《網(wǎng)絡(luò)安全技術(shù)講解》課件

網(wǎng)絡(luò)安全技術(shù)講解2008年4月中國電信東莞分公司商務(wù)領(lǐng)航企智通運(yùn)營中心技術(shù)部經(jīng)理：李思文網(wǎng)絡(luò)安全簡述網(wǎng)絡(luò)安全整體框架、體系安全規(guī)劃、服務(wù)、管理防火墻入侵檢測身份認(rèn)證、訪問控制、審計(jì)系統(tǒng)漏洞掃描防病毒系統(tǒng)課程面臨的安全威脅以經(jīng)濟(jì)利益為動(dòng)機(jī)的控制系統(tǒng)、竊取、篡改信息等犯罪活動(dòng)以破壞系統(tǒng)為目標(biāo)的系統(tǒng)犯罪以政治目的為動(dòng)機(jī)的破壞系統(tǒng)等信息犯罪活動(dòng)其他信息違法犯罪行為內(nèi)部系統(tǒng)網(wǎng)絡(luò)internet網(wǎng)絡(luò)入侵黑客入侵工具控制系統(tǒng)竊取資料修改資料……內(nèi)部系統(tǒng)網(wǎng)絡(luò)SYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropSYN-ACK?,dropTCPSYN:80SIP:10.X.X.XorNullDIP:黑客攻擊internet內(nèi)部系統(tǒng)網(wǎng)絡(luò)偵聽、竊取資料Snifer工具用戶名、密碼傳輸?shù)馁Y料服務(wù)器信息操作系統(tǒng)信息……internet內(nèi)部系統(tǒng)網(wǎng)絡(luò)

木馬

蠕蟲Jokes黑客工具病毒

感染操作系統(tǒng)

感染數(shù)據(jù)堵塞網(wǎng)絡(luò)

……internet被動(dòng)式攻擊那些不改變正常通訊連接的數(shù)據(jù)流，而且不將數(shù)據(jù)加入到連接中那些進(jìn)入工作環(huán)境中等待捕獲在網(wǎng)絡(luò)上傳輸?shù)挠袃r(jià)值的信息活動(dòng)主動(dòng)式攻擊打斷正常的數(shù)據(jù)流，插入數(shù)據(jù)或修改數(shù)據(jù)流（欺騙）攻擊者尋找系統(tǒng)的漏洞，發(fā)動(dòng)侵略性攻擊在發(fā)動(dòng)主動(dòng)式攻擊前，首先要進(jìn)行被動(dòng)式攻擊攻擊類型病毒、蠕蟲、炸彈和特洛伊木馬陷門【Trapdoors】隱通道【CovertChannels】拒絕服務(wù)【Denialofservice】偵聽【Sniffing】欺騙【Spoofing】口令攻擊【Passwordattack】尋找軟件存在的漏洞和弱點(diǎn)尋找系統(tǒng)配置的漏洞路由攻擊【RoutingAttacks】中繼攻擊【ReplayAttacks】會(huì)話竊取攻擊【SessionStealingAttacks】目前已知的手段陷門和隱通道陷門【Trapdoors】由軟件設(shè)計(jì)者或程序員人為設(shè)置的漏洞，用來作為進(jìn)入系統(tǒng)的后門能夠通過較好的軟件檢測過程來避免隱通道【CovertChannels】是一種交互式處理通訊的方法，能夠向沒有正確安全權(quán)限的外人泄漏信息很難防范，需要利用可信的人員處理或加工敏感信息陷門和隱通道廣泛流行不需要太多的技術(shù)青少年占很大的比例利用菜單驅(qū)動(dòng)的程序很容易實(shí)現(xiàn)，而且能夠跨平臺(tái)很難跟蹤經(jīng)常需要很多ISP的協(xié)助，但是很難合作的很好利用無用的或有害的數(shù)據(jù)包充斥網(wǎng)絡(luò)、消耗系統(tǒng)緩沖或網(wǎng)絡(luò)帶寬，從而擊潰系統(tǒng)land.c攻擊：利用目標(biāo)主機(jī)的地址同時(shí)作為源地址和目的地址;利用目標(biāo)主機(jī)的同一端口同時(shí)作為源端口和目的端口發(fā)出tcpSYN（同步狀態(tài)）數(shù)據(jù)包ping死亡攻擊：通過從遠(yuǎn)程主機(jī)上發(fā)出特定大小（>65535字節(jié)）的ping包來沖擊、重啟動(dòng)或者down掉大量的系統(tǒng)。大于65535字節(jié)的ip

