系統(tǒng)脆弱分析技術(shù).ppt

系統(tǒng)脆弱性分析技術(shù),第 7 章,基本內(nèi)容,針對網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)應用的安全技術(shù)，本章首先從自我檢查的角度入手，分析系統(tǒng)不安全的各種因素，采用工具檢測并處理系統(tǒng)的各種脆弱性。,7.1 漏洞掃描概述,漏洞源自“vulnerability”（脆弱性）。一般認為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。 標準化組織CVE（Common Vulnerabilities and Exposures, 即“公共漏洞與暴露”）致力于所有安全漏洞及安全問題的命名標準化，安全產(chǎn)品對漏洞的描述與調(diào)用一般都與CVE兼容。,7.1.1 漏洞的概念,信息安全的 “木桶理論”,對一個信息系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法或最先進的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。,7.1 漏洞掃描概述,7.1.2 漏洞的發(fā)現(xiàn),一個漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。這個工作主要是由以下三個組織之一來完成的：黑客、破譯者、安全服務商組織。,每當有新的漏洞出現(xiàn)，黑客和安全服務商組織的成員通常會警告安全組織機構(gòu)；破譯者也許不會警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。根據(jù)信息發(fā)布的方式，漏洞將會以不同的方式呈現(xiàn)在公眾面前。,通常收集安全信息的途徑包括：新聞組、郵件列表、Web站點、FTP文檔。,網(wǎng)絡(luò)管理者的部分工作就是關(guān)心信息安全相關(guān)新聞，了解信息安全的動態(tài)。管理者需要制定一個收集、分析以及抽取信息的策略，以便獲取有用的信息。,7.1 漏洞掃描概述,7.1.3 漏洞對系統(tǒng)的威脅,漏洞對系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對系統(tǒng)的威脅，因為只有利用硬件、軟件和策略上最薄弱的環(huán)節(jié)，惡意攻擊者才可以得手。,目前，因特網(wǎng)上已有3萬多個黑客站點，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達上千種。,目前我國95的與因特網(wǎng)相連的網(wǎng)絡(luò)管理中心都遭到過境內(nèi)外攻擊者的攻擊或侵入，其中銀行、金融和證券機構(gòu)是黑客攻擊的重點。國內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢非常不容樂觀。漏洞可能影響一個單位或公司的生存問題。,7.1 漏洞掃描概述,7.1.4 漏洞掃描的必要性,幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況 對資產(chǎn)進行風險評估的依據(jù) 安全配置的第一步 向領(lǐng)導上報數(shù)據(jù)依據(jù),7.2 系統(tǒng)脆弱性分析,信息系統(tǒng)存在著許多漏洞，這些漏洞來自于組成信息系統(tǒng)的各個方面。在前幾章我們已陸續(xù)介紹了軟硬件組件（組件脆弱性）存在的問題、網(wǎng)絡(luò)和通信協(xié)議的不健全問題、網(wǎng)絡(luò)攻擊（特別是緩沖區(qū)溢出問題）等方面的內(nèi)容，這里重點介紹協(xié)議分析和基于應用層的不安全代碼或調(diào)用問題。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,1、DNS協(xié)議分析 域名服務器在Internet上具有舉足輕重的作用，它負責在域名和IP地址之間進行轉(zhuǎn)換。 域名服務系統(tǒng)是一個關(guān)于互聯(lián)網(wǎng)上主機信息的分布式數(shù)據(jù)庫，它將數(shù)據(jù)按照區(qū)域分段，并通過授權(quán)委托進行本地管理，使用客戶機/服務器模式檢索數(shù)據(jù)，并且通過復制和緩存機制提供進發(fā)和冗余性能。 