文档信息
上传用户 薛文博     
文档格式 ppt
上传时间 2020-01-08
文档价格 20 元
文档大小 6 MB
文档页数 248 页
相关文档推荐
ppt 高中政治 第一课第一框题生活处处有哲学课件 新人教版必修4
ppt 高中政治 第一课第一框揭开货币的神秘面纱 第三课时课件 新人教版必修1
ppt 高中政治 第一课第一框揭开货币的神秘面纱 第一课时课件 新人教版必修1
ppt 高中政治 第一课第一框 纸币课件 新人教版必修1
ppt 高中政治 第一课第一框 揭开货币的神秘面纱课件 新人教版必修1
ppt 高中政治 第一课神奇的货币课件 新人教版必修3
ppt 高中政治 第一课神奇的货币课件 新人教版必修1
ppt 高中政治 第一课生活与消费第二框信用工具和货币课件 新人教版必修1
ppt 高中政治 第一课生活与消费第一框揭开货币的神秘面纱课件 新人教版必修1
ppt 高中政治 第一课时 处理民族关系的原则:平等、团结、共同繁荣课件 新人教版必修2
ppt 高中政治 第一课揭开货币的神秘面纱(3课时)课件 新人教版必修1
ppt 高中政治 第一课揭开货币的神秘面纱课件 新人教版必修1
ppt 医患沟通技巧课件
ppt 高中政治 第一课之货币本质课件 新人教版必修1
ppt 高中政治 第一课之我国的人民民主专政课件 新人教版必修2
ppt 高中政治 第一课之《货币的基本职能和纸币》课件 新人教版必修1
ppt 高中政治 第一课之《文化与经济、政治》课件 新人教版必修3
ppt 高中政治 第一课之《政治生活:积极参与 重在实践》课件 新人教版必修2
ppt 高中政治 第一课之《政治权利和义务:参与 政治生活的准则》课件 新人教版必修2
ppt 高中政治 第一课之《关于世界观的学说》课件 新人教版必修4
ppt 高中政治 第一课之《信用工具和外汇》课件 新人教版必修1
ppt 高中政治 第一课之《体味文化》课件 新人教版必修3
ppt 高中政治 第一课之《人民民主专政:本质是人民当家做主》课件 新人教版必修2
ppt 高中政治 第一课之《人民民主专政 本质是人民当家作主》课件 新人教版必修2
ppt 高中政治 第一课之《人民民主专政 本质是人民当家作主》教学课件 新人教版必修2
ppt 高中政治 第一课之《人民当家作主的国家》课件 新人教版必修2
ppt 高中政治 第一课《神奇的货币》课件 新人教版必修1
ppt 高中政治 第一课《政治生活:积极参与,重在实践》课件 新人教版必修2
ppt 高中政治 第一课《政治权利与义务:参与政治生活的准则》课件 新人教版必修2
ppt 高中政治 第一课《信用工具和外汇》课件 新人教版必修1
ppt " "国内信息安全的热点问题 TCP/IP的网络基本组成情况 安全的基本元素 攻击者与攻击方式 网络设备的安全问题 " "" "" "" "" "" "讲义内容整体介绍" "年信息安全热点问题" "军事商业间谍事件开始浮出水面 误杀事件频发 安全管理能力提升成为最为需要的思考方向 防火墙继续硬件化道路的发展 安全厂商的危机再次来临 做黑客站点被抓 几个G的攻击流量不再陌生 安全等级保护在我国全面推广开始 P2P等新应用也带来了新的安全隐患 " "网络攻击变成了以经济利益为目的犯罪" "最吸引国人眼球的应该是腾讯,2004年两次QQ大规模无法使用,尤其是此后的勒索传言,有人惊呼:中国网络恐怖主义诞生了。 入侵网站后贩卖游戏帐号事件层出不穷。 技术进步加上道德感的缺失,黑客们开始看清自己要的东西。 " "已经有了众多公开售卖SHELL的站点" "“挂马式”攻击的案例分析" "中国招商引资网 http://www.china228.com/ 站点最下方被填加恶意连接,是一次典型的挂马式攻击。 http://www.gowuyi.com/about_us/image/icyfox.htm" "“当当网”也没有幸免" "" "蠕虫、病毒、网络钓鱼事件频发 " "MYDOOM/Netsky/Bagle/震荡波/SCO炸弹/QQ尾巴/MSN射手等一系列新病毒和蠕虫的出现,造成了巨大的经济损失。而且病毒和蠕虫的多样化明显,甚至蠕虫编写组织开始相互对抗,频繁推出新版本。 越来越多的间谍软件,它们已经被更多的公司及个人利用,其目的也从初期简单收户信息演化为可能收集密码、帐号等资料,大家还记得网银大盗吗? 网络钓鱼,只看网络钓客以“假网站”试钓中国银行、工商银行等国内各大银行用户,就可以想见其猖獗程度了。 " "什么是网络钓鱼?" "" "工行后续事件的追踪 涉案金额惊人" "P2P下载谨防Real蛀虫" "随着BT下载以及播客的应用与繁荣,众多网民热衷于网上下载电影、电视等视频文件,病毒开始瞄准这一传播途径大肆传播。黑客最常用的视频漏洞无疑应该是Real脚本漏洞。由于Real格式的视频文件可以内嵌一个网址,并在打开视频文件时自动打开内嵌的网址,因此许多黑客在一些热门的视频文件内嵌入一个带有大量病毒的恶意网址。 一旦网友下载并打开了该视频文件,即可从嵌入的恶意网址中下载大量的病毒,轻者电脑运行缓慢直至死机,严重的中毒电脑将会成为黑客手中肉鸡,电脑内所有的数据和资料都可以被黑客轻易窃取。" "警惕木马“恋”上贺岁大片" "" "大学生自编黑客软件盗款50余万" "长沙某银行多个用户账号被盗,近10万元钱失踪.民警经过4个月的调查得知,作案人竟是3个名牌大学的毕业生,他们通过“个人网上银行”安全漏 洞,自编黑客软件盗取用户存款,长沙、上海等地20多名用户受害,涉案金额高达50多万元.5月2日,长沙某银行储户李芳(化名)发现自己银行账号里的 10050元存款离奇“蒸发”,经查,该行共有10多名储户遭窃,近10万元存款不翼而飞. 经查,犯罪嫌疑人谭继善、谭长庚、王裕新是高中同学,3人分别毕业于不同的名牌大学,毕业后长期纠合在一起.今年5月初,由于对工作不满足,3人商量 “搞钱”.一次偶然机会,学计算机专业的谭继善登录某银行网页,发现网上银行存在漏洞,于是编写出一套黑客程序,套取部分储户的资料,在银行专用机将钱取走.目前3人已被依法刑拘." "股票“黑客”获刑一年" "" "垃圾邮件与反垃圾邮件之间的斗争愈演愈烈 " "" "“流氓软件”无空不入" "" "误杀事件频频发生" "" "熊猫烧香所带来的病毒产业化发展" "" "主动防御成为了安全新名词" "“主动防御”主要包括两个方面。一是在未知病毒和未知程序方面,通过“行为判断”技术,开发出了“危险行为监控”、“行为自动分析和诊断”等技术。这些技术从动态和静态两个角度来判定程序的行为特征,可以识别大部分未被截获的未知病毒和变种。除了识别未知病毒和变种之外,还将大力强化了系统漏洞管理模块。一方面,该模块强制扫描、主动修补系统漏洞,这样的话,在相应的病毒乃至攻击代码出现之前,我们就堵死了它的传播和攻击渠道。另一方面,我们将对漏洞攻击行为进行监测,这样可以防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。  “主动防御”其实是针对传统的“特征码技术”而言的。在传统的反病毒方式中,安全软件总是处于弱势,只有病毒出现了,才能有病毒库的更新,即便这之间的时间差很小,但仍然让很多用户遭受损失。主动防御根据病毒的行为模式,给用户更多的信息,帮助完成对未知病毒的识别。 " "国家加强信息安全保障,颁布系列文件" "信息安全等级保护逐渐成为当前国家重点发展的信息安全战略。 27号文件和66号文件等文件促进信息安全发展。 1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。” 《计算机信息系统安全保护等级划分准则》GB17859-1999的制定。这是一部强制性国家标准,是技术法规。 2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文件)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。根据国家信息化领导小组的统一部署和安排,我国将在全国范围内全面开展信息安全等级保护工作。 " "国家全力参与网络打黄专项行动" "" "国家出口路由封锁" "" "信息安全发展趋势" "同时拥有高超的技术和伪装手段的职业化攻击者越来越多的出现在网络世界中,他们目的性非常强。 信息安全即国家安全,我国政府已经清楚的认识到信息安全的重要性,大力整改网络空间中的问题。 " "国内信息安全的热点问题 TCP/IP的网络基本组成情况 安全的基本元素 攻击者与攻击方式 网络设备的安全问题 网络安全技术防护体系介绍 " "" "" "" "" "" "讲义内容整体介绍" "" "协议-- ISO/OSI协议分层" "" " 应用层" "" "" "表示层" "" " 会话层" "" "传输层" "" "数据链路层" "" "物理层" "网络层" "数据链路层" "" "协议-- ISO/OSI协议分层(cont.)" "物理层:涉及在物理信道上传输原始比特,处理与物理传输介质有关的机械的、电气的和过程的接口。 数据链路层:分为介质访问控制(MAC)和逻辑链路控制(LLC)两个子层。MAC子层解决广播型网络中多用户竞争信道使用权问题。LLC的主要任务是将有噪声的物理信道变成无传输差错的通信信道,提供数据成帧、差错控制、流量控制和链路控制等功能。 网络层:负责将数据从物理连接的一端传到另一端,即所谓点到点,通信主要功能是寻径,以及与之相关的流量控制和拥塞控制等。 " "协议-- ISO/OSI协议分层(cont.)" "传输层:主要目的在于弥补网络层服务与用户需求之间的差距。传输层通过向上提供一个标准、通用的界面,使上层与通信子网(下三层)的细节相隔离。传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。 会话层:主要针对远程终端访问。主要任务包括会话管理、传输同步以及活动管理等。 表示层:主要功能是信息转换,包括信息压缩、加密、与标准格式的转换(以及上述各操作的逆操作)等等。 应用层:提供最常用且通用的应用程序,包括电子邮件(E-mail)和文电传输等。 " "应用层 表示层 会话层 传输层 网络层 数据链路层 物理层" "" "" "" "" "" "" "FTP、TELNET NFS SMTP、SNMP XDR RPC TCP、UDP IP Ethernet、 PDN、 IEEE802.3、 IEEE802.4、 IEEE802.5及其它 " "" "" "" "" "" "" "ICMP" "ARP RARP" "" "OSI参考模型" "Internet协议簇" "OSI参考模型与Internet协议簇" "注解:通过对每一个协议簇中各种协议结构的详细了解,就可以非常轻松的针对包过滤型、应用代理型等防火墙的ACL(访问控制列表)进行制定和理解,并有助于了解防火墙的架构体系。" "协议--TCP/IP协议分层" "" "应用层" "" "传输层" "" "网间网层" "" "网络接口层" "" "协议--TCP/IP协议分层" "应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子邮件、远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。 传输层(TCP/UDP):提供应用程序间(即端到端)的可靠(TCP)或高效(UDP)的通信。其功能包括:格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。 网间网层(IP):负责相邻计算机之间的通信。其功能包括:处理来自传输层的分组发送请求; 处理输入数据包;处理ICMP报文。 网络接口层: TCP/IP协议的最低层,负责接收IP数据报并通过网络发送,或者从网络上接收物理帧,抽出IP数据包,交给IP层。 " "TCP/IP服务" "注解:通过该服务体系的理解,大家一定要了解清楚IP包过滤型防火墙中的TCP协议簇包括那些具体协议、UDP协议簇包括那些具体协议,并要特别注意怎样通过防火墙的ICMP协议去安全有效的控制PING命令的执行。" " SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮件。 TELNET - 可以远程登陆到网络的每个主机上,直接使用他的资源。 FTP - File Transfer Protocol,用于文件传输。 DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服务所用,可以把主机名字转换为 IP 地址。 WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息服务的结合体,使用超文本传输协议 (http)。 " "TCP/IP服务(cont.)" " RPC -远程过程调用服务。如 NFS - Network File System, 可允许系统共享目录与磁盘。 NIS - Network Information Services, 网络信息服务容许多个系统共享数据库,如 password file容许集中管理。 X Window System :一个图形化的窗口系统。 Rlogin、 rsh、及 其它 “r”服务 。运用相互信任的主机的概念,在其它系统上可以执行命令且不要求 password。 " "TCP/IP服务(cont.)" "IP" "IP协议的主要内容包括无连接数据报传送、数据报寻径及差错处理三部分。 IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环节,向上(TCP层)提供一致的、通用性的接口,使得各种物理网络的差异性对上层协议不复存在。 IP数据报分为报头和数据区两部分,IP报头由IP协议处理,是IP协议的体现;数据体则用于封装传输层数据或差错和控制报文(ICMP)数据,由TCP协议或ICMP协议处理。" "TCP" "TCP是传输层的重要协议之一,提供面向连接的可靠字节流传输。面向连接的TCP要求在进行实际数据传输前,必须在信源端与信宿端建立一条连接。且面向连接的每一个报文都需接收端确认,未确认报文被认为是出错报文,出错的报文协议要求出错重传。 TCP采用可变窗口进行流量控制和拥塞控制以保证可靠性。 分组是TCP传输数据的基本单元,分TCP头和TCP数据体两大部分。" " UDP" " UDP是传输层的重要协议之一; 基于UDP的服务包括NIS、NFS、NTP及DNS等。 UDP不是面向连接的服务,几乎不提供可靠性措施;因此,基于UDP的服务具有较高的风险。 " "TCP与UDP端口" "一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、源端口、目的地端口。 TCP或UDP用协议端口标识通信进程,端口是一种抽象的软件结构(包括一些数据结构和I/O缓冲区)。应用程序(即进程)通过系统调用与某些端口建立连接后,传输层传给该端口的数据被相应进程所接收。 接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口号的16位整数标识符,用于区分不同端口。 TCP和UDP软件分别可以提供65536个不同的端口。 端口有两部分,一部分是保留端口(端口号小于1024,对应于服务器进程),一部分是自由端口(以本地方式分配)。" "某些服务进程通常对应于特定的端口。如SMTP为25,X WINDOWS为6000。 客户使用端口号及目的地IP地址初始化与一个特定主机或服务的连接。 " "TCP与UDP端口(cont.)" "国内信息安全的热点问题 TCP/IP的网络基本组成情况 网络安全的基本元素 攻击者与攻击方式 网络设备的安全问题 " "" "" "" "" "" "讲义内容整体介绍" "安全是什么?" "网络安全(通俗的解释) 一种能够识别和消除不安全因素的能力 安全是一个持续的过程" "安全是一种特殊商品" "我的PC中的软件:" "MS Word 2000,微软公司2000年出品,安装后从未升过级" "Norton 防病毒系统,Symantec公司2002年出品,最近一次升级时间是2天以前" "对于我们正在使用的软件价值来说,我们关心Symantec的健康要比对微软的关心强很多倍" "安全系统的时间特性" "安全产品的安全能力随时间递减; 基础设施随时间增加积累越来越多的全缺陷; 安全产品升级可以提高系统的安全保护能力; 基础设施修补漏洞; 基础设施发生结构性变化(原有的安全系统全面失效); 应用系统发生变化; 安全维护人员知识技能提高(安全性提高); 人员变动(保护能力突变,安全风险增加); " "为什么我们不能杜绝攻击事件的发生" "日趋精密的攻击以及以INTERNET为基础的技术快速发展 由于IT技术人员和资金的缺乏无法获得更多的资源 没有被充分保护的系统大量的快速的部署" "" "" "复杂程度" "" "Internet 技术的飞速增长" "时间" "百分之百的安全?" "开放最少服务提供最小权限原则 安全既需求平衡 过分繁杂的安全政策将导致比没有安全政策还要低效的安全。 需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高,则执行的安全策略是实际降低了你公司的安全有效性。 " "百分之百的安全?" "“真空中” 的硬盘才是绝对安全 安全平衡和安全策略" "全面的看待安全的平衡问题" "" "安全需求平衡为安全设计考虑的根本" "建立有效的安全矩阵" "允许访问控制 容易使用 合理的花费 灵活性和伸缩性 优秀的警报和报告" "黑客的分类" "偶然的破坏者——大多数 坚定的破坏者——特殊动机 商业和军事间谍" "安全的基本元素" "" "" "" "" "" "审计" "管理" "加密" "访问控制" "用户验证" "安全策略" "安全元素1:安全策略" "为你的系统分类 指定危险因数 确定每个系统的安全优先级 定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工 确定谁管理你的政策 " "系统分类——安全分类级别" "安全策略细分" "明智的为系统分类 E-mail服务器 CEO的笔记本 Web服务器(机器流量/信息敏感度/系统性质) 资源优先级划分 一个危险优先级列表和—个行动列表 哪种级别需最大安全/时间和金钱的花费 指定危险因数 危险因数指的是一个黑客攻击某种资源的可能性" "安全策略细分" "定义可接受和不可接受的活动 将策略应用到资源上 最佳性能价格比 " "安全策略细分 " "定义教育标准 指派策略管理" "安全元素2:加密" "加密类型 Symmetric(对称加密) Asymmetric (非对称加密) Hash(哈希算法多用在一些签名算法的应用中例如 MD5 SHA等) " "加密的优势" "安全元素3:认证" "认证方法 what you know? 常用密码认证方式 what you have? 智能卡,磁卡,双因素数字卡等 who you are? 物理,生理上的特征认证,比如指纹,声音识别 where you are? 原始IP地址验证" "特殊的认证技术" "一次性密码(OTP) Kerberos 到服务器的身份认证更高效 相互身份认证" "安全元素4:访问控制" "访问控制列表(ACL) Objects 执行控制列表(ECL) " "安全元素5:审计" "被动式审计 简单地记录一些活动,并不做什么处理 主动式审计 结束一个登陆会话 拒绝一些主机的访问(包括WEB站点,FTP服务器和e-mail服务器) 跟踪非法活动的源位置 " "安全元素6:管理" "“三分技术、七分管理” 管理要体现在细节的执行力 管理也需要技巧与“中国特色”" "国内信息安全的热点问题 TCP/IP的网络基本组成情况 网络安全的基本元素 攻击者与攻击方式 网络设备的安全问题 " "" "" "" "" "" "讲义内容整体介绍" "典型的攻击方式及安全规则" "前门攻击和暴力破解法 BUG和后门 社会工程和非直接攻击 " "攻击的分类" "社交工程学和非直接攻击 前门攻击 后门攻击 " "非直接攻击的介绍" "目标的信息收集踩点 社交工程学的欺骗 网络钓鱼的技术分析 拒绝服务攻击 可怕的搜索引擎 自己也可以搜索的方法" "目标主机的信息收集踩点" "NSLOOKUP TRACERT SNMP信息收集 服务器实地勘察 WHOIS查询与旁注攻击 " "社交工程学的攻击案例" "" "邮件病毒是最常采用社交工程学攻击方式" "" "欺骗用户执行或者访问恶意程序和站点 " "什么是DoS/DDoS攻击?" "拒绝服务攻击的可怕" "针对TCP/IP协议网络层的攻击行为 针对应用层程序的压力拒绝服务攻击 例如QQ软件 " "针对网络层的协议拒绝服务攻击" "" "针对应用软件的拒绝服务攻击" "" "搜索引擎也可以成为攻击者的辅助工具" "" "扩大攻击范围寻找可利用突破目标" "" "前门攻击" "特殊字符绕过口令验证 通过网络进行暴力口令猜解 本地文件密码破解 从网络中直接嗅叹收集密码 无需口令也可以进入服务器的另类方法" "脚本验证过程的可绕过漏洞" "" "容易获取的ADSL上网帐号" "" "后门攻击" "SQL的注射攻击 ARP欺骗的“中间人攻击”" "SQL注射式攻击介绍" "数据型 字符型 搜索型" "利用简单的出错信息来判断是否存在" "" "搜索型" "" "数据型注射式攻击" "" "年国内信息安全的热点问题 TCP/IP的网络基本组成情况 网络安全的基本元素 攻击者与攻击方式 网络设备的安全问题 " "" "" "" "" "" "讲义内容整体介绍" "网络设备的多样形" "路由器 交换机 基本的网络连接设备 网络打印机等办公设备 发展趋势越来越多的应用集成在一个硬件中来实现,比如家用电器的上网等等。" "目前网络设备面临的安全威胁" "攻击者利用Tracert/SNMP命令很容易确定网络路由设备位置和基本结构 成为新一代DDOS攻击的首选目标 泄露网络拓扑结构 成为攻击者的攻击跳板(telnet ping命令的使用) 交换机桢听口的安全问题 " "路由器缺省帐号" "设备 用户名 密码 级别 Bay 路由器 User null user Manager null manager Cisco路由器 (telnet) c user (telnet) cisco user (enable) cisco manager Shiva root null manager Guest null user Webramp wradmin tracell manager Motorola cablecom router manager 3com security security manager" "Cisco路由器密码" "非加密和弱加密 enable password 7 011B03085704 line vty 0 4 password 7 130B12061B03132F39 login MD5加密 enable secret 5 $1$uh9n$2yBbtgtNsSdz46yodGnOE0" "对其中的简单加密的密码进行直接解密" "CISCO MD5加密HASH的本地暴力破解" "SNMP协议" "版本 SNMPv1,SNMPv2,SNMPv3 Snmp Agent MIB 轮循(polling-only)和中断(interupt-based) Community String SNMP网管软件 Solarwinds, HP Openview, IBM Netview " "十种最易受攻击端口 " "某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据,这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间,黑客攻击端口的事件有12000次之多,下表是攻击的详细情况。 " "SNMP泄露网络拓扑结构" "利用SNMP的团体字下载CISCO的配置文件" "专门针对SNMP的暴力破解程序" "CISCO SNMP的越权访问查询可写团体字" "SNMP解决办法" "修改默认的community string snmp-server community my_readonly RO snmp-server community my_readwrite RW 添加访问控制规则(ACL) access-list 110 permit udp 192.168.0.102 any eq 161 log access-list 110 deny udp any any eq 161 log interface f0/0 ip access-group 110 关闭SNMP支持 no snmp-server" "Cisco路由器80端口漏洞(二)" "越权访问 如果开放了80端口,将允许任意远程攻击者获取该设备 的完全管理权限。 构造一个如下的URL: http:// ip/level/xx/exec/ 其中xx是一个16-99之间的整数,不同设备可能不同。 示例 http://192.168.0.120/level/19/exec/show%20config " "CISCO WEB接口的越权访问管理" "路由器安全配置" "物理访问控制 密码恢复机制 密码策略 enable secret vs enable pasword service password-encryption 交互访问控制( console, aux, vty) line console|aux|vty login password netpower ip access-class 88 exec-timeout 300 " "路由器安全配置" "SNMP配置 snmp-server community mycomm rw snmp-server party authentication md5 snmp-server trap-source Ethernet0 snmp-server host 192.168.0.191 sercetpasswd no snmp-server HTTP配置 ip http authentication ip http access-class no ip http " "路由器安全配置" "审计 aaa logging aaa accounting snmp-trap logging snmp-server trap system logging logging console logging trap logging monitor 防止欺骗 anti-spoofing with access lists access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 192.168.0.0 0.0.0.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any " "路由器安全配置" "控制广播 no ip-directed broadcast 禁止源路由 no ip source-route 禁止路由重定向 access-list 110 deny icmp any any 5 路由协议过滤和验证" "路由器安全配置" "关闭不需要的服务 no service finger no ntp enable no cdp enable no service tcp-small-servers no service udp-small-servers 更多请参考: http://www.cisco.com/warp/public/707/21.html http://www.cisco.com/warp/public/707/advisory.html" "全球超过30万个黑客站点提供系统漏洞和攻击知识,国内有将近1000个。 越来越多的容易使用的攻击软件的出现 过去国内法律制裁打击力度不够 近期国家已经逐渐加大了法律和制裁力度 " "网络普及使学习攻击变得容易" "" "" "" "内部个体" "内部/组织" "" "不安全因素的来源定位" "" "" "" "" "未知安全间隙不容忽视" "课程小结 " " 本课程先从近年来网络安全的热点问题介绍开始,然后体系化的介绍了TCP/IP网络的组成与分层情况。然后以介绍网络安全中重要元素和常见的网络安全黑客攻击方式与防护方式,同时还侧重的介绍了网络基础设备的常见安全问题与漏洞。 " "WINDOWS系统安全提纲" "引导安全 安装过程 系统加固 入侵监控 安全管理 " "禁止从软盘和CD-ROM启动系统,并给BIOS设置密码。 不要与其他操作系统共存安装。 " "引导安全" "引导安全 安装过程 系统加固 入侵监控 安全管理" "WINDOWS系统安全提纲" "改变默认的系统安装目录(c:\winnt) 使用NTFS格式化磁盘 尽可能地少安装windows组件 尽可能地少安装第三方应用软件 工作组成员而不是域控制器 安装最新service pack及其他最新补丁" "删除多余的系统帐号 合理分配帐号的组权限 更名默认的系统帐号 Administrator、Guest 等" "帐号管理" "如何更名默认的系统帐号" "" "所有安全强壮的密码至少要有下列四方面内容的三种:大写字母、小写字母、数字、非字母数字的字符,如标点符号等。 安全的密码还要符合下列的规则:不使用普通的名字或昵称;不使用普通的个人信息,如生日日期;密码里不含有重复的字母或数字;至少使用八个字符 另外,应该还要求用户60天必须修改一次密码。 以下举例说明强壮密码的重要性:假设密码设置为6位(包括任意五个字母和一位数字或符号),则其可能性将近有163亿种。不过这只是是理论估算,实际上密码比这有规律得多。例如,英文常用词条约5000条,从5000个词中任取一个字母与一个字符合成口令,仅有688万种可能性,在一台赛扬600(CPU主频)的计算机上每秒可运算10万次,则破解时间仅需1分钟!即使采用穷举方法,也只需9个小时;因此6位密码十分不可靠。而对于8位密码(包括七个字母和一位数字或符号)来说,若完全破解,则需要将近三年的时间。因此,密码不要用全部数字,不要用自己的中英文名,不要用字典上的词,一定要数字和字母交替夹杂,并最好加入@#$%!&*?之类的字符。 " "如何强制使用安全强壮的密码 " "设置帐号锁定策略 " "防止暴力猜解口令。 建议:尝试5次失败锁定;锁定30分钟" "" "如何设置帐户锁定策略" "设置安全选项 " "登陆屏幕上不要显示上次登陆的用户名 对匿名连接的限制 用户试图登陆时的消息标题 用户试图登陆时的消息内容 在关机时清理虚拟内存页面交换文件 " "如何设置安全选项 " "合理设置目录及文件权限 " " windows默认情况下 Everyone 对所有盘符都具有完全控制的权限,这是很危险的,尤其是对于有些重要的系统及服务目录 例如IIS的根目录等。 另外当我们新建一个共享目录时,默认情况下也是 Everyone 具有完全控制的权限。 我们需要改变这种不安全的权限设置。" "如何设置目录及文件权限 " "如何设置目录及文件权限 " "删除默认共享 " " Windows NT/2000出于管理的目的自动地建立了一些默认共享,包括C$,D$磁盘共享以及ADMIN$目录共享等。尽管它们仅仅是针对管理而配置的,但却隐藏了一定的风险,成为方便攻击者入侵的途径。 " "如何删除默认共享 " "如何删除默认共享 " "我们打开注册表, 找到主键 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 针对server:创建一个叫AutoShareServer的双字节( DWORD )键名,键值为0。 针对workstation:创建一个叫AutoShareWks的双字节( DWORD )键名,键值为0。 " "加强对安全帐号管理器(SAM)数据库的管理 " " 在Windows NT/2000中,关于本机或者域的所用安全机制信息以及用户帐号信息都存放在安全帐号管理器(SAM)数据库中。安全帐号管理器(SAM)数据库在磁盘上的具体位置就是保存在系统安装目录下的system32\config\中的SAM文件,在这个目录下还包括一个Security文件,也是安全数据库的内容。