网络安全应急响应服务与CERNET的行动.ppt

《网络安全应急响应服务与CERNET的行动.ppt》由会员分享，可在线阅读，更多相关《网络安全应急响应服务与CERNET的行动.ppt（63页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络安全应急响应服务与CERNET的行动 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望网络安全应急响应服务的背景CERNET 计算机应急响应组(CCERT)运行一年回顾网络和系统安全配置建议CERNET 安全应急响应服务计划参考文献内容提要Internet 的安全问题的产生Internet起于研究项目,安全不是主要的考虑少量的用户，多是研究人员,可信的用户群体可靠性(可用性)、计费、性能、配置、安全“Security issues are not discuss

2、ed in this memo”网络协议的开放性与系统的通用性目标可访问性，行为可知性攻击工具易用性Internet 没有集中的管理权威和统一的政策安全政策、计费政策、路由政策操作系统漏洞统计操作系统漏洞增长趋势两个实验San Diego 超级计算中心Redhat Linux 5.2,no patch8小时：sun rpc probe21天：20 次pop,imap,rpc,mountd使用Redhat6.X的尝试失败40天：利用pop 服务缺陷或的控制权系统日志被删除安装了rootkit、sniffer清华大学校园网Redhat Linux 6.2,只开设telnet,www服务； 所有用户

3、申请均可获得账号7天后358个用户两个用户利用dump获得root 控制权安全应急响应服务背景应急响应服务的诞生应急响应服务的诞生CERT/CC1988年Morris 蠕虫事件直接导致了CERT/CC的诞生CERT/CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设CERT/CC简介简介现有工作人员30多人，12年里处理了288,600 封Email,18,300个热线电话，其运行模式帮助了80多个CSIRT组

4、织的建设CERT/CC简介简介CMUSEINetworked Systems Survivability programSurvivable Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD安全应急响应服务背景国外安全事件响应组（CSIRT）建设情况DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亚太地区：AusCERT、SingCERT等FIRST（1990）FIRST为I

5、RT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。80多个正式成员组织，覆盖18个国家和地区从FIRST中获益的比例与IRT愿意提供的贡献成比例两个正式成员的推荐国内安全事件响应组织建设情况计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务还处在起步阶段CCERT（1999年5月），中国第一个安全事件响应组织NJCERT（1999年10月）中国电信ChinaNet安全小组解放军，公安部安全救援服务公司中国计算机应急响应组/协调中心CNCERT/CC信息产业部安全管理

6、中心，2000年3月，北京安全应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提供商 IRT厂商 IRT企业/政府 IRT如：安全服务公司如：CCERT如：cisco,IBM如：中国银行、公安部如CERT/CC,FIRST如CNCERT/CC安全应急响应服务组织的服务内容CSIRT的服务内容应急响应安全公告咨询风险评估入侵检测教育与培训追踪与恢复安全应急响应服务的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件；知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品；突发性强需要广泛的协调与合作网

7、络安全应急响应服务的背景CCERT运行一年回顾网络和系统安全配置建议CERNET 安全应急响应服务计划参考文献内容提要CERNET在应急响应中的优势高速的、大规模的网络环境10M/100M/1000M的用户接入活跃的攻击者和安全服务提供者BBS、各种俱乐部75410M+45M+45M155M(即将2.5G)2000.1-2000.10580近10M2M+2M1999.7-1999.12507近10M2M+2M1999.1-1999.064092M+4M2M1998.1-1998.12278128K64K/128K1997.1-1997.12联网用户数目国际出口带宽国内主干带宽时 间CERNET

8、、Internet2、IPv6 实验床CERNET在应急响应中的优势CERNET在应急响应中的优势运行网络和实验网络,可进行各种实验IPv6实验床、Internet2 的国际接入可控的网络基础设施路由系统、域名系统、网络管理系统、电子邮件系统主干网扩大到省级节点，便于集中控制以CERNET为依托的科研项目九五攻关项目：网络管理、网络安全、安全路由器高速IP网络安全运行监控系统100M 流量分析与协同分布式入侵检测多种角色：高校、NSP/ISP便于国际交流、更加了解用户需求CERNET 计算机安全应急响应组（CCERT）http:/CERNET华东（北）地区网网络安全事件响应组(NJCERT)h

