《網(wǎng)絡(luò)安全基礎(chǔ)》_第1頁
《網(wǎng)絡(luò)安全基礎(chǔ)》_第2頁
《網(wǎng)絡(luò)安全基礎(chǔ)》_第3頁
《網(wǎng)絡(luò)安全基礎(chǔ)》_第4頁
《網(wǎng)絡(luò)安全基礎(chǔ)》_第5頁
已閱讀5頁,還剩243頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

國內(nèi)信息平安的熱點問題TCP/IP的網(wǎng)絡(luò)根本組成情況平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問題講義內(nèi)容整體介紹.年信息平安熱點問題軍事商業(yè)間諜事件開始浮出水面誤殺事件頻發(fā)平安管理能力提升成為最為需要的思考方向防火墻繼續(xù)硬件化道路的開展平安廠商的危機再次來臨做黑客站點被抓幾個G的攻擊流量不再陌生平安等級保護在我國全面推廣開始P2P等新應(yīng)用也帶來了新的平安隱患.網(wǎng)絡(luò)攻擊變成了以經(jīng)濟利益為目的犯罪最吸引國人眼球的應(yīng)該是騰訊,2004年兩次QQ大規(guī)模無法使用,尤其是此后的勒索傳言,有人驚呼:中國網(wǎng)絡(luò)恐怖主義誕生了。入侵網(wǎng)站后販賣游戲帳號事件層出不窮。技術(shù)進步加上道德感的缺失,黑客們開始看清自己要的東西。

