《网络安全培训》课件.ppt

《《网络安全培训》课件.ppt》由会员分享，可在线阅读，更多相关《《网络安全培训》课件.ppt（177页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络安全培训1精选ppt主要内容n网络安全的概念n安全的网络n常见网络攻击的介绍n常见主机攻击介绍n安全的主机n网络监测n事故处理n案例分析nFAQ2精选ppt计算机安全简介计算机安全简介3精选ppt安全？什么是计算机安全？谁定义计算机安全？计算机安全(公安部定义1994)：计算机系统的硬件、软件和数据受到保护，不因偶然或恶意的原因而遭到破坏、更改、显露，系统不能连续正常运行。计算机安全的含义(1991)：O避免窃取和破坏硬件O避免窃取和破坏信息O避免破坏服务4精选ppt保密性、完整性和服务失效+保密性：防止信息在非授权情况下的泄漏。+完整性：保护信息使其不致被篡改或破坏。+服务失效：临时降低

2、系统性能、系统崩溃而需要人工重新启动、因数据永久性丢失而导致较大范围的系统崩溃。5精选ppt可信系统的评价准则类别名称主要特征A1验证设计形式化的最高级描述和验证，形式化的隐密通道分析，非形式化的代码一致性证明B3安全区域存取监督器(安全内核)，高抗渗透能力B2结构化保护形式化模型，隐密通道约束，面向安全的体系结构，较好的抗渗透能力B1有标识的安全保护强制存取控制，安全标识，删去安全相关的缺陷C2受控存取保护 单独的可说明性，广泛的审核，附加软件包C1任意安全保护 任意存取控制，在共同工作的用户中防止事故D低级保护不分等级6精选ppt计算机安全的内容l计算机实体安全l软件安全l数据安全l运行安

3、全l环境安全7精选ppt网络安全概述网络安全概述8精选ppt网络安全概述z什么是网络安全？谁定义网络安全？z体系是网络安全的重要特性z安全需求和安全政策9精选ppt主要的网络安全体系安全管理制度安全域边界管理数据安全体制安全监测分析系统U病毒防护？U自动安全管理系统？U10精选ppt网络安全体系示意11精选ppt不同体系所面对的威胁不同体系面对不同来源的威胁N管理制度面对人的威胁N边界管理面对来自网络外部的威胁N数据安全体制主要针对内部或外部信道的威胁(此外，防止泄密、进行鉴别等)N安全监测系统用于发现和补救存在的危险12精选ppt威胁从何而来？安全的模糊性网络的开放性产品的垄断性技术的公开性

4、人类的天性13精选ppt安全的模糊性d安全是相对的，不易明确安全的目标d安全是复杂的，不易认清存在的问题d安全是广泛的，不易普及安全的知识14精选ppt网络的开放性1互联机制提供了广泛的可访问性1Client-Server模式提供了明确的攻击目标1开放的网络协议和操作系统为入侵提供了线索1用户的匿名性为攻击提供了机会15精选ppt产品的垄断性0工业界试图将专用技术引入Internet以获得垄断地位，从而将开放式的环境演变为商品化的环境，如Active X。0专用技术的细节通常受到有关厂家的保护，因而缺乏广泛的安全讨论，容易出现安全缺陷，例如Active X允许进行控件下载，又缺乏对控件的运行约

5、束。16精选ppt技术的公开性/如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。/基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。17精选ppt人类的天性好奇心、显示心惰性和依赖心理家丑不可外扬18精选ppt安全管理制度3木桶原则：木桶盛水的高度等于其最短的木板的长度3安全链条：链条的强度等于其最弱一环的强度4“人人”是最短的木板和最弱的一环是最短的木板和最弱的一环!19精选ppt网络边界安全网络边界安全20精选ppt网络边界安全使用防火墙使用防火墙!?什么是防火墙什么是防火墙!？J

6、机房里用防火砖砌的墙?L不同的人对防火墙有不同的定义!一种定义：防火墙是允许或不允许特定信息通过网络的某一关键路径的访问控制政策21精选ppt防火墙和关键路径关键路径可以是物理的也可以是逻辑的22精选ppt防火墙体系IP Packet Filter(如路由器中的access list)堡垒主机、多协议过滤器(如checkpoint防火墙)应用级防火墙(如Proxy、分裂的DNS,Sendmail、WEB过滤的Gaunlet防火墙)参考OSI模型的近似防火墙分层体系23精选ppt信息安全与网络安全信息安全与网络安全24精选ppt数据安全)数据保密：密码体制。)内容完整：数字签名，信息摘录。)无否

