网络安全ppt

网络安全中国气象局培训中心安全很重要实际上你很无奈•“你要力图保护的是些什么资源?”•“你需要防范谁?”•“你究竟需要什么级别的安全?”黑客HackerCracker和Hacker•KevinMitnick•小莫里斯网络入侵事件网络攻击事件网络安全维护人员和黑客之间的关系（白帽子和灰帽子）搜集网络信息的常用工具•Finger•Whois•Nslookup•Dig•Ping•Traceroute•PathpingVisualRouteSmartwhoisSamSpadeNeoTracePro网络扫描TCP/IP协议的套节字和系统服务TCP和UDP系统服务的banner信息端口扫描的类型端口扫描程序主动、被动探测SuperscanNmap天眼漏洞扫描网络安全扫描程序NessusISSScannerNAICyberCopScannerShadowScanner国产对抗网络扫描的手段系统补丁Patch禁止与系统服务信息有关的回应停止系统服务安装防火墙软件或者个人防火墙软件使用入侵检测系统提供系统安全的日志和审计功能一些小而有效的技巧网络侦听Sniffer原理•网卡的工作模式•广播域•集线器、交换机和路由器通用SnifferTcpdumpNAISnifferProNetX-RayIrisNetMonitorCommView网络协议分析仪（Flock、HP公司）专用Sniffer口令SnifferSMBSnifferL0phtcrack其它服务的SnifferDsniff交换网络下的Sniffer交换机的原理伪造MAC地址细化VLAN对抗SnifferAnfiSniff防止ARP欺骗数据加密通讯•SSH•SSL•VPN•PGP网络攻击拒绝服务攻击Dos•协议缺陷PingofDeathOOB缺陷WinNuke•Flood攻击UDPFloodSYNFloodIGMPFlood大量网络应用服务请求垃圾邮件•系统内部缺陷•计算机病毒和木马程序•口令破解•网络欺骗（DNS欺骗、会话劫持）•缓冲区溢出系统漏洞例：Windows2000输入法漏洞服务器上的应用代码保护对策•定期的安全扫描•及时更新安全补丁•停止系统上不必要的服务•控制好文件访问权限分布式拒绝服务攻击模型事件对策•木马的防治•入侵检测系统•网络流量和服务器负荷的监视•路由器或防火墙的配置缓冲区溢出原理•边界检查•堆栈•网络服务请求对策•安全编程知识•使用代码的质量•安全的编译器和函数库和代码检查工具口令破解口令的处理方法•UNIX•Windows系统98的.pwl文件NT和2000的散列表文件PWDump.exe网络侦听字典文件网格计算对策计算机病毒和木马程序历史种类•引导区病毒•文件病毒•多变形病毒•宏病毒•网络病毒网络环境下的病毒•传播快速，无法全面清除•来源多样，更新快速•危害巨大电子邮件文件下载及时通讯系统网络资源共享几种历史上的主要病毒冲击波（RPC漏洞）NimdaRedCode（可以攻击IIS）美莉莎BO2000（木马程序）CIH（破坏BIOS病毒）Dir2（多变形病毒）Stone（引导区病毒）病毒的发现和防&治病毒的扫描（静态、被动）病毒防火墙（动态、主动）病毒库免疫技术全面的策略建立病毒处理机制网络端口的扫描企业级的防病毒产品SymantecNortanAntivirus企业版病毒防火墙网关防病毒产品•邮件服务器防止其它类型入侵Windows2000系统的安全策略文件系统格式NTFS停止系统内部不必要的服务严格帐户管理，去除不必要的帐户设定文件权限，严格文件的共享和读写权为所有用户配置口令策略定期检查安全列表checklist•Windows系统•IIS系统•记录日志配置审计功能安装防病毒软件和个人防火墙软件安装系统补丁使用安全扫描程序搞好系统备份和恢复机制•磁盘拷贝技术•双机备份系统或者群集系统•备份主机•学会数据恢复技术如何保证IIS的安全案例：•RedCode蠕虫病毒•尼母达NimadaIIS的安全检查列表IIS被“红色代码”利用的漏洞IIS的一些ISAPI扩展•.dlls提供一些扩展功能•微软IIS在缺省安装情况下带了一个索引服务器(IndexService)。缺省安装时，IIS支持两种脚本映射：管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展——idq.dll来处理和解释IIS被“红色代码”利用的漏洞漏洞:idq.dll在一段处理URL输入代码中存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。一个攻击者与有这样的idq.dll存在的server建立web会话，通过此会话发出缓冲区溢出攻击，并在webserver上执行代码。严重的是idq.dll是以SYSTEM身份运行的，可利用此漏洞取得系统管理员权限应对方法微软在2001年6月份发布的修复程序MS01-033尼母达Nimada4种传播方式IE浏览器:利用IE的一个安全漏洞•(微软在2001年3月份已发布修复程序MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.