.已經(jīng)有了眾多公開售賣SHELL的站點.“掛馬式〞攻擊的案例分析中國招商引資網(wǎng)://china228/站點最下方被填加惡意連接,是一次典型的掛馬式攻擊。://gowuyi/about_us/image/icyfox.htm.“當(dāng)當(dāng)網(wǎng)〞也沒有幸免.蠕蟲、病毒、網(wǎng)絡(luò)釣魚事件頻發(fā)MYDOOM/Netsky/Bagle/震蕩波/SCO炸彈/QQ尾巴/MSN射手等一系列新病毒和蠕蟲的出現(xiàn),造成了巨大的經(jīng)濟損失。而且病毒和蠕蟲的多樣化明顯,甚至蠕蟲編寫組織開始相互對抗,頻繁推出新版本。越來越多的間諜軟件,它們已經(jīng)被更多的公司及個人利用,其目的也從初期簡單收戶信息演化為可能收集密碼、帳號等資料,大家還記得網(wǎng)銀大盜嗎?網(wǎng)絡(luò)釣魚,只看網(wǎng)絡(luò)釣客以“假網(wǎng)站〞試釣中國銀行、工商銀行等國內(nèi)各大銀行用戶,就可以想見其猖獗程度了。.什么是網(wǎng)絡(luò)釣魚?.工行后續(xù)事件的追蹤涉案金額驚人.P2P下載謹防Real蛀蟲隨著BT下載以及播客的應(yīng)用與繁榮,眾多網(wǎng)民熱衷于網(wǎng)上下載電影、電視等視頻文件,病毒開始瞄準這一傳播途徑大肆傳播。黑客最常用的視頻漏洞無疑應(yīng)該是Real腳本漏洞。由于Real格式的視頻文件可以內(nèi)嵌一個網(wǎng)址,并在翻開視頻文件時自動翻開內(nèi)嵌的網(wǎng)址,因此許多黑客在一些熱門的視頻文件內(nèi)嵌入一個帶有大量病毒的惡意網(wǎng)址。一旦網(wǎng)友下載并翻開了該視頻文件,即可從嵌入的惡意網(wǎng)址中下載大量的病毒,輕者電腦運行緩慢直至死機,嚴重的中毒電腦將會成為黑客手中肉雞,電腦內(nèi)所有的數(shù)據(jù)和資料都可以被黑客輕易竊取。.警惕木馬“戀〞上賀歲大片.大學(xué)生自編黑客軟件盜款50余萬長沙某銀行多個用戶賬號被盜,近10萬元錢失蹤.民警經(jīng)過4個月的調(diào)查得知,作案人竟是3個名牌大學(xué)的畢業(yè)生,他們通過“個人網(wǎng)上銀行〞平安漏洞,自編黑客軟件盜取用戶存款,長沙、上海等地20多名用戶受害,涉案金額高達50多萬元.5月2日,長沙某銀行儲戶李芳(化名)發(fā)現(xiàn)自己銀行賬號里的10050元存款離奇“蒸發(fā)〞,經(jīng)查,該行共有10多名儲戶遭竊,近10萬元存款不翼而飛.經(jīng)查,犯罪嫌疑人譚繼善、譚長庚、王裕新是高中同學(xué),3人分別畢業(yè)于不同的名牌大學(xué),畢業(yè)后長期糾合在一起.今年5月初,由于對工作不滿足,3人商量“搞錢〞.一次偶然時機,學(xué)計算機專業(yè)的譚繼善登錄某銀行網(wǎng)頁,發(fā)現(xiàn)網(wǎng)上銀行存在漏洞,于是編寫出一套黑客程序,套取局部儲戶的資料,在銀行專用機將錢取走.目前3人已被依法刑拘..股票“黑客〞獲刑一年.垃圾郵件與反垃圾郵件之間的斗爭愈演愈烈.“流氓軟件〞無空不入.誤殺事件頻頻發(fā)生.熊貓燒香所帶來的病毒產(chǎn)業(yè)化開展.主動防御成為了平安新名詞“主動防御〞主要包括兩個方面。一是在未知病毒和未知程序方面,通過“行為判斷〞技術(shù),開發(fā)出了“危險行為監(jiān)控〞、“行為自動分析和診斷〞等技術(shù)。這些技術(shù)從動態(tài)和靜態(tài)兩個角度來判定程序的行為特征,可以識別大局部未被截獲的未知病毒和變種。除了識別未知病毒和變種之外,還將大力強化了系統(tǒng)漏洞管理模塊。一方面,該模塊強制掃描、主動修補系統(tǒng)漏洞,這樣的話,在相應(yīng)的病毒乃至攻擊代碼出現(xiàn)之前,我們就堵死了它的傳播和攻擊渠道。另一方面,我們將對漏洞攻擊行為進行監(jiān)測,這樣可以防止病毒利用系統(tǒng)漏洞對其它計算機進行攻擊,從而阻止病毒的爆發(fā)?!爸鲃臃烙暺鋵嵤轻槍鹘y(tǒng)的“特征碼技術(shù)〞而言的。在傳統(tǒng)的反病毒方式中,平安軟件總是處于弱勢,只有病毒出現(xiàn)了,才能有病毒庫的更新,即便這之間的時間差很小,但仍然讓很多用戶遭受損失。主動防御根據(jù)病毒的行為模式,給用戶更多的信息,幫助完成對未知病毒的識別。.國家加強信息平安保障,公布系列文件信息平安等級保護逐漸成為當(dāng)前國家重點開展的信息平安戰(zhàn)略。27號文件和66號文件等文件促進信息平安開展。1994年國務(wù)院公布了?中華人民共和國計算機信息系統(tǒng)平安保護條例?,條例中規(guī)定:我國的“計算機信息系統(tǒng)實行平安等級保護。平安等級的劃分標準和平安等級保護的具體方法,由公安部會同有關(guān)部門制定。〞?計算機信息系統(tǒng)平安保護等級劃分準那么?GB17859-1999的制定。這是一部強制性國家標準,是技術(shù)法規(guī)。2003年的?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?(27號文件)中指出:“要重點保護根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息平安等級保護制度,制定信息平安等級保護的管理方法和技術(shù)指南〞。根據(jù)國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署和安排,我國將在全國范圍內(nèi)全面開展信息平安等級保護工作。.國家全力參與網(wǎng)絡(luò)打黃專項行動.國家出口路由封鎖.信息平安開展趨勢同時擁有高超的技術(shù)和偽裝手段的職業(yè)化攻擊者越來越多的出現(xiàn)在網(wǎng)絡(luò)世界中,他們目的性非常強。信息平安即國家平安,我國政府已經(jīng)清楚的認識到信息平安的重要性,大力整改網(wǎng)絡(luò)空間中的問題。.國內(nèi)信息平安的熱點問題TCP/IP的網(wǎng)絡(luò)根本組成情況平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問題網(wǎng)絡(luò)平安技術(shù)防護體系介紹講義內(nèi)容整體介紹.協(xié)議--ISO/OSI協(xié)議分層應(yīng)用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層.協(xié)議--ISO/OSI協(xié)議分層(cont.)物理層:涉及在物理信道上傳輸原始比特,處理與物理傳輸介質(zhì)有關(guān)的機械的、電氣的和過程的接口。數(shù)據(jù)鏈路層:分為介質(zhì)訪問控制〔MAC〕和邏輯鏈路控制〔LLC〕兩個子層。MAC子層解決播送型網(wǎng)絡(luò)中多用戶競爭信道使用權(quán)問題。LLC的主要任務(wù)是將有噪聲的物理信道變成無傳輸過失的通信信道,提供數(shù)據(jù)成幀、過失控制、流量控制和鏈路控制等功能。網(wǎng)絡(luò)層:負責(zé)將數(shù)據(jù)從物理連接的一端傳到另一端,即所謂點到點,通信主要功能是尋徑,以及與之相關(guān)的流量控制和擁塞控制等。.協(xié)議--ISO/OSI協(xié)議分層(cont.)傳輸層:主要目的在于彌補網(wǎng)絡(luò)層效勞與用戶需求之間的差距。傳輸層通過向上提供一個標準、通用的界面,使上層與通信子網(wǎng)〔下三層〕的細節(jié)相隔離。傳輸層的主要任務(wù)是提供進程間通信機制和保證數(shù)據(jù)傳輸?shù)目煽啃浴拰樱褐饕槍h程終端訪問。主要任務(wù)包括會話管理、傳輸同步以及活動管理等。表示層:主要功能是信息轉(zhuǎn)換,包括信息壓縮、加密、與標準格式的轉(zhuǎn)換〔以及上述各操作的逆操作〕等等。應(yīng)用層:提供最常用且通用的應(yīng)用程序,包括電子郵件〔E-mail〕和文電傳輸?shù)取?應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它ICMPARPRARPOSI參考模型Internet協(xié)議簇OSI參考模型與Internet協(xié)議簇注解:通過對每一個協(xié)議簇中各種協(xié)議結(jié)構(gòu)的詳細了解,就可以非常輕松的針對包過濾型、應(yīng)用代理型等防火墻的ACL〔訪問控制列表〕進行制定和理解,并有助于了解防火墻的架構(gòu)體系。.