網(wǎng)絡(luò)安全培訓(xùn)

1、網(wǎng)絡(luò)安全培訓(xùn),華東（北）地區(qū)網(wǎng)絡(luò)中心芮蘇英2002/10/28,主要內(nèi)容,網(wǎng)絡(luò)安全的概念安全的網(wǎng)絡(luò)常見網(wǎng)絡(luò)攻擊的介紹常見主機(jī)攻擊介紹安全的主機(jī)網(wǎng)絡(luò)監(jiān)測事故處理案例分析FAQ,計算機(jī)安全簡介,安全？,什么是計算機(jī)安全？誰定義計算機(jī)安全？ 計算機(jī)安全(公安部定義1994)： 計算機(jī)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)不能連續(xù)正常運行。 計算機(jī)安全的含義(199

2、1)：避免竊取和破壞硬件避免竊取和破壞信息避免破壞服務(wù),保密性、完整性和服務(wù)失效,保密性：防止信息在非授權(quán)情況下的泄漏。完整性：保護(hù)信息使其不致被篡改或破壞。服務(wù)失效：臨時降低系統(tǒng)性能、系統(tǒng)崩潰而需要人工重新啟動、因數(shù)據(jù)永久性丟失而導(dǎo)致較大范圍的系統(tǒng)崩潰。,可信系統(tǒng)的評價準(zhǔn)則,計算機(jī)安全的內(nèi)容,計算機(jī)實體安全軟件安全數(shù)據(jù)安全運行安全環(huán)境安全,網(wǎng)絡(luò)安全概述,網(wǎng)絡(luò)安全概述,什么是網(wǎng)絡(luò)安全？誰定義網(wǎng)絡(luò)安全？體系是網(wǎng)絡(luò)安全

3、的重要特性安全需求和安全政策,主要的網(wǎng)絡(luò)安全體系,安全管理制度安全域邊界管理數(shù)據(jù)安全體制安全監(jiān)測分析系統(tǒng)病毒防護(hù)？自動安全管理系統(tǒng)？……,網(wǎng)絡(luò)安全體系示意,,,,,,,,,,,,,,,,,,不同體系所面對的威脅,不同體系面對不同來源的威脅管理制度面對人的威脅邊界管理面對來自網(wǎng)絡(luò)外部的威脅數(shù)據(jù)安全體制主要針對內(nèi)部或外部信道的威脅(此外，防止泄密、進(jìn)行鑒別等)安全監(jiān)測系統(tǒng)用于發(fā)現(xiàn)和補(bǔ)救存在的危險,威脅從何而來？,安全

4、的模糊性網(wǎng)絡(luò)的開放性產(chǎn)品的壟斷性技術(shù)的公開性人類的天性,安全的模糊性,安全是相對的，不易明確安全的目標(biāo)安全是復(fù)雜的，不易認(rèn)清存在的問題安全是廣泛的，不易普及安全的知識,網(wǎng)絡(luò)的開放性,互聯(lián)機(jī)制提供了廣泛的可訪問性Client-Server模式提供了明確的攻擊目標(biāo)開放的網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)為入侵提供了線索用戶的匿名性為攻擊提供了機(jī)會,產(chǎn)品的壟斷性,工業(yè)界試圖將專用技術(shù)引入Internet以獲得壟斷地位，從而將開放式的環(huán)境演變

5、為商品化的環(huán)境，如Active X。專用技術(shù)的細(xì)節(jié)通常受到有關(guān)廠家的保護(hù)，因而缺乏廣泛的安全討論，容易出現(xiàn)安全缺陷，例如Active X允許進(jìn)行控件下載，又缺乏對控件的運行約束。,技術(shù)的公開性,如果不能集思廣益，自由地發(fā)表對系統(tǒng)的建議，則會增加系統(tǒng)潛在的弱點被忽視的危險，因此Internet要求對網(wǎng)絡(luò)安全問題進(jìn)行坦率公開地討論?；谏鲜鲈瓌t，高水平的網(wǎng)絡(luò)安全資料與工具在Internet中可自由獲得。,人類的天性,好奇心、顯示心惰性

6、和依賴心理家丑不可外揚(yáng),安全管理制度,木桶原則：木桶盛水的高度等于其最短的木板的長度安全鏈條：鏈條的強(qiáng)度等于其最弱一環(huán)的強(qiáng)度“人”是最短的木板和最弱的一環(huán)!!!,網(wǎng)絡(luò)邊界安全,網(wǎng)絡(luò)邊界安全,使用防火墻!?什么是防火墻!？機(jī)房里用防火磚砌的墻???不同的人對防火墻有不同的定義!!!一種定義：防火墻是允許或不允許特定信息通過網(wǎng)絡(luò)的某一關(guān)鍵路徑的訪問控制政策,防火墻和關(guān)鍵路徑,,,關(guān)鍵路徑可以是物理的也可以是邏輯的,防火墻體系

7、,,,,IP Packet Filter (如路由器中的access list),堡壘主機(jī)、多協(xié)議過濾器(如checkpoint防火墻),應(yīng)用級防火墻(如Proxy、分裂的DNS,Sendmail、WEB過濾的Gaunlet防火墻),參考OSI模型的近似防火墻分層體系,信息安全與網(wǎng)絡(luò)安全,數(shù)據(jù)安全,數(shù)據(jù)保密：密碼體制。內(nèi)容完整：數(shù)字簽名，信息摘錄。無否認(rèn)：公證機(jī)制，審計功能，數(shù)字簽名。,網(wǎng)絡(luò)安全,傳輸安全：數(shù)據(jù)保