•(补丁和RedCode一样)电子邮件附件（极端危险）文件共享:针对所有未做安全限制的共享应对方法安装补丁使用杀毒软件清除对所有的邮件附件进行病毒检查IIS系统的检查表分区必须是NTFS格式IIS的目录权限和NTFS文件系统权限配置日志功能为日后的审查提供信息清除特殊的脚本映射和组件清除远程管理和Sample文件•使用IISLockdown使用来源可靠的源代码IIS目录设置推荐做法按文件类型建立目录结构对文件夹设置而不是文件配置属性防止目录设置重叠如设置ftp上载权限和IIS的网页在同一个目录如果不是必要删除Web-basedPasswords.htrInternetDatabaseConnector.idcServer-sideIncludes.stm,.shtm,shtmlInternetPrinting.printerIndexServer.htw,.ida,idq清除不必要的映射移走不必要的文档IISSamples\IISSamplesc:\inetpub\iissamplesIISDocumentation\IISHelpc:\winnt\help\iishelp使用IISLockDown来完成上述工作对缓冲区溢出的问题代码编写人员的培训使用提供安全机制的开发工具使用特殊的工具软件，提供边界检查的分析购买有足够技术支持和实力的公司开发的代码入侵检测被动检测主动检测入侵检测系统IDS原理分类•基于主机•基于网络网络入侵规则Snort•Winpcap.exeSnort.exeIDScenter.exesnort.exe–vde–l./log–hIPaddress/24-csnort.conf日志审计和分析日志系统安全策略日志分析工具Web服务器的日志分析软件Samwill数据加密技术原理•明文•密文•密钥•加密算法•加密和解密加密算法对称密钥（古典）——同一个密钥•DES数据加密标准•3DES•IDEA国际数据加密算法公开密钥（现代\非对称）——不同密钥•RSA公开密钥的用途安全通讯•对称和非对称算法的结合数字签名•数据的完整和真实•加密用私钥•消息摘要函数MD5数字认证•第三方交换公钥•Kerberos安全通讯通讯内容的安全通讯对象的确认•SSH•VPN隧道技术链路层PPTP、L2TP网络层IPSec•SSL•文件加密PGP网络和计算机系统安全维护安全分析和弱点评估（定期）数据备份系统（日常）系统冗余配置不间断电源应急响应和灾难恢复机制安全知识的普及和审计（）系统补丁的安装微软公司的补丁分类•关键更新（必须）•Windows的升级•驱动程序下载ServicePack下载特定的补丁程序使用WindowsUpdate使用微软的SUSService提供自动补丁安装WindowsXPSP2问题其它应用程序的补丁安装问题微软推荐的安全工具BaselineSecurityAnalyzer•MBSA使用HFNetChk来确定在一个系统中是否应用了安全更新程序，MBSA是HFNetChk的功能的一个超集。HFNetChk通过引用一个XML安全即时修复程序数据库来完成此项工作，该数据库由Microsoft不断地更新。•XML数据库中包含了针对Microsoft产品有哪些补丁程序可供使用方面的信息。此文件包含安全公告的名称和标题等详细信息。其中就包括相关的Microsoft知识库文章编号链接。SoftwareUpdateServices（SUS）从微软公司下载最新的SUS服务程序安装并配置SUS•与微软的升级服务器同步•签发认可的升级补丁•组策略的配置管理SUSService在活动目录下配置企业方式的升级策略定期签发关键升级补丁为自己的局域网建立多个SUS服务群单机的组策略配置组策略编辑器gpedit.msc为管理模板添加组策略wuau在里面的Windows组件中配置WindowsUpdate策略配置自动更新和SUS的服务器位置活动目录下的配置活动目录下的组策略配置•点击“开始→程序→管理工具→ActiveDirectory用户和计算机”，选择“组织单元（OU）”，可以是域或者是是组，在“属性”中选择“组策略”，点击“新建”，为该策略取名“SUS”，然后“编辑”，同上。自动安装客户端程序•下载客户端自动升级程序Wuau22chs.msi复制到SUS服务器的NETLOGON默认共享目录下（WINNT\SYSVOL\sysvol\DomainName\scripts下）•在SUS组策略中配置“软件设置”，在“软件安装”中选择“新建→程序包”，在文件名中填入“\\ServerName\NETLOGON\WUAU22CHS.msi”，点击“打开”，选择“已指派”。SUS的问题Windows2000必须预安装SP1包，否则没有WUAU策略只提供关键性更新Windows98不支持防火墙原理和技术•包过滤（网络中的第二层）•代理（网络中的第三层和以上各层）•状态检测•NAT网络地址翻译防火墙产品ISAServerCheckPointFireWallCiscoIPXNetScreen安氏公司东方龙马启明星辰防火墙的部署FirewallInternetDMZInternalNetworkISAServerISA的安全特性•通过ICSA认证•支持IP包过滤,进程级过滤和应用级过滤•支持流媒体和多址广播•报表功能•入侵检测功能•SystemHarden•集中的安全控制安全信息网站•微软:•••其他:••••国内：•绿盟科技•主要的杀毒软件公司，比如：金山毒霸安全规范和安全评估机构TCSEC(美国1985)ITSEC(欧洲1991)CTCPEC(加拿大1993)FC(美国1992