網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動-課件_第1頁
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動-課件_第2頁
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動-課件_第3頁
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動-課件_第4頁
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動-課件_第5頁
已閱讀5頁,還剩58頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與CERNET的行動網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CERNET 計算機應(yīng)急響應(yīng)組(CCERT)運行一年回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CERNET 安全應(yīng)急響應(yīng)服務(wù)計劃參考文獻內(nèi)容提要Internet 的安全問題的產(chǎn)生Internet起于研究項目,安全不是主要的考慮少量的用戶,多是研究人員,可信的用戶群體可靠性(可用性)、計費、性能 、配置、安全“Security issues are not discussed in this memo”網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標可訪問性,行為可知性攻擊工具易用性Internet 沒有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計費政策、路由政策操

2、作系統(tǒng)漏洞統(tǒng)計securityfocus操作系統(tǒng)漏洞增長趨勢兩個實驗San Diego 超級計算中心Redhat Linux 5.2 , no patch8小時:sun rpc probe21天:20 次pop, imap, rpc, mountd使用Redhat6.X的嘗試失敗40天:利用pop 服務(wù)缺陷或的控制權(quán)系統(tǒng)日志被刪除安裝了rootkit、 sniffer清華大學(xué)校園網(wǎng)Redhat Linux 6.2 , 只開設(shè)telnet, www服務(wù);helpwork 所有用戶申請均可獲得賬號7天后358個用戶兩個用戶利用dump獲得root 控制權(quán)安全應(yīng)急響應(yīng)服務(wù)背景應(yīng)急響應(yīng)服務(wù)的誕生CER

3、T/CC1988年Morris 蠕蟲事件直接導(dǎo)致了CERT/CC的誕生CERT/CC服務(wù)的內(nèi)容安全事件響應(yīng)安全事件分析和軟件安全缺陷研究缺陷知識庫開發(fā)信息發(fā)布:缺陷、公告、總結(jié)、統(tǒng)計、補丁、工具教育與培訓(xùn):CSIRT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn)指導(dǎo)其它CSIRT(也稱IRT、CERT)組織建設(shè)CERT/CC簡介現(xiàn)有工作人員30多人,12年里處理了288,600 封Email, 18,300個熱線電話,其運行模式幫助了80多個CSIRT組織的建設(shè)CERT/CC簡介CMUSEINetworked Systems Survivability programSurvivable

4、Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD安全應(yīng)急響應(yīng)服務(wù)背景國外安全事件響應(yīng)組(CSIRT)建設(shè)情況DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT, NavyCIRT亞太地區(qū):AusCERT、SingCERT等FIRST(1990)FIRST為IRT組織、廠商和其他安全專家提供一個論壇,討論安全缺陷、入侵者使用的方法和技巧、建議等,共同的尋找一個可接受的方案。80多個正式成員組織,覆

5、蓋18個國家和地區(qū)從FIRST中獲益的比例與IRT愿意提供的貢獻成比例兩個正式成員的推薦國內(nèi)安全事件響應(yīng)組織建設(shè)情況計算機網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)嚴重依賴國外;由于地理、語言、政治等多種因素,安全服務(wù)不可能依賴國外的組織國內(nèi)的應(yīng)急響應(yīng)服務(wù)還處在起步階段CCERT(2019年5月),中國第一個安全事件響應(yīng)組織NJCERT(2019年10月)中國電信ChinaNet安全小組解放軍,公安部安全救援服務(wù)公司中國計算機應(yīng)急響應(yīng)組/協(xié)調(diào)中心CNCERT/CC信息產(chǎn)業(yè)部安全管理中心 ,2000年3月,北京安全應(yīng)急響應(yīng)組的分類國際間的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織愿意付費的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、