8、密，內(nèi)容完整；訪問安全：身份認(rèn)證，訪問控制；運行安全：基礎(chǔ)設(shè)施的可靠性，安全監(jiān)測。,訪問控制,用于限定對網(wǎng)絡(luò)的使用，包括對某個用戶進(jìn)行訪問控制；和對某個資源進(jìn)行訪問控制。端系統(tǒng)訪問控制自主訪問控制強(qiáng)制訪問控制基于角色的訪問控制政策網(wǎng)絡(luò)的訪問控制：防火墻技術(shù),構(gòu)建安全的網(wǎng)絡(luò),構(gòu)建安全的網(wǎng)絡(luò),明確安全需求制定安全政策在邊界建立符合安全政策的防火墻體系劃分內(nèi)部的安全政策域?qū)μ囟ǖ闹鳈C(jī)節(jié)點進(jìn)行加固使用合理的訪問控制政策、

9、鑒別機(jī)制和數(shù)據(jù)安全體制建立有效的可承受的監(jiān)測體制,明確安全需求,不同的網(wǎng)絡(luò)安全需求是不同的安全需求是建立安全政策的基礎(chǔ)例如校園網(wǎng)可以有：保證網(wǎng)絡(luò)的可用：路由器不癱瘓、郵件發(fā)送正常等等保證網(wǎng)絡(luò)用戶使用的可管理防止出現(xiàn)異常的流量導(dǎo)致異常的費用防止對核心服務(wù)器的攻擊，以保護(hù)學(xué)校的聲望對學(xué)校某學(xué)生的機(jī)器不特別關(guān)心，除非他報案,制定安全政策,根據(jù)安全需求制定安全政策安全政策可以是形式化的，也可以是口語化的安全政策表示的是什么是

10、允許的什么是不允許的例如(可以不用書面定義，可以包括所采用的技術(shù)手段的種類)：在邊界使用防火墻，允許內(nèi)部注冊用戶的對外訪問，禁止隨意的對內(nèi)部訪問等內(nèi)部開發(fā)網(wǎng)段使用SSH作為數(shù)據(jù)安全手段鑒別采用口令認(rèn)證的方式,在邊界建立符合安全政策的防火墻體系,劃分內(nèi)部的安全政策域,例如某公司可以劃為：用戶上網(wǎng)域、服務(wù)器域、開發(fā)域等,,,,,Internet,路由器,WWW、SMTP,,內(nèi)部開發(fā)區(qū),,,服務(wù)器域(DMZ),,,用戶上網(wǎng)區(qū),服務(wù)器

11、開發(fā)服務(wù)器禁止開發(fā) 禁止(允許FTP),,,,,,,,,對特定的主機(jī)節(jié)點進(jìn)行加固,對特殊位置的主機(jī)必須進(jìn)行加固如上例WWW服務(wù)器和Mail服務(wù)器對于內(nèi)部開發(fā)服務(wù)器也需要加固可以制定一定的制度，要求內(nèi)部員工也對各自的主機(jī)進(jìn)行加固,使用合理的訪問控制、鑒別機(jī)制和數(shù)據(jù)安全體制,建立授權(quán)訪問控制的政策，例如：哪些人可以訪問哪些信息、權(quán)限如何等選擇內(nèi)部或外部使用的鑒別機(jī)制，例如口令機(jī)制、證書、LDAP、NIS選擇使用或不

12、使用數(shù)據(jù)安全體制，使用哪種數(shù)據(jù)安全體制，例如CA、KDC。如采用Kerberos(KDC),建立有效的可承受的監(jiān)測體制,使用不使用安全監(jiān)測系統(tǒng)基于網(wǎng)絡(luò)還是基于主機(jī)的安全監(jiān)測系統(tǒng)例如：在邊界上使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在服務(wù)器上使用基于主機(jī)的安全狀態(tài)檢查系統(tǒng)等等,總結(jié),計算機(jī)安全是指對計算機(jī)硬件、軟件和數(shù)據(jù)的保護(hù)網(wǎng)絡(luò)安全是成體系的網(wǎng)絡(luò)邊界的管理常常使用防火墻體系信息安全依靠數(shù)據(jù)安全體系保障安全監(jiān)測體系可以用于發(fā)現(xiàn)系統(tǒng)漏洞

13、和入侵行為根據(jù)安全需求和安全政策建立相對安全的網(wǎng)絡(luò),常見攻擊介紹,針對網(wǎng)絡(luò)的攻擊拒絕服務(wù)攻擊（Deny of Service)針對主機(jī)的攻擊緩沖區(qū)溢出攻擊（buffer overflow)后門和木馬(backdoor&Trojan)蠕蟲、病毒,網(wǎng)絡(luò)入侵的步驟,(簡單服務(wù)失效攻擊)獲取目標(biāo)系統(tǒng)信息從遠(yuǎn)程獲取系統(tǒng)的部分權(quán)利從遠(yuǎn)程獲取系統(tǒng)的特權(quán)清除痕跡留后門破壞系統(tǒng),常見網(wǎng)絡(luò)攻擊 －－DoS,

14、消耗有限資源網(wǎng)絡(luò)鏈接帶寬消耗其他資源處理時間磁盤空間賬號封鎖配置信息的改變,DoS分類,Syn flood其他flood（smurf等）分布式DoS(DDoS),Syn flood 攻擊原理,攻擊TCP協(xié)議的實現(xiàn)攻擊者不完成TCP的三次握手服務(wù)器顯示TCP半開狀態(tài)的數(shù)目與帶寬無關(guān)通常使用假冒的源地址給追查帶來很大的困難,TCP Three-Way Handshake,,,Client initiates

15、request,Connection is now half-open,Client connection Established,Server connection Established,Client connecting to a TCP port,SYN Flood Illustrated,,Client spoofs request,half-open,half-open,half-open,Queue filled,Que

16、ue filled,Queue filled,,Client SYN Flood,Syn flood攻擊實例,服務(wù)器很容易遭到該種攻擊南郵“紫金飛鴻”曾遭受該攻擊的困擾,SYN Flood Protection,Cisco routersTCP 截取截取SYN報文，轉(zhuǎn)發(fā)到server建鏈成功后在恢復(fù)client與server的聯(lián)系Checkpoint Firewall-1SYN Defender與Cisco 路由器的工作