協(xié)議--TCP/IP協(xié)議分層應(yīng)用層傳輸層網(wǎng)間網(wǎng)層網(wǎng)絡(luò)接口層.協(xié)議--TCP/IP協(xié)議分層應(yīng)用層:向用戶提供一組常用的應(yīng)用程序,比方文件傳輸訪問、電子郵件、遠程登錄等。用戶完全可以在“網(wǎng)間網(wǎng)〞之上〔即傳輸層之上〕,建立自己的專用應(yīng)用程序,這些專用應(yīng)用程序要用到TCP/IP,但不屬于TCP/IP。傳輸層〔TCP/UDP〕:提供給用程序間〔即端到端〕的可靠〔TCP〕或高效〔UDP〕的通信。其功能包括:格式化信息流及提供可靠傳輸。傳輸層還要解決不同應(yīng)用程序的識別問題。網(wǎng)間網(wǎng)層〔IP〕:負責(zé)相鄰計算機之間的通信。其功能包括:處理來自傳輸層的分組發(fā)送請求;處理輸入數(shù)據(jù)包;處理ICMP報文。網(wǎng)絡(luò)接口層:TCP/IP協(xié)議的最低層,負責(zé)接收IP數(shù)據(jù)報并通過網(wǎng)絡(luò)發(fā)送,或者從網(wǎng)絡(luò)上接收物理幀,抽出IP數(shù)據(jù)包,交給IP層。.TCP/IP效勞注解:通過該效勞體系的理解,大家一定要了解清楚IP包過濾型防火墻中的TCP協(xié)議簇包括那些具體協(xié)議、UDP協(xié)議簇包括那些具體協(xié)議,并要特別注意怎樣通過防火墻的ICMP協(xié)議去平安有效的控制PING命令的執(zhí)行。.SMTP-SimpleMailTransferProtocol,用于發(fā)送、接收電子郵件。TELNET-可以遠程登陸到網(wǎng)絡(luò)的每個主機上,直接使用他的資源。FTP-FileTransferProtocol,用于文件傳輸。DNS-DomainNameService,被TELNET、FTP、WWW及其它效勞所用,可以把主機名字轉(zhuǎn)換為IP地址。WWW-WorldWideWeb,是FTP、gopher、WAIS及其它信息效勞的結(jié)合體,使用超文本傳輸協(xié)議()。TCP/IP效勞(cont.).RPC-遠程過程調(diào)用效勞。如NFS-NetworkFileSystem,可允許系統(tǒng)共享目錄與磁盤。NIS-NetworkInformationServices,網(wǎng)絡(luò)信息效勞容許多個系統(tǒng)共享數(shù)據(jù)庫,如passwordfile容許集中管理。XWindowSystem:一個圖形化的窗口系統(tǒng)。Rlogin、rsh、及其它“r〞效勞。運用相互信任的主機的概念,在其它系統(tǒng)上可以執(zhí)行命令且不要求password。TCP/IP效勞(cont.).IPIP協(xié)議的主要內(nèi)容包括無連接數(shù)據(jù)報傳送、數(shù)據(jù)報尋徑及過失處理三局部。IP層作為通信子網(wǎng)的最高層,屏蔽底層各種物理網(wǎng)絡(luò)的技術(shù)環(huán)節(jié),向上〔TCP層〕提供一致的、通用性的接口,使得各種物理網(wǎng)絡(luò)的差異性對上層協(xié)議不復(fù)存在。IP數(shù)據(jù)報分為報頭和數(shù)據(jù)區(qū)兩局部,IP報頭由IP協(xié)議處理,是IP協(xié)議的表達;數(shù)據(jù)體那么用于封裝傳輸層數(shù)據(jù)或過失和控制報文〔ICMP〕數(shù)據(jù),由TCP協(xié)議或ICMP協(xié)議處理。.TCPTCP是傳輸層的重要協(xié)議之一,提供面向連接的可靠字節(jié)流傳輸。面向連接的TCP要求在進行實際數(shù)據(jù)傳輸前,必須在信源端與信宿端建立一條連接。且面向連接的每一個報文都需接收端確認,未確認報文被認為是出錯報文,出錯的報文協(xié)議要求出錯重傳。TCP采用可變窗口進行流量控制和擁塞控制以保證可靠性。分組是TCP傳輸數(shù)據(jù)的根本單元,分TCP頭和TCP數(shù)據(jù)體兩大局部。.UDPUDP是傳輸層的重要協(xié)議之一;基于UDP的效勞包括NIS、NFS、NTP及DNS等。UDP不是面向連接的效勞,幾乎不提供可靠性措施;因此,基于UDP的效勞具有較高的風(fēng)險。.TCP與UDP端口一個TCP或UDP連接由下述要素唯一確定:源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用協(xié)議端口標識通信進程,端口是一種抽象的軟件結(jié)構(gòu)〔包括一些數(shù)據(jù)結(jié)構(gòu)和I/O緩沖區(qū)〕。應(yīng)用程序〔即進程〕通過系統(tǒng)調(diào)用與某些端口建立連接后,傳輸層傳給該端口的數(shù)據(jù)被相應(yīng)進程所接收。接口又是進程訪問傳輸效勞的人口點。每個端口擁有一個叫端口號的16位整數(shù)標識符,用于區(qū)分不同端口。TCP和UDP軟件分別可以提供65536個不同的端口。端口有兩局部,一局部是保存端口〔端口號小于1024,對應(yīng)于效勞器進程〕,一局部是自由端口〔以本地方式分配〕。.某些效勞進程通常對應(yīng)于特定的端口。如SMTP為25,XWINDOWS為6000??蛻羰褂枚丝谔柤澳康牡豂P地址初始化與一個特定主機或效勞的連接。TCP與UDP端口(cont.).國內(nèi)信息平安的熱點問題TCP/IP的網(wǎng)絡(luò)根本組成情況網(wǎng)絡(luò)平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問題講義內(nèi)容整體介紹.平安是什么?網(wǎng)絡(luò)平安〔通俗的解釋〕一種能夠識別和消除不平安因素的能力平安是一個持續(xù)的過程.平安是一種特殊商品我的PC中的軟件:MSWord2000,微軟公司2000年出品,安裝后從未升過級Norton防病毒系統(tǒng),Symantec公司2002年出品,最近一次升級時間是2天以前對于我們正在使用的軟件價值來說,我們關(guān)心Symantec的健康要比對微軟的關(guān)心強很多倍.平安系統(tǒng)的時間特性平安產(chǎn)品的平安能力隨時間遞減;根底設(shè)施隨時間增加積累越來越多的全缺陷;平安產(chǎn)品升級可以提高系統(tǒng)的平安保護能力;根底設(shè)施修補漏洞;根底設(shè)施發(fā)生結(jié)構(gòu)性變化〔原有的平安系統(tǒng)全面失效〕;應(yīng)用系統(tǒng)發(fā)生變化;平安維護人員知識技能提高〔平安性提高〕;人員變動〔保護能力突變,平安風(fēng)險增加〕;.為什么我們不能杜絕攻擊事件的發(fā)生日趨精密的攻擊以及以INTERNET為根底的技術(shù)快速開展由于IT技術(shù)人員和資金的缺乏無法獲得更多的資源沒有被充分保護的系統(tǒng)大量的快速的部署.復(fù)雜程度Internet技術(shù)的飛速增長InternetEmailWeb瀏覽Intranet站點電子商務(wù)電子政務(wù)電子交易時間.百分之百的平安?開放最少效勞提供最小權(quán)限原那么平安既需求平衡過分繁雜的平安政策將導(dǎo)致比沒有平安政策還要低效的平安。需要考慮一下平安政策給合法用戶帶來的影響在很多情況下如果你的用戶所感受到的不方便大于所產(chǎn)生的平安上的提高,那么執(zhí)行的平安策略是實際降低了你公司的平安有效性。.百分之百的平安?“真空中〞的硬盤才是絕對平安平安平衡和平安策略.全面的看待平安的平衡問題Confidentiality保密性Availability可用性Integrity完整性.安全需求平衡平安需求平衡為平安設(shè)計考慮的根本.建立有效的平安矩陣允許訪問控制容易使用合理的花費靈活性和伸縮性優(yōu)秀的警報和報告.黑客的分類偶然的破壞者——大多數(shù)堅決的破壞者——特殊動機商業(yè)和軍事間諜.平安的根本元素審計管理加密訪問控制用戶驗證平安策略.平安元素1:平安策略為你的系統(tǒng)分類指定危險因數(shù)確定每個系統(tǒng)的平安優(yōu)先級定義可接受和不可接受的活動決定在平安問題上如何教育所有員工確定誰管理你的政策.系統(tǒng)分類——平安分類級別級別數(shù)據(jù)系統(tǒng)安全級別3:

日常工作

桌面電腦一些用于操作的數(shù)據(jù)一般的系統(tǒng),數(shù)據(jù)丟失不會導(dǎo)致公司商業(yè)行為癱瘓一般的安全策略和防范級別2:

較重要

非關(guān)鍵業(yè)務(wù)系統(tǒng)如果數(shù)據(jù)保護不好的話會使公司產(chǎn)生極大的風(fēng)險操作系統(tǒng)或電子商務(wù)在線系統(tǒng),宕機時間不能超過48小時一般的安全策略+特殊的監(jiān)視、審計和恢復(fù)策略級別1:

最重要

商務(wù)運行至關(guān)重要的系統(tǒng)高度保護的重要數(shù)據(jù),如商業(yè)機密和客戶資料等重要任務(wù)級的系統(tǒng),系統(tǒng)停止運行不能超過幾個小時,如證書服務(wù)器,Web服務(wù)器安全分析及擴展的安全機制,系統(tǒng)級別的審計、監(jiān)視和安全功能.平安策略細分明智的為系統(tǒng)分類E-mail效勞器CEO的筆記本W(wǎng)eb效勞器(機器流量/信息敏感度/系統(tǒng)性質(zhì))資源優(yōu)先級劃分一個危險優(yōu)先級列表和—個行動列表哪種級別需最大平安/時間和金錢的花費指定危險因數(shù)危險因數(shù)指的是一個黑客攻擊某種資源的可能性.平安策略細分定義可接受和不可接受的活動將策略應(yīng)用到資源上最正確性能價格比.平安策略細分定義教育標準指派策略管理級別需要的知識用戶對一些安全威脅和漏洞敏感,要對保護公司的信息和資源引起重視執(zhí)行者需要達到熟悉公司安全知識的級別并做出使用信息安全程序的決策 管理者尋找、開發(fā)防止威脅和漏洞的技能,并把它們整合到安全策略中,來滿足系統(tǒng)和資源安全的需要.平安元素2:加密加密類型Symmetric〔對稱加密〕Asymmetric〔非對稱加密〕Hash〔哈希算法多用在一些簽名算法的應(yīng)用中例如MD5SHA等〕.加密的優(yōu)勢數(shù)據(jù)保密性這是使用加密的通常的原因。通過小心使用數(shù)學(xué)方程式,你可以保證只有特定的接受者才能查看內(nèi)容。數(shù)據(jù)完整性對需要更安全來說數(shù)據(jù)保密是不夠的。數(shù)據(jù)仍能夠被非法破解并修改。一種叫HASH的運算方法能確定數(shù)據(jù)是否被修改過。更安全。認證數(shù)字簽名提供認證服務(wù)不可否定性數(shù)字簽名允許用戶證明信息交換確實發(fā)生過,金融組織尤其依賴于這種方式的加密,用于電子貨幣交易.平安元素3:認證認證方法whatyouknow?常用密碼認證方式whatyouhave?智能卡,磁卡,雙因素數(shù)字卡等whoyouare?物理,生理上的特征認證,比方指紋,聲音識別whereyouare?原始IP地址驗證.特殊的認證技術(shù)一次性密碼〔OTP〕Kerberos到效勞器的身份認證更高效相互身份認證.平安元素4:訪問控制訪問控制列表〔ACL〕Objects執(zhí)行控制列表〔ECL〕.平安元素5:審計被動式審計簡單地記錄一些活動,并不做什么處理主動式審計結(jié)束一個登陸會話拒絕一些主機的訪問(包括WEB站點,F(xiàn)TP效勞器和e-mail效勞器)跟蹤非法活動的源位置.平安元素6:管理“三分技術(shù)、七分管理〞管理要表達在細節(jié)的執(zhí)行力管理也需要技巧與“中國特色〞.國內(nèi)信息平安的熱點問題TCP/IP的網(wǎng)絡(luò)根本組成情況網(wǎng)絡(luò)平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問題講義內(nèi)容整體介紹.典型的攻擊方式及平安規(guī)那么前門攻擊和暴力破解法BUG和后門社會工程和非直接攻擊.攻擊的分類社交工程學(xué)和非直接攻擊前門攻擊后門攻擊.非直接攻擊的介紹目標的信息收集踩點社交工程學(xué)的欺騙網(wǎng)絡(luò)釣魚的技術(shù)分析拒絕效勞攻擊可怕的搜索引擎自己也可以搜索的方法.目標主機的信息收集踩點NSLOOKUPTRACERTSNMP信息收集效勞器實地勘察WHOIS查詢與旁注攻擊.社交工程學(xué)的攻擊案例.郵件病毒是最常采用社交工程學(xué)攻擊方式.欺騙用戶執(zhí)行或者訪問惡意程序和站點.什么是DoS/DDoS攻擊?.拒絕效勞攻擊的可怕針對TCP/IP協(xié)議網(wǎng)絡(luò)層的攻擊行為針對應(yīng)用層程序的壓力拒絕效勞攻擊例如QQ軟件.針對網(wǎng)絡(luò)層的協(xié)議拒絕效勞攻擊.針對應(yīng)用軟件的拒絕效勞攻擊.搜索引擎也可以成為攻擊者的輔助工具.擴大攻擊范圍尋找可利用突破目標.前門攻擊特殊字符繞過口令驗證通過網(wǎng)絡(luò)進行暴力口令猜解本地文件密碼破解從網(wǎng)絡(luò)中直接嗅嘆收集密碼無需口令也可以進入效勞器的另類方法.腳本驗證過程的可繞過漏洞.容易獲取的ADSL上網(wǎng)帳號.后門攻擊SQL的注射攻擊ARP欺騙的“中間人攻擊〞.SQL注射式攻擊介紹數(shù)據(jù)型字符型搜索型.利用簡單的出錯信息來判斷是否存在.搜索型.數(shù)據(jù)型注射式攻擊.年國內(nèi)信息平安的熱點問題TCP/IP的網(wǎng)絡(luò)根本組成情況網(wǎng)絡(luò)平安的根本元素攻擊者與攻擊方式網(wǎng)絡(luò)設(shè)備的平安問題講義內(nèi)容整體介紹.網(wǎng)絡(luò)設(shè)備的多樣形路由器交換機根本的網(wǎng)絡(luò)連接設(shè)備網(wǎng)絡(luò)打印機等辦公設(shè)備開展趨勢越來越多的應(yīng)用集成在一個硬件中來實現(xiàn),比方家用電器的上網(wǎng)等等。.目前網(wǎng)絡(luò)設(shè)備面臨的平安威脅攻擊者利用Tracert/SNMP命令很容易確定網(wǎng)絡(luò)路由設(shè)備位置和根本結(jié)構(gòu)成為新一代DDOS攻擊的首選目標泄露網(wǎng)絡(luò)拓撲結(jié)構(gòu)成為攻擊者的攻擊跳板(telnetping命令的使用)交換機楨聽口的平安問題.路由器缺省帳號設(shè)備用戶名密碼級別Bay路由器UsernulluserManagernullmanagerCisco路由器〔telnet〕cuser〔telnet〕ciscouser〔enable〕ciscomanagerShiva root nullmanagerGuestnulluserWebrampwradmintracellmanagerMotorolacablecomroutermanager3comsecuritysecuritymanager.Cisco路由器密碼非加密和弱加密enablepassword7011B03085704linevty04password7130B12061B03132F39loginMD5加密enablesecret5$1$uh9n$2yBbtgtNsSdz46yodGnOE0.對其中的簡單加密的密碼進行直接解密.CISCOMD5加密HASH的本地暴力破解.SNMP協(xié)議版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循〔polling-only〕和中斷〔interupt-based〕CommunityStringSNMP網(wǎng)管軟件Solarwinds,HPOpenview,IBMNetview.十種最易受攻擊端口某組織I-Trap曾經(jīng)收集了來自24個防火墻12小時工作的數(shù)據(jù),這些防火墻分別位于美國俄亥俄州24個企業(yè)內(nèi)網(wǎng)和本地ISP所提供的Internet主干網(wǎng)之間。其間,黑客攻擊端口的事件有12000次之多,下表是攻擊的詳細情況。

..SNMP泄露網(wǎng)絡(luò)拓撲結(jié)構(gòu).利用SNMP的團體字下載CISCO的配置文件.專門針對SNMP的暴力破解程序.CISCOSNMP的越權(quán)訪問查詢可寫團體字.SNMP解決方法修改默認的communitystringsnmp-servercommunitymy_readonlyROsnmp-servercommunitymy_readwriteRW添加訪問控制規(guī)那么〔ACL〕access-list110permitudp02anyeq161logaccess-list110denyudpanyanyeq161loginterfacef0/0ipaccess-group110關(guān)閉SNMP支持nosnmp-server.Cisco路由器80端口漏洞〔二〕越權(quán)訪問如果開放了80端口,將允許任意遠程攻擊者獲取該設(shè)備的完全管理權(quán)限。構(gòu)造一個如下的URL:://ip/level/xx/exec/其中xx是一個16-99之間的整數(shù),不同設(shè)備可能不同。例如://20/level/19/exec/show%20config.CISCOWEB接口的越權(quán)訪問管理.路由器平安配置物理訪問控制密碼恢復(fù)機制密碼策略enablesecretvsenablepaswordservicepassword-encryption交互訪問控制〔console,aux,vty〕lineconsole|aux|vtyloginpasswordnetpoweripaccess-class88exec-timeout300.路由器平安配置SNMP配置snmp-servercommunitymycommrwsnmp-serverpartyauthenticationmd5snmp-servertrap-sourceEthernet0snmp-serverhost91sercetpasswdnosnmp-serverHTTP配置ipauthenticationipaccess-classnoip.路由器平安配置審計aaaloggingaaaaccountingsnmp-traploggingsnmp-servertrapsystemloggingloggingconsoleloggingtraploggingmonitor防止欺騙

anti-spoofingwithaccesslistsaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyiphostany

.路由器平安配置控制播送noip-directedbroadcast禁止源路由noipsource-route禁止路由重定向access-list110denyicmpanyany5路由協(xié)議過濾和驗證.路由器平安配置關(guān)閉不需要的效勞noservicefingernontpenablenocdpenablenoservicetcp-small-serversnoserviceudp-small-servers更多請參考:://cisco/warp/public/707/21.html://cisco/warp/public/707/advisory.html.全球超過30萬個黑客站點提供系統(tǒng)漏洞和攻擊知識,國內(nèi)有將近1000個。越來越多的容易使用的攻擊軟件的出現(xiàn)過去國內(nèi)法律制裁打擊力度不夠近期國家已經(jīng)逐漸加大了法律和制裁力度網(wǎng)絡(luò)普及使學(xué)習(xí)攻擊變得容易..DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部個體外部/組織內(nèi)部個體內(nèi)部/組織不平安因素的來源定位..不安全的安全的安全策略實際安全到達標準安全間隙未知平安間隙不容無視.課程小結(jié)

本課程先從近年來網(wǎng)絡(luò)平安的熱點問題介紹開始,然后體系化的介紹了TCP/IP網(wǎng)絡(luò)的組成與分層情況。然后以介紹網(wǎng)絡(luò)平安中重要元素和常見的網(wǎng)絡(luò)平安黑客攻擊方式與防護方式,同時還側(cè)重的介紹了網(wǎng)絡(luò)根底設(shè)備的常見平安問題與漏洞。.WINDOWS系統(tǒng)平安提綱引導(dǎo)平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理.禁止從軟盤和CD-ROM啟動系統(tǒng),并給BIOS設(shè)置密碼。不要與其他操作系統(tǒng)共存安裝。引導(dǎo)平安.引導(dǎo)平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理WINDOWS系統(tǒng)平安提綱.改變默認的系統(tǒng)安裝目錄〔c:\winnt〕使用NTFS格式化磁盤盡可能地少安裝windows組件盡可能地少安裝第三方應(yīng)用軟件工作組成員而不是域控制器安裝最新servicepack及其他最新補丁.刪除多余的系統(tǒng)帳號合理分配帳號的組權(quán)限更名默認的系統(tǒng)帳號Administrator、Guest等帳號管理.如何更名默認的系統(tǒng)帳號.所有平安強壯的密碼至少要有以下四方面內(nèi)容的三種:大寫字母、小寫字母、數(shù)字、非字母數(shù)字的字符,如標點符號等。平安的密碼還要符合以下的規(guī)那么:不使用普通的名字或昵稱;不使用普通的個人信息,如生日日期;密碼里不含有重復(fù)的字母或數(shù)字;至少使用八個字符另外,應(yīng)該還要求用戶60天必須修改一次密碼。以下舉例說明強壯密碼的重要性:假設(shè)密碼設(shè)置為6位〔包括任意五個字母和一位數(shù)字或符號〕,那么其可能性將近有163億種。不過這只是是理論估算,實際上密碼比這有規(guī)律得多。例如,英文常用詞條約5000條,從5000個詞中任取一個字母與一個字符合成口令,僅有688萬種可能性,在一臺賽揚600〔CPU主頻〕的計算機上每秒可運算10萬次,那么破解時間僅需1分鐘!即使采用窮舉方法,也只需9個小時;因此6位密碼十分不可靠。而對于8位密碼〔包括七個字母和一位數(shù)字或符號〕來說,假設(shè)完全破解,那么需要將近三年的時間。因此,密碼不要用全部數(shù)字,不要用自己的中英文名,不要用字典上的詞,一定要數(shù)字和字母交替夾雜,并最好參加@#$%!&*?之類的字符。.如何強制使用平安強壯的密碼.設(shè)置帳號鎖定策略防止暴力猜解口令。建議:嘗試5次失敗鎖定;鎖定30分鐘.如何設(shè)置帳戶鎖定策略.設(shè)置平安選項登陸屏幕上不要顯示上次登陸的用戶名對匿名連接的限制用戶試圖登陸時的消息標題用戶試圖登陸時的消息內(nèi)容在關(guān)機時清理虛擬內(nèi)存頁面交換文件.如何設(shè)置平安選項.合理設(shè)置目錄及文件權(quán)限windows默認情況下Everyone對所有盤符都具有完全控制的權(quán)限,這是很危險的,尤其是對于有些重要的系統(tǒng)及效勞目錄例如IIS的根目錄等。另外當(dāng)我們新建一個共享目錄時,默認情況下也是Everyone具有完全控制的權(quán)限。我們需要改變這種不平安的權(quán)限設(shè)置。.如何設(shè)置目錄及文件權(quán)限.如何設(shè)置目錄及文件權(quán)限.刪除默認共享

