東北大學(xué)網(wǎng)絡(luò)中心網(wǎng)絡(luò)安全手冊(cè)-200612版PPT課件.ppt

網(wǎng)絡(luò)安全手冊(cè) 東北大學(xué)網(wǎng)絡(luò)中心2006年12月30日 提綱 個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范校園網(wǎng)近期安全問題個(gè)人計(jì)算機(jī)常見安全問題與解決辦法校內(nèi)安全資源 2 一 個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護(hù)機(jī)制校內(nèi)安全資源的使用初裝計(jì)算機(jī)的正確步驟 3 一 個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護(hù)機(jī)制系統(tǒng)與應(yīng)用程序補(bǔ)丁防火墻帳號(hào)與口令防病毒軟件正確的使用習(xí)慣 4 windows的安全保護(hù)機(jī)制 系統(tǒng)與應(yīng)用程序補(bǔ)丁補(bǔ)丁的安裝方法 Windows在線的update網(wǎng)站更新 需要是正版 微軟提供的自動(dòng)更新服務(wù) 速度慢 學(xué)校提供的WSUS服務(wù)器 推薦使用 手動(dòng)下載補(bǔ)丁程序安裝 不推薦 需要提醒的時(shí)除了系統(tǒng)補(bǔ)丁外 很多應(yīng)用軟件也需要安裝補(bǔ)丁程序 如 office IE OUTLOOK等 5 windows的安全保護(hù)機(jī)制 防火墻的選用Winxp或者win2003自帶的防火墻 推薦使用 Windows自身的組策略安全規(guī)則 配置復(fù)雜 第三方的防火墻 如天網(wǎng)個(gè)人防火墻 norton提供的防火墻 瑞星殺毒軟件提供的防火墻 趨勢(shì)防火墻 防火墻是必須的 6 windows的安全保護(hù)機(jī)制 口令設(shè)置要求口令應(yīng)該不少于8個(gè)字符 不包含字典里的單詞 不包括姓氏的漢語拼音 同時(shí)包含多種類型的字符 比如大寫字母 A B C Z 小寫字母 a b c z 數(shù)字 0 1 2 9 標(biāo)點(diǎn)符號(hào) 7 windows的安全保護(hù)機(jī)制 防病毒系統(tǒng)一定要及時(shí)升級(jí)病毒庫文件 推薦使用企業(yè)版 實(shí)時(shí)監(jiān)控功能一定要開著推薦使用的殺毒軟件賽門鐵克的norton防毒軟件瑞星殺毒軟件 rising 趨勢(shì)科技的officescan防毒軟件卡巴斯基 8 windows的安全保護(hù)機(jī)制 正確的使用習(xí)慣不隨便下載程序運(yùn)行不訪問一些來歷不明的網(wǎng)頁鏈接不使用的情況下盡量關(guān)閉機(jī)器經(jīng)常備份重要數(shù)據(jù) 9 一 個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護(hù)機(jī)制校內(nèi)安全資源的使用初裝計(jì)算機(jī)的正確步驟 10 校內(nèi)安全資源的使用 補(bǔ)丁更新服務(wù)器東北大學(xué)WSUS服務(wù)器地址 202 118 1 113WSUS服務(wù)配置方法修改注冊(cè)表修改組策略 推薦 11 補(bǔ)丁更新服務(wù)器 組策略 一 選擇 開始 運(yùn)行 輸入gpedit msc 打開組策略窗口 二 選擇 管理模板 然后從菜單中選擇 操作 添加 刪除模板 注意 winxpsp1以上版本的操作系統(tǒng)中這個(gè)wuau adm已經(jīng)添加了 您可以直接跳到第六步 三 在 添加 刪除模板 窗口中選擇 添加 12 補(bǔ)丁更新服務(wù)器 組策略 四 在 策略模板 中選擇 wuau adm 并選擇 打開 五 選擇 關(guān)閉 關(guān)閉 添加 刪除模板 窗口 六 選擇 計(jì)算機(jī)配置 管理模板 Windows組件 WindowsUpdate 并選擇 配置自動(dòng)更新 七 在 配置自動(dòng)更新 的屬性窗口中 選擇 啟用 并選擇 確定 13 補(bǔ)丁更新服務(wù)器 組策略 八 在 指定IntranetMicrosoft更新服務(wù)器位置 的屬性窗口中 選擇 啟用 