17、原理累死攻擊者依然可以成功耗盡路由器或者防火墻的資源,TCP Intercept Illustrated,,,Request connection,Answers for server,,Finishes handshake,Request connection,Server answers,Finishes handshake,SYN Flood Prevention,增加監(jiān)聽隊列長度依賴與操作系統(tǒng)的實現(xiàn)將超時設(shè)短半開鏈接能

18、快速被淘汰有可能影響正常使用采用對該攻擊不敏感的操作系統(tǒng)BSDWindows,Smurf 攻擊原理,一些操作系統(tǒng)的實現(xiàn)會對目的地址是本地網(wǎng)絡(luò)地址的ICMP應(yīng)答請求報文作出答復(fù)。以網(wǎng)絡(luò)地址為目標(biāo)地址發(fā)送ICMO應(yīng)答請求報文，其中很多主機(jī)會作出應(yīng)答。攻擊者將ICMP報文源地址填成受害主機(jī)，那么應(yīng)答報文會到達(dá)受害主機(jī)處，造成網(wǎng)絡(luò)擁塞。,Smurf Attack Illustrated,,,ICMP Echo Request,Att

19、acker spoofs address,Amplifier:Every host replies,Smurf攻擊的預(yù)防,關(guān)閉外部路由器或防火墻的廣播地址特性；防止目標(biāo)地址為廣播地址的ICMP報文穿入。成為smurf攻擊的目標(biāo)，需要在上級網(wǎng)絡(luò)設(shè)備上做報文過濾。,分布式DoS(Distributed DOS),從多個源點發(fā)起攻擊堵塞一個源點不影響攻擊的發(fā)生采用攻擊二級結(jié)構(gòu)攻擊控制用的稱為 handlers發(fā)起攻擊用的 age

20、nts攻擊目標(biāo)為targets,DDOS Illustrated,Client,Agent,Handler,Agent,Agent,Handler,Agent,Agent,Agent,,DDoS攻擊,目前沒有 很好的預(yù)防方法DDoS攻擊開銷巨大但是一般主機(jī)不可能成為DDoS的目標(biāo)Yahoo曾經(jīng)遭受過DDoS攻擊Sadmind/unicode蠕蟲為DDoS做準(zhǔn)備,針對主機(jī)的攻擊,緩沖區(qū)溢出后門和木馬蠕蟲、病毒,緩沖區(qū)溢出

21、,程序收到的參數(shù)比預(yù)計的長程序的棧結(jié)構(gòu)產(chǎn)生混亂任意輸入會導(dǎo)致服務(wù)器不能正常工作精心設(shè)計的輸入會導(dǎo)致服務(wù)器程序執(zhí)行任意指令,Buffer Overflow Illustrated,main() { show (“THIS IS MORE THAN 24 CHARACTERS!”);}show(char*p) { strbuff[24]; strcpy(strbuf,p);},main() data,mai

22、n() return,Saved register,Show() dataStrbuf24 bytes,strcpy() return,E R S !,T H I S. I S . M O R E. T H AN . 2 4. C H A,R A C T,>,>,>,>,>,Return add

23、ress corrupt,,緩沖區(qū)溢出的預(yù)防,聯(lián)系供應(yīng)商下載和安裝相關(guān)的補(bǔ)丁程序如果有源代碼自己修改源代碼，編譯安裝,后門和木馬,應(yīng)用背景：攻入系統(tǒng)之后，為以后方便、隱蔽的進(jìn)入系統(tǒng)，有時候攻擊者會在系統(tǒng)預(yù)留后門。Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often ma

24、licious) task.,后門、木馬技術(shù)－－獲得系統(tǒng)控制權(quán)之后，可以做什么？,修改系統(tǒng)配置修改文件系統(tǒng)添加系統(tǒng)服務(wù),后門技術(shù)通常采用以上的手段或其組合。,后門、木馬的檢測和預(yù)防,MD5 基線給干凈系統(tǒng)文件做MD5校驗定時做當(dāng)前系統(tǒng)的MD5校驗，并做比對入侵檢測系統(tǒng)后門活動有一定的規(guī)律安裝入侵檢測系統(tǒng)，一定程度上能夠發(fā)現(xiàn)后門從CD-ROM啟動防止后門隱藏在引導(dǎo)區(qū)中,蠕蟲,能夠自行擴(kuò)散的網(wǎng)絡(luò)攻擊程序各種攻擊手

25、段的組合有時候為DDoS做攻擊準(zhǔn)備具體問題具體分析,一個蠕蟲實例,第一步，隨機(jī)生成IP作為二級受害主機(jī)的超集，對這些IP所在的C類網(wǎng)段的111口進(jìn)行橫向掃描（檢測是否存在rpc服務(wù)），保存結(jié)果，獲得存在rpc服務(wù)的主機(jī)集合；第二步，對上述存在rpc服務(wù)的主機(jī)，檢測是否運行sadmind服務(wù)，保存檢測結(jié)果，獲得存在sadmind服務(wù)的主機(jī)集合，即二級受害主機(jī)集合一；第三步，對二級受害主機(jī)集一以輪詢方式嘗試sadmind棧溢出攻

26、擊；,蠕蟲實例（續(xù)上）,第四步，檢查棧溢出攻擊是否成功。如果成功則進(jìn)行第五步（擴(kuò)散攻擊系統(tǒng)）否則跳第九步（進(jìn)行另一種攻擊嘗試）；第五步，sadmind棧溢出攻擊成功后，攻擊程序可以通過登錄二級受害主機(jī)的600口獲得一個具有超級用戶權(quán)限的shell。攻擊程序利用這個shell，添加二級受害主機(jī)對一級受害主機(jī)的信任關(guān)系，使一級受害主機(jī)可以執(zhí)行二級受害主機(jī)的遠(yuǎn)程shell指令。,一個蠕蟲實例（續(xù)上）,第六步，一級受害主機(jī)將攻擊代碼上載至二級