7、认：公证机制，审计功能，数字签名。25精选ppt网络安全,传输安全：数据保密，内容完整；,访问安全：身份认证，访问控制；,运行安全：基础设施的可靠性，安全监测。26精选ppt访问控制S用于限定对网络的使用，包括对某个用户进行访问控制；和对某个资源进行访问控制。S端系统访问控制n自主访问控制n强制访问控制n基于角色的访问控制政策S网络的访问控制：防火墙技术27精选ppt构建安全的网络构建安全的网络28精选ppt构建安全的网络n明确安全需求n制定安全政策n在边界建立符合安全政策的防火墙体系n划分内部的安全政策域n对特定的主机节点进行加固n使用合理的访问控制政策、鉴别机制和数据安全体制n建立有效的可

8、承受的监测体制29精选ppt明确安全需求n不同的网络安全需求是不同的n安全需求是建立安全政策的基础n例如校园网可以有：n保证网络的可用：路由器不瘫痪、邮件发送正常等等n保证网络用户使用的可管理n防止出现异常的流量导致异常的费用n防止对核心服务器的攻击，以保护学校的声望n对学校某学生的机器不特别关心，除非他报案30精选ppt制定安全政策n根据安全需求制定安全政策n安全政策可以是形式化的，也可以是口语化的n安全政策表示的是什么是允许的什么是不允许的n例如(可以不用书面定义，可以包括所采用的技术手段的种类)：n在边界使用防火墙，允许内部注册用户的对外访问，禁止随意的对内部访问等n内部开发网段使用SS

9、H作为数据安全手段n鉴别采用口令认证的方式31精选ppt在边界建立符合安全政策的防火墙体系Internet路由器防火墙WWW、SMTPProxy内部用户DMZ32精选ppt划分内部的安全政策域n例如某公司可以划为：用户上网域、服务器域、开发域等Internet路由器WWW、SMTP内部开发区服务器域(DMZ)用户上网区服务器开发服务器禁止开发 禁止(允许FTP)33精选ppt对特定的主机节点进行加固n对特殊位置的主机必须进行加固n如上例nWWW服务器和Mail服务器n对于内部开发服务器也需要加固n可以制定一定的制度，要求内部员工也对各自的主机进行加固34精选ppt使用合理的访问控制、鉴别机制和

10、数据安全体制n建立授权访问控制的政策，例如：哪些人可以访问哪些信息、权限如何等n选择内部或外部使用的鉴别机制，例如口令机制、证书、LDAP、NISn选择使用或不使用数据安全体制，使用哪种数据安全体制，例如CA、KDC。如采用Kerberos(KDC)35精选ppt建立有效的可承受的监测体制n使用不使用安全监测系统n基于网络还是基于主机的安全监测系统n例如：n在边界上使用基于网络的入侵检测系统n在服务器上使用基于主机的安全状态检查系统n等等36精选ppt总结B计算机安全是指对计算机硬件、软件和数据的保护B网络安全是成体系的B网络边界的管理常常使用防火墙体系B信息安全依靠数据安全体系保障B安全监测

11、体系可以用于发现系统漏洞和入侵行为B根据安全需求和安全政策建立相对安全的网络37精选ppt常见攻击介绍n针对网络的攻击n拒绝服务攻击（Deny of Service)n针对主机的攻击n缓冲区溢出攻击（buffer overflow)n后门和木马(backdoor&Trojan)n蠕虫、病毒38精选ppt网络入侵的步骤(简单服务失效攻击)获取目标系统信息从远程获取系统的部分权利从远程获取系统的特权清除痕迹留后门破坏系统39精选ppt常见网络攻击 DoSn消耗有限资源n网络链接n带宽消耗n其他资源n处理时间n磁盘空间n账号封锁n配置信息的改变40精选pptDoS分类nSyn floodn其他flo