包是不合法的拒絕服務(wù)攻擊TcpSYN泛濫和IP欺騙攻擊利用偽造的、根本不存在的源地址發(fā)出Tcp_SYN包受害者試圖發(fā)一個(gè)Tcp_SYN_ACK包，但找不到源地址，只好把它排隊(duì)信息排隊(duì)時(shí)間～75秒填滿了SYN隊(duì)列受害者無法通信或系統(tǒng)崩潰Smurf攻擊（BroadcastPingAttack）發(fā)出“Broadcast_Ping_request”，看起來是來自“受害者”，將它發(fā)給“無辜的第三方”“無辜的第三方”的網(wǎng)絡(luò)上的主機(jī)都向“受害者”回發(fā)“broadcast_ping_reply”包“受害者”被大量的ping包攻擊對事件的跟蹤卻集中到“無辜的第三方”身上拒絕服務(wù)攻擊難于跟蹤源地址一般都被隱藏或偽裝需要實(shí)時(shí)跟蹤，經(jīng)過一個(gè)又一個(gè)的路由器去尋找高的數(shù)據(jù)包比率有時(shí)受害者卻不能用Internet去控訴或跟蹤攻擊用戶組的帳號(hào)或被丟棄的帳號(hào)被利用學(xué)校的實(shí)驗(yàn)室、撥號(hào)用戶、私有系統(tǒng)拒絕服務(wù)攻擊入侵者通過Internet攻破數(shù)以千計(jì)的系統(tǒng)，包括大型網(wǎng)絡(luò)間的網(wǎng)關(guān)。通過安裝偵聽器程序來監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流，從而獲取連接網(wǎng)絡(luò)系統(tǒng)時(shí)用戶鍵入的用戶名和口令電子郵件同樣也象Telnet和Ftp會(huì)話一樣，可以被監(jiān)視，用來獲取有關(guān)站點(diǎn)和其相關(guān)商業(yè)交易情況的信息偵聽【Sniffing】欺騙是用來騙取目標(biāo)系統(tǒng)，使之認(rèn)為信息是來自或發(fā)向其所相信的人的過程欺騙可在IP層及之上發(fā)生（地址解析欺騙、IP源地址欺騙、電子郵件欺騙等）當(dāng)一臺(tái)主機(jī)的IP地址假定為有效，并為Tcp和Udp服務(wù)所相信利用IP地址的源路由，一個(gè)攻擊者的主機(jī)可以被偽裝成一個(gè)被信任的主機(jī)或客戶欺騙【Spoofing】通常的做法是通過監(jiān)視通信信道上的口令數(shù)據(jù)包，破解口令的加密形式UNIX操作系統(tǒng)通常將口令加密保存成為一個(gè)能夠被普通用戶讀取的文件。一個(gè)入侵者可以運(yùn)行現(xiàn)有的口令破解程序獲取口令。如果口令強(qiáng)度比較弱，如少于8個(gè)字符的英文單詞等，就可以被破解，并用來獲得對系統(tǒng)的訪問權(quán)UNIX操作系統(tǒng)中的r*命令，在信任的系統(tǒng)中是不需要口令的口令攻擊向路由系統(tǒng)中插入錯(cuò)誤的路由信息重定向流量到一個(gè)黑洞中（blackhole）重定向流量到慢速連接重定向流量到不同的地方進(jìn)行偵聽或修改需要可靠的認(rèn)證，僅從已知的路由器接收路由的更新中繼攻擊保存一份原始信息的拷貝，一段時(shí)間后再轉(zhuǎn)發(fā)保存一份商業(yè)交易，而后轉(zhuǎn)發(fā)攻擊者可以中繼一個(gè)網(wǎng)絡(luò)使之停止更新，并對該網(wǎng)段實(shí)施拒絕服務(wù)攻擊所有的交易需要攜帶一個(gè)序列ID或加蓋時(shí)間戳路由和中繼攻擊在找到一個(gè)沒有用到的網(wǎng)絡(luò)接口或者攻破網(wǎng)絡(luò)上的一臺(tái)主機(jī)后，入侵者可以主動(dòng)地偵聽該網(wǎng)段上的數(shù)據(jù)流，試圖找到被主機(jī)認(rèn)證的感興趣的會(huì)話發(fā)出大量的、無用的數(shù)據(jù)包去擊潰原始系統(tǒng)入侵者利用已崩潰系統(tǒng)的地址向其它主機(jī)發(fā)送數