计算机与网络安全-PowerPointPresenta

计算机与网络安全郑先伟zxw@ccert.edu.cn清华大学信息网络工程研究中心2006年12月27日提纲一．个人计算机的安全配置与使用规范二．校园网近期安全问题三．个人计算机常见安全问题与解决办法四．讨论一、个人计算机的安全配置与使用规范1.Windows系统的安全保护机制2.校内安全资源的使用3.初装计算机的正确步骤一、个人计算机的安全配置与使用规范Windows系统的安全保护机制系统与应用程序补丁防火墙帐号与口令防病毒软件正确的使用习惯windows的安全保护机制系统与应用程序补丁补丁的安装方法:1.Windows在线的update网站更新(需要是正版)2.微软提供的自动更新服务(速度慢)3.学校提供的WSUS服务器(推荐使用)4.手动下载补丁程序安装(不推荐)需要提醒的时除了系统补丁外,很多应用软件也需要安装补丁程序,如(office、IE、OUTLOOK等）windows的安全保护机制防火墙的选用1.Winxp或者win2003自带的防火墙（推荐使用）2.Windows自身的组策略安全规则（配置复杂）3.第三方的防火墙（如天网个人防火墙、norton提供的防火墙、瑞星杀毒软件提供的防火墙、趋势防火墙）防火墙是必须的windows的安全保护机制口令设置要求1.口令应该不少于8个字符；2.不包含字典里的单词、不包括姓氏的汉语拼音；3.同时包含多种类型的字符，比如大写字母(A,B,C,..Z)小写字母(a,b,c..z)数字(0,1,2,…9)标点符号(@,#,!,$,%,&…)windows的安全保护机制防病毒系统1.一定要及时升级病毒库文件（推荐使用企业版）2.实时监控功能一定要开着3.推荐使用的杀毒软件趋势科技的officescan防毒软件赛门铁克的norton防毒软件瑞星杀毒软件（rising)卡巴斯基。。。。windows的安全保护机制正确的使用习惯1.不随便下载程序运行2.不访问一些来历不明的网页链接3.不使用的情况下尽量关闭机器4.经常备份重要数据一、个人计算机的安全配置与使用规范1.Windows系统的安全保护机制2.校内安全资源的使用3.初装计算机的正确步骤校内安全资源的使用补丁更新服务器清华的WSUS服务器地址：166.111.8.105WSUS服务配置方法1.修改注册表2.修改组策略（推荐）补丁更新服务器（组策略）一、选择“开始”，“运行”，输入gpedit.msc，打开组策略窗口。二、选择“管理模板”，然后从菜单中选择“操作”，“添加/删除模板”。（注意：winxpsp1以上版本的操作系统中这个wuau.adm已经添加了，您可以直接跳到第六步）三、在“添加/删除模板”窗口中选择“添加”。补丁更新服务器（组策略）四、在“策略模板”中选择“wuau.adm”，并选择“打开”。五、选择“关闭”，关闭“添加/删除模板”窗口。六、选择“计算机配置”-“管理模板”-“Windows组件”-“WindowsUpdate”，并选择“配置自动更新”。七、在“配置自动更新”的属性窗口中，选择“启用”，并选择“确定”。补丁更新服务器（组策略）八、在“指定IntranetMicrosoft更新服务器位置”的属性窗口中，选择“启用”，并在“设置检测更新的Intranet更新服务：”框中输入“”，在“设置Intranet统计服务器：”框中输入“”，并选择确定。九、关闭组策略窗口。十、在开始运行处输入wuauclt.exe/detectnow命令，立即启动wsus服务！补丁更新服务器（注册表）WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]“WUServer”=“=[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]UseWUServer=dword:00000001补丁更新服务器（注册表）当系统右下角的托盘中出现了黄色的小盾牌（windows2000为绿色的小地球图标）后，说明系统有需要安装的补丁程序，双击该图标后按照系统提示安装相应的补丁程序！趋势科技杀毒软件病毒服务器地址：病毒软件的安装方法：1.在线安装（需要把控件功能打开）2.下载安装包安装企业版的趋势杀毒软件采用的是服务器自动分发病毒库文件，无需用户手动更新。趋势科技杀毒软件图标的定义趋势科技杀毒软件卸载客户端需要密码（tsinghua或者pass)关于客户端漫游功能（校外临时使用）立即更新功能（一般情况下不需要手动点击立即更新）图标显示断开（可能是临时性的网络故障，客户端一般不用做什么操作）查看病毒码更新日期（主窗口-帮助-关于-病毒码发布日期）趋势科技杀毒软件趋势科技的杀毒客户端自带了一个简单防火墙，功能类似于xp系统自带的防火墙，当xp系统自带的防火墙启动后，这个防火墙的功能会自动关闭。