WindowsNT/2000出于管理的目的自動地建立了一些默認共享,包括C$,D$磁盤共享以及ADMIN$目錄共享等。盡管它們僅僅是針對管理而配置的,但卻隱藏了一定的風(fēng)險,成為方便攻擊者入侵的途徑。.如何刪除默認共享.如何刪除默認共享我們翻開注冊表,找到主鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters針對server:創(chuàng)立一個叫AutoShareServer的雙字節(jié)〔DWORD〕鍵名,鍵值為0。針對workstation:創(chuàng)立一個叫AutoShareWks的雙字節(jié)〔DWORD〕鍵名,鍵值為0。.加強對平安帳號管理器(SAM)數(shù)據(jù)庫的管理在WindowsNT/2000中,關(guān)于本機或者域的所用平安機制信息以及用戶帳號信息都存放在平安帳號管理器(SAM)數(shù)據(jù)庫中。平安帳號管理器〔SAM〕數(shù)據(jù)庫在磁盤上的具體位置就是保存在系統(tǒng)安裝目錄下的system32\config\中的SAM文件,在這個目錄下還包括一個Security文件,也是平安數(shù)據(jù)庫的內(nèi)容。平安帳號管理器〔SAM〕數(shù)據(jù)庫中包含所有組、帳戶的信息,包括密碼HASH結(jié)果、帳戶的SID等。另外在系統(tǒng)安裝目錄下的repair目錄下也有SAM文件,這是每次生成系統(tǒng)修復(fù)盤時創(chuàng)立的備份。所以應(yīng)該特別小心這個repair目錄下的SAM文件,嚴格限制訪問權(quán)限,并加強對這個SAM文件的審核。.禁止不必要的效勞WindowsNT/2000系統(tǒng)中有許多用不著的效勞自動處于激活狀態(tài),它們中可能存在的平安漏洞使攻擊者甚至不需要賬戶就能控制機器.為了系統(tǒng)的平安,應(yīng)把不必要的功能效勞及時關(guān)閉,從而大大減少平安風(fēng)險。.如何停止不必要的系統(tǒng)效勞.防范NetBIOS漏洞攻擊NetBIOS〔NetworkBasicInputOutputSystem,網(wǎng)絡(luò)根本輸入輸出系統(tǒng)〕,是一種應(yīng)用程序接口〔API〕,系統(tǒng)可以利用WINS〔管理計算機netbios名和IP影射關(guān)系〕效勞、播送及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址,從而實現(xiàn)信息通訊。在局域網(wǎng)內(nèi)部使用NetBIOS可以非常方便地實現(xiàn)消息通信,但是如果在互聯(lián)網(wǎng)上,NetBIOS就相當(dāng)于一個后門程序,很多攻擊者都是通過NetBIOS漏洞發(fā)起攻擊。.如何防范NetBIOS漏洞攻擊.啟用TCP/IP篩選TCP/IP篩選就像一個簡單的包過濾防火墻,用來控制連接本機的網(wǎng)絡(luò)協(xié)議和端口。.如何設(shè)置TCP/IP篩選.限制危險命令的使用把一些工具從你的NT目錄中轉(zhuǎn)移到一個只有系統(tǒng)管理員能夠訪問的隱藏目錄。例如:arp.exe,asdial.exe,at.exe,atsvc.exe,cacls.exe,cmd.exe,cscript.exe,debug.exe,edit,edlin.exe,finger.exe,ftp.exe,ipconfig.exe,nbtstat.exe,net.exe,netstat.exe,nslookup.exe,ping.exe,posix.exe,qbasic.exe,rcp.exe,rdisk.exe,regedit.exe,regedt32.exe,rexec.exe,route.exe,rsh.exe,runonce.exe,secfixup.exe,syskey.exe,telnet.exe,tracert.exe,wscript.exe,xcopy.exe,或者干脆刪除掉其中不經(jīng)常使用的系統(tǒng)程序。.加固IIS效勞器的平安Windows系統(tǒng)近幾年的攻擊都偏重在IIS上,曾在2001到2002年大肆流行的Nimda,CodeRed病毒等都是通過利用IIS的一些漏洞入侵并且開始傳播的。由于NT/2000系統(tǒng)上使用IIS作為WWW效勞程序居多,再加上IIS的脆弱性以及與操作系統(tǒng)相關(guān)性,整個NT/2000系統(tǒng)的平安性也受到了很大的影響。通過IIS的漏洞入侵來獲得整個操作系統(tǒng)的管理員權(quán)限對于一臺未經(jīng)平安配置的機器來說是輕而易舉的事情,所以,配置和管理好你的IIS在整個系統(tǒng)配置里面顯得舉足輕重了。.如何加固IIS效勞器的平安改變IIS默認安裝的根目錄。 例如將默認的C:\inetpub移到D:\web、E:\FTP;將web和FTP根目錄分別放在不同的分區(qū),防止利用Unicode等漏洞遍歷目錄以及利用文件上傳導(dǎo)致塞滿此盤空間。刪除所有默認的映射目錄和所對應(yīng)的真實目錄。刪除不需要的應(yīng)用程序映射。禁止Frontpage擴展效勞。限制連接數(shù)和性能。使用SSL〔SecureSocketsLayer〕每次更改IIS配置后都需要重新安裝IIS的補丁,并在安裝后重新檢查IIS配置。..Windows系統(tǒng)平安提綱引導(dǎo)平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理.設(shè)置審核策略Windows日志IIS日志TaskScheduler日志系統(tǒng)帳號帳號配置文件及目錄系統(tǒng)效勞后臺進程自啟動程序.設(shè)置審核策略審核是開啟日志記錄功能的必需條件。有些審核日志記錄在windows日志中;另有些審核日志記錄在其自己特有的日志中。.如何設(shè)置審核策略.如何設(shè)置審核策略.如何設(shè)置終端效勞審核策略.Windows日志.Windows日志.IIS日志.IIS日志.TaskScheduler日志.TaskScheduler日志.系統(tǒng)帳號.系統(tǒng)帳號.系統(tǒng)帳號.帳號配置文件.帳號配置目錄.系統(tǒng)效勞.后臺進程.后臺進程.后臺進程-連接狀態(tài).自啟動程序啟動文件〔開始-程序-啟動〕系統(tǒng)注冊表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServersHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers.引導(dǎo)平安安裝過程系統(tǒng)加固入侵監(jiān)控平安管理WINDOWS系統(tǒng)平安提綱.平時對效勞器的操作用普通用戶登陸;需要特權(quán)管理時再改為管理員身份登陸。在效勞器上絕對不能上網(wǎng),例如瀏覽Web頁面、OQ聊天等。不要把密碼放在容易被別人看到的地方。加強數(shù)據(jù)備份。管理平安.Windows系統(tǒng)平安小結(jié)操作系統(tǒng)平安的防護工作永無止境,按照以上推薦的方法進行安裝和配置只是防護系統(tǒng)平安的開始。為Windows2000/XP/2003系統(tǒng)提供平安的運行環(huán)境需要不斷地努力,因此我們建議你至少應(yīng)該做到以下幾條:啟動系統(tǒng)自動平安更新,安裝最新的SP〔servicepack〕及HotFix。定期運行平安掃描工具分析系統(tǒng),確保沒有遺漏任何補丁程序;微軟提供了一個叫MicrosoftBaselineSecurityAnalyzer的工具,可以定期檢測系統(tǒng)漏洞,IIS漏洞,弱帳號等等。.UNIX系統(tǒng)根本平安知識和平安配置.UNIX系統(tǒng)概況什么是UNIX?UNIX是:1.Novell公司的注冊商標2.多任務(wù)、多用戶的操作系統(tǒng)3.相關(guān)操作系統(tǒng)應(yīng)用工具、編譯程序的總稱4.功能豐富的可擴展、開放的計算環(huán)境.UNIX簡介在互聯(lián)網(wǎng)上應(yīng)用最廣種類最多有多家廠商提供不同的版本.UNIX變種關(guān)系圖.系統(tǒng)平安根底平安來自于平安配置的操作系統(tǒng)許多平安問題源于系統(tǒng)的部署和薄弱的配置… 1.默認配置 2.改變的二進制代碼 3.未授權(quán)訪問.默認配置與默認配置有關(guān)的系統(tǒng)風(fēng)險: 1.許多特征與效勞是可用的; 2.默認的用戶賬戶被翻開:3.Guest賬戶4.空口令賬戶 5.寬松的訪問控制.改變的二進制代碼攻擊者可能會利用弱配置的系統(tǒng),改變的系統(tǒng)文件或植入木馬程序.損害的操作系統(tǒng)呈現(xiàn)以下的危險:有可進入系統(tǒng)的后門2.密碼泄露3.系統(tǒng)平安措施失效4.不可靠的系統(tǒng)或?qū)徲嬋罩?未授權(quán)訪問默認賬戶或合法用戶賬戶僅通過簡單的口令進行防護,這為攻擊者提供一個進入系統(tǒng)的簡單的攻擊點。具有合法用戶權(quán)限的攻擊者利用權(quán)限提升的漏洞來獲得管理員權(quán)限一些提供遠程效勞的進程沒有限制訪問,被遠程溢出.UNIX的平安威脅管理類的威脅1.缺乏本地平安策略2.沒有重視多余效勞進程的危害性3.錯誤的配置4.弱口令技術(shù)類的威脅1.軟件本身的缺陷(緩沖區(qū)溢出)2.會話劫持,竊聽等……UNIX平安威脅的種類?.UNIX系統(tǒng)平安根底本地(物理)平安系統(tǒng)補丁平安配置網(wǎng)絡(luò)平安平安管理策略.物理平安保護硬件環(huán)境;保護硬件;關(guān)閉不用的接口:并行口、串行、紅外或USB;設(shè)置開機口令;嚴格限制對系統(tǒng)的物理存儲;安裝操作系統(tǒng)時應(yīng)該在非生產(chǎn)的網(wǎng)絡(luò)中,或放置在斷開的網(wǎng)絡(luò)中;使用第二系統(tǒng)來接收廠商提供的升級報或補丁程序.系統(tǒng)安裝使用常規(guī)介質(zhì);備份可能包括改變的代碼對于具有網(wǎng)絡(luò)功能的設(shè)備只安裝必要的選項系統(tǒng)安裝結(jié)束后,將最新的補丁程序打上去掉不用的用戶名或者修改其密碼使用第二系統(tǒng)來獲得補丁程序在正式裝補丁程序前需要校驗(md5sum)