安全帐号管理器(SAM)数据库中包含所有组、帐户的信息,包括密码HASH结果、帐户的SID等。 另外在系统安装目录下的repair目录下也有SAM文件,这是每次生成系统修复盘时创建的备份。 所以应该特别小心这个repair目录下的SAM文件,严格限制访问权限,并加强对这个SAM文件的审核。 " "禁止不必要的服务 " "Windows NT/2000系统中有许多用不着的服务自动处于激活状态,它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器.为了系统的安全,应把不必要的功能服务及时关闭,从而大大减少安全风险。 " "如何停止不必要的系统服务 " "防范NetBIOS漏洞攻击" "NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),系统可以利用WINS(管理计算机netbios名和IP影射关系)服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在局域网内部使用NetBIOS可以非常方便地实现消息通信,但是如果在互联网上,NetBIOS就相当于一个后门程序,很多攻击者都是通过NetBIOS漏洞发起攻击。 " "如何防范NetBIOS漏洞攻击 " "启用TCP/IP筛选 " "TCP/IP筛选就像一个简单的包过滤防火墙,用来控制连接本机的网络协议和端口。" "如何设置TCP/IP筛选 " "限制危险命令的使用" " 把一些工具从你的NT目录中转移到一个只有系统管理员能够访问的隐藏目录。例如:arp.exe,asdial.exe,at.exe,atsvc.exe,cacls.exe,cmd.exe,cscript.exe,debug.exe,edit.com,edlin.exe,finger.exe,ftp.exe,ipconfig.exe,nbtstat.exe,net.exe,netstat.exe,nslookup.exe,ping.exe,posix.exe,qbasic.exe,rcp.exe,rdisk.exe,regedit.exe,regedt32.exe,rexec.exe,route.exe,rsh.exe,runonce.exe,secfixup.exe,syskey.exe,telnet.exe,tracert.exe,wscript.exe,xcopy.exe,或者干脆删除掉其中不经常使用的系统程序。 " "加固IIS服务器的安全 " " Windows系统近几年的攻击都偏重在IIS上,曾在2001到2002年大肆流行的Nimda,CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播的。由于NT/2000系统上使用IIS作为WWW服务程序居多,再加上IIS的脆弱性以及与操作系统相关性,整个NT/2000系统的安全性也受到了很大的影响。通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经安全配置的机器来说是轻而易举的事情,所以,配置和管理好你的IIS在整个系统配置里面显得举足轻重了。 " "如何加固IIS服务器的安全 " "改变IIS默认安装的根目录。 例如将默认 的C:\inetpub 移到 D:\web 、 E:\FTP ;将web和FTP根目录分别放在不同的分区,避免利用Unicode等漏洞遍历目录以及利用文件上传导致塞满此盘空间。 删除所有默认的映射目录和所对应的真实目录。 删除不需要的应用程序映射。 禁止Frontpage扩展服务 。 限制连接数和性能。 使用SSL(Secure Sockets Layer) 每次更改IIS配置后都需要重新安装IIS的补丁,并在安装后重新检查IIS配置。 " "" "Windows系统安全提纲" "引导安全 安装过程 系统加固 入侵监控 安全管理" "" "设置审核策略 Windows日志 IIS日志 Task Scheduler 日志 系统帐号 帐号配置文件及目录 系统服务 后台进程 自启动程序" "设置审核策略 " " 审核是开启日志记录功能的必需条件。 有些审核日志记录在windows日志中;另有些审核日志记录在其自己特有的日志中。" "" "如何设置审核策略 " "" "如何设置审核策略 " "" "如何设置终端服务审核策略 " "Windows 日志" "Windows 日志" "IIS 日志" "IIS 日志" "Task Scheduler 日志" "Task Scheduler 日志" "系统帐号" "系统帐号" "系统帐号" "帐号配置文件" "帐号配置目录" "系统服务" "后台进程" "后台进程" "后台进程-连接状态" "自启动程序 " " 启动文件(开始-程序-启动) 系统注册表: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServers HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers" "引导安全 安装过程 系统加固 入侵监控 安全管理" "WINDOWS系统安全提纲" " 平时对服务器的操作用普通用户登陆;需要特权管理时再改为管理员身份登陆。 在服务器上绝对不能上网,例如浏览Web页面、OQ聊天等。 不要把密码放在容易被别人看到的地方。 加强数据备份。 " "管理安全" "Windows 系统安全小结" "操作系统安全的防护工作永无止境,按照以上推荐的方法进行安装和配置只是防护系统安全的开始。为Windows 2000/XP/2003系统提供安全的运行环境需要不断地努力,因此我们建议你至少应该做到以下几条: 启动系统自动安全更新,安装最新的SP(service pack)及HotFix。 定期运行安全扫描工具分析系统,确保没有遗漏任何补丁程序;微软提供了一个叫Microsoft Baseline Security Analyzer的工具,可以定期检测系统漏洞,IIS漏洞,弱帐号等等。" "UNIX系统基本安全知识和安全配置" "UNIX系统概况" "什么是UNIX? " "UNIX是: 1. Novell公司的注册商标 2. 多任务、多用户的操作系统 3. 相关操作系统应用工具、编译程序的总称 4. 功能丰富的可扩展、开放的计算环境" "UNIX简介" " 在互联网上应用最广 种类最多 有多家厂商提供不同的版本" "UNIX变种关系图" "系统安全基础" " 安全来自于安全配置的操作系统 许多安全问题源于系统的部署和薄弱的配置… 1. 默认配置 2. 改变的二进制代码 3. 未授权访问" "默认配置" " 与默认配置有关的系统风险: 1. 许多特征与服务是可用的; 2. 默认的用户账户被打开: 3. Guest 账户 4. 空口令账户 5. 宽松的访问控制" "改变的二进制代码" " 攻击者可能会利用弱配置的系统,改变的系统文件或植入木马程序. 损害的操作系统呈现以下的危险: 有可进入系统的后门 2. 密码泄露 3. 系统安全措施失效 4. 不可靠的系统或审计日志 " "未授权访问" " 默认账户或合法用户账户仅通过简单的口令进行防护,这为攻击者提供一个进入系统的简单的攻击点。 具有合法用户权限的攻击者利用权限提升的漏洞来获得管理员权限 一些提供远程服务的进程没有限制访问,被远程溢出" "UNIX的安全威胁" "管理类的威胁 1. 缺乏本地安全策略 2. 没有重视多余服务进程的危害性 3. 错误的配置 4. 弱口令" "技术类的威胁 1. 软件本身的缺陷(缓冲区溢出) 2. 