2948Cisco2948Cisco2924*3Cisco2948Cisco2924*4調(diào)度所10樓6樓2樓至InternetCisco1200Cisco2924Cisco2924*2報裝辦Cisco2924至省局Catalyst6509OA服務(wù)器GIS服務(wù)器主域控制器備份域控制器郵件服務(wù)器SCADA服務(wù)器WWW服務(wù)器外部網(wǎng)站數(shù)據(jù)庫服務(wù)器文件服務(wù)器財務(wù)專用服務(wù)器宣傳專用服務(wù)器營銷應(yīng)用服務(wù)器1000M100M主頁防篡改系統(tǒng)防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)主通道到：