27、受害主機(jī)，設(shè)置二級受害主機(jī)的攻擊環(huán)境，修改系統(tǒng)啟動文件并且消除入侵痕跡。第七步，一級受害主機(jī)遠(yuǎn)程啟動二級受害主機(jī)的攻擊進(jìn)程。由于在第六步中，一級受害主機(jī)設(shè)置了二級受害主機(jī)的攻擊環(huán)境、修改了系統(tǒng)配置，因此，二級受害主機(jī)不能通過重新啟動系統(tǒng)阻止CUC攻擊的擴(kuò)散。這樣，二級受害主機(jī)迅速完成了從受害者到“幫兇”的角色轉(zhuǎn)換。,一個蠕蟲實例（續(xù)上）,第八步，一級受害主機(jī)發(fā)現(xiàn)它作為攻擊者已經(jīng)成功的感染了一定數(shù)量的主機(jī)（目前已發(fā)現(xiàn)版本的數(shù)量為2000

28、）后，允許自身暴露。第九步，隨機(jī)生成IP作為二級受害主機(jī)的超集，對這些IP所在的C類網(wǎng)段的80口進(jìn)行橫向掃描（檢測是否為WWW服務(wù)器），保存結(jié)果，獲得存在WWW服務(wù)的主機(jī)集合（即二級受害主機(jī)集合二）；第十步，對二級受害主機(jī)集合嘗試UNICODE攻擊（該攻擊針對Windows NT系列系統(tǒng)），試圖修改其主頁。,攻擊示意圖,,,UNIX簡史,UNIX安全管理基本原則,好的安全管理起始于安全規(guī)劃危險評估哪些需要被保護(hù)？他們有多大的價

29、值？要使他抵御什么樣的危險？怎樣來保護(hù)？,UNIX安全管理基本原則（續(xù)上）,成本收益分析用戶培訓(xùn)了解社會工程管理員素質(zhì)培養(yǎng)遵守安全守則,安全的主機(jī)（UNIX）,主機(jī)的安全配置配置管理服務(wù)裁剪主機(jī)的安全管理日常安全管理系統(tǒng)審計常用工具介紹,UNIX的安全配置,帳號管理文件系統(tǒng)的管理服務(wù)管理,一個UNIX防御模型,UNIX帳號管理,侵入系統(tǒng)最簡潔的方式是獲得系統(tǒng)帳號選擇安全的口令最安全的口令是完全隨機(jī)的由

30、字母、數(shù)字、標(biāo)點、特殊字符組成選擇的口令要經(jīng)得住兩層攻擊依據(jù)個人信息猜測用口令猜測程序猜測,UNIX帳號管理（續(xù)上）,口令禁忌不要選擇字典中的單詞不要選擇簡單字母組合（abcdef等）不要選擇任何指明個人信息的口令不要選擇包含用戶名的口令盡量不要短于6個字符不要選擇全大寫或者全小寫的組合,UNIX帳號管理（續(xù)上）,好的口令不能短于6個字符選擇包含非字母字符的口令選擇一個容易記住而不必寫下來的口令選擇一個易于輸入

31、的口令口令不能落紙關(guān)閉不必要的帳號,UNIX文件系統(tǒng)安全,定義用戶安全級別系統(tǒng)文件的訪問控制重要數(shù)據(jù)的備份和加密存放重要數(shù)據(jù)一定要做分機(jī)備份外部可訪問主機(jī)的重要數(shù)據(jù)需要加密存放,UNIX文件系統(tǒng)安全,,Web server,學(xué)生資料庫,,,,internet,UNIX啟動過程,UNIX啟動（Redhat 6.0 Linux 2.2.19 for Alpha/AXP）Bootloader Kernel引導(dǎo)入口 核心數(shù)據(jù)結(jié)

32、構(gòu)初始化--內(nèi)核引導(dǎo)第一部分外設(shè)初始化--內(nèi)核引導(dǎo)第二部分init進(jìn)程和inittab引導(dǎo)指令rc啟動腳本getty和loginbash,UNIX服務(wù)配置,基本原則盡量關(guān)閉不必要的服務(wù)服務(wù)越多，被攻入的可能性越大服務(wù)裁剪參考UNIX的啟動過程減弱inetd的能力消弱cron中定時啟動的服務(wù),服務(wù)裁剪－－linux,把/etc/inetd.conf中的大部分服務(wù)都注釋掉，僅僅保留所需要的部分服務(wù)。 在該配置文件中沒

33、有不可以注釋的部分 。在一般情況下可以保留telnet、FTP，以及其它該服務(wù)器所提供的特殊服務(wù)，如DNS服務(wù)器的named等等 注釋方法為：在不使用的服務(wù)前加 ‘#’,服務(wù)裁剪－－linux（cont.）,需要注意：Linux自身攜帶的FTPd在許多版本中有安全漏洞。 reboot系統(tǒng) Linux各版本內(nèi)核注釋方法基本相同。,服務(wù)裁剪－－linux（cont.）,超級用戶(root)直接使用命令： linuxconf 選擇C

34、ontrol(Control Panel)?Control service activity僅保留以下服務(wù)：inet, keytable, kudzu, linuxconf(即該配置界面)，network, syslog。 此外，部分Linux也可以在控制臺上使用setup命令進(jìn)行配置。如果可以使用setup則linuxconf服務(wù)建議關(guān)閉。,服務(wù)裁剪－－Solaris,為了系統(tǒng)安全，盡量減少系統(tǒng)對外提供的服務(wù)，使系統(tǒng)服務(wù)最小化。

35、編輯/etc/inetd.conf文件，注釋調(diào)所有不需要的服務(wù)(在注釋行開始加入’#’)。 其中可以被注釋的一些比較有代表性的服務(wù)有：shell, login, exec, talk, combat, uucp, tftp, finger, netstat, ruserd, sprayd, walld, rstatd, cmsd, ttdbserverd等等，可以僅保留需要使用的telnet、FTP、DNS(in.named)等等。需