会话劫持,窃听等……" "UNIX安全威胁的种类?" "UNIX系统安全基础" "本地(物理)安全" "系统补丁" "安全配置" "网络安全" "安全管理策略" "物理安全" " 保护硬件环境 ; 保护硬件; 关闭不用的接口:并行口、串行、红外或USB; 设置开机口令; 严格限制对系统的物理存储; 安装操作系统时应该在非生产的网络中,或放置在断开的网络中; 使用第二系统来接收厂商提供的升级报或补丁程序" "系统安装" " 使用常规介质;备份可能包括改变的代码 对于具有网络功能的设备只安装必要的选项 系统安装结束后,将最新的补丁程序打上 去掉不用的用户名或者修改其密码 使用第二系统来获得补丁程序 在正式装补丁程序前需要校验(md5sum) 随时注意并更新系统和软件补丁" "日志审计" " 审计特性: 1. 操作系统都具有一些审计与日志的功能 2. 安全配置的操作系统应使用这些特性 3. 审计与日志会纪录各种应用软件的事件,系统消息及用户活动,例如用户登陆等。 4. 应用服务进程自身也有日志功能" "日志审计" " 1. 提供一种追踪用户活动的方法 2. 系统管理员可以知道系统的日常活动 3. 及时了解和处理安全事件 4. 它是一种在安全事件发生后,可以提供法律证据的机制 " "为什么要启用审计?" "日志审计" "1. 在UNIX中, 主要的审计工具是 syslogd, 2. 可以通过配置这个后台进程程序,可以提供各种水平的系统审计和指定输出目录" "如何启用审计?" "帐号安全基础" "选择复杂口令的意义:" "防止两层攻击 基于用户信息简单密码猜测 基于口令强制猜测程序的攻击" "人类倾向于使用易于猜测到的口令, 这在使用字典猜测攻击面前变得非常脆弱" "口令选择的弱点:" "选择口令的原则" "如何选择口令?" " 严禁使用空口令和与用户名相同的口令 不要选择可以在任何字典或语言中找到的口令 不要选择简单字母组成的口令 不要选择任何和个人信息有关的口令 不要选择短于6个字符或仅包含字母或数字 不要选择作为口令范例公布的口令 采取数字混合并且易于记忆" "口令的管理" "如何保管好自己的口令?" " 不要把口令写在纸上 不要把口令贴到任何计算机的硬件上面 不要把口令以文件的形式放在计算机里 不要把口令与人共享 5. 防止信任欺骗(电话,E-mail等)" "Passwd文件剖析" "条目的格式: name:coded-passwd:UID:GID:user-info:homedirectory:shell 2. 条目例子: jrandom:Npge08fdehjkl:523:100:J. Random:/home/jrandom:/bin/sh 3. 密文的组成 Salt + 口令的密文 Np ge08fdehjkl" "帐号管理" "1. 伪用户帐号 通常不被登录,而是进程和文件所有权保留位置,如bin、daemon、mail和uucp等。 2. 单独命令帐号 如date、finger 、halt等帐号。 3. 相应策略 检查/etc/passwd文件,确保口令域中是 “*”,而非空白。 4. 公共帐号 原则上每个用户必须有自己的帐号,若一个系统必须提供guest帐号,则设置一个每天改变的口令。最好是设置受限shell,并且做chroot限制." "禁用或删除帐号" "1.禁用帐号 在/etc/passwd文件中用户名前加一个“#”,把“#”去掉即可取消限制。 2. 删除帐号 a) 杀死任何属于该用户的进程或打印任务。 b) 检查用户的起始目录并为任何需要保存的东西制作备份。 c) 删除用户的起始目录及其内容。 d) 删除用户的邮件文件(/var/spool/mail)。 e) 把用户从邮件别名文件中删除(/etc/sendmail/aliases)。" "保护root" "除非必要,避免以超级用户登录。 严格限制root只能在某一个终端登陆,远程用户可以使用/bin/su -l来成为root。 不要随意把root shell留在终端上。 若某人确实需要以root来运行命令,则考虑安装sudo这样的工具,它能使普通用户以root来运行个人命令并维护日志。 不要把当前目录(“ . /”)和普通用户的bin目录放在root帐号的环境变量PATH中。 永远不以root运行其他用户的或不熟悉的程序" "受限环境" "应用受限制shell(restricted shell) 1. 不能用cd命令切换到其它工作目录 2. 不能改变PATH环境变量 3. 不能执行包含“ / ” 的命令名 4. 不能用“>”和“>>”重定向输出 创建chroot jail chroot()系统调用改变一个进程对root目录所在位置的,如调用chroot(“/usr/restricted”)后,访问的根目录/其实是/usr/restricted。" "巩固帐号安全" "加强口令安全" "1. 策略传播(对用户培训和宣传) 2. 进行口令检查 3. 产生随机口令 4. 口令更新 5. 设置口令失效时间" "巩固帐号安全" "使用影子口令(shadow)文件" " 组成 /etc/passwd :口令域置为“X”或其它替代符号。 /etc/shadow:只被root或passwd等有SUID位的程序可读。 设置影子口令 在可选影子口令系统中,执行pwconv命令。" " 除了包含用户名和加密口令还包含以下域: 1. 上次口令修改日期。 2. 口令在两次修改间的最小天数。 3. 口令建立后必须修改的天数。 4. 口令更改前向用户发出警告的天数。 5. 口令终止后被禁用的天数。 6. 自从1970/1/1起帐号被禁用的天数。 7. 保留域。 示例: root:*:10612:0:99999:7:::" "/etc/shadow文件剖析" "文件系统的安全" "文件类型 1. 普通文件——文本文件,二进制文件。 2. 目录——包括一组其它文件的二进制文件。 3. 特殊文件——/dev目录下的设备文件等。 4. 链接文件——硬链接和符号链接。 5. Sockets——进程间通信时使用的特殊文件。" "i-node包含的信息 1. UID——文件拥有者。 2. GID ——文件的权限设置。 3. 模式节点上次修改时间。 4. 文件大小——文件所在的分组。 5. 文件类型——文件、目录、链接等。 6. ctime——i-访问时间。 7. mtime——文件上次修改时间。 8. atime——文件上次——以字节为单位。 9. nlink——硬链接的数目。 " "文件系统的安全" "文件系统权限" "" "各种许可权限的含义是什么?" "计算8进制权限位" "" "如何计算各种权限位?" "计算文件权限的例子" "某文件的权限位为: ”-rwxr-x---” 转换成8进制为: 0750 即: 0400 0200 0100 0040 0000 0010 + 0000 ------------- 0750" " ls -l 命令可以来显示文件名与特性。 下面信息的第一栏可以表明文件类型和该文件赋予不同组用户的权限" "查看文件权限" "文件修改命令" "1. chmod — 改变文件权限设置。 2. chgrp — 改变文件的分组。 3. chown — 改变文件的拥有权。 4. Chattr — 设置文件属性" "操作实例" "1. 取消groups 与others 组用户的读权限 2.目录的r与x的设置 3.目录”粘着位”的设置" "" "umask值" "" "什么是umask值?" "用来指明要禁止的访问权限,通常在登录文件.login或.profile中建立。 三位8进制值 用来指定新创建文件和目录权限的缺省许可权限 通过umask值来计算文件目录的许可权限(mod&~umask 常用的值有022,027,077" "SUID和SGID" "什么是SUID和SGID程序?" " UNIX中的SUID(Set User ID)/SGID(Set Group ID)设置了用户id和分组id属性,允许用户以特殊权利来运行程序, 这种程序执行时具有宿主的权限. " "如passwd程序,它就设置了SUID位 -r-s--x--x 1 root root 10704 Apr 15 2002 /usr/bin/passwd ^SUID程序 passwd程序执行时就具有root的权限" "" "SUID和SGID" "为什么要有SUID和SGID程序?" "SUID程序是为了使普通用户完成一些普通用户权限不能完成的事而设置的.