6、网络安全-对付黑客

六、对付黑客1、前摄检测2、审核3、入侵检测4、迷惑黑客5、惩罚黑客6、建立攻击反应策略1、前摄检测是抵制潜在黑客的方法，包括自动安全扫描、登录脚本、个人防火墙、自动审核分析等。自动安全扫描：使用如Win2k的任务调度器或Linux的cron后台运行程序来执行。在传输负载较轻时运行，可以对黑客进行检测并避免打扰用户。登录脚本：通常用来在用户登录时定制他的环境，可以用来改善网络的安全性。大多黑客通过损害root或Administrator账户试图获得对系统的特权。安全管理员可以修改这些账户的登录脚本记录试图登录主机名和系统的IP地址，与以前的记录相比，来确定可疑的登录企图，但并不只限于特权账户。个人防火墙：是驻留在一台网络主机上的软件代理程序。可以完成下列工作：1）登记所有的网络连接和打开端口的企图。2）阻塞电子邮件病毒对系统组件的访问。3）向一个系统或网络管理员发出报警消息。自动审核分析：增强了由许多操作系统提供的默认的日志条目。日志文件提供有用信息，帮助防止安全入侵。日志在多种位置（路由器或应用服务）上记录成功和不成功的操作或更多的信息。可以通过编写脚本来扫描网络和自动分析操作并解析日志来获取有关的信息，从而节省时间和成本，且提高了安全性。1）正误判：发生在当审核应用报告了一个并不存在的问题时。发生正误判的主要原因是应用程序容易把不同的文本字符串和命令误认为是威胁。正误判带来问题的原因：它们转移我们的注意并使我们在实际上并不存在的问题上花费时间，它们还可能使日志文件变得太大且可能影响系统性能。2）负误判：发生在日志记录和审核应用程序没有对问题进行报告时。发生的原因有很多，如可能没有配置日志应用程序去搜索当前的事件。即使你在使用一个扫描程序，你可能使用一个比较老的审核程序，它需要更新以发现最近的问题。防火墙可以丢弃连接，导致某些扫描器不能报告已经遇到问题的主机。2、审核内部审核包括：1）发现缺陷；2）确定这些缺陷是否导致系统渗透；3）确定被黑客控制的系统；4）学习是否现有的操作系统缺陷准许黑客从系统到系统的蔓延。审核员：是一个独立的被委托进行风险评估的个人，其工作是确定网络的有效安全性。从两个角度考虑：1）黑客的角度，保护系统不受非法行为的侵害。2）雇员和管理者的角度，确定安全措施影响业务正常运行的能力。审核员的工作：1）依从性（差距）分析：用来在安全策略要求和实际发生的结果之间暴露差距。常规任务有：a）确定审核的业务的本质，而不仅仅是网络或网络资源。b）检查在信息安全中写了什么，网络不具备书面的适当位置的安全策略（安全路标或“框架”）就无法获得有效的安全。这个安全策略使得一个网络在增长扩充时能保持安全。包括：雇员行为：可接受的Internet应用和支持的软件安装。程序：概述了如何对未授权的网络应用、由于设备故障和黑客入侵导致的文件破坏及其它没有计划的事件做出反应的详细文档。设计：解释网络拓扑和协议的文档和拓扑图，公司如何计划配置它的边防和内部安全设备。c）与管理层和员工一起工作来确定过去的和潜在的问题，确定适当的指挥系统，并弄清雇员如何才能很好的理解和执行指示，就已准备好观察这些员工并确定他们的行为可能损害网络的方式。2）风险分析：是定位资源和确定攻击可能性的能力。有以下步骤：a）成文的安全策略检查，可以弄明白已经造成的一些遗漏是否可能有助于破坏安全。需要考虑的是：不适当的防火墙配置。不适当的用户培训托管。不充分的入侵检测步骤。在策略中没有强调的系统升级，如服务器不定级别和反病毒应用程序的更新。b）分析、分类和区分资源的优先级，包括：攻击的目标是普通用户还是人力资源系统，前者的风险低，而后者的风险高。攻击造成的后果如何，是影响整个机构还是独立的个人，并从资金的损失角度量化。攻击发生的可能性（概率），是不太可能还是极有可能。按类型区分网络资源的优先级：服务器、数据库、用户和网络连接。按公司部门区分网络资源优先级：销售、人力资源、财务、市场、研发、采购、制造、信息技术和工程等。