36、要特別注意Solaris系統(tǒng)自身攜帶的DNS(in.named)、FTP、POP、IMAP等主要服務(wù)均有問題。,服務(wù)裁剪－－Solaris(續(xù)),注釋掉服務(wù)后重新啟動inetdPs –ef |grep inetd獲得inetd的進(jìn)程號Kill –9 processid殺死inetd進(jìn)程/usr/sbin/inetd -s 重新啟動inetdSun OS 5.7與上面類似上述服務(wù)中，只保留必須的服務(wù)，并且務(wù)必保證運行服務(wù)的版本的

37、及時更新。,服務(wù)裁剪－－Solaris(續(xù)),通過注釋掉不必要的RC程序，可以使某些服務(wù)不啟動。 對于Solaris系統(tǒng)而言，可以在非MAIL服務(wù)器上注釋掉sendmail服務(wù)；可以在不需要使用NFS的環(huán)境下注釋掉statd服務(wù)和automountd服務(wù)；,服務(wù)裁剪－－Solaris(續(xù)),注釋的方法為： 進(jìn)入/etc目錄，在rc0.d到rc6.d的各個目錄中，利用grep命令搜索自己關(guān)心的服務(wù)發(fā)現(xiàn)啟動的文件后，把該文件移走即可

38、。為了防止將來需要使用該文件建議使用如下方法：在/etc目錄下建立rcbackuprc目錄，對文件做備份具體資料見附件,UNIX主機(jī)的安全管理,日常管理原則系統(tǒng)審計常用管理工具介紹,日常管理原則,管理員必須對主機(jī)全權(quán)管理必須是管理員管理管理員必須管理管理員必須定期審計主機(jī)系統(tǒng)軟件的安裝必須進(jìn)行授權(quán)超級用戶的控制原則上只有管理員和備份管理員有超級用戶口令超戶的擴(kuò)散必須有足夠的理由,系統(tǒng)審計,日常審計系統(tǒng)進(jìn)程檢

39、查系統(tǒng)服務(wù)端口檢查系統(tǒng)日志檢查針對性審計懷疑發(fā)生攻擊后，對系統(tǒng)進(jìn)行針對性審計針對具體懷疑情況，具體操作。,日常審計,系統(tǒng)進(jìn)程檢查ps –ef |more (solaris)ps –ax|more (linux)系統(tǒng)管理員應(yīng)該清楚系統(tǒng)應(yīng)該啟動哪些進(jìn)程,日常審計－－系統(tǒng)進(jìn)程,,服務(wù)器端口檢查,netstat –a列出所有活動端口管理員應(yīng)該熟知所管理系統(tǒng)應(yīng)該活動的端口發(fā)現(xiàn)異常端口活動，那么這個系統(tǒng)的可靠性值得懷疑,日志檢

40、查,系統(tǒng)日志位置/var/adm/messages.* (solaris)/var/log/messages.* (linux)日志的生成syslogdminilogd,日志檢查,記錄重要的系統(tǒng)事件是系統(tǒng)安全的一個重要因素使用wtmp/utmp文件的連接時間日志使用acct和pacct文件的進(jìn)程統(tǒng)計經(jīng)過syslogd實施的錯誤日志日志為兩個重要功能提供數(shù)據(jù)：審計和監(jiān)測,日志檢查,日志使用戶對自己的行為負(fù)責(zé)日志能夠幫助

41、檢測日志最重要的功能使制止日志文件本身易被攻擊,日志檢查,日志是否缺失？日志是否異常缺失是否有段錯誤登錄失敗記錄其他異常情況,一個例子,第二個例子,日志檢查,應(yīng)用程序日志mail－maillog(或syslog)ftp－xferlog存放在Linux在相同的目錄下Apache access_log和error_log帳號相關(guān)日志lastlog－last命令sulog(solaris),一種日常系統(tǒng)審計的方法

42、,見附件－系統(tǒng)檢查流程,針對性審計,針對流行蠕蟲的審計參考當(dāng)前流行蠕蟲的行為和表現(xiàn)，對系統(tǒng)進(jìn)行檢查。例如：Cinik worm。http://www.ccert.edu.cn/announce/show.php?handle=42,針對性審計,緩沖區(qū)攻擊漏洞檢查系統(tǒng)中是否有core文件如果有，檢查core文件是由哪個可執(zhí)行碼生成的。（file core)上網(wǎng)查詢懷疑被緩沖區(qū)溢出的服務(wù)是否存在漏洞，并且將特征進(jìn)行比對。安全專家

43、還可以對core文件進(jìn)行觀察和調(diào)試,針對性審計,后門和木馬的檢測對系統(tǒng)命令做MD5校驗，與干凈系統(tǒng)的MD5校驗和進(jìn)行比對login文件in.telnetd文件ls, du, dk, find等常用命令,針對性審計,后門和木馬的檢測（續(xù)上）觀察系統(tǒng)配置和系統(tǒng)服務(wù)是否正常inetd.conf是否被修改過？cron的配置文件是否被修改過？rc.d系列有沒有被修改過inetd.conf中啟動的服務(wù)可執(zhí)行碼是否被修改過,UNIX

44、常用工具介紹,日志工具綜述Chklastlog:該工具通過檢查/var/adm/lastlog和/var/adm/wtmp之間的不一致性來刪除信息。程序找出記錄在wtmp中，而在lastlog中沒有的用戶登錄ID。下載參見：ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog通過搜索引擎搜索，關(guān)鍵字chklastlog,UNIX常用工具介紹,日志檢查工具Logcheck檢查日

45、志文件中違反安全或不正常的活動，并用電子郵件發(fā)送警告的信息。可以通過設(shè)定關(guān)鍵字來報告需要查找的事件可以通過設(shè)定關(guān)鍵字來報告它所忽略的事件下載參見：ftp://www.psionic.com/abacus/logcheck通過搜索引擎檢索,UNIX常用工具介紹,日志檢查工具Swatch能夠方便的處理種類繁多的日志事件有效的減輕管理員的負(fù)擔(dān)支持用戶自定義的檢索模式很有效，被使用過的日志檢查工具通過搜索引擎檢測能夠獲得下