比如每个用户都允许修改自己的密码, 但是修改密码时又需要root权限,所以修改密码的程序需要以管理员权限来运行." "非法命令执行和权限提升 为了保证SUID程序的安全性,在SUID程序中要严格限制功能范围,不能有违反安全性规则的SUID程序存在。并且要保证SUID程序自身不能被任意修改。 " "SUID和SGID" "SUID程序对系统安全的威胁." " 用户可以通过检查权限模式来识别一个SUID程序。如果“x”被改为“s”,那么程序是SUID。如: ls -l /bin/su -rwsr-xr-x 1 root root 12672 oct 27 1997 /bin/su 查找系统中所有的SUID/SGID程序 find find / -type f \( -perm +4000 -or -perm +2000 \) -exec ls -alF {} \; 用命令 chmod u-s file 可去掉file的SUID位" "堆栈溢出攻击" " 有漏洞的SUID程序 在SUID程序堆栈中填入过长的数据, 使数据覆盖返回地址. 执行攻击者指定的代码." " SUID程序 服务进程" "攻击目标" "来自buffer overflow的威胁" " 越来越多的buffer overflow被发现 Internet上可以获得大量利用buffer overflow漏洞攻击的程序 一旦被成功攻击,系统将暴露无遗 更多的攻击形式(heap, format…)" "堆栈溢出的危害" "防止堆栈溢出攻击" " 及时发现系统和应用程序存在的问题 及时下载并修补最新的程序和补丁 去掉不必要或者发生问题的SUID程序s位 养成良好的编程习惯 " "如何更好的防止堆栈溢出攻击?" "1. Libsafe: http://www.research.avayalabs.com/project/libsafe/ 2. PAX: non-exec stack module http://pageexec.virtualave.net/ 3. RSX: non-exec stack/heap module http://www.ihaquer.com/software/rsx/ 4. kNoX:non-exec stack/heap module http://isec.pl/projects/knox/knox.html" "" "设置 non-exec stack" "文件的特殊属性" "针对特定系统的特殊文件属性/标志" " Linux下的chattr命令 Freebsd下的chflags命令 sappnd设置只追加标志 schg设置不可改变标志 sunlnk设置不可删除标志" "文件系统的结构" "常见目录的用途" "/bin — 用户命令可执行文件。 /dev — 特殊设备文件。 /etc — 系统执行文件、配置文件、管理文件。 /home — 用户的起始目录。 /lib — 引导系统及在 root 文件系统中运行命令所需共享。 /lost+found — 与特定文件系统断开连接的丢失文件。 /mnt — 临时安装的文件系统。 /proc — 伪文件系统,是到内核数据结构或运行进程的接口。 /sbin — 为只被root使用的可执行文件及引导系统启动的文件。 /usr — 分成许多目录,包含可执行文件、头文件、帮助文件。 /var — 用于电子邮件、打印、cron等的文件,统计、日志文件。" "文件系统权限限制" "与安全有关的mount选项 noodev noexec nosuid rdonly " "网络服务安全" "服务: 服务就是运行在网络服务器上监听用户请求的进程,服务是通过端口号来区分的. 常见的服务及其对应的端口 ftp : 21 telnet : 23 http(www) : 80 pop3 : 110 " "网络服务安全" "1. inetd超级服务器 inetd 的功能 inetd 的配置和管理 2. 服务的关闭 关闭通过inetd启动的服务 关闭独立启动的服务" "网络服务安全" "建议禁止使用的网络服务" " finger tftp r系列服务 telnet 大多数rpc服务 其他不必要的服务" "网络服务安全" "系统启动脚本" "sysV风格的启动脚本 rcX.d/KNprog SNprog K03rhnsd K24irda S10network S90crond K05anacron K25squid K60lpd S12syslog K05keytable K30sendmail S91smb 2. BSD风格的启动脚本 /etc/rc.conf sshd_enable=“YES”" "网络服务安全" "使用命令工具来监视网络状况" " netstat ifconfig Linux下的socklist Freebsd下的sockstat lsof –I tcpdump" "系统记帐" "1. 普通的系统记账 连接/登录记账 ac命令(记录登录时长) last命令 who命令 w命令 lastlog/lastlogin命令 2.进程记账 打开进程记账(FreeBSD为例) cd /var/account touch acct savacct usracct accton /var/account/acct sa –a lastcomm" "系统记帐" "系统计帐的相关记录文件" " /var/run/utmp /var/log/wtmp /var/account/acct" "系统日志" " syslog的功能 syslog的配置 把syslog的信息输出到其它服务器或打印机把syslog的信息输出到打印机: authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0 4.系统日志/记账信息可以做什么和不可以做什么 5. syslog的替代品" "syslog工具" "主流UNIX厂商的安全信息" "Sun(Solaris) http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access IBM(AIX) http://www-1.ibm.com/services/continuity/recovery1.nsf/advisories HP(HP-UX) http://us-support.external.hp.com SGI(IRIX) http://www.sgi.com/support/security/index.html Compaq (Tru64 UNIX, OpenVMS, Ultrix) ftp://ftp.service.digital.com/public Linux(RedHat Linux) http://www.redhat.com/apps/support/errata/ Freebsd http://www.FreeBSD.org/security/ 美国国家安全局发布的SE-Linux补丁 http://www.nsa.gov/selinux" "应用安全" "身份认证技术:公开密钥基础设施(PKI)是一种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。 应用服务安全性:Web服务器、邮件服务器等的安全增强,使用S-HTTP、SSH、PGP等技术提高Web数据、远程登录、电子邮件的安全性。 网络防病毒技术:病毒是系统中最常见的威胁来源。建立全方位的病毒防范系统是计算机网络系统建设的重要任务。" "身份认证分类" "单因素认证 双因素认证 挑战/应答机制认证 时间同步机制认证" "认证手段" "知道某事或某物 拥有某事或某物 拥有某些不变特性 在某一特定场所(或特定时间)提供证据 通过可信的第三方进行认证 " "非密码认证机制" "口令机制 一次性口令机制 挑战/应答机制 基于地址的机制 基于个人特征的机制 个人认证令牌 " "基于密码的认证机制" "基本原理是使验证者信服声称者所声称的,因为声称者知道某一秘密密钥。 