热点（易受攻击的资源）：路由器、交换机、防火墙和网络主机；安全帐户和信息数据库，SMTP、HTTP和FTP服务器。c）考虑业务的关注：针对机构的需求定制安全策略，需要上层管理者、法律顾问、部门领导、人力资源部、公共关系和研发等部门的业务关注该策略，并使其工作有效。d）评估现有的边防和内部安全性：边防安全涉及一个网络区别于其他网络的能力，在定义它的时候防火墙是第一道防线。审核员要确信网络可以从几种外部攻击中恢复。带宽消耗：黑客发出欺骗性数据，阻塞一个到网络的连接，然后拒绝服务。不完善的防火墙配置：不适当的代理和包过滤规则设置可能造成网络漏洞。置于防火墙之外的系统：尽可能在防火墙内防止系统。e）使用现有的管理和控制结构管理器172.16.116.8代理代理172.16.116.0172.16.116.5被管理的系统172.16.116.6被管理的系统管理器172.16.116.9GUI系统172.16.116.7172.16.117.0代理代理被管理的系统172.16.117.3被管理的系统172.16.117.2f）撰写和递送报告：由审核员提出的有关发现的问题。要注意保密，如果用电子邮件传输，需要考虑用PGP等软件加密。包含几类文档：行政报告：告诉上层管理者审核发现的问题。用常规特征总结如何提高或降低公司的安全级别，尽可能的简练和少用技术语言。从而使行政人员能根据资金和其他资源做出决定和确定解决问题的时间。程序性报告：描述审核的过程，偏向于准许所有的人校验审核方法的合理性。IT报告：包含详细的有关发现问题本质的信息，及如何纠正问题的建议，使用技术语言。审核员的角色：1）安全管理员：知道如何配置网络并探查可能的弱点，测试防火墙并清楚它是否可能被渗透，继续控制网络的主机，这需要懂得如何审核防火墙日志和分析典型的防火墙配置。这被称作“管理的审核”。2）顾问或黑客（道德黑客或白帽黑客）：首先有少许或几乎没有网络拓扑、服务器、协议和操作系统的知识，其次是发现、渗透和示范如何控制网络，其好处是能够调查网络对大多数黑客所采纳的策略的应变能力。3）内部人员：首先遇到IT管理员和其他相关的员工，然后将执行一个现场分析，了解所有的网络资源和方法，确定哪些以前的员工可能攻击，并准许对可能基于雇员的哄骗对网络进行测试。审核步骤：1）发现：使用自动扫描仪扫描和测试系统的有效安全性，涉及制定和确定每个资源的位置（IP地址、开放的端口、拓扑等），通常最经常执行并最消耗时间，最终结果应该是有关达到的效力和全部安全性的严格的总结。要求一个系统一个系统的检查，在每个系统上需要检查和测试的是：已知的易受攻击的服务和软件版本、默认安装、不安全的网络管理、一般的口令、配置不正确的服务、拓扑缺陷、信息泄漏、未授权的设备、服务和服务器、可管理的设备、密码系统的使用、过多的用户权限。发现的工具和方法：可以使用Ping和端口扫描来发现一个网络，也可以使用已有的应用程序（Telnet和SNMP）来确定一个网络在哪泄漏有价值的信息，还可以使用一些适当的、有针对性的工具或用编程语言（Perl、C、C++和Java等）编写自己的工具。DNS工具：Nslookup、ping扫描、端口扫描、traceroute、host（执行区域传输，获得域名服务器的信息，了解一个域中邮件服务器的信息）、PingPro、nmap、checkos、queso、SATAN等。缺陷扫描仪：ISSInternetScanner、SymantecNetRecon、NetworkFlightRecorder、eEyeRetinaScanner、Nessus、Saint。网络扫描考虑的问题：计算时间以免干扰被审核的业务的正常运行；需要配置额外的主机来帮助执行一个有效的扫描，在不同的子网安装一些扫描仪；获得的信息，包括网络级（网络拓扑、路由器和交换机、防火墙类型、IP服务、Modems）和主机级（激活端口、数据库、服务器）。