9、ttp:/ 事件处理CCERTNICNOC 地区网络中心 校园网络中心Internet用户IPv6网管高速网：系统管理员CERNET 计算机安全应急响应组（CCERT）主要客户群是CERNET 会员，但也有受理其他网络的报告和投诉目前主要从事以下服务和研究：事件响应：入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理给站点管理员提供安全建议提供安全信息公告和安全资源反垃圾邮件、禁止扫描的公告操作系统补丁、工具软件网络安全领域的研究,包括安全管理、入侵检测、安全体系结构、PKICCERT一年来回顾所处理的事件可分为四类：垃圾邮件和邮件炸弹扫描入侵 DOS 攻击至2000年9月，处理了 2000

10、 多份报告，其中包括1800多起垃圾邮件和邮件炸弹报告;110 起扫描与 DOS 攻击报告;50 起入侵报告常见安全事件报告与处理垃圾邮件转发90左右的报告与垃圾邮件有关国外的投诉国内的报告邮件服务器配置不当，为第三方中转邮件危害：流量盗用 -费用增加可能导致邮件服务器的所有通信被受害者封锁；spamcop对国家和社会安全的影响解决方法：relay-test scan重新配置、升级邮件系统封锁国外转发转发垃圾邮件的站点垃圾邮件的报告已逐渐减少常见安全事件报告与处理扫描，入侵的前兆服务发现扫描，如 proxy hunter（80,8080,1080）缺陷扫描，如SATAN 等工具ftp,teln

11、et,ssh,pop2,pop3,sunrpc,netbios,imap,klogind,socks,入侵多数入侵由于众所周知的缺陷，解决方法已有：Solaris rpc.statd,rpc.ttdbserver,Linux imapd,wu_ftp freeBSD pop3dWin2k Terminal Server,很多案例由外部的报告发现，管理员并不知道典型的入侵案例缺陷扫描Root compromise:pop3d停止 syslogd,修改/etc/inetd.conf,激活 telnet,ftp,甚至替换以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/

12、ls、/bin/netstat安装窃听程序 sniffer :/usr/.sniffit重新启动 syslogd,关闭pop3d删除日志记录 wtmp、wtp、message、syslog一般入侵步骤拒绝服务攻击DoS 攻击land,teardrop,SYN floodICMP:smurfRouter:remote reset,UDP port 7,Windows:Port 135,137,139(OOB),terminal serverSolaris:Linux:其他.SYN FloodSend SYN(seq=100 ctl=SYN)SYN receivedSend SYN(seq=300

13、 ack=101 ctl=syn,ack)Established(seq=101 ack=301 ctl=ack)attackertargetEstablished(seq=301 ack=301 ctl=ack Data)1234SYN received正常的TCP 连接建立过程 -三次握手ICMP SmurfattackerICMP echo req Src:targetdst:xxx.xxx.xxx.255Echo replyEcho replyEcho replytarget分布式拒绝服务（DDOS）以破坏系统或网络的可用性为目标常用的工具：Trin00,TFN/TFN2K,Stach

14、eldraht很难防范伪造源地址，流量加密，因此很难跟踪clienttargethandler.agent.DoSICMP Flood/SYN Flood/UDP FloodDDOS攻击方法及防范攻击的两阶段：第一阶段控制大量主机利用系统的漏洞获得大量主机系统的控制权，并安装DDoS 工具；Linux imapd,Solaris rpc、rstatd,Windows；第二个阶段，发起攻击：向目标发送大量的TCP/UDP/ICMP包，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常的请求。DDOS防范：网络中所有的系统都要安全的配置，不使之成为DDOS的源；路由器/防火墙配置：过滤伪

15、造源地址的IP 包检测工具：find_ddosv31、ddos_scan、rid扫描事件报告统计增长趋势常见问题管理问题：资产、策略、负责人,没有明确的安全管理策略操作系统安装后使用缺省配置，不打补丁，运行许多不必要的服务；99%以上的入侵是可以通过系统配置来防范的；常用的攻击方法常见问题多种服务安装在同一服务器上，DNS/Mail/Web/FTP公用服务器用户口令过于简单，uid:stud?/Pwd:123456审计功能没有激活，或管理员根本不检查审计日志没有备份，系统在被入侵后很难恢复事件处理的困难服务本身缺乏项目和资金的支持；人力资源与知识经验的不足；缺乏迅速的联系渠道过时的 whois