基于对称密码技术 基于公钥密码技术" "零知识认证" "零知识认证技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。在网络认证中,已经提出了零知识技术的一些变形,例如,FFS方案、FS方案和GQ方案。一般情况下,验证者颁布大量的询问给声称者,声称者对每个询问计算一个回答,而在计算中使用了秘密信息。 " "典型的认证协议" "Kerberos系统 Kerberos系统为工作站用户(客户)到服务器以及服务器到工作站用户提供了认证方法,Kerberos系统使用了对称密码技术和在线认证服务器。 缺陷: 需要具有很高利用率的可信(物理上安全的)在线服务器; 重放检测依赖于时戳,意味着需要同步和安全的时钟; 如果认证过程中的密钥受到威胁,那么传递在使用该密钥进行认证的任何会话过程中的所有被保护的数据将受到威胁。" "典型的认证协议" "X.509认证交换协议 与Kerberos协议相比,X.509认证交换协议有一个很大的优点:不需要物理上安全的在线服务器,因为一个证书包含了一个认证授权机构的签名。公钥证书可通过使用一个不可信的目录服务被离线地分配。 X.509双向交换同样依赖于时戳,而X.509三向交换则克服了这一缺陷。但X.509认证交换协议仍存在Kerberos的第3个缺陷。" "典型的认证协议" "认证Diffie-Hellman交换协议 Diffie,van Oorschot和Wiener于1992年将基于公钥的互认证和Diffie-Hellman密钥交换相结合提出了一个三向认证交换。可以将该交换协议视作X.509三向交换的一个变形,但交换的数据项不同。 认证Diffie-Hellman交换协议与Kerberos和X.509认证交换协议相比有一个优点:如果使用在认证过程中的签名密钥受到威胁,那么不会危及到结合于认证而推导出的主密钥的秘密性。" "公钥基础设施(PKI)" "PKI技术采用证书管理公钥,通过第三方的可信任机构,即认证中心Certificate Authority (CA)把用户的公钥和其它标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份。 目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。 " "PKI的组成" "PKI主要包括四个部分 X.509格式的证书(X.509 V3)和证书撤销列表CRL(X.509 V2) CA/RA操作协议 CA管理协议 CA政策制定 典型PKI系统: 认证中心CA、X.500目录服务器、Web安全通信平台、完整的PKI认证政策的制定 " "PKI典型构成" "" "" "典型的CA系统结构" "" "" "无线局域网安全注意事项" "目前的无线网络很难避免网络监听嗅叹的危险,尽量不在无线网络中运行关键业务系统或者暴露敏感机密信息。 WEP加密已经被证明无法保护网络接入,当前首选是WPA方式,但WPA方式依然无法保证网络通讯信息的加密安全。 个人尽量避免在机场酒店等无线环境中操作敏感信息系统的访问。" "Web服务器安全" "Web服务是应用最广泛的Internet服务,其流量占整个Internet流量的30%以上,如何有效解决其安全性问题,是实施Internet和Intranet安全的重要环节。 针对Web服务器的攻击主要是利用服务器的漏洞,特别是在大量使用脚本的系统上,利用这些可执行的脚本程序,入侵者可以很容易地获得系统的控制权。 " "常见的Web服务器漏洞" "Web服务器存在的主要漏洞包括物理路径泄露、CGI源代码泄露、目录遍历、执行任意命令、缓冲区溢出、拒绝服务、条件竞争和跨站脚本执行漏洞。考虑Web服务器的安全性,必须要考虑到与之相配合的操作系统。 无论是Apache还是IIS,这两个广泛使用的Web服务器系统都存在不同程度的安全威胁,这种威胁主要来自于其自身的漏洞。 " "CGI的安全性" "CGI是一段程序,它运行在服务器上,提供同客户端HTML页面的接口 CGI是一种公共网关接口,可以使用不同的程序编写,这些程序语言包括Visual Basic、Delphi、C/C++、Perl等 CGI的常见问题包括: 权限配置错误、边界条件错误、访问验证错误、来源验证错误、输入校验错误、意外情况处理错误、策略错误等 " "ASP的安全性" "ASP是位于服务器端的脚本运行环境,通过这种环境,用户可以创建和运行动态的交互式 Web 服务器应用程序,如交互式的动态网页,包括使用 HTML 表单收集和处理信息,上传与下载等等,就像用户在使用自己的CGI程序一样 ASP的漏洞主要包括: ASP源代码泄漏、输入校验错误、密码验证漏洞、数据库非法访问等" "S-HTTP" "HTTP协议在网络上以明文传递数据,很容易被截获或恶意地篡改。 SSL(TLS)提供了一种安全传输方式,为应用层协议提供服务和加密方案,保护信息的机密性、完整性和真实性。加密方案对于用户是完全透明的。 使用数字证书对服务器和客户端进行身份认证,并使用高强度加密算法对HTTP会话数据进行加密,有效地防范身份假冒、网络窃听、非法篡改等针对HTTP协议的攻击。" "电子邮件" "电子邮件(E-Mail)是应用于Internet上的最广泛使用、最受欢迎的网络功能。 电子邮件攻击: 针对电子邮件和邮箱的攻击,例如窃取邮箱密码、截获邮件内容、发送邮件炸弹等 针对邮件服务器的攻击,例如利用sendmail服务器漏洞进行的攻击 利用电子邮件进行的攻击,例如通过电子邮件传播蠕虫病毒和木马程序" "电子邮件的安全问题" "电子邮件易被截获 邮件加密(例如PGP) 防御邮件炸弹和垃圾邮件 地址过滤 防御邮件病毒和蠕虫 不要轻易打开来源不明的邮件并及时更新客户端程序 邮件服务器安全漏洞(例如sendmail) 合理配置、及时安装补丁" "远程登录" "远程登录服务是指通过某种端口协议为远程客户端提供执行系统命令的服务,常见的有: Telnet; rlogin、rsh; PcAnywhere等远程控制软件; SSH " "远程登录的安全性" "远程登录服务由于协议漏洞、服务程序漏洞等问题存在密码截获、暴力破解、缓冲区溢出等安全性问题。 SSH完全可以替代Telnet、rlogin的功能,并且可以保证传输过程的数据安全和身份认证问题。 SSH协议存在缓冲区溢出漏洞,应该及时安装补丁程序 " "FTP" "FTP(文件传输协议)是网络中不同主机间文件传输的应用层协议 FTP的安全问题: 明文截获 FTP跳转 端口盗用 FTP服务器的安全漏洞 " "DNS安全配置方法" "Version “I am DNS”; 别人想探测我们dns版本,然后根据该版本的漏洞来攻击我们。配置了这条命令后,别人再探测的版本后就是“I am dns”了。 Allow-transfer {192.168.1.1;192.168.1.4;};如果没有配置这一条命令,任何人都可以通过nslookup工具来得到你域里面的zone文件,也就是说他得到了你的主机列表,然后再分析,slave dns需要你允许它能够传送,否则它就得不到master dns上的zone文件,也就没办法工作了。这里假设192.168.1.1和192.168.1.4是该dns服务器的slave服务器,在master服务器上配置了如上命令。 Listen-on{192.168.1.2;};增加上这条命令,启动dns时就不会监听所有网络接口的53端口了,只监听指定网络接口的53端口。 Blackhole {hatenets;};我们不想让某些网段使用我们的dns服务器,就用这条命令吧。不过还需要配置一个acl来定义匹配的网段,如下所示: acl hatenets { 1.0.0.0/8; 2.0.0.0/8; }; 这两个网段的地址是无法使用我们的dns了。 " "内容小结" "本次课程重点介绍了当前信息安全的最新发展趋势,职业化攻击者的出现使得我们面临的对手越来越强大。 学习了解到不同攻击者使用的攻击方法与防范方法。 为学员详细讲解了WINDOWS与UNIX系统的安全加固配置策略操作。 当前主流的应用服务的常见安全弱点与安全加固配置方法。" "本次课程结束 交流时间