(shù)據(jù)包需要通過加密來防止數(shù)據(jù)包偵聽或會(huì)話竊聽保證物理端口的安全，防止不被使用的接口被非法使用會(huì)話竊取攻擊攻擊者的策略識(shí)別脆弱的系統(tǒng)獲得對系統(tǒng)的訪問獲得特殊訪問權(quán)限擴(kuò)展訪問至其它的系統(tǒng)或網(wǎng)絡(luò)簡單攻擊識(shí)別目標(biāo)端口或薄弱點(diǎn)掃描識(shí)別安全漏洞利用已識(shí)別的安全漏洞攻擊策略復(fù)雜攻擊識(shí)別目標(biāo)收集信息操作系統(tǒng)的類型和版本系統(tǒng)/網(wǎng)絡(luò)管理員的意見所用防火墻類型/安全措施研究薄弱點(diǎn)開發(fā)攻擊策略進(jìn)行攻擊調(diào)試站在受害者的角度，看攻擊效果（背后不留痕跡）確定是否值得冒險(xiǎn)掃描應(yīng)用社會(huì)工程獲得范圍內(nèi)的支持幫助攻擊策略IncidentsReportedtoCERT/CC網(wǎng)絡(luò)安全整體框架、體系三維安全體系結(jié)構(gòu)框架安全特性網(wǎng)絡(luò)層次系統(tǒng)單元身份鑒別訪問控制數(shù)據(jù)完整數(shù)據(jù)保密防止否認(rèn)跟蹤審計(jì)可靠可用信息處理網(wǎng)絡(luò)安全管理物理環(huán)境物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層安全特性網(wǎng)絡(luò)層次系統(tǒng)單元安全防御子系統(tǒng)網(wǎng)絡(luò)防火墻：網(wǎng)絡(luò)層、傳輸層網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)訪問控制身份認(rèn)證子系統(tǒng)Kerberos或X.509：傳輸層~應(yīng)用層系統(tǒng)平臺(tái)~安全管理身份鑒別桌面VPN子系統(tǒng)端到端加密通道：網(wǎng)絡(luò)層~會(huì)話層系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)數(shù)據(jù)完整、數(shù)據(jù)加密授權(quán)管理子系統(tǒng)用戶和對象的授權(quán)策略：應(yīng)用層應(yīng)用平臺(tái)、安全管理訪問控制密鑰管理子系統(tǒng)密鑰生成、存儲(chǔ)和發(fā)放：傳輸層~應(yīng)用層系統(tǒng)平臺(tái)~安全管理身份鑒別安全檢測子系統(tǒng)安全掃描、攻擊報(bào)警網(wǎng)絡(luò)層、傳輸層網(wǎng)絡(luò)平臺(tái)~應(yīng)用平臺(tái)跟蹤設(shè)計(jì)、可靠可用病毒防御子系統(tǒng)過濾、刪除病毒：傳輸層~應(yīng)用層系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)數(shù)據(jù)完整、可靠可用機(jī)要保密子系統(tǒng)機(jī)要信息加密處理：表示層、應(yīng)用層系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)數(shù)據(jù)保密安全數(shù)據(jù)庫子系統(tǒng)集成數(shù)據(jù)庫安全機(jī)制：應(yīng)用層系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)身份鑒別~可靠可用安全審計(jì)子系統(tǒng)安全日志存儲(chǔ)、分析：網(wǎng)絡(luò)層~應(yīng)用層安全管理防止否認(rèn)、跟蹤審計(jì)網(wǎng)絡(luò)安全子系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)注意點(diǎn)網(wǎng)絡(luò)環(huán)境