16、 数据库，联系信息数据库不准确；来自国外的投诉较多，国内的用户还没有足够的自我保护意识和能力网络安全应急响应服务的背景CCERT 运行一年来的回顾网络和系统安全配置建议CERNET安全应急响应服务建设计划参考文献内容提要NT 安全配置检查表安装不要同时安装其他操作系统，以防止越权访问和数据破坏所有分区都选择NTFS格式，以支持访问控制选择9个字符以上、不易猜测的口令创建修复盘补丁安装最新版本的补丁Service Pack;安装相应版本所有的 hotfixes跟踪最新的SP 和 hotfixNT 安全配置检查表病毒防范安装防病毒软件，及时更新特征库政策与用户的教育：如何处理邮件附件、如何使用下载

17、软件等网络配置关闭不必要的网络服务配置防火墙/路由器，封锁不必要的端口：TCP port 135,137,139 and UDP port 138.NT 安全配置检查表账号与口令策略设置口令安全策略:有效期、最小长度、字符选择账号登录失败n次锁定关闭缺省账号，guest,Administrator文件系统与共享系统分区的权限设置如果不想提供共享服务，关闭Server、computer browser 服务确保共享的目录分配了合适的访问权限重要文件的备份NT 安全配置检查表注册表安全不显示上次登录的用户名对普通用户隐藏shutdown 按钮限制远程注册表浏览限制软驱和光驱的远程访问审计功能三个方

18、面的操作审计，缺省是关闭的用户：logon/log off,restart,shutdown文件和目录：读、写、执行、删除、改变权限注册表的修改Unix安全 配置检查表相应版本的所有补丁账号与口令关闭缺省账号和口令：lp,shutdown等shadow passwd用crack/john等密码破解工具猜测口令（配置一次性口令）网络服务的配置：/etc/inetd.conf,/etc/rc.d/*TFTP 服务 get/etc/passwd匿名ftp的配置关闭rsh/rlogin/rexec 服务关闭不必要的 rpc 服务安装sshd，关闭telnet。NFS export Unix安全 配置检

19、查表环境设置路径，掩码（umask）审计与记账功能有效的工具tripwareCOPStcpwrappersatan路由器安全配置检查表认证口令管理使用enable secret,而不用enable passwordTACACS/TACACS+,RADIUS,Kerberos 认证控制交互式访问控制台的访问：可以越过口令限制；远程访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem虚拟终端口令保护：vty,tty ：login ，no password 只接收特定协议的访问，如transport input ssh设置允许访问的地址：ip access-class 超时退

20、出：exec-timeout 登录提示：banner login路由器安全配置检查表网络管理SNMPv1:修改缺省的community name community name,snmp-server community SNMPv2 :基于Keyed-MD5的认证方式snmp-server party Digest AuthenticationHTTP:限制管理站点地址、配置认证方式ip http access-class,ip http authentication,TACACS/RADIUS防止窃听加密管理协议：ssh 登录,SNMPv2的管理协议一次性口令（OTP）：SecureID/T

21、oken,S/KeyIPSec 封装所有管理协议:telnet,SNMP，HTTP路由器安全配置检查表关闭没有必要的服务small TCPno service tcp-small-servers:echo/chargen/discardfinger,ntp 邻机发现服务（cdp）审计SNMP 认证失败信息，与路由器连接信息：Trap系统操作日志：system logging:console,Unix syslogd,违反访问控制链表的流量操作系统更新路由器IOS 与其他操作系统一样也有BUG利用路由器保护网络安全访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止IP假冒和拒绝服务（A

22、nti-spoofing/DDOS）检查源地址：ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包；关闭源路由：no ip source-route路由协议的过滤与认证Flood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply利用路由器

23、防止DoS的攻击Stub ADTransit AD202.112.0.0/16eth0eth1access-list 101 permit ip 202.112.0.0 0.0.255.255 any access-list 101 deny ip any anyinterface eth0ip access-group 101 inaccess-list 110 deny ip 10.0.0.0 0.0.0.255 any access-list 110 deny ip 192.168.0.0 0.0.255.255 any access-list 110 deny ip 172.16.0.