46、載地址,UNIX常用工具介紹,弱點發(fā)現(xiàn)工具基于主機(jī)的弱點發(fā)現(xiàn)工具系統(tǒng)配置錯誤不安全的權(quán)限設(shè)置所有用戶可寫的文件SUID/SGID文件crontab條目Sendmail和ftp的設(shè)置脆弱的口令和空口令系統(tǒng)的文件改動,UNIX常用工具介紹,常見工具cops, tiger, tara不論使用什么工具，用戶都應(yīng)該定期（對重要的主機(jī)，每天）進(jìn)行弱點測試下列情況下需要測試：安全一個新系統(tǒng)懷疑收到了入侵確定收到了入侵應(yīng)該

47、不定期測試，以防止攻擊者發(fā)現(xiàn)了時間安排而進(jìn)行工具,UNIX常用工具,Copsftp://coast.cs.purdue.edu/pub/tools/unix/cops/1.04/Tara通過搜索引擎檢索下載,UNIX常用工具介紹,基于網(wǎng)絡(luò)的弱點發(fā)現(xiàn)工具掃描器漏洞掃描：檢測系統(tǒng)服務(wù)的漏洞網(wǎng)絡(luò)掃描：檢測網(wǎng)絡(luò)的可用性，主機(jī)的可達(dá)性網(wǎng)絡(luò)監(jiān)測設(shè)備,UNIX常用工具介紹,漏洞掃描器SATANSAINTNESSUSIntern

48、et Security Scanner(ISS)端口掃描工具NMAP,UNIX常用工具介紹,端系統(tǒng)掃描（以saint為例）一個綜合的網(wǎng)絡(luò)安全檢查工具 最簡單工作模式 高級模式 命令行工作模式基于Web工作模式（client/server模式）掃描器使用的訪問控制,SAINT的使用－－啟動,,,SAINT的使用－－運行,,,SAINT的使用－－,,,UNIX常用工具,掃描器使用警告不要在一個遠(yuǎn)程系統(tǒng)或那些在管理范圍外且沒

49、有權(quán)限的系統(tǒng)上運行網(wǎng)絡(luò)掃描工具未授權(quán)的網(wǎng)絡(luò)和主機(jī)掃描會花費精力、資源和職業(yè)聲譽(yù)在進(jìn)行系統(tǒng)搜索前，務(wù)必獲得許可,UNIX常用工具介紹,漏洞掃描器的獲得一般通過搜索引擎可以獲得Saint:http://www.wwdsi.com/saint/Satan:http://www.fish.com/satan/Nessus:http://www.nessus.org/ISS:http://www.iss.net/,UNIX常

50、用工具介紹,報文監(jiān)聽工具Tcpdump(linux)Snoop(solaris)報文監(jiān)聽工具的使用見實例通常可以通過man頁來查看使用方法,UNIX常用工具,報文監(jiān)聽工具一般可以支持指定網(wǎng)絡(luò)設(shè)備監(jiān)聽指定源、宿地址監(jiān)聽（包括IP和網(wǎng)絡(luò)號）指定源宿端口監(jiān)聽指定網(wǎng)絡(luò)協(xié)議監(jiān)聽……,網(wǎng)絡(luò)監(jiān)測,,網(wǎng)絡(luò)安全監(jiān)測,基于網(wǎng)絡(luò)的安全漏洞掃描基于網(wǎng)絡(luò)的安全事件監(jiān)察基于主機(jī)的安全漏洞檢查基于主機(jī)的安全狀態(tài)檢查基于主機(jī)的安全監(jiān)察基于

51、主機(jī)的安全事件記錄陷井,入侵檢測系統(tǒng)(IDS),入侵檢測的定義: 對于任何試圖穿越被保護(hù)的安全邊界的識別。系統(tǒng)可以通告不同的機(jī)制檢測入侵企圖。 嗅包器、照相機(jī)、熱感應(yīng)器。,入侵檢測系統(tǒng)的類型,實時日志監(jiān)測器記錄日志條目中的特殊事件近似于實時響應(yīng)實時網(wǎng)絡(luò)傳輸監(jiān)測器記錄網(wǎng)絡(luò)傳輸中的特殊事件實時響應(yīng)事后的日志分析器檢查事先建立的日志信息不能夠?qū)崟r響應(yīng),入侵檢測系統(tǒng)的使用,攻擊識別事件響應(yīng)政策檢驗政策加強(qiáng),入侵

52、檢測系統(tǒng)的響應(yīng),被動響應(yīng): 不直接的針對入侵者采取行動。主動響應(yīng): 直接保護(hù)被入侵的目標(biāo)采取行動。,被動響應(yīng),忽略記錄日志額外日志通知,主動響應(yīng),切斷(連接、會話、進(jìn)程)網(wǎng)絡(luò)重配置還擊欺騙,不同響應(yīng)方式的優(yōu)點,被動響應(yīng)方式不會影響合法的傳輸記錄日志方式可以收集合法過程的證據(jù)主動響應(yīng)可以及時保護(hù)目標(biāo)系統(tǒng)主動響應(yīng)方式可以減少管理員的工作強(qiáng)度,不同響應(yīng)方式的缺點,被動響應(yīng)方式可能會允許入侵者進(jìn)一步獲取系統(tǒng)的訪問權(quán)限通知

53、方式可能導(dǎo)致管理員工作量過大切斷方式可能影響合法用戶的使用還擊可能影響無辜的系統(tǒng)，從而導(dǎo)致該系統(tǒng)采取針對你的合法行為欺騙是困難的,入侵檢測系統(tǒng)的政策,定義入侵檢測系統(tǒng)的目標(biāo)確定監(jiān)視的內(nèi)容和位置選擇響應(yīng)設(shè)置坎值實現(xiàn)政策,漏報和誤報,誤報(false positive)漏報(false negative),設(shè)置坎值,用戶經(jīng)驗網(wǎng)絡(luò)速率預(yù)期的網(wǎng)絡(luò)連接管理員的安全工作強(qiáng)度感應(yīng)器的敏感度安全程序的效率存在的漏洞系統(tǒng)信