6、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提供商 IRT廠商 IRT企業(yè) /政府 IRT如:安全服務(wù)公司如:CCERT如:cisco, IBM如:中國銀行、 公安部如CERT/CC, FIRST如CNCERT/CC安全應(yīng)急響應(yīng)服務(wù)組織的服務(wù)內(nèi)容CSIRT的服務(wù)內(nèi)容應(yīng)急響應(yīng)安全公告咨詢風(fēng)險評估入侵檢測教育與培訓(xùn)追蹤與恢復(fù)安全應(yīng)急響應(yīng)服務(wù)的特點技術(shù)復(fù)雜性與專業(yè)性各種硬件平臺、操作系統(tǒng)、應(yīng)用軟件;知識經(jīng)驗的依賴性由IRT中的人提供服務(wù),而不是一個硬件或軟件產(chǎn)品; 突發(fā)性強需要廣泛的協(xié)調(diào)與合作網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CCERT運行一年回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CERNET 安全應(yīng)急響應(yīng)服務(wù)計劃參考文獻內(nèi)容提要CERNE

7、T在應(yīng)急響應(yīng)中的優(yōu)勢高速的、大規(guī)模的網(wǎng)絡(luò)環(huán)境10M/ 100M/ 1000M的用戶接入活躍的攻擊者和安全服務(wù)提供者BBS、各種俱樂部75410M+45M+45M155M(即將2.5G)2000.1-2000.10580近10M2M+2M2019.7-2019.12507近10M2M+2M2019.1-2019.064092M+4M2M2019.1-2019.12278128K64K/128K2019.1-2019.12聯(lián)網(wǎng)用戶數(shù)目國際出口帶寬國內(nèi)主干帶寬時 間CERNET、 Internet2、IPv6 實驗床CERNET在應(yīng)急響應(yīng)中的優(yōu)勢CERNET在應(yīng)急響應(yīng)中的優(yōu)勢運行網(wǎng)絡(luò)和實驗網(wǎng)絡(luò), 可

8、進行各種實驗IPv6實驗床、Internet2 的國際接入可控的網(wǎng)絡(luò)基礎(chǔ)設(shè)施路由系統(tǒng)、域名系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、電子郵件系統(tǒng)主干網(wǎng)擴大到省級節(jié)點,便于集中控制以CERNET為依托的科研項目九五攻關(guān)項目:網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、安全路由器高速IP網(wǎng)絡(luò)安全運行監(jiān)控系統(tǒng)100M 流量分析與協(xié)同分布式入侵檢測多種角色:高校、NSP/ISP便于國際交流、更加了解用戶需求CERNET 計算機安全應(yīng)急響應(yīng)組(CCERT)CERNET華東(北)地區(qū)網(wǎng)網(wǎng)絡(luò)安全事件響應(yīng)組(NJCERT)/njcert/index.html研發(fā)部運行部CCERT 事件處理CCERTNICNOC 地區(qū)網(wǎng)絡(luò)中心 校園網(wǎng)絡(luò)中心Internet

9、用戶IPv6網(wǎng)管高速網(wǎng):系統(tǒng)管理員CERNET 計算機安全應(yīng)急響應(yīng)組(CCERT)主要客戶群是CERNET 會員,但也有受理其他網(wǎng)絡(luò)的報告和投訴目前主要從事以下服務(wù)和研究:事件響應(yīng):入侵、垃圾郵件以及郵件炸彈、惡意掃描和DoS事件處理給站點管理員提供安全建議提供安全信息公告和安全資源反垃圾郵件、禁止掃描的公告操作系統(tǒng)補丁、工具軟件網(wǎng)絡(luò)安全領(lǐng)域的研究,包括安全管理、入侵檢測、安全體系結(jié)構(gòu)、PKICCERT一年來回顧所處理的事件可分為四類:垃圾郵件和郵件炸彈掃描入侵 DOS 攻擊至2000年9月,處理了 2000 多份報告,其中包括1800多起垃圾郵件和郵件炸彈報告;110 起掃描與 DOS 攻擊