域名服務系統(tǒng)包含域名服務器和解析器兩個部分：域名服務器存儲和管理授權(quán)區(qū)域內(nèi)的域名數(shù)據(jù)，提供接口供客戶機檢索數(shù)據(jù)；解析器即客戶機，向域名服務器遞交查詢請求，翻譯域名服務器返回的結(jié)果并遞交給高層應用程序，通常為操作系統(tǒng)提供的庫函數(shù)之一。 域名查詢采用UDP協(xié)議，而區(qū)域傳輸采用TCP協(xié)議。域名解析過程分為兩種方式：遞歸模式和交互模式。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,1、DNS協(xié)議分析（續(xù)） 對DNS服務器的威脅 1）地址欺騙。地址欺騙攻擊利用了RFC標準協(xié)議中的某些不完善的地方，達到修改域名指向的目的。 2）遠程漏洞入侵。 3）拒絕服務。 保護DNS服務器的措施 1）使用最新版本的DNS服務器軟件。 2）關(guān)閉遞歸查詢和線索查找功能。 3）限制對DNS進行查詢的IP地址。 4）限制對DNS進行遞歸查詢的IP地址。 5）限制區(qū)域傳輸。 6）限制對BIND軟件的版本信息進行查詢。,7.2 系統(tǒng)脆弱性分析,7.2.1 協(xié)議分析,2、FTP協(xié)議分析 文件傳輸協(xié)議FTP是一個被廣泛應用的協(xié)議，它使得我們能夠在網(wǎng)絡(luò)上方便地傳輸文件。 FTP模型是典型的客戶機/服務器模型。兩個TCP連接分別是控制連接和數(shù)據(jù)連接。 FTP協(xié)議漏洞分析與防范 1）FTP反彈（FTP Bounce）。 2）有限制的訪問（Restricted Access）。 3）保護密碼（Protecting Passwords）。 4）端口盜用（Port SteaUng）。,7.2 系統(tǒng)脆弱性分析,7.2.2 應用層的不安全調(diào)用,1、應用安全概述 應用層漏洞才是最直接、最致命的，因為互聯(lián)網(wǎng)的應用必須開放端口，這時防火墻等設(shè)備已無能為力；網(wǎng)絡(luò)應用連接著單位的核心數(shù)據(jù)，漏洞直接威脅著數(shù)據(jù)庫中的數(shù)據(jù)；內(nèi)部人員通過內(nèi)網(wǎng)的應用安全也不受防火墻控制。 基于B/S結(jié)構(gòu)應用的普及使得應用層安全問題越來越受到重視。 據(jù)OWASP相關(guān)資料顯示，2007年的十大應用安全問題排名如下： （1）跨站腳本（XSS） （2）注入缺陷 （3）不安全的遠程文件包含 （4）不安全的直接對象引用 （5）跨站請求偽造 （6）信息泄漏和異常錯誤處理 （7）損壞的驗證和會話管理 （8）不安全的加密存儲 （9）不安全的通信 （10） URL訪問限制失敗,7.2 系統(tǒng)脆弱性分析,7.2.2 應用層的不安全調(diào)用,2、常見Web應用安全漏洞 常見的Web應用安全漏洞有： SQL注入（SQL injection） 跨站腳本攻擊 惡意代碼 已知弱點和錯誤配置 隱藏字段 后門和調(diào)試漏洞 參數(shù)篡改 更改cookie 輸入信息控制 緩沖區(qū)溢出 直接訪問瀏覽 攻擊者利用網(wǎng)站系統(tǒng)的代碼漏洞，精心構(gòu)造攻擊代碼，完成對網(wǎng)站系統(tǒng)的非法訪問或控制，中國、美國、德國和俄羅斯是惡意代碼最為活躍的地區(qū)。,2006年黑客利用SQL注入成功入侵中國移動網(wǎng)站，首頁被黑,2006年底中國工商銀行遭遇“跨站腳本”攻擊,惡意代碼,應對措施 在網(wǎng)站投入使用之前，應該通過“應用層安全檢測”。 目前比較常見的有“Watchfire AppScan”、 “數(shù)據(jù)庫弱點深度掃描器”、 “Web應用弱點深度掃描”、 “網(wǎng)上木馬自動分析溯源器”等產(chǎn)品供檢測使用。,8.1.2 漏洞的發(fā)現(xiàn),7.3 掃描技術(shù)與原理,掃描是檢測Internet上的計算機當前是否是活動的、提供了什么樣的服務，以及更多的相關(guān)信息，主要使用的技術(shù)有Ping掃描、端口掃描和操作系統(tǒng)識別。掃描所收集的信息主要可以分為以下幾種： 1）標識主機上運行的TCPUDP服務。 2）系統(tǒng)的結(jié)構(gòu)(SPARC、ALPHA、X86)。 3）經(jīng)由INTERNET可以到達主機的詳細IP地址信息。 4）操作系統(tǒng)的類型。,掃描的幾個分類,Ping掃描：ICMP,TCP掃描,UDP掃描,端口掃描,7.4 掃描器的類型和組成,掃描器的作用就是用檢測、掃描系統(tǒng)中存在的漏洞或缺陷。目前主要有兩種類型的掃描工具，即主機掃描器和網(wǎng)絡(luò)掃描器，它們在功能上各有側(cè)重。