并在 設(shè)置檢測(cè)更新的Intranet更新服務(wù) 框中輸入 14 補(bǔ)丁更新服務(wù)器 注冊(cè)表 WindowsRegistryEditorVersion5 00 HKEY LOCAL MACHINE SOFTWARE Policies Microsoft Windows WindowsUpdate WUServer WUStatusServer HKEY LOCAL MACHINE SOFTWARE Policies Microsoft Windows WindowsUpdate AU UseWUServer dword 00000001 15 補(bǔ)丁更新服務(wù)器 注冊(cè)表 當(dāng)系統(tǒng)右下角的托盤中出現(xiàn)了黃色的小盾牌 windows2000為綠色的小地球圖標(biāo) 后 說明系統(tǒng)有需要安裝的補(bǔ)丁程序 雙擊該圖標(biāo)后按照系統(tǒng)提示安裝相應(yīng)的補(bǔ)丁程序 16 Symantec殺毒軟件 病毒服務(wù)器地址 http 202 118 1 39病毒軟件的安裝方法 在線安裝 需要把控件功能打開 下載安裝包安裝企業(yè)版的Norton殺毒軟件采用的是服務(wù)器自動(dòng)分發(fā)病毒庫文件 無需用戶手動(dòng)更新 17 Symantec殺毒軟件 查看病毒碼更新日期 主窗口 病毒定義文件 版本 Liveupdate 立即更新功能 一般情況下不需要手動(dòng)點(diǎn)擊立即更新 應(yīng)該連接到校內(nèi)地址202 118 1 64 9 0版 10 0版 18 卡巴的升級(jí) 目前東北大學(xué)網(wǎng)絡(luò)中心提供卡巴的病毒定于升級(jí)地址 http 202 118 1 39支持版本 5 0 6 0 19 一 個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范 Windows系統(tǒng)的安全保護(hù)機(jī)制校內(nèi)安全資源的使用初裝計(jì)算機(jī)的正確步驟 20 初裝計(jì)算機(jī)的正確步驟 系統(tǒng)的選擇原則選擇最新版的操作系統(tǒng) 推薦winxp或2003 盡量選擇已經(jīng)帶有servicepack的版本遵從 最小安裝原則 如果有專職管理員 請(qǐng)專職管理員協(xié)助安裝操作系統(tǒng) 21 操作系統(tǒng)初始安裝的過程 系統(tǒng)安裝與加固預(yù)先將東西準(zhǔn)備好 如防火墻軟件等 安裝過程請(qǐng)拔掉網(wǎng)線系統(tǒng)安裝結(jié)束后請(qǐng)安裝并啟用防火墻后再插上網(wǎng)線配置補(bǔ)丁自動(dòng)更新 并升級(jí)補(bǔ)丁程序安裝防病毒軟件并升級(jí)到最新的病毒庫具體過程請(qǐng)參照ftp 202 118 1 64 pub2 Sercurity doc 初裝計(jì)算機(jī)補(bǔ)丁安裝 doc 22 提綱 個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范校園網(wǎng)近期安全問題個(gè)人計(jì)算機(jī)常見安全問題與解決辦法校內(nèi)安全資源 23 二 近期校園網(wǎng)常見安全問題 ARP攻擊系統(tǒng)入侵熊貓燒香病毒 24 ARP攻擊 什么是ARP攻擊 利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻擊 目的是為了在全交換環(huán)境下實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽 通常這種攻擊方式可能被病毒 木馬或者有特殊目的攻擊者使用 ARP攻擊有什么危害 致使同網(wǎng)段的其他用戶無法正常上網(wǎng) 頻繁斷網(wǎng)或者網(wǎng)速慢 泄露用戶的敏感信息 25 ARP原理 ARP AddressResolutionProtocol 地址解析協(xié)議用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址 IP地址32位 轉(zhuǎn)化為物理地址 MAC地址48位 RFC826 ARP協(xié)議是屬于鏈路層的協(xié)議 