10、報告; 50 起入侵報告常見安全事件報告與處理垃圾郵件轉(zhuǎn)發(fā)90左右的報告與垃圾郵件有關(guān)國外的投訴國內(nèi)的報告郵件服務(wù)器配置不當(dāng),為第三方中轉(zhuǎn)郵件危害:流量盜用 費用增加可能導(dǎo)致郵件服務(wù)器的所有通信被受害者封鎖;spamcop對國家和社會安全的影響解決方法:relay-test scan重新配置、升級郵件系統(tǒng)封鎖國外轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)垃圾郵件的站點垃圾郵件的報告已逐漸減少常見安全事件報告與處理掃描,入侵的前兆服務(wù)發(fā)現(xiàn)掃描,如 proxy hunter( 80, 8080,1080)缺陷掃描,如SATAN 等工具ftp, telnet ,ssh, pop2, pop3, sunrpc, netbios, im

11、ap, klogind, socks,入侵多數(shù)入侵由于眾所周知的缺陷,解決方法已有:Solaris rpc.statd, rpc.ttdbserver, Linux imapd, wu_ftp freeBSD pop3dWin2k Terminal Server, 很多案例由外部的報告發(fā)現(xiàn),管理員并不知道典型的入侵案例缺陷掃描Root compromise: pop3d停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 甚至替換以下程序/bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls 、/bin/netstat安裝竊

12、聽程序 sniffer : /usr/.sniffit重新啟動 syslogd ,關(guān)閉pop3d刪除日志記錄 wtmp、wtp、message、syslog一般入侵步驟拒絕服務(wù)攻擊DoS 攻擊land , teardrop, SYN floodICMP : smurfRouter: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal serverSolaris :Linux:其他. SYN FloodSend SYN (seq=100 ctl=SYN)SYN receivedSend SYN (seq=300

13、 ack=101 ctl=syn,ack)Established(seq=101 ack=301 ctl=ack)attackertargetEstablished(seq=301 ack=301 ctl=ack Data)1234SYN received正常的TCP 連接建立過程 - 三次握手ICMP SmurfattackerICMP echo req Src: targetdst: xxx.xxx.xxx.255Echo replyEcho replyEcho replytarget分布式拒絕服務(wù)(DDOS)以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標常用的工具:Trin00, TFN/TFN2K,

14、Stacheldraht很難防范偽造源地址,流量加密,因此很難跟蹤clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDOS攻擊方法及防范攻擊的兩階段:第一階段控制大量主機利用系統(tǒng)的漏洞獲得大量主機系統(tǒng)的控制權(quán),并安裝DDoS 工具;Linux imapd, Solaris rpc 、rstatd, Windows;第二個階段,發(fā)起攻擊:向目標發(fā)送大量的TCP/UDP/ICMP包,導(dǎo)致系統(tǒng)資源耗盡或網(wǎng)絡(luò)擁塞,從而使目標系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)正常的請求。DDOS防范:網(wǎng)絡(luò)中所有的系統(tǒng)都要安全的配置,不使之成為DDOS的源;路

15、由器/防火墻配置:過濾偽造源地址的IP 包檢測工具:find_ddosv31、ddos_scan、rid掃描事件報告統(tǒng)計增長趨勢常見問題管理問題:資產(chǎn)、策略、負責(zé)人, 沒有明確的安全管理策略操作系統(tǒng)安裝后使用缺省配置,不打補丁,運行許多不必要的服務(wù);99%以上的入侵是可以通過系統(tǒng)配置來防范的;常用的攻擊方法常見問題多種服務(wù)安裝在同一服務(wù)器上,DNS/Mail/Web/ FTP公用服務(wù)器用戶口令過于簡單,uid: stud? / Pwd:123456審計功能沒有激活,或管理員根本不檢查審計日志沒有備份,系統(tǒng)在被入侵后很難恢復(fù)事件處理的困難服務(wù)本身缺乏項目和資金的支持;人力資源與知識經(jīng)驗的不足;缺