24、0 0.15.255.255 anyaccess-list 110 permit ip any anyinterface ether 1ip access-group 110 inip verify unicast reverse-pathTransit ADeth0access-list 101 deny ip 202.112.0.0 0.0.255.255 anyaccess-list 101 permit ip any anyaccess-list 102 permit ip 202.112.0.0 0.0.255.255 anyaccess-list 102 deny ip any a

25、nyinterface eth0ip access-group 101 inip access-group 102 out怎样检测系统入侵察看登录用户和活动进程w,who,finger,last 命令ps,crash寻找入侵的痕迹last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,/.history查找最近被修改的文件 ：find检测sniffer 程序ifconfig,cpm有用的工具 tripware,cops,cpm,tcpdump,怎样从被攻破的系统中恢复重新获得控制权从网络中断开备份被攻破的系统镜像分析入侵寻找被修

26、改的程序或配置文件#find/(-perm-004000-o-perm-002000)-type f-print寻找被修改的数据，如web pages,寻找入侵者留下的工具和数据sniffer,Trojan Horses,backdoor检查日志文件 messages,xferlog,utmp,wtmp,/.history 怎样从被攻破的系统中恢复寻找sniffer:cpm,ifstatushttp:/www.cert.org/advisories/CA-work.monitoring.attacks.html 检查其他的系统是否也被入侵与相关的IRT联系报告,申请援助、调查通知相关站点恢复安

27、装一份干净的操作系统关掉所有不必要的服务安装所有的补丁怎样从被攻破的系统中恢复查阅IRT相关的公告谨慎使用数据备份修改所有用户口令提高系统的安全性根据UNIX/NT的安全配置指南文件检查系统安全性http:/www.cert.org/tech_tips/unix_configuration_guidelines.htmlhttp:/www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.html检查工具与文档安装安全工具激活记账功能配置防火墙怎样从被攻破的系统中恢复重新连接到INTERNET

28、更新你的安全政策记录从事件中吸取的教训计算损失修改安全策略网络安全应急响应服务的背景CCERT 运行一年来的回顾网络和系统安全配置建议CCERT建设计划及展望参考文献内容提要CERNET 安全 建设计划安全事件诊断系统分布式入侵检测系统CERNET-CERT 安全服务CERNET 会员安全事件处理系统研研究究与与开开发发脆弱性特征库安安全全服服务务其他用户风险评估应急响应教育与培训入侵检测漏洞扫描安全公告技术咨询协调与合作实验平台攻击特征库CERNET 应急响应服务组织结构参考文献NT系统安全配置指南http:/ciac.llnl.gov/cgi-bin/index/documents.htm

29、,CIAC-2317http:/www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.htmlhttp:/ 系统安全配置指南http:/ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC-2305http:/www.cert.org/tech_tips/unix_configuration_guidelines.htmlhttp:/www.cert.org/tech_tips/root_compromise.html RFC 2196:Site S

30、ecurity HandbookCISCO 路由器安全配置http:/ciac.llnl.gov/cgi-bin/index/documents.htm,CIAC-2319http:/ 2350:Expectations for Computer Security Incident Response.http:/www.singcert.org.sg/papers/Forming_an_Incident_Response_Team.html安全工具http:/www.auscert.org.au/Information/Tools/other_tools.htmlhttp:/www.singcert.org.sg/resource.shtml结束语整体的安全性依赖于所有用户安全意识的增强、安全技术的普及、组织之间的协作；保护用户不受攻击规范用户行为，不发起攻击行为不做攻击的中继结束语了解风险、明确政策、积极防御、及时发现、快速响应、确保恢复隐患险于明火、防患胜于救灾、责任重于泰山风险分析A安全政策P入侵检测D主动防御P应急响应R恢复与追踪R AP2DR2 清华大学 博士研究生 段海新Email：清华大学信息网络工程研究中心 北京 100084谢谢 谢！谢！CERNET 网络安全应急响应服务网络安全应急响应服务