缺陷扫描报告：可以把这些信息输出到不同格式的文件中，如简单的ASCII文本、HTML文档、字处理文档（RTF、PDF、DOC）、电子数据表格（Excel）、被任何使用SQL命令的应用程序读取的数据库、包含在演出文稿幻灯片中的图形（PPT或IBMFreelance）。2）渗透：绕过访问控制机制（如登录账户和密码），尝试通过使加密模式失效而破坏数据的机密性和完整性，并拒绝访问网络提供的服务，通常要使加密、密码和访问列表失效。3）控制：有效的随意管理服务器和网络，这意味着黑客可能变得像管理员一样访问资源、建立账户和处理日志。因此在准备书面报告时，必须显示如何能防止黑客获得网络和系统的控制。控制还意味着黑客波及其他系统的能力，他会利用被损坏的系统与其他系统的信任关系，因此审核要防止黑客一个系统接一个系统的蔓延。3、入侵检测是对防火墙后面的网络行为进行实时监控，IDS对网络数据流进行监听帮助安全管理员做下面的事：1）信息传输检测：将网卡设置在混杂模式（基于网络的IDS）或连续读取日志文件以检测问题（基于主机的IDS）。2）事件标识：所有IDS都使用某些类型的数据库，用来识别检测到的数据流，这不同于简单的检测，可以利用一个简单的网络探测器（sniffer）对数据流进行检测，但关键是能识别数据流的类型并做出反应。3）反应：一个IDS应用程序能够采取的行动，当认为数据流该被反对时，能对其做出反应，这是由安全管理员制定的明确的指导和规则决定的。4）日志记录：所有的IDS都将数据流存储在日志文件以备日后分析。IDS术语1）IDS应用程序：IDS可以由几个不同的应用程序组成，它们共同工作进行检测操作，被监控的事件包括：对一个特殊主机的重复登录企图，Ping穿过一个子网或整个网络进行扫描，对一个特殊主机的端口扫描和被认为不适合一个网络协议的应用。2）特征：任何被确定为攻击的行为。只有当一个IDS遇到一个特征时，才发出电子邮件信息或重新配置防火墙。IDS可以增加一个规则到防火墙中，这样防火墙就可以阻塞那些有攻击性的数据流。3）攻击特征数据库：用来标识攻击。网络扫描仪在这样的数据库中寻找在一个主机上预定义的弱点，而IDS应用程序监控和记录网络数据流。IDS可以监听所有的网络数据流并对可疑的信息做出反应。4）IDS规则：是准许IDS瞄准一个特殊类型的网络数据流并做出反应的条目。这些规则决定了IDS将寻找什么和检测到符合规则的数据流时该如何处理。规则的字段包括：源和目的IP地址、源和目的端口、网络数据流的类型（TCP的SYN包或UDP包）及反应。最重要的规则是准许IDS对SYN溢出、端口扫描、ping扫描和其他攻击进行监听，大多数规则准许IDS对一段范围内的IP地址或端口进行检测，如果检测到某些IP地址或端口在一段很短的时间内被人利用，IDS就记录这些数据流并发出警报。5）IDS反应：阻塞恶意的数据流或发送信息通知攻击，具体包括：激活记录机制，如SNMP陷阱；运行一个程序，废除攻击或阻塞攻击者使用的主机；重新配置防火墙；发出语音、电子邮件、传真、传呼和电话通知；连接跟踪。反应字段包括：反应的描述，需要保护和重新配置的主机（单独或一系列主机），需要被记录和禁止的主机（单独或一系列主机），做出反应的时间段。6）IDS记录：IDS应用的最重要的一个功能是启动冗余记录，涉及生成和处理日志文件的多个系统。事件反应团队（IRT）：完整的IDS需要包括一支分析家队伍来对数据流进行审阅和反应。IRT负责：安装并配置IDS应用；分析报告和被监控的数据流；确保IDS应用保持运行；确认IDS应用不被破坏，并只有授权的员工可以监控数据流；区分正误判和实际的攻击；系统被入侵后对攻击和攻击者进行分析以了解更多它们的信息（法医分析法）及黑客攻击所造成的损害。IDS应用策略：1）特征检测：IDS依赖预定义的规则做出反应，这里要求规则最新且与被监控的网络有关。2）异常检测：IDS建立一个基准值，当网络数据流与此基值相比有显著改变时，就发警报。入侵检测结构1）基于主机的IDS代理