网络安全建设

1网络安全建设中国教育和科研计算机网应急响应组CCERT清华大学信息网络工程研究中心2目录网络安全简介垃圾邮件的预防如何防止扫描和DOS攻击系统安全管理和入侵的防范网络安全常用工具CCERT简介3网络安全简介网络安全概念常见的网络安全问题垃圾邮件危害DOS、扫描危害蠕虫危害4网络安全概念信息安全–保密性、完整性、可用性、可信性–把网络看成一个透明的、不安全的信道系统安全：–网络环境下的端系统安全网络安全–网络的保密性：存在性、拓扑结构等–网络的完整性：路由信息、域名信息–网络的可用性：网络基础设施–计算、通信资源的授权使用：地址、带宽？？5常见的网络安全问题垃圾邮件–UCE:UnsolicitedCommercialEmail–UBE:UnsolicitedBulkEmail–Spam网络扫描和拒绝服务攻击–端口扫描和缺陷扫描–DDOS、DOS入侵和蠕虫–蠕虫：Lion、nimda、CRII–系统缺陷6垃圾邮件危害网络资源的浪费–欧洲委员会公布的一份报告，垃圾邮件消耗的网络费用每年高达100亿美元资源盗用–利用他人的服务器进行垃圾邮件转发威胁网络安全–DOS攻击7DOS、扫描危害占用资源–占用大量带宽–服务器性能下降影响系统和网络的可用性–网络瘫痪–服务器瘫痪往往与入侵或蠕虫伴随–缺陷扫描–DDOS8入侵、蠕虫造成的危害信息安全–机密或个人隐私信息的泄漏–信息篡改–可信性的破坏系统安全–后门的存在–资源的丧失–信息的暴露网络安全–基础设施的瘫痪9垃圾邮件的预防垃圾邮件特点邮件转发原理配置Sendmail关闭转发配置Exchange关闭转发10垃圾邮件特点内容：–商业广告–宗教或个别团体的宣传资料–发财之道,连锁信等接收者–无因接受–被迫接受发送手段–信头或其它表明身份的信息进行了伪装或篡改–通常使用第三方邮件转发来发送11邮件转发原理12配置Sendmail关闭转发（一）简介Sendmail8.9以上版本–/etc/mail/relay-domains–/etc/mail/accessSendmail8.8以下版本–升级Sendmail其它版本–配置Sendmail缺省不允许转发–编辑相应的允许转发IP列表13配置Sendmail关闭转发（二）Mc文件样例divert(0)dnlVERSIONID(`@(#)generic-solaris2.mc8.8(Berkeley)5/19/1998')OSTYPE(solaris2)dnlDOMAIN(generic)dnlFEATURE(access_db,dbm-o/usr/local/etc/mail/access)define(`confPRIVACY_FLAGS',``authwarnings,goaway,noexpn,novrfy'')dnlMAILER(local)dnlMAILER(smtp)dnl14配置Sendmail关闭转发（三）Sendmail配置Sendmail.cw–配置邮件服务器所接受的域名Ccert.edu.cnMai.ccert.edu.cnRelay-domains–配置邮件服务器可以转发的地址202.112.50.202.112.57.18Access–允许对某一个来源地址进行配置–REJECT、RELAY、OK、”msg”15配置Sendmail关闭转发（四）access文件样本nobody@yahoo.com550:badusername202.112.55.RELAY202.112.55.66REJECT16配置Sendmail关闭转发（五）Sendmail使用建立别名–编辑aliases文件–Sendmail–v–bi初始化启动–Sendmail–bd–q1h使用access数据库–Makemapdbm/etc/mail/access/etc/mail/access17配置Exchange关闭转发（一）ExchangeServer5.0或以前版本–升级邮件系统ExchangeServer5.5以上–选择RerouteincomingSMTPmail18配置Exchange关闭转发（二）填入所服务的域点击RoutingRestrictions19如何防止DOS和扫描扫描简介拒绝服务攻击简介分布式拒绝服务攻击DOS和扫描的防范攻击取证和报告20扫描简介缺陷扫描–目的是发现可用的缺陷–Satan、SSCAN–Nmap-O服务扫描–目的是为了发现可用的服务––ftpscan–Proxyscan21拒绝服务攻击简介洪水式DOS攻击–SYNflood–Smurf利用系统或路由器缺陷DoS攻击–Windows:IGMPfragmentation,OOB…–Linux:teardrop–Solaris:pingofdeath分布式拒绝服务攻击–往往既利用系统或者路由器的缺陷产生大规模的洪水式攻击–两方面的危害：被攻击者和被利用者22分布式拒绝服务（DDOS）以破坏系统或网络的可用性为目标常用的工具：–Trin00–TFN/TFN2K–Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood23DOS和扫描的防范（一）路由器访问控制链表–基于源地址/目标地址/协议端口号路径的完整性–防止IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址：ipverifyunicastreverse-path过滤RFC1918地址空间的所有IP包；–路由协议的过滤与认证Flood管理—利用QoS的特征防止Floodinterfacexyzrate-limitoutputaccess-group20203000000512000786000conform-actiontransmitexceed-actiondropaccess-list2020permiticmpanyanyecho-reply24DOS和扫描的防范（二）入侵检测和防火墙入侵检测工具–了解情况–提供报告依据–指导应对政策防火墙–建立访问控制–个人防火墙25攻击取证和报告系统取证–Syslog系统日志–Netstat连接情况–CPU、Mem使用情况网络取证–Tcpdump–路由器、防火墙纪录–入侵检测系统报告责任方–对方CERT或本辖区CERT–对方责任人whois26系统安全管理和入侵防范Windows系统安全管理UNIX系统安全管理路由器安全管理如何检验入侵蠕虫的危害及防范27Windows安全管理（一）操作系统更新政策–安装最新版本的补丁ServicePack;–安装相应版本所有的hotfixes–跟踪最新的SP和hotfix病毒防范–安装防病毒软件，及时更新特征库–政策与用户的教育：如何处理邮件附件、如何使用下载软件等账号和口令管理–口令安全策略:有效期、最小长度、字符选择–账号登录失败n次锁定–关闭缺省账号，guest,Administrator28Windows安全管理（二）Windows服务管理–TerminalServer中文输入法缺陷–网络共享Nimda等一些蠕虫和和病毒–IISUNICODE(nimda、CodeBlue…)IndexService(CRI、CRII)29Windows安全管理（三）操作系统更新局域网防火墙–配置防火墙/路由器，封锁不必要的端口：TCPport135,137,139andUDPport138.基于主机的访问控制–Windows2000自带–个人防火墙30Unix安全管理（一）相应版本的所有补丁账号与口令关闭缺省账号和口令：lp,shutdown等shadowpasswd用crack/john等密码破解工具猜测口令（配置一次性口令）网络服务的配置：/etc/inetd.conf,/etc/rc.d/*TFTP服务get/etc/passwd匿名ftp的配置关闭rsh/rlogin/rexec服务关闭不必要的rpc服务安装sshd，关闭telnet。NFSexport31Unix安全管理（二）操作系统更新–Solaris：–Redhat：up2date常见安全问题–Solaris各种RPC服务–LinuxprinterNamedWu-ftpd32路由器安全管理（一）认证口令管理–使用enablesecret,而不用enablepassword–TACACS/TACACS+,RADIUS,Kerberos认证控制交互式访问–控制台的访问：可以越过口令限制；–远程访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem–虚拟终端口令保护：vty,tty：login，nopassword–只接收特定协议的访问，如transportinputssh–设置允许访问的地址：ipaccess-class–超时退出：exec-timeout–登录提示：bannerlogin33路由器安全管理（二）关闭没有必要的服务–smallTCPnoservicetcp-small-servers:echo/chargen/discard–finger,ntp–邻机发现服务（cdp）审计–SNMP认证失败信息，与路由器连接信息：Trap–系统操作日志：systemlogging:console,Unixsyslogd,–违反访问控制链表的流量操作系统更新–路由器IOS与其他操作系统一样也有BUG34怎样检测系统入侵察看登录用户和活动进程–w,who,finger,last命令–ps,crash寻找入侵的痕迹–last,lastcomm,netstat,lsof,–/var/log/syslog，/var/adm/messages,~/.history–查找最近被修改的文件：find检测sniffer程序–ifconfig,cpm35蠕虫的危害及防范（一）蠕虫简介Morris蠕虫事件–发生于1988年，当时导致大约6000台机器瘫痪–主要的攻击方法Rsh，rexec：用户的缺省认证Sendmail的debug模式Fingerd的缓冲区溢出口令猜测CRII蠕虫–感染主机全球超过30万台–导致大量网络设备瘫痪36蠕虫的危害及防范（二）Lion蠕虫出现于今年四五月间–造成网络的针对53端口大面积扫描主要行为–利用Bind安全缺陷入侵–扫描一段B类网络之后出现了很多类似的蠕虫–Raemon蠕虫–Sadmind蠕虫解决方法：更新Linuxbind服务器37蠕虫的危害及防范（三）CRI主要影响WindowsNT系统和Windows2000–主要影响国外网络–据CERT统计，至8月初已经感染超过25万台主要行为–利用IIS的Index服务的缓冲区溢出缺陷进入系统–检查c:\notworm文件是否存在以判断是否感染–中文保护（是中文windows就不修改主页）–攻击白宫！解决方法：更新Windows2000、NT操作系统和杀毒工具38蠕虫的危害及防范（三续）CRIIInspiredbyCRI–影响波及全球–国内影响尤其广泛主要行为–所利用缺陷相同–只感染windows2000系统，由于一些参数的问题，只会导致NT死机–休眠与扫描：中文windows，600个线程39CodeRed扩散速度（7.19-7.20）40CodeRedv1扩展速度（7.19-7.20)41蠕虫的危害及防范（四）nimda主要特点–综合了各种攻击和传染方法–第一款既有蠕虫特征又有病毒特征的恶意代码–影响面遍及全球主要行为–群发电子邮件，付病毒–扫描共享文件夹，–扫