12、od（smurf等）n分布式DoS(DDoS)41精选pptSyn flood 攻击原理n攻击TCP协议的实现n攻击者不完成TCP的三次握手n服务器显示TCP半开状态的数目n与带宽无关n通常使用假冒的源地址n给追查带来很大的困难42精选pptTCP Three-Way HandshakeSYNClient wishes to establish connectionSYN-ACKServer agrees to connection requestACKClient finishes handshakeClient initiates requestConnection is now half

13、-openClient connection EstablishedServer connection EstablishedClient connecting to a TCP port43精选pptSYN Flood IllustratedClient spoofs requesthalf-openShalf-openShalf-openSQueue filledSQueue filledSQueue filledSSASASAClient SYN Flood44精选pptSyn flood攻击实例n服务器很容易遭到该种攻击n南邮“紫金飞鸿”曾遭受该攻击的困扰45精选pptSYN Floo

14、d ProtectionnCisco routersnTCP 截取n截取SYN报文，转发到servern建链成功后在恢复client与server的联系nCheckpoint Firewall-1nSYN Defendern与Cisco 路由器的工作原理累死n攻击者依然可以成功n耗尽路由器或者防火墙的资源46精选pptTCP Intercept IllustratedRequest connectionAnswers for serverSSAFinishes handshakeARequest connectionServer answersSSAFinishes handshakeAKni

15、t half connections47精选pptSYN Flood Preventionn增加监听队列长度n依赖与操作系统的实现n将超时设短n半开链接能快速被淘汰n有可能影响正常使用n采用对该攻击不敏感的操作系统nBSDnWindows48精选pptSmurf 攻击原理n一些操作系统的实现会对目的地址是本地网络地址的ICMP应答请求报文作出答复。n以网络地址为目标地址发送ICMO应答请求报文，其中很多主机会作出应答。n攻击者将ICMP报文源地址填成受害主机，那么应答报文会到达受害主机处，造成网络拥塞。49精选pptSmurf Attack IllustratedICMP Echo Reque

16、stSrc:targetDest:10.255.255.25510.1.1.1Attacker spoofs address10.1.1.210.1.1.310.1.1.4Amplifier:Every host replies50精选pptSmurf攻击的预防n关闭外部路由器或防火墙的广播地址特性；防止目标地址为广播地址的ICMP报文穿入。n成为smurf攻击的目标，需要在上级网络设备上做报文过滤。51精选ppt分布式DoS(Distributed DOS)n从多个源点发起攻击n堵塞一个源点不影响攻击的发生n采用攻击二级结构n攻击控制用的称为 handlersn发起攻击用的 agentsn攻

17、击目标为targets52精选pptDDOS IllustratedClientAgentHandlerAgentAgentHandlerAgentAgentAgent53精选pptDDoS攻击n目前没有 很好的预防方法nDDoS攻击开销巨大n但是一般主机不可能成为DDoS的目标nYahoo曾经遭受过DDoS攻击nSadmind/unicode蠕虫为DDoS做准备54精选ppt针对主机的攻击n缓冲区溢出n后门和木马n蠕虫、病毒55精选ppt缓冲区溢出n程序收到的参数比预计的长n程序的栈结构产生混乱n任意输入会导致服务器不能正常工作n精心设计的输入会导致服务器程序执行任意指令56精选pptBuf

18、fer Overflow Illustratedmain()show(“THIS IS MORE THAN 24 CHARACTERS!”);show(char*p)strbuff24;strcpy(strbuf,p);Stackmain()datamain()returnSaved registerShow()dataStrbuf24 bytesstrcpy()returnE R S !T H I S.I S .M O R E.T H AN .2 4.C H AR A C T Return address corrupt57精选ppt缓冲区溢出的预防n联系供应商n下载和安装相关的补丁程序n如

19、果有源代码n自己修改源代码，编译安装58精选ppt后门和木马n应用背景：攻入系统之后，为以后方便、隐蔽的进入系统，有时候攻击者会在系统预留后门。nTrojan horse:A program that appears to serve one purpose,but it reality performs an unrelated(and often malicious)task.59精选ppt后门、木马技术获得系统控制权之后，可以做什么？n修改系统配置n修改文件系统n添加系统服务后门技术通常采用以上的手段或其组合。60精选ppt后门、木马的检测和预防nMD5 基线n给干净系统文件做MD5校验