54、息的敏感程度誤報的后果漏報的后果,入侵檢測系統(tǒng)舉例,監(jiān)視Internet入口服務(wù)器保護(hù)事件響應(yīng),監(jiān)視Internet入口,系統(tǒng)目標(biāo)：系統(tǒng)用戶可以訪問色情站點以外的所有站點；系統(tǒng)外部用戶只能夠訪問內(nèi)部分WWW、SMTP服務(wù)器。監(jiān)視器的位置：防火墻內(nèi)外各一個實時網(wǎng)絡(luò)傳輸監(jiān)視器；Proxy一個日志分析器。監(jiān)視內(nèi)容：網(wǎng)絡(luò)傳輸監(jiān)視器忽略向外的主要服務(wù)和向內(nèi)的WWW、SMTP流量，捕捉企圖流量；日志分析器捕捉非法站點。響應(yīng)：記錄日志。

55、網(wǎng)絡(luò)傳輸?shù)谋O(jiān)視器還可以切斷連接或重配防火墻；日志分析器也可以通知用戶。,監(jiān)視Internet入口,,,,,,,,,Internet,路由器,網(wǎng)絡(luò)監(jiān)視器,,,防火墻,WWW、SMTP,Proxy,日志分析器,,內(nèi)部用戶,服務(wù)器保護(hù),系統(tǒng)目標(biāo)：保護(hù)內(nèi)部網(wǎng)絡(luò)的服務(wù)器，防止內(nèi)部攻擊。僅允許HTTP訪問。監(jiān)視器的位置：在服務(wù)器網(wǎng)段設(shè)置一個實時網(wǎng)絡(luò)傳輸監(jiān)視器。監(jiān)視內(nèi)容：記錄所有網(wǎng)絡(luò)流量，在HTTP流量中分析攻擊特征；其它流量均記錄。響應(yīng)：記錄

56、所有非HTTP流量的日志。切斷HTTP攻擊的連接，也可以重新進(jìn)行網(wǎng)絡(luò)路由等配置。,服務(wù)器保護(hù),事件響應(yīng),系統(tǒng)目標(biāo)：對入侵自動響應(yīng)，盡量獲取攻擊的信息，系統(tǒng)中有一個陷井。監(jiān)視器的位置：在網(wǎng)絡(luò)的入口設(shè)置一個實時網(wǎng)絡(luò)傳輸監(jiān)視器，在陷井中設(shè)置一個實時日志監(jiān)視器。監(jiān)視內(nèi)容：網(wǎng)絡(luò)傳輸監(jiān)視器記錄所有網(wǎng)絡(luò)流量，分析攻擊特征；日志記錄器記錄陷井中的日志。響應(yīng)：記錄攻擊模式的流量，把攻擊引向陷井，并且通知管理員。,事件響應(yīng),總結(jié),網(wǎng)絡(luò)安全監(jiān)測是網(wǎng)絡(luò)安

57、全的體系之一。入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全監(jiān)測中的部分功能。包括入侵檢測在內(nèi)的各種技術(shù)手段的采用都是由安全需求和安全政策所決定。其它相關(guān)領(lǐng)域(如：安全信息表示、分布協(xié)同、事件處理等等),事故處理,事故處理的過程,A. 在著手處理事故之前 B. 奪回控制權(quán) C. 分析入侵 D. 與相關(guān)的 CSIRT和其他站點聯(lián)系 E. 從入侵中恢復(fù) F. 提高你系統(tǒng)和網(wǎng)絡(luò)的安全性 G. 重新連上因特網(wǎng) H. 更新你的安全策略,著手處理事

58、故之前,對照你的安全策略 如果你還沒有安全策略 請教管理層 請教律師 聯(lián)系法律強(qiáng)制代理(FBI) 通知機(jī)構(gòu)里的其他人 記錄下恢復(fù)過程中采取的所有步驟記錄下恢復(fù)過程中采取的所有步驟有助于防止草率的決定,這些記錄在未來還有參考價值.這對法律調(diào)查來說也是很有用的.,奪回控制權(quán),將遭受入侵的系統(tǒng)從網(wǎng)絡(luò)上斷開 為了奪回控制權(quán),可能需要從網(wǎng)絡(luò)上(包括撥號連接)斷開所有的遭受入侵的機(jī)器.之后可以在UNIX的單用戶模式下或NT的本地

59、管理員狀態(tài)下操作,確保擁有對機(jī)器的完全控制權(quán);然而,通過重啟動或切換到單用戶/本地管理員模式,可能會丟失一些有用的信息.,奪回控制權(quán)（續(xù)上）,復(fù)制遭受入侵系統(tǒng)的鏡象 在分析入侵之前,我們推薦建立一個系統(tǒng)的當(dāng)前備份.這可以提供入侵被發(fā)現(xiàn)時刻文件系統(tǒng)的快照.將來這個備份或許用的上.例如UNIX的dd命令,奪回控制權(quán)？,Lock-in vs. Lock-outLock-in：使攻擊者保持活動Lock-out：奪回控制權(quán)取證原則在有的情

60、況下也要求Lock-in的處理方式因此，奪回控制權(quán)不適用于全部情況,分析入侵,查看系統(tǒng)軟件和配置文件的更改 查看數(shù)據(jù)的更改 查看入侵者留下的工具和數(shù)據(jù) 檢查日志文件,分析入侵,查看是否有sniffer檢查網(wǎng)絡(luò)中的其他系統(tǒng) 檢查與遭受入侵系統(tǒng)有關(guān)或受到影響的遠(yuǎn)程主機(jī),查看系統(tǒng)軟件和配置文件的更改,校驗所有的系統(tǒng)二進(jìn)制和配置文件操作系統(tǒng)的內(nèi)核本身也可能被更改.因此,建議從一個可信內(nèi)核啟動并且使用一個干凈工具來