在以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的以太網(wǎng)地址 硬件地址 來確定接口的 而不是根據(jù)32位的IP地址 內(nèi)核 如驅(qū)動(dòng) 必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù) 點(diǎn)對(duì)點(diǎn)的連接是不需要ARP協(xié)議的 26 ARP原理 主機(jī)名IP地址MAC地址主機(jī)A192 168 1 201 01 01 01 01 01主機(jī)B192 168 1 302 02 02 02 02 02網(wǎng)關(guān)C192 168 1 103 03 03 03 03 03主機(jī)D10 1 1 204 04 04 04 04 04網(wǎng)關(guān)E10 1 1 105 05 05 05 05 05 27 ARP工作原理 假如主機(jī)A要與主機(jī)B通訊 它首先會(huì)檢查自己的ARP緩存中是否有192 168 1 3這個(gè)地址對(duì)應(yīng)的MAC地址 如果沒有它就會(huì)向局域網(wǎng)的廣播地址發(fā)送ARP請(qǐng)求包 大致的意思是192 168 1 3的MAC地址是什么請(qǐng)告訴192 168 1 2 而廣播地址會(huì)把這個(gè)請(qǐng)求包廣播給局域網(wǎng)內(nèi)的所有主機(jī) 但是只有192 168 1 3這臺(tái)主機(jī)才會(huì)響應(yīng)這個(gè)請(qǐng)求包 它會(huì)回應(yīng)192 168 1 2一個(gè)arp包 大致的意思是192 168 1 3的MAC地址是02 02 02 02 02 02 這樣的話主機(jī)A就得到了主機(jī)B的MAC地址 并且它會(huì)把這個(gè)對(duì)應(yīng)的關(guān)系存在自己的ARP緩存表中 之后主機(jī)A與主機(jī)B之間的通訊就依靠?jī)烧呔彺姹砝锏腗AC地址來通訊了 直到通訊停止后兩分鐘 這個(gè)對(duì)應(yīng)關(guān)系才會(huì)被從表中刪除 28 ARP工作原理 假如主機(jī)A需要和主機(jī)D進(jìn)行通訊 它首先會(huì)發(fā)現(xiàn)這個(gè)主機(jī)D的IP地址并不是自己同一個(gè)網(wǎng)段內(nèi)的 因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā) 這樣的話它會(huì)檢查自己的ARP緩存表里是否有網(wǎng)關(guān)192 168 1 1對(duì)應(yīng)的MAC地址 如果沒有就通過ARP請(qǐng)求獲得 如果有就直接與網(wǎng)關(guān)通訊 然后再由網(wǎng)關(guān)C通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)E 網(wǎng)關(guān)E收到這個(gè)數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)D 10 1 1 2 的 它就會(huì)檢查自己的ARP緩存 沒錯(cuò) 網(wǎng)關(guān)一樣有自己的ARP緩存 看看里面是否有10 1 1 2對(duì)應(yīng)的MAC地址 如果沒有就使用ARP協(xié)議獲得 如果有就是用該MAC地址與主機(jī)D通訊 29 ARP欺騙 Arp欺騙原理主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個(gè)不完善的地方 當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后 它并不會(huì)去驗(yàn)證自己是否發(fā)送過這個(gè)ARP請(qǐng)求 而是直接將應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息 這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)D之間的數(shù)據(jù)通信成為可能 30 ARP欺騙 主機(jī)b向網(wǎng)關(guān)C發(fā)送ARP應(yīng)答包說 我是A我的MAC地址是02 02 02 02 02 02 