20、n定时做当前系统的MD5校验，并做比对n入侵检测系统n后门活动有一定的规律n安装入侵检测系统，一定程度上能够发现后门n从CD-ROM启动n防止后门隐藏在引导区中61精选ppt蠕虫n能够自行扩散的网络攻击程序n各种攻击手段的组合n有时候为DDoS做攻击准备n具体问题具体分析62精选ppt一个蠕虫实例n第一步，随机生成IP作为二级受害主机的超集，对这些IP所在的C类网段的111口进行横向扫描（检测是否存在rpc服务），保存结果，获得存在rpc服务的主机集合；n第二步，对上述存在rpc服务的主机，检测是否运行sadmind服务，保存检测结果，获得存在sadmind服务的主机集合，即二级受害主机集合一

21、；n第三步，对二级受害主机集一以轮询方式尝试sadmind栈溢出攻击；63精选ppt蠕虫实例（续上）n第四步，检查栈溢出攻击是否成功。如果成功则进行第五步（扩散攻击系统）否则跳第九步（进行另一种攻击尝试）；n第五步，sadmind栈溢出攻击成功后，攻击程序可以通过登录二级受害主机的600口获得一个具有超级用户权限的shell。攻击程序利用这个shell，添加二级受害主机对一级受害主机的信任关系，使一级受害主机可以执行二级受害主机的远程shell指令。64精选ppt一个蠕虫实例（续上）n第六步，一级受害主机将攻击代码上载至二级受害主机，设置二级受害主机的攻击环境，修改系统启动文件并且消除入侵痕迹

22、。n第七步，一级受害主机远程启动二级受害主机的攻击进程。由于在第六步中，一级受害主机设置了二级受害主机的攻击环境、修改了系统配置，因此，二级受害主机不能通过重新启动系统阻止CUC攻击的扩散。这样，二级受害主机迅速完成了从受害者到“帮凶”的角色转换。65精选ppt一个蠕虫实例（续上）n第八步，一级受害主机发现它作为攻击者已经成功的感染了一定数量的主机（目前已发现版本的数量为2000）后，允许自身暴露。n第九步，随机生成IP作为二级受害主机的超集，对这些IP所在的C类网段的80口进行横向扫描（检测是否为WWW服务器），保存结果，获得存在WWW服务的主机集合（即二级受害主机集合二）；n第十步，对二级

23、受害主机集合尝试UNICODE攻击（该攻击针对Windows NT系列系统），试图修改其主页。66精选ppt攻击示意图67精选pptUNIX简史68精选pptUNIX安全管理基本原则n好的安全管理起始于安全规划n危险评估n哪些需要被保护？n他们有多大的价值？n要使他抵御什么样的危险？n怎样来保护？69精选pptUNIX安全管理基本原则（续上）n成本收益分析n用户培训n了解社会工程n管理员素质培养n遵守安全守则70精选ppt安全的主机（UNIX）n主机的安全配置n配置管理n服务裁剪n主机的安全管理n日常安全管理n系统审计n常用工具介绍71精选pptUNIX的安全配置n帐号管理n文件系统的管理n服

24、务管理72精选ppt一个UNIX防御模型73精选pptUNIX帐号管理n侵入系统最简洁的方式是获得系统帐号n选择安全的口令n最安全的口令是完全随机的由字母、数字、标点、特殊字符组成n选择的口令要经得住两层攻击n依据个人信息猜测n用口令猜测程序猜测74精选pptUNIX帐号管理（续上）n口令禁忌n不要选择字典中的单词n不要选择简单字母组合（abcdef等）n不要选择任何指明个人信息的口令n不要选择包含用户名的口令n尽量不要短于6个字符n不要选择全大写或者全小写的组合75精选pptUNIX帐号管理（续上）n好的口令n不能短于6个字符n选择包含非字母字符的口令n选择一个容易记住而不必写下来的口令n选

25、择一个易于输入的口令n口令不能落纸n关闭不必要的帐号76精选pptUNIX文件系统安全n定义用户安全级别n系统文件的访问控制n重要数据的备份和加密存放n重要数据一定要做分机备份n外部可访问主机的重要数据需要加密存放77精选pptUNIX文件系统安全Web server学生资料库internet78精选pptUNIX启动过程nUNIX启动（Redhat 6.0 Linux 2.2.19 for Alpha/AXP）nBootloader nKernel引导入口 n核心数据结构初始化-内核引导第一部分n外设初始化-内核引导第二部分ninit进程和inittab引导指令nrc启动脚本ngetty和l