16、乏迅速的聯(lián)系渠道過時的 whois 數(shù)據(jù)庫,聯(lián)系信息數(shù)據(jù)庫不準確 ;來自國外的投訴較多,國內(nèi)的用戶還沒有足夠的自我保護意識和能力網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CCERT 運行一年來的回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CERNET安全應(yīng)急響應(yīng)服務(wù)建設(shè)計劃參考文獻內(nèi)容提要NT 安全配置檢查表安裝不要同時安裝其他操作系統(tǒng),以防止越權(quán)訪問和數(shù)據(jù)破壞所有分區(qū)都選擇NTFS格式,以支持訪問控制選擇9個字符以上、不易猜測的口令創(chuàng)建修復(fù)盤補丁安裝最新版本的補丁Service Pack;安裝相應(yīng)版本所有的 hotfixes跟蹤最新的SP 和 hotfixNT 安全配置檢查表病毒防范安裝防病毒軟件,及時更新特征庫政策與用戶的

17、教育:如何處理郵件附件、如何使用下載軟件等網(wǎng)絡(luò)配置關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)配置防火墻/路由器,封鎖不必要的端口:TCP port 135, 137, 139 and UDP port 138. NT 安全配置檢查表賬號與口令策略設(shè)置口令安全策略:有效期、最小長度、字符選擇賬號登錄失敗n次鎖定關(guān)閉缺省賬號,guest, Administrator文件系統(tǒng)與共享系統(tǒng)分區(qū)的權(quán)限設(shè)置如果不想提供共享服務(wù),關(guān)閉Server 、computer browser 服務(wù)確保共享的目錄分配了合適的訪問權(quán)限重要文件的備份NT 安全配置檢查表注冊表安全不顯示上次登錄的用戶名對普通用戶隱藏shutdown 按鈕限制遠程注

18、冊表瀏覽限制軟驅(qū)和光驅(qū)的遠程訪問審計功能三個方面的操作審計,缺省是關(guān)閉的用戶:logon /log off, restart , shutdown文件和目錄:讀、寫、執(zhí)行、刪除、改變權(quán)限注冊表的修改Unix安全 配置檢查表相應(yīng)版本的所有補丁賬號與口令關(guān)閉缺省賬號和口令:lp, shutdown等shadow passwd用crack /john等密碼破解工具猜測口令(配置一次性口令)網(wǎng)絡(luò)服務(wù)的配置: /etc/inetd.conf, /etc/rc.d/*TFTP 服務(wù) get /etc/passwd匿名ftp的配置關(guān)閉rsh/rlogin/rexec 服務(wù)關(guān)閉不必要的 rpc 服務(wù)安裝ssh

19、d, 關(guān)閉telnet 。NFS export Unix安全 配置檢查表環(huán)境設(shè)置路徑,掩碼( umask)審計與記賬功能有效的工具tripwareCOPStcpwrappersatan路由器安全配置檢查表認證口令管理使用enable secret , 而不用enable passwordTACACS/TACACS+, RADIUS, Kerberos 認證控制交互式訪問控制臺的訪問:可以越過口令限制;遠程訪問telnet, rlogin, ssh, LAT, MOP, X.29, Modem虛擬終端口令保護:vty, tty :login , no password 只接收特定協(xié)議的訪問,如t

20、ransport input ssh設(shè)置允許訪問的地址:ip access-class 超時退出:exec-timeout 登錄提示:banner login路由器安全配置檢查表網(wǎng)絡(luò)管理SNMPv1:修改缺省的community name community name, snmp-server community SNMPv2 :基于Keyed-MD5的認證方式snmp-server party Digest AuthenticationHTTP: 限制管理站點地址、配置認證方式ip http access-class , ip http authentication , TACACS/RAD

21、IUS防止竊聽加密管理協(xié)議:ssh 登錄, SNMPv2的管理協(xié)議一次性口令(OTP): SecureID/Token, S/KeyIPSec 封裝所有管理協(xié)議: telnet , SNMP,HTTP路由器安全配置檢查表關(guān)閉沒有必要的服務(wù)small TCPno service tcp-small-servers: echo / chargen / discardfinger, ntp 鄰機發(fā)現(xiàn)服務(wù)(cdp) 審計SNMP 認證失敗信息,與路由器連接信息: Trap系統(tǒng)操作日志:system logging: console, Unix syslogd, 違反訪問控制鏈表的流量操作系統(tǒng)更新路由器