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（LAN、MAN、WAN）系統(tǒng)和網(wǎng)絡(luò)設(shè)備位置軟件和硬件的版本負(fù)責(zé)部門供貨商定義可能的威脅應(yīng)用程序供貨商負(fù)責(zé)部門版本由誰來使用怎樣來用用戶數(shù)量用戶類型內(nèi)部用戶合作伙伴競爭對手到底做什么如何連接的什么樣的數(shù)據(jù)流信息是如何流動(dòng)的定義信息流的安全級別定義可能存在的威脅網(wǎng)絡(luò)安全設(shè)計(jì)注意點(diǎn)了解安全的關(guān)注點(diǎn)方案整體性

提出安全可能存在的問題

網(wǎng)絡(luò)安全模型

防病毒

漏洞掃描身份認(rèn)證授權(quán)應(yīng)用層加密訪問控制

……防火墻

入侵檢測VPN物理隔離

……Layer1Layer2Layer3Layer4Layer5Layer6Layer7ProtocolExampleEthernetIPSSLTCPHTTP&URLL1-3L4-7Physical安全規(guī)劃、服務(wù)、管理安全服務(wù)的內(nèi)容安全系統(tǒng)規(guī)劃

全面、細(xì)致地分析網(wǎng)絡(luò)的安全需求利用科學(xué)的方法論和安全漏洞掃描、分析工具，分析企業(yè)信息網(wǎng)絡(luò)的網(wǎng)絡(luò)、應(yīng)用、管理的現(xiàn)狀和安全風(fēng)險(xiǎn)提出針對網(wǎng)絡(luò)的全面的、科學(xué)的安全體系規(guī)劃和完整、可行的整體安全解決方案安全服務(wù)安全服務(wù)與安全技術(shù)的區(qū)別誰可以提供安全服務(wù)安全服務(wù)的內(nèi)容安全咨詢最新發(fā)現(xiàn)的各種安全風(fēng)險(xiǎn)，如系統(tǒng)漏洞、攻擊手段、新的病毒安全技術(shù)的最新發(fā)展，新的安全技術(shù)，新的攻擊防御和檢測手段安全技術(shù)的發(fā)展趨勢企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的方法和步驟安全服務(wù)的內(nèi)容其它的內(nèi)容安全策略制定：根據(jù)企業(yè)的安全需求，制定統(tǒng)一的安全策略。對企業(yè)信息網(wǎng)絡(luò)而言，需要采取什么樣的安全措施，在什么時(shí)候、什么地方使用什么樣的安全技術(shù)，都需要由一個(gè)統(tǒng)一的安全策略作為指導(dǎo)。在企業(yè)信息網(wǎng)絡(luò)的不同平臺(tái)、不同部分，都需要在一個(gè)統(tǒng)一的安全策略指導(dǎo)下，采取相應(yīng)的安全措施。安全系統(tǒng)集成：根據(jù)安全系統(tǒng)規(guī)劃和統(tǒng)一的安全策略，根據(jù)企業(yè)信息網(wǎng)絡(luò)的特點(diǎn)，把不同安全廠商的不同安全技術(shù)和產(chǎn)品進(jìn)行集成。

安全培訓(xùn)：包括對用戶的安全意識(shí)、安全技術(shù)的培訓(xùn)，對系統(tǒng)管理員的安全技術(shù)培訓(xùn)、安全專業(yè)知識(shí)的培訓(xùn)等。

應(yīng)急安全服務(wù)：在緊急情況下的各種安全服務(wù)，包括特殊情況下的安全防護(hù)、發(fā)生安全事故時(shí)的現(xiàn)場保護(hù)、追蹤、以及采取各種必要的安全補(bǔ)救措施等。

內(nèi)部系統(tǒng)的安全服務(wù)網(wǎng)絡(luò)安全實(shí)施前了解內(nèi)部系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、安全需求對網(wǎng)絡(luò)進(jìn)行安全掃描、安全分析，確定網(wǎng)絡(luò)中存在的問題提出符合內(nèi)部系統(tǒng)的網(wǎng)絡(luò)安全解決方案論證方案的可行性，進(jìn)一步完善方案內(nèi)部系統(tǒng)的安全服務(wù)定義安全要求ISO/IEC15408GB/T18336保護(hù)輪廓訪問控制身份認(rèn)證授權(quán)審計(jì)密碼系統(tǒng)ü操作系統(tǒng)ü數(shù)據(jù)庫系統(tǒng)ü防火墻ü應(yīng)用安全檢測應(yīng)急措施üVPNs用戶在某一特定的IT領(lǐng)域提出的技術(shù)安全要求以靈活實(shí)用的方法對標(biāo)準(zhǔn)的信息技術(shù)安全要求進(jìn)行分類(特征和保證)內(nèi)部系統(tǒng)的安全服務(wù)網(wǎng)絡(luò)安全實(shí)施后

對系統(tǒng)進(jìn)行全面檢查全面的安全培訓(xùn)制定應(yīng)急安全服務(wù)措施定期進(jìn)行安全交流定期進(jìn)行網(wǎng)絡(luò)檢查及時(shí)提供安全補(bǔ)丁應(yīng)用案例核心交換機(jī)機(jī)關(guān)樓層機(jī)關(guān)服務(wù)器Catalyst6506Catalyst6506Cisco2948Cisco2948Cisco2924*3Cisco2948Cisco2924*4調(diào)度所10樓6樓2樓至InternetCisco1200Cisco2924Cisco2924*2報(bào)裝辦Cisco2924至省局Catalyst6509OA服務(wù)器GIS服務(wù)器主域控制器備份域控制器郵件服務(wù)器SCADA服務(wù)器WWW服務(wù)器外部網(wǎng)站數(shù)據(jù)庫服務(wù)器文件服務(wù)器財(cái)務(wù)專用服務(wù)器宣傳專用服務(wù)器營銷應(yīng)用服務(wù)器1000M100M主頁防篡改系統(tǒng)防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)主通道到：