26、oginnbash 79精选pptUNIX服务配置n基本原则n尽量关闭不必要的服务n服务越多，被攻入的可能性越大n服务裁剪n参考UNIX的启动过程n减弱inetd的能力n消弱cron中定时启动的服务80精选ppt服务裁剪linuxn把/etc/inetd.conf中的大部分服务都注释掉，仅仅保留所需要的部分服务。n在该配置文件中没有不可以注释的部分。n在一般情况下可以保留telnet、FTP，以及其它该服务器所提供的特殊服务，如DNS服务器的named等等 n注释方法为：在不使用的服务前加#81精选ppt服务裁剪linux（cont.）n需要注意：Linux自身携带的FTPd在许多版本中有安全

27、漏洞。nreboot系统 nLinux各版本内核注释方法基本相同。82精选ppt服务裁剪linux（cont.）n超级用户(root)直接使用命令：linuxconf n选择Control(Control Panel)Control service activity仅保留以下服务：inet,keytable,kudzu,linuxconf(即该配置界面)，network,syslog。n此外，部分Linux也可以在控制台上使用setup命令进行配置。如果可以使用setup则linuxconf服务建议关闭。83精选ppt服务裁剪Solarisn为了系统安全，尽量减少系统对外提供的服务，使系统服务

28、最小化。n编辑/etc/inetd.conf文件，注释调所有不需要的服务(在注释行开始加入#)。n其中可以被注释的一些比较有代表性的服务有：shell,login,exec,talk,combat,uucp,tftp,finger,netstat,ruserd,sprayd,walld,rstatd,cmsd,ttdbserverd等等，可以仅保留需要使用的telnet、FTP、DNS(in.named)等等。需要特别注意Solaris系统自身携带的DNS(in.named)、FTP、POP、IMAP等主要服务均有问题。84精选ppt服务裁剪Solaris(续)n 注释掉服务后重新启动inet

29、dnPs ef|grep inetd获得inetd的进程号nKill 9 processid杀死inetd进程n/usr/sbin/inetd-s 重新启动inetdnSun OS 5.7与上面类似n上述服务中，只保留必须的服务，并且务必保证运行服务的版本的及时更新。85精选ppt服务裁剪Solaris(续)n通过注释掉不必要的RC程序，可以使某些服务不启动。n对于Solaris系统而言，可以在非MAIL服务器上注释掉sendmail服务；n可以在不需要使用NFS的环境下注释掉statd服务和automountd服务；86精选ppt服务裁剪Solaris(续)n注释的方法为：n进入/etc目录

30、，在rc0.d到rc6.d的各个目录中，利用grep命令搜索自己关心的服务n发现启动的文件后，把该文件移走即可。n为了防止将来需要使用该文件建议使用如下方法：n在/etc目录下建立rcbackuprc目录，对文件做备份n具体资料见附件 87精选pptUNIX主机的安全管理n日常管理原则n系统审计n常用管理工具介绍88精选ppt日常管理原则n管理员必须对主机全权管理n必须是管理员管理n管理员必须管理n管理员必须定期审计主机n系统软件的安装必须进行授权n超级用户的控制n原则上只有管理员和备份管理员有超级用户口令n超户的扩散必须有足够的理由89精选ppt系统审计n日常审计n系统进程检查n系统服务端口

31、检查n系统日志检查n针对性审计n怀疑发生攻击后，对系统进行针对性审计n针对具体怀疑情况，具体操作。90精选ppt日常审计n系统进程检查nps ef|more(solaris)nps ax|more(linux)n系统管理员应该清楚系统应该启动哪些进程91精选ppt日常审计系统进程92精选ppt服务器端口检查nnetstat an列出所有活动端口n管理员应该熟知所管理系统应该活动的端口n发现异常端口活动，那么这个系统的可靠性值得怀疑93精选ppt日志检查n系统日志位置n/var/adm/messages.*(solaris)n/var/log/messages.*(linux)n日志的生成nsy