,1主機掃描器 主機掃描器又稱本地掃描器，它與待檢查系統(tǒng)運行于同一節(jié)點，執(zhí)行對自身的檢查。它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對系統(tǒng)安全造成威脅的漏洞或配置錯誤。,2網(wǎng)絡(luò)掃描器 網(wǎng)絡(luò)掃描器又稱遠程掃描器，一般它和待檢查系統(tǒng)運行于不同的節(jié)點上，通過網(wǎng)絡(luò)遠程探測目標節(jié)點，檢查安全漏洞。遠程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的安全漏洞。,7.4 掃描器的類型和組成,掃描器的組成,一般說來，掃描器由以下幾個模塊組成：用戶界面、掃描引擎、掃描方法集、漏洞數(shù)據(jù)庫、掃描輸出報告等。整個掃描過程是由用戶界面驅(qū)動的，首先由用戶建立新會話，選定掃描策略后，啟動掃描引擎，根據(jù)用戶制訂的掃描策略，掃描引擎開始調(diào)度掃描方法，掃描方法將檢查到的漏洞填入數(shù)據(jù)庫，最后由報告模塊根據(jù)數(shù)據(jù)庫內(nèi)容組織掃描輸出結(jié)果。,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),天鏡漏洞掃描系統(tǒng)分單機、便攜和分布式三種版本，分布式產(chǎn)品組成包含幾個部分： 1）管理控制中心。負責添加、修改掃描引擎的屬性，進行策略編輯和掃描任務制定和下發(fā)執(zhí)行，完成漏洞庫和掃描方法的升級，同時支持主、子控設(shè)置。 2）綜合顯示中心。實時顯示掃描的結(jié)果信息。可以進行樹形分類察看和分窗口信息察看，顯示掃描進度，提供漏洞解釋的詳細幫助。 3）日志分析報表。查詢歷史掃描結(jié)果，提供多種報表模版，形成圖、表結(jié)合的豐富報表，以多種文件格式輸出。 4）掃描引擎軟件。執(zhí)行管理控制中心發(fā)來的掃描任務，返回掃描結(jié)果到綜合顯示中心顯示并存入數(shù)據(jù)庫中。 5）掃描對象授權(quán)。通過授權(quán)許可具體的掃描引擎軟件可掃描對象，包括同時掃描的數(shù)量，也可以指定那些目標可以掃描或禁止掃描。 6）數(shù)據(jù)庫。 產(chǎn)品缺省提供MSDE 的桌面數(shù)據(jù)庫安裝包，用戶可以根據(jù)掃描規(guī)模的大小選用MSDE 或者SQL Server 作為使用數(shù)據(jù)庫。,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),圖8-3 單中心分布式部署,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),漸進式掃描：根據(jù)被掃描主機的操作系統(tǒng)和主機應用等信息智能確定進一步的掃描流程； 授權(quán)掃描：系統(tǒng)支持用戶提供被掃描主機的權(quán)限信息，以獲取更深入、更全面的漏洞信息； 系統(tǒng)穩(wěn)定性高：掃描過程實時正確處理各種意外情況：如網(wǎng)卡故障、資源耗盡等； 掃描系統(tǒng)資源占用少、速度快、誤報低、漏報低、穩(wěn)定性高。,天鏡掃描技術(shù)特點,7.5 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng),支持掃描的主流操作系統(tǒng)：Windows 9x/2000/2003/NT/XP、Sun Solaris、HP UNIX、IBM AIX、IRIX、Linux、BSD等。 天鏡可以掃描的對象包括各種服務器、工作站、網(wǎng)絡(luò)打印機以及相應的網(wǎng)絡(luò)設(shè)備如：3Com交換機、CISCO 路由器、Checkpoint Firewall、HP 打印機、Cisco PIX Firewall 等。 天鏡可以提供掃描對象的賬戶信息，便于檢查是否異常賬戶出現(xiàn)。 掃描漏洞分類：Windows 系統(tǒng)漏洞、WEB 應用漏洞、CGI 應用漏洞、FTP 類漏洞、DNS、后門類、網(wǎng)絡(luò)設(shè)備漏洞類、緩沖區(qū)溢出、信息泄漏、MAIL 類、RPC、 NFS、NIS、 SNMP、守護進程、PROXY強力攻擊等1000 種以上。支持對MS SQLServer、Oracle、Sybase、DB2 數(shù)據(jù)庫的掃描功能。 自由定制掃描策略 漏洞信息規(guī)范全面符合CNCVE 標準，兼容國際CVE 標準與BUGT