22、IOS 與其他操作系統(tǒng)一樣也有BUG利用路由器保護網(wǎng)絡(luò)安全訪問控制鏈表基于源地址/目標地址/協(xié)議端口號路徑的完整性防止IP假冒和拒絕服務(wù)(Anti-spoofing/DDOS)檢查源地址: ip verify unicast reverse-path 過濾RFC1918 地址空間的所有IP包;關(guān)閉源路由: no ip source-route路由協(xié)議的過濾與認證Flood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit

23、 exceed-action drop access-list 2020 permit icmp any any echo-reply利用路由器防止DoS的攻擊Stub ADTransit AD/16eth0eth1access-list 101 permit ip 55 any access-list 101 deny ip any anyinterface eth0ip access-group 101 inaccess-list 110 deny ip 55 any access-list 110 deny ip 55 any access-list 110 deny ip 55 any

24、access-list 110 permit ip any anyinterface ether 1ip access-group 110 inip verify unicast reverse-pathTransit ADeth0access-list 101 deny ip 55 anyaccess-list 101 permit ip any anyaccess-list 102 permit ip 55 anyaccess-list 102 deny ip any anyinterface eth0ip access-group 101 inip access-group 102 ou

25、t怎樣檢測系統(tǒng)入侵察看登錄用戶和活動進程w, who, finger ,last 命令ps , crash尋找入侵的痕跡last, lastcomm, netstat, lsof,/var/log/syslog,/var/adm/messages, /.history查找最近被修改的文件 :find檢測sniffer 程序ifconfig, cpm有用的工具 tripware,cops, cpm, tcpdump,怎樣從被攻破的系統(tǒng)中恢復(fù)重新獲得控制權(quán)從網(wǎng)絡(luò)中斷開備份被攻破的系統(tǒng)鏡像分析入侵尋找被修改的程序或配置文件# find / ( -perm -004000 -o -perm -0020

26、00 ) -type f -print尋找被修改的數(shù)據(jù),如web pages, 尋找入侵者留下的工具和數(shù)據(jù)sniffer, Trojan Horses, backdoor檢查日志文件 messages, xferlog,utmp,wtmp, /.history 怎樣從被攻破的系統(tǒng)中恢復(fù)尋找sniffer: cpm, ifstatus/advisories/CA-94.01.ongoingwork.monitoring.attacks.html 檢查其他的系統(tǒng)是否也被入侵與相關(guān)的IRT聯(lián)系報告, 申請援助、調(diào)查通知相關(guān)站點恢復(fù)安裝一份干凈的操作系統(tǒng)關(guān)掉所有不必要的服務(wù)安裝所有的補丁怎樣從被攻破的

27、系統(tǒng)中恢復(fù)查閱IRT相關(guān)的公告謹慎使用數(shù)據(jù)備份修改所有用戶口令提高系統(tǒng)的安全性根據(jù)UNIX / NT的安全配置指南文件檢查系統(tǒng)安全性/tech_tips/unix_configuration_guidelines.html.au/Information/Auscert_info/Papers/win_configuration_guidelines.html檢查工具與文檔安裝安全工具激活記賬功能配置防火墻怎樣從被攻破的系統(tǒng)中恢復(fù)重新連接到INTERNET更新你的安全政策記錄從事件中吸取的教訓(xùn)計算損失修改安全策略網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景CCERT 運行一年來的回顧網(wǎng)絡(luò)和系統(tǒng)安全配置建議CCERT建設(shè)計劃及展望參考文獻內(nèi)容提要CERNET 安全 建設(shè)計劃安全事件診斷系統(tǒng)分布式入侵檢測系統(tǒng)CERNET-CERT 安全服務(wù)CERNET 會員安全事件處理系統(tǒng)研究與開發(fā)脆弱性特征庫安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論