32、slogdnminilogd94精选ppt日志检查n记录重要的系统事件是系统安全的一个重要因素n使用wtmp/utmp文件的连接时间日志n使用acct和pacct文件的进程统计n经过syslogd实施的错误日志n日志为两个重要功能提供数据：审计和监测95精选ppt日志检查n日志使用户对自己的行为负责n日志能够帮助检测n日志最重要的功能使制止n日志文件本身易被攻击96精选ppt日志检查n日志是否缺失？n日志是否异常n缺失n是否有段错误n登录失败记录n其他异常情况97精选ppt一个例子98精选ppt第二个例子99精选ppt日志检查n应用程序日志nmailmaillog(或syslog)nftpxf

33、erlogn存放在Linux在相同的目录下nApache access_log和error_logn帐号相关日志nlastloglast命令nsulog(solaris)100精选ppt一种日常系统审计的方法n见附件系统检查流程101精选ppt针对性审计n针对流行蠕虫的审计n参考当前流行蠕虫的行为和表现，对系统进行检查。n例如：Cinik worm。http:/ core)n上网查询怀疑被缓冲区溢出的服务是否存在漏洞，并且将特征进行比对。n安全专家还可以对core文件进行观察和调试103精选ppt针对性审计n后门和木马的检测n对系统命令做MD5校验，与干净系统的MD5校验和进行比对nlogin

34、文件nin.telnetd文件nls,du,dk,find等常用命令104精选ppt针对性审计n后门和木马的检测（续上）n观察系统配置和系统服务是否正常ninetd.conf是否被修改过？ncron的配置文件是否被修改过？nrc.d系列有没有被修改过ninetd.conf中启动的服务可执行码是否被修改过105精选pptUNIX常用工具介绍n日志工具综述nChklastlog:该工具通过检查/var/adm/lastlog和/var/adm/wtmp之间的不一致性来删除信息。程序找出记录在wtmp中，而在lastlog中没有的用户登录ID。n下载参见：nftp:/coast.cs.purdue.

35、edu/pub/tools/unix/chklastlogn通过搜索引擎搜索，关键字chklastlog106精选pptUNIX常用工具介绍n日志检查工具nLogcheckn检查日志文件中违反安全或不正常的活动，并用电子邮件发送警告的信息。n可以通过设定关键字来报告需要查找的事件n可以通过设定关键字来报告它所忽略的事件n下载参见：nftp:/ Security Scanner(ISS)n端口扫描工具nNMAP113精选pptUNIX常用工具介绍n端系统扫描（以saint为例）n一个综合的网络安全检查工具 n最简单工作模式 n高级模式 n命令行工作模式n基于Web工作模式（client/serv

36、er模式）n扫描器使用的访问控制114精选pptSAINT的使用启动115精选pptSAINT的使用运行116精选pptSAINT的使用117精选pptUNIX常用工具n扫描器使用警告n不要在一个远程系统或那些在管理范围外且没有权限的系统上运行网络扫描工具n未授权的网络和主机扫描会花费精力、资源和职业声誉n在进行系统搜索前，务必获得许可118精选pptUNIX常用工具介绍n漏洞扫描器的获得n一般通过搜索引擎可以获得nSaint:nhttp:/ positive)n漏报(false negative)133精选ppt设置坎值n用户经验n网络速率n预期的网络连接n管理员的安全工作强度n感应器的敏感

37、度n安全程序的效率n存在的漏洞n系统信息的敏感程度n误报的后果n漏报的后果134精选ppt入侵检测系统举例n监视Internet入口n服务器保护n事件响应135精选ppt监视Internet入口n系统目标：系统用户可以访问色情站点以外的所有站点；系统外部用户只能够访问内部分WWW、SMTP服务器。n监视器的位置：防火墙内外各一个实时网络传输监视器；Proxy一个日志分析器。n监视内容：网络传输监视器忽略向外的主要服务和向内的WWW、SMTP流量，捕捉企图流量；日志分析器捕捉非法站点。n响应：记录日志。网络传输的监视器还可以切断连接或重配防火墙；日志分析器也可以通知用户。136精选ppt监视In

38、ternet入口Internet路由器网络监视器防火墙WWW、SMTPProxy日志分析器内部用户137精选ppt服务器保护n系统目标：保护内部网络的服务器，防止内部攻击。仅允许HTTP访问。n监视器的位置：在服务器网段设置一个实时网络传输监视器。n监视内容：记录所有网络流量，在HTTP流量中分析攻击特征；其它流量均记录。n响应：记录所有非HTTP流量的日志。切断HTTP攻击的连接，也可以重新进行网络路由等配置。138精选ppt服务器保护Internet路由器网络监视器防火墙各种服务器139精选ppt事件响应n系统目标：对入侵自动响应，尽量获取攻击的信息，系统中有一个陷井。n监视器的位置：在网