隨時注意并更新系統(tǒng)和軟件補丁.日志審計審計特性: 1.操作系統(tǒng)都具有一些審計與日志的功能 2.平安配置的操作系統(tǒng)應(yīng)使用這些特性 3.審計與日志會紀錄各種應(yīng)用軟件的事件,系統(tǒng)消息及用戶活動,例如用戶登陸等。4.應(yīng)用效勞進程自身也有日志功能.日志審計1.提供一種追蹤用戶活動的方法2.系統(tǒng)管理員可以知道系統(tǒng)的日?;顒?.及時了解和處理平安事件4.它是一種在平安事件發(fā)生后,可以提供法律證據(jù)的機制

為什么要啟用審計?.日志審計1.在UNIX中,主要的審計工具是syslogd,2.可以通過配置這個后臺進程程序,可以提供各種水平的系統(tǒng)審計和指定輸出目錄如何啟用審計?.帳號平安根底選擇復(fù)雜口令的意義:防止兩層攻擊基于用戶信息簡單密碼猜測基于口令強制猜測程序的攻擊人類傾向于使用易于猜測到的口令,這在使用字典猜測攻擊面前變得非常脆弱口令選擇的弱點:.選擇口令的原那么如何選擇口令?嚴禁使用空口令和與用戶名相同的口令不要選擇可以在任何字典或語言中找到的口令

不要選擇簡單字母組成的口令不要選擇任何和個人信息有關(guān)的口令不要選擇短于6個字符或僅包含字母或數(shù)字不要選擇作為口令范例公布的口令

采取數(shù)字混合并且易于記憶.口令的管理如何保管好自己的口令?不要把口令寫在紙上不要把口令貼到任何計算機的硬件上面不要把口令以文件的形式放在計算機里不要把口令與人共享5.防止信任欺騙(,E-mail等).Passwd文件剖析條目的格式:name:coded-passwd:UID:GID:user-info:homedirectory:shell2.條目例子:jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh

3.密文的組成

Salt+ 口令的密文

Np ge08fdehjkl.帳號管理1.偽用戶帳號 通常不被登錄,而是進程和文件所有權(quán)保存位置,如bin、daemon、mail和uucp等。2.單獨命令帳號 如date、finger、halt等帳號。3.相應(yīng)策略 檢查/etc/passwd文件,確??诹钣蛑惺恰?〞,而非空白。4.公共帳號 原那么上每個用戶必須有自己的帳號,假設(shè)一個系統(tǒng)必須提供guest帳號,那么設(shè)置一個每天改變的口令。最好是設(shè)置受限shell,并且做chroot限制..禁用或刪除帳號1.禁用帳號 在/etc/passwd文件中用戶名前加一個“#〞,把“#〞去掉即可取消限制。2.刪除帳號a)殺死任何屬于該用戶的進程或打印任務(wù)。b)檢查用戶的起始目錄并為任何需要保存的東西制作備份。c)刪除用戶的起始目錄及其內(nèi)容。d)刪除用戶的郵件文件(/var/spool/mail)。e)把用戶從郵件別名文件中刪除(/etc/sendmail/aliases)。.保護root除非必要,防止以超級用戶登錄。嚴格限制root只能在某一個終端登陸,遠程用戶可以使用/bin/su-l來成為root。不要隨意把rootshell留在終端上。假設(shè)某人確實需要以root來運行命令,那么考慮安裝sudo這樣的工具,它能使普通用戶以root來運行個人命令并維護日志。不要把當(dāng)前目錄(“./〞)和普通用戶的bin目錄放在root帳號的環(huán)境變量PATH中。永遠不以root運行其他用戶的或不熟悉的程序.受限環(huán)境應(yīng)用受限制shell(restrictedshell) 1.不能用cd命令切換到其它工作目錄 2.不能改變PATH環(huán)境變量 3.不能執(zhí)行包含“/〞的命令名 4.不能用“>〞和“>>〞重定向輸出創(chuàng)立chrootjail chroot()系統(tǒng)調(diào)用改變一個進程對root目錄所在位置的,如調(diào)用chroot(“/usr/restricted〞)后,訪問的根目錄/其實是/usr/restricted。.穩(wěn)固帳號平安加強口令平安1.策略傳播(對用戶培訓(xùn)和宣傳)2.進行口令檢查3.產(chǎn)生隨機口令4.口令更新5.設(shè)置口令失效時間.穩(wěn)固帳號平安使用影子口令(shadow)文件組成 /etc/passwd:口令域置為“X〞或其它替代符號。 /etc/shadow:只被root或passwd等有SUID位的程序可讀。設(shè)置影子口令 在可選影子口令系統(tǒng)中,執(zhí)行pwconv命令。.除了包含用戶名和加密口令還包含以下域: 1.上次口令修改日期。 2.口令在兩次修改間的最小天數(shù)。 3.口令建立后必須修改的天數(shù)。 4.口令更改前向用戶發(fā)出警告的天數(shù)。5.口令終止后被禁用的天數(shù)。 6.自從1970/1/1起帳號被禁用的天數(shù)。 7.保存域。例如: root:*:10612:0:99999:7:::/etc/shadow文件剖析.文件系統(tǒng)的平安文件類型