一、个人计算机的安全配置与使用规范1.Windows系统的安全保护机制2.校内安全资源的使用3.初装计算机的正确步骤初装计算机的正确步骤系统的选择原则1.选择最新版的操作系统（推荐winxp或2003）2.尽量选择已经带有servicepack的版本3.遵从“最小安装原则”4.如果有专职管理员，请专职管理员协助安装操作系统操作系统初始安装的过程系统安装与加固1.预先将东西准备好（如防火墙软件等）2.安装过程请拔掉网线3.系统安装结束后请安装并启用防火墙后再插上网线4.配置补丁自动更新，并升级补丁程序5.安装防病毒软件并升级到最新的病毒库具体过程请参照初装计算机补丁安装.doc提纲一．个人计算机的安全配置与使用规范二．校园网近期安全问题三．个人计算机常见安全问题与解决办法四．讨论二、近期校园网常见安全问题ARP攻击系统入侵ARP攻击什么是ARP攻击？利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。ARP攻击有什么危害？致使同网段的其他用户无法正常上网（频繁断网或者网速慢），泄露用户的敏感信息。ARP原理ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。点对点的连接是不需要ARP协议的。ARP原理主机名IP地址MAC地址主机A192.168.1.201-01-01-01-01-01主机B192.168.1.302-02-02-02-02-02网关C192.168.1.103-03-03-03-03-03主机D10.1.1.204-04-04-04-04-04网关E10.1.1.105-05-05-05-05-05ARP工作原理假如主机A要与主机B通讯，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个arp包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了，直到通讯停止后两分钟，这个对应关系才会被从表中删除。ARP工作原理假如主机A需要和主机D进行通讯，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通讯。ARP欺骗Arp欺骗原理主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能ARP欺骗1.主机b向网关C发送ARP应答包说：我是A我的MAC地址是02-02-02-02-02-02，主机b同时向主机A发送ARP应答包说：我是C我的MAC地址是02-02-02-02-02-02B获得A发给C的数据，修改后发给C，同时获得C发给A的数据修改后发给A，实现了监听过程ARP攻击几个概念：Arp缓存表ARP攻击ARP数据包13:10:44.802151arpwho-has192.168.1.1tell192.168.1.213:10:44.802607arpreply192.168.1.1is-at00:00:0c:07:ac:00ARP攻击什么情况下表明局域网内有ARP攻击1.校园网登陆系统频繁掉线2.网速突然变慢3.使用ARP–a命令发现网关的MAC地址不停的变换4.使用sniffer软件发现局域网内存在大量的ARPreply包ARP攻击如何发现正在进行ARP攻击的主机1、在知道正确的网关MAC的情况下，通过ARP–a命令看到的另一个网关MAC就是攻击主机的MAC2、使用Sniffer软件抓包发现大量的以网关的IP地址发送的ARPreply包，包中指定的MAC就是攻击主机的MAC3、使用我们开发的ARP保护程序发现攻击主机的MAC攻击如何处理感染主机1.发现感染主机，第一时间拔掉网线2.按照安全手册重新安装操作系统ARP攻击目前已知的ARP病毒的传播途径1.通过外挂程序传播2.通过网页传播3.通过其他木马程序传播4.通过即时通讯软件传播（QQ、MSN）5.通过共享传播（网络共享、P2P软件共享）ARP攻击如何预防感染ARP病毒？1.关闭不必要的共享2.及时安装系统补丁程序3.安装防病毒软件并及时升级病毒库4.不随便运行来历不明的程序5.不访问一些来历不明的链接二、近期校园网常见安全问题ARP攻击系统入侵近期校园网常见安全问题系统入侵多数被攻击的都是服务器，操作系统多为windows2000server或者linux针对linux常利用的漏洞为：openssh和apche等软件的漏洞针对windows2000server更多的是利用网页编写本身的漏洞。。提纲一．个人计算机的安全配置与使用规范二．校园网近期安全问题三．个人计算机常见安全问题与解决办法四．讨论三、常见安全问题及解决方法1.系统中的自启动程序2