61、分析入侵活動需要檢查的內(nèi)容：木馬程序配置文件,查看數(shù)據(jù)的更改,查看數(shù)據(jù)的更改Web頁面ftp文擋用戶主目錄中的文件系統(tǒng)上的其他數(shù)據(jù)文件,入侵者留下的工具和數(shù)據(jù),查看入侵者留下的工具和數(shù)據(jù)Network SniffersTrojan Horse ProgramsBackdoorsVulnerability ExploitsOther Intruder Tools 探測系統(tǒng)漏洞的工具 發(fā)起大范圍探測其他站點的工

62、具 發(fā)起拒絕服務(wù)攻擊的工具 使用計算機(jī)和網(wǎng)絡(luò)資源的工具,檢查日志文件,NT IIS的日志文件c:\winnt\system32\logfiles UNIX的日志文件messages xferlog utmp wtmp secure,查看是否有網(wǎng)絡(luò)sniffer,入侵者可以在UNIX系統(tǒng)上暗地里安裝一個網(wǎng)絡(luò)監(jiān)視程序,通常稱為sniffer(or packet sniffer),用于捕獲用戶賬號和密碼信息.對于NT系統(tǒng)

63、,為達(dá)到相同目的,通常更多地使用遠(yuǎn)程管理程序在UNIX上網(wǎng)卡會進(jìn)入promisc狀態(tài)或debug狀態(tài)，可以使用的命令有：ifconfigifstatuscpm,檢查網(wǎng)絡(luò)中的其他系統(tǒng),在要檢查的系統(tǒng)中應(yīng)該包括與被入侵系統(tǒng)有網(wǎng)絡(luò)服務(wù)(NFS或NIS)聯(lián)系的系統(tǒng)或者通過某種信任方式(hosts.equiv.rhosts,或者Kerberos服務(wù)器)聯(lián)系的系統(tǒng)以及有其它較密切聯(lián)系的系統(tǒng)甚至可能完全無關(guān)的系統(tǒng),檢查與遭受入侵系統(tǒng)有關(guān)

64、或受到影響的遠(yuǎn)程主機(jī),在很多入侵事件中,與被入侵主機(jī)有連接的主機(jī)(不論是上游或下游主機(jī))本身就是入侵的犧牲品.這對于及時鑒別和通知另外的潛在受害站點來說是非常重要的在許多情況下需要利用響應(yīng)組或政府相關(guān)部門的力量進(jìn)行協(xié)同處理,從入侵中恢復(fù),安裝操作系統(tǒng)的一個干凈版本 禁用不需要的服務(wù) 安裝廠商提供的所有安全補(bǔ)丁 咨詢AusCERT和外部安全公告 咨詢CERT 公告,總結(jié),廠商公告 小心使用備份中的數(shù)據(jù) 更改密碼,

65、安裝操作系統(tǒng)的一個干凈版本,什么都可能被修改過系統(tǒng)程序動態(tài)連接庫內(nèi)核需要使用確定干凈的版本加以恢復(fù)甚至使用初始介質(zhì),禁用不需要的服務(wù),僅提供那些應(yīng)該提供的服務(wù)關(guān)掉其他服務(wù)檢查這些服務(wù)的配置文件中是否有缺陷確定這些服務(wù)僅對預(yù)定的其他系統(tǒng)開放,更改密碼,建議更改受影響系統(tǒng)上的所有賬號的密碼確保所有賬號的密碼是難猜的可以考慮使用廠商或第三方提供的工具來增強(qiáng)密碼的安全性,提高你系統(tǒng)和網(wǎng)絡(luò)的安全性,復(fù)習(xí)有關(guān)UNIX或

66、NT安全配置的文章 復(fù)習(xí)有關(guān)安全工具的文章 安裝安全工具 激活最大日志 配置防火墻加強(qiáng)網(wǎng)絡(luò)防御,重新連上因特網(wǎng),如果已經(jīng)斷開了同Internet的連接,在完成上面所有步驟之后,可以重新連接進(jìn)入Internet,更新安全策略,記下從這次入侵學(xué)到的教訓(xùn) 計算本次入侵事件的損失 匯總安全策略的所有改變,事故處理對管理員的要求,保持敏感，對任何異常都不放過，例如：系統(tǒng)異常變慢無法登錄系統(tǒng)區(qū)出現(xiàn)未知的進(jìn)程出現(xiàn)運行事件特

67、別長的進(jìn)程等等堅持學(xué)習(xí)，任何管理員都不可能通曉一切需要知道的安全知識,當(dāng)發(fā)現(xiàn)異常時的處理方法,盡量保護(hù)現(xiàn)場盡快通知相關(guān)的部門：公安部門安全響應(yīng)組上級網(wǎng)絡(luò)管理部門等等根據(jù)前面的建議加以認(rèn)真的檢查和處理,安全服務(wù)提供商,Cernet用戶可以向ISP請求cert安全服務(wù)CERT?CERT-Computer Emergency Response Team全國Cernet主結(jié)點ISP均提供cert服務(wù)Cernet華東北地區(qū)

68、網(wǎng)絡(luò)網(wǎng)絡(luò)中心NJCerthttp://www.njnet.edu.cn/njcert/index.html,NJCERT,聯(lián)系方法Tel: 025-3794342-304 Mail: njcert@njnet.edu.cn提交事件的描述處理方式南京地區(qū)：現(xiàn)場處理其他地區(qū)：遠(yuǎn)程處理,案例分析,徐州某高校服務(wù)器不能正常使用常州某高校的一服務(wù)器對外掃描南京某高校校園網(wǎng)路由器繁忙南京某高校研究生院學(xué)生成績查詢服務(wù)被攻破…