39、络的入口设置一个实时网络传输监视器，在陷井中设置一个实时日志监视器。n监视内容：网络传输监视器记录所有网络流量，分析攻击特征；日志记录器记录陷井中的日志。n响应：记录攻击模式的流量，把攻击引向陷井，并且通知管理员。140精选ppt事件响应Internet路由器网络监视器防火墙陷井服务器陷井的日志监视器141精选ppt总结n网络安全监测是网络安全的体系之一。n入侵检测系统是网络安全监测中的部分功能。n包括入侵检测在内的各种技术手段的采用都是由安全需求和安全政策所决定。n其它相关领域(如：安全信息表示、分布协同、事件处理等等)142精选ppt事故处理143精选ppt事故处理的过程事故处理的过程nA

40、.在着手处理事故之前 nB.夺回控制权 nC.分析入侵 nD.与相关的 CSIRT和其他站点联系 nE.从入侵中恢复 nF.提高你系统和网络的安全性 nG.重新连上因特网 nH.更新你的安全策略144精选ppt着手处理事故之前n对照你的安全策略 n如果你还没有安全策略 n请教管理层 n请教律师 n联系法律强制代理(FBI)n通知机构里的其他人 n记录下恢复过程中采取的所有步骤n记录下恢复过程中采取的所有步骤有助于防止草率的决定,这些记录在未来还有参考价值.这对法律调查来说也是很有用的.145精选ppt夺回控制权n将遭受入侵的系统从网络上断开 n为了夺回控制权,可能需要从网络上(包括拨号连接)断

41、开所有的遭受入侵的机器.之后可以在UNIX的单用户模式下或NT的本地管理员状态下操作,确保拥有对机器的完全控制权;然而,通过重启动或切换到单用户/本地管理员模式,可能会丢失一些有用的信息.146精选ppt夺回控制权（续上）n复制遭受入侵系统的镜象 n在分析入侵之前,我们推荐建立一个系统的当前备份.这可以提供入侵被发现时刻文件系统的快照.将来这个备份或许用的上.例如UNIX的dd命令147精选ppt夺回控制权？nLock-in vs.Lock-outnLock-in：使攻击者保持活动nLock-out：夺回控制权n取证原则在有的情况下也要求Lock-in的处理方式n因此，夺回控制权不适用于全部情

42、况148精选ppt分析入侵n查看系统软件和配置文件的更改 n查看数据的更改 n查看入侵者留下的工具和数据 n检查日志文件 149精选ppt分析入侵n查看是否有sniffern检查网络中的其他系统 n检查与遭受入侵系统有关或受到影响的远程主机150精选ppt查看系统软件和配置文件的更改n校验所有的系统二进制和配置文件n操作系统的内核本身也可能被更改.因此,建议从一个可信内核启动并且使用一个干净工具来分析入侵活动n需要检查的内容：n木马程序n配置文件151精选ppt查看数据的更改n查看数据的更改nWeb页面nftp文挡n用户主目录中的文件n系统上的其他数据文件152精选ppt入侵者留下的工具和数据

43、n查看入侵者留下的工具和数据nNetwork SniffersnTrojan Horse ProgramsnBackdoorsnVulnerability ExploitsnOther Intruder Tools n探测系统漏洞的工具 n发起大范围探测其他站点的工具 n发起拒绝服务攻击的工具 n使用计算机和网络资源的工具153精选ppt检查日志文件nNT IIS的日志文件nc:winntsystem32logfiles nUNIX的日志文件nmessages nxferlog nutmp nwtmp nsecure 154精选ppt查看是否有网络sniffern入侵者可以在UNIX系统上暗地

44、里安装一个网络监视程序,通常称为sniffer(or packet sniffer),用于捕获用户账号和密码信息.对于NT系统,为达到相同目的,通常更多地使用远程管理程序n在UNIX上网卡会进入promisc状态或debug状态，可以使用的命令有：nifconfignifstatusncpm155精选ppt检查网络中的其他系统n在要检查的系统中应该包括与被入侵系统有网络服务(NFS或NIS)联系的系统n或者通过某种信任方式(hosts.equiv.rhosts,或者Kerberos服务器)联系的系统n以及有其它较密切联系的系统n甚至可能完全无关的系统156精选ppt检查与遭受入侵系统有关或受到