1.普通文件——文本文件,二進制文件。

2.目錄——包括一組其它文件的二進制文件。

3.特殊文件——/dev目錄下的設(shè)備文件等。

4.鏈接文件——硬鏈接和符號鏈接。

5.Sockets——進程間通信時使用的特殊文件。.i-node包含的信息

1.UID——文件擁有者。

2.GID——文件的權(quán)限設(shè)置。

3.模式節(jié)點上次修改時間。

4.文件大小——文件所在的分組。

5.文件類型——文件、目錄、鏈接等。

6.ctime——i-訪問時間。

7.mtime——文件上次修改時間。

8.atime——文件上次——以字節(jié)為單位。

9.nlink——硬鏈接的數(shù)目。文件系統(tǒng)的平安.文件系統(tǒng)權(quán)限各種許可權(quán)限的含義是什么?.計算8進制權(quán)限位如何計算各種權(quán)限位?4000SUID0040同組用戶可寫2000SGID0020同組用戶可讀1000“粘著位”0010同組用戶可執(zhí)行0400屬主可寫0004其他用戶可寫0200屬主可讀0002其他用戶可讀0100屬主可執(zhí)行0001其他用戶可執(zhí)行.計算文件權(quán)限的例子某文件的權(quán)限位為:〞-rwxr-x〞轉(zhuǎn)換成8進制為:0750即: 0400 0200 0100 0040 0000 0010+0000 0750.ls-l命令可以來顯示文件名與特性。下面信息的第一欄可以說明文件類型和該文件賦予不同組用戶的權(quán)限查看文件權(quán)限[root@smithers/etc]#ls-al|moretotal937drwxr-xr-x32rootroot3072Aug3111:07.drwxr-xr-x16rootroot1024May2708:05..-rw1rootroot0May2508:22.pwd.lock-rw-r--r--1rootroot20May2508:55HOSTNAME-rw-r--r--1rootroot42May2512:56MACHINE.SID-rw-r--r--1rootroot5468Mar291999Muttrcdrwxr-xr-x14rootroot1024May2707:46X11-rw-r--r--1rootroot39Jun208:24adjtime-rw-r--r--1rootroot732Apr1916:38aliases-rw-r--r--1rootroot16384May2508:36aliases.db--More--.文件修改命令1.chmod—改變文件權(quán)限設(shè)置。2.chgrp—改變文件的分組。3.chown—改變文件的擁有權(quán)。4.Chattr—設(shè)置文件屬性.操作實例1.取消groups與others組用戶的讀權(quán)限2.目錄的r與x的設(shè)置3.目錄〞粘著位〞的設(shè)置-rw-r--r--1rootroot1Mar211999at.deny#chmod600at.deny-rw1rootroot1Mar211999at.deny.umask值什么是umask值?用來指明要禁止的訪問權(quán)限,通常在登錄文件.login或.profile中建立。三位8進制值用來指定新創(chuàng)立文件和目錄權(quán)限的缺省許可權(quán)限通過umask值來計算文件目錄的許可權(quán)限(mod&~umask常用的值有022,027,077.SUID和SGID什么是SUID和SGID程序?UNIX中的SUID(SetUserID)/SGID(SetGroupID)設(shè)置了用戶id和分組id屬性,允許用戶以特殊權(quán)利來運行程序,

這種程序執(zhí)行時具有宿主的權(quán)限.

如passwd程序,它就設(shè)置了SUID位-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序passwd程序執(zhí)行時就具有root的權(quán)限.SUID和SGID為什么要有SUID和SGID程序?SUID程序是為了使普通用戶完成一些普通用戶權(quán)限不能完成的事而設(shè)置的.比方每個用戶都允許修改自己的密碼,但是修改密碼時又需要root權(quán)限,所以修改密碼的程序需要以管理員權(quán)限來運行..非法命令執(zhí)行和權(quán)限提升為了保證SUID程序的平安性,在SUID程序中要嚴格限制功能范圍,不能有違反平安性規(guī)那么的SUID程序存在。并且要保證SUID程序自身不能被任意修改。SUID和SGIDSUID程序?qū)ο到y(tǒng)平安的威脅..用戶可以通過檢查權(quán)限模式來識別一個SUID程序。如果“x〞被改為“s〞,那么程序是SUID。如: ls-l/bin/su -rwsr-xr-x 1rootroot12672oct271997/bin/su查找系統(tǒng)中所有的SUID/SGID程序find find/-typef\(-perm+4000-or-perm+2000\)-execls-alF{}\;用命令chmodu-sfile可去掉file的SUID位.堆棧溢出攻擊有漏洞的SUID程序在SUID程序堆棧中填入過長的數(shù)據(jù),使數(shù)據(jù)覆蓋返回地址.

執(zhí)行攻擊者指定的代碼..SUID程序效勞進程攻擊目標來自bufferoverflow的威脅越來越多的bufferoverflow被發(fā)現(xiàn)

Internet上可以獲得大量利用bufferoverflow漏洞攻擊的程序一旦被成功攻擊,系統(tǒng)將暴露無遺

更多的攻擊形式(heap,format…)堆棧溢出的危害.防止堆棧溢出攻擊及時發(fā)現(xiàn)系統(tǒng)和應(yīng)用程序存在的問題及時下載并修補最新的程序和補丁去掉不必要或者發(fā)生問題的SUID程序s位養(yǎng)成良好的編程習(xí)慣如何更好的防止堆棧溢出攻擊?.1.Libsafe: ://research.avayalabs/project/libsafe/2.PAX:non-execstackmodule:///3.RSX:non-execstack/heapmodule ://ihaquer/software/rsx/4.kNoX:non-execstack/heapmodule://isec.pl/projects/knox/knox.html設(shè)置non-execstack.文件的特殊屬性針對特定系統(tǒng)的特殊文件屬性/標志

Linux下的chattr命令

Freebsd下的chflags命令

sappnd設(shè)置只追加標志

schg設(shè)置不可改變標志

sunlnk設(shè)置不可刪除標志.文件系統(tǒng)的結(jié)構(gòu)常見目錄的用途/bin—用戶命令可執(zhí)行文件。/dev—特殊設(shè)備文件。/etc—系統(tǒng)執(zhí)行文件、配置文件、管理文件。/home—用戶的起始目錄。/lib—引導(dǎo)系統(tǒng)及在root文件系統(tǒng)中運行命令所需共享。/lost+found—與特定文件系統(tǒng)斷開連接的喪失文件。/mnt—臨時安裝的文件系統(tǒng)。/proc—偽文件系統(tǒng),是到內(nèi)核數(shù)據(jù)結(jié)構(gòu)或運行進程的接口。/sbin—為只被root使用的可執(zhí)行文件及引導(dǎo)系統(tǒng)啟動的文件。/usr—分成許多目錄,包含可執(zhí)行文件、頭文件、幫助文件。/var—用于電子郵件、打印、cron等的文件,統(tǒng)計、日志文件。.文件系統(tǒng)權(quán)限限制與平安有關(guān)的mount選項noodevnoexecnosuidrdonly.網(wǎng)絡(luò)效勞平安效勞:效勞就是運行在網(wǎng)絡(luò)效勞器上監(jiān)聽用戶請求的進程,效勞是通過端口號來區(qū)分的.常見的效勞及其對應(yīng)的端口 ftp:21 telnet:23 (www):80 pop3:110.網(wǎng)絡(luò)效勞平安1.inetd超級效勞器 inetd的功能 inetd的配置和管理2.效勞的關(guān)閉 關(guān)閉通過inetd啟動的效勞 關(guān)閉獨立啟動的效勞.網(wǎng)絡(luò)效勞平安建議禁止使用的網(wǎng)絡(luò)效勞fingertftpr系列效勞telnet大多數(shù)rpc效勞其他不必要的效