主機(jī)b同時(shí)向主機(jī)A發(fā)送ARP應(yīng)答包說 我是C我的MAC地址是02 02 02 02 02 02B獲得A發(fā)給C的數(shù)據(jù) 修改后發(fā)給C 同時(shí)獲得C發(fā)給A的數(shù)據(jù)修改后發(fā)給A 實(shí)現(xiàn)了監(jiān)聽過程 31 ARP攻擊 幾個(gè)概念 Arp緩存表 32 ARP攻擊 ARP數(shù)據(jù)包13 10 44 802151arpwho has192 168 1 1tell192 168 1 213 10 44 802607arpreply192 168 1 1is at00 00 0c 07 ac 00 33 ARP攻擊 什么情況下表明局域網(wǎng)內(nèi)有ARP攻擊校園網(wǎng)登陸系統(tǒng)頻繁掉線網(wǎng)速突然變慢使用ARP a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址不停的變換使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的ARPreply包 34 ARP攻擊 如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)1 在知道正確的網(wǎng)關(guān)MAC的情況下 通過ARP a命令看到的另一個(gè)網(wǎng)關(guān)MAC就是攻擊主機(jī)的MAC2 使用Sniffer等抓包軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)的IP地址發(fā)送的ARPreply包 包中指定的MAC就是攻擊主機(jī)的MAC3 使用清華開發(fā)的ARP保護(hù)程序發(fā)現(xiàn)攻擊主機(jī)的MACftp 202 118 1 64 pub2 Security tools ArpFix rar 35 ARP攻擊 如何處理感染主機(jī)發(fā)現(xiàn)感染主機(jī) 第一時(shí)間拔掉網(wǎng)線按照安全手冊(cè)重新安裝操作系統(tǒng) 36 ARP攻擊 目前已知的ARP病毒的傳播途徑通過外掛程序傳播通過網(wǎng)頁傳播通過其他木馬程序傳播通過即時(shí)通訊軟件傳播 QQ MSN 通過共享傳播 網(wǎng)絡(luò)共享 P2P軟件共享 37 ARP攻擊 如何預(yù)防感染ARP病毒 關(guān)閉不必要的共享及時(shí)安裝系統(tǒng)補(bǔ)丁程序安裝防病毒軟件并及時(shí)升級(jí)病毒庫不隨便運(yùn)行來歷不明的程序不訪問一些來歷不明的鏈接 38 二 近期校園網(wǎng)常見安全問題 ARP攻擊系統(tǒng)入侵熊貓燒香病毒 39 近期校園網(wǎng)常見安全問題 系統(tǒng)入侵多數(shù)被攻擊的都是服務(wù)器 操作系統(tǒng)多為windows2000server或者linux針對(duì)linux常利用的漏洞為 openssh和apche等軟件的漏洞針對(duì)windows2000server更多的是利用網(wǎng)頁編寫本身的漏洞 40 二 近期校園網(wǎng)常見安全問題 ARP攻擊系統(tǒng)入侵熊貓燒香病毒 41 近期校園網(wǎng)常見安全問題 熊貓燒香病毒可對(duì)用戶系統(tǒng)進(jìn)行破壞 導(dǎo)致大量應(yīng)用軟件無法使用可刪除擴(kuò)展名為gho的所有文件 造成用戶的系統(tǒng)備份文件的丟失 從而無法進(jìn)行系統(tǒng)恢復(fù)能終止大量反病毒軟件進(jìn)程 降低用戶系統(tǒng)的安全性急速變種感染型的蠕蟲病毒 42 近期校園網(wǎng)常見安全問題 熊貓燒香病毒 43 提綱 個(gè)人計(jì)算機(jī)的安全配置與使用規(guī)范校園網(wǎng)近期安全問題個(gè)人計(jì)算機(jī)常見安全問題與解決辦法校內(nèi)安全資源 44 三 常見安全問題及解決方法 系統(tǒng)中的自啟動(dòng)程序?yàn)g覽器的恢復(fù)本地病毒木馬程序檢查 45 系統(tǒng)中的自啟動(dòng)程序 Windows支持多種在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載應(yīng)用程序的方法包括 啟動(dòng)組Boot ini win ini