45、影响的远程主机n在很多入侵事件中,与被入侵主机有连接的主机(不论是上游或下游主机)本身就是入侵的牺牲品.这对于及时鉴别和通知另外的潜在受害站点来说是非常重要的n在许多情况下需要利用响应组或政府相关部门的力量进行协同处理157精选ppt从入侵中恢复从入侵中恢复n安装操作系统的一个干净版本 n禁用不需要的服务 n安装厂商提供的所有安全补丁 n咨询AusCERT和外部安全公告 n咨询CERT 公告,总结,厂商公告 n小心使用备份中的数据 n更改密码158精选ppt安装操作系统的一个干净版本n什么都可能被修改过n系统程序n动态连接库n内核n需要使用确定干净的版本加以恢复n甚至使用初始介质159精选pp

46、t禁用不需要的服务n仅提供那些应该提供的服务n关掉其他服务n检查这些服务的配置文件中是否有缺陷n确定这些服务仅对预定的其他系统开放160精选ppt更改密码n建议更改受影响系统上的所有账号的密码n确保所有账号的密码是难猜的n可以考虑使用厂商或第三方提供的工具来增强密码的安全性161精选ppt提高你系统和网络的安全性提高你系统和网络的安全性n复习有关UNIX或NT安全配置的文章 n复习有关安全工具的文章 n安装安全工具 n激活最大日志 n配置防火墙加强网络防御162精选ppt重新连上因特网重新连上因特网n如果已经断开了同Internet的连接,在完成上面所有步骤之后,可以重新连接进入Interne

47、t163精选ppt更新安全策略更新安全策略n记下从这次入侵学到的教训 n计算本次入侵事件的损失 n汇总安全策略的所有改变164精选ppt事故处理对管理员的要求n保持敏感，对任何异常都不放过，例如：n系统异常变慢n无法登录n系统区出现未知的进程n出现运行事件特别长的进程n等等n坚持学习，任何管理员都不可能通晓一切需要知道的安全知识165精选ppt当发现异常时的处理方法n尽量保护现场n尽快通知相关的部门：n公安部门n安全响应组n上级网络管理部门n等等n根据前面的建议加以认真的检查和处理166精选ppt安全服务提供商nCernet用户可以向ISP请求cert安全服务nCERT?nCERT-Compu

48、ter Emergency Response Teamn全国Cernet主结点ISP均提供cert服务nCernet华东北地区网络网络中心nNJCertnhttp:/ nMail:n提交事件的描述n处理方式n南京地区：现场处理n其他地区：远程处理168精选ppt169精选ppt170精选ppt171精选ppt案例分析n徐州某高校服务器不能正常使用n常州某高校的一服务器对外扫描n南京某高校校园网路由器繁忙n南京某高校研究生院学生成绩查询服务被攻破n.172精选pptFAQn为什么我的一台主机的流量异常的大？n该主机运行了什么服务？n流量的构成是什么？n可能的原因n配置错误n系统被攻破，注入攻击代

49、码n系统被攻破，架设proxynMail server的mail relaynDNS的误解析173精选pptFAQn为什么有人报告说我的机器对外扫描？n通知ISP，确认是否扫描事件是IP地址假冒n主机的帐号管理是否严格n主机是否被入侵，安置蠕虫、木马等等174精选pptFAQn为什么交换机（路由器）非常忙？n是流量大还是其他的原因？n问题出在内部还是外部？n通知ISP或者相关的安全人员，依据具体问题进行分析和处理175精选pptFAQn什么样的情况可以成为系统异常？n系统工作比平时慢很多n服务器访问非常慢n磁盘空间忽然变小n没有原因重新启动n流量异常176精选pptFAQn发现系统正在遭受攻击怎么处理？n依据攻击类型而定nDoS：优先保护自己；力争抓住攻击源点n针对主机的攻击：获取证据后，截断攻击n迅速通知安全人员，进行现场处理n提供相应的环境，配合工作n维护系统管理规定177精选ppt