system ini文件注冊(cè)表啟動(dòng)項(xiàng)添加成系統(tǒng)服務(wù)計(jì)劃任務(wù)動(dòng)態(tài)庫文件加載 46 系統(tǒng)中的自啟動(dòng)程序 啟動(dòng)組和win ini system ini開始 程序 啟動(dòng)里面對(duì)應(yīng)的目錄 C DocumentsandSettings administrator 開始 菜單 程序 啟動(dòng) C Boot iniC Windows Win iniC Windows system ini 47 系統(tǒng)中的自啟動(dòng)程序 注冊(cè)表啟動(dòng)項(xiàng)HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunHKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 48 系統(tǒng)中的自啟動(dòng)程序 系統(tǒng)服務(wù)使用管理工具中服務(wù)選項(xiàng)來管理系統(tǒng)服務(wù)系統(tǒng)服務(wù)對(duì)應(yīng)的注冊(cè)表值HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices 49 系統(tǒng)中的自啟動(dòng)程序 任務(wù)計(jì)劃在控制面板的任務(wù)計(jì)劃里查看動(dòng)態(tài)庫文件加載判斷相對(duì)困難 需要有豐富的經(jīng)驗(yàn)和相應(yīng)的工具 50 系統(tǒng)中的自啟動(dòng)程序 有用但不為人知的系統(tǒng)啟動(dòng)檢測(cè)命令msconfig 51 五 常見安全問題及解決方法 系統(tǒng)中的自啟動(dòng)程序?yàn)g覽器的恢復(fù)本地病毒木馬程序檢查 52 瀏覽器的恢復(fù) IE瀏覽器容易出現(xiàn)的故障自動(dòng)關(guān)閉默認(rèn)主頁被篡改 默認(rèn)主頁被禁止修改 自動(dòng)彈出多個(gè)頁面 53 瀏覽器的恢復(fù) IE瀏覽器自動(dòng)關(guān)閉的原因很多 例如 系統(tǒng)內(nèi)存偏小系統(tǒng)內(nèi)核故障 中木馬了 IE軟件故障IE與其他應(yīng)用沖突 如打印進(jìn)程 我們可以通過查看事件日志查找IE出錯(cuò)的原因 54 瀏覽器的恢復(fù) 解決IE瀏覽器自動(dòng)關(guān)閉的方法使用殺毒軟件殺毒察看事件記錄看看是否記錄關(guān)閉原因使用修復(fù)工具對(duì)IE進(jìn)行修復(fù)安裝新版本的IE瀏覽器重新安裝操作系統(tǒng)增加系統(tǒng)內(nèi)存 55 瀏覽器的恢復(fù) IE瀏覽器手動(dòng)修復(fù)方式 比較復(fù)雜 修復(fù)IE的標(biāo)題欄 編輯注冊(cè)表HKEY CURRENT USER Software Microsoft InternetExplorer MainHKEY LOCAL MACHINE Software Microsoft InternetExplorer Main找到鍵值項(xiàng)WindowTitle 修改成你要的或刪除即可 56 瀏覽器的恢復(fù) 恢復(fù)注冊(cè)表修改權(quán)限 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies system DisableRegistryTools dword 00000001方法1 使用其他注冊(cè)表編輯器恢復(fù) 將DisableRegistryTools的值改為1方法2 通過組策略工具修改 57 瀏覽器的恢復(fù) 恢復(fù)IE默認(rèn)主頁修改權(quán)限的操作 即 Internet屬性 控制面板設(shè)置IE主頁 使用默認(rèn)頁 使用空白頁 等按鈕變?yōu)榛疑豢捎?解決方法 編輯注冊(cè)表查找HKEY CURRENT USER Software Policies Microsoft InternetExplorer ControlPanel刪除鍵值項(xiàng)HomePage 或?qū)⑵渲蹈臑? 58 瀏覽器的恢復(fù) 修改IE默認(rèn)頁IE默認(rèn)頁為 59 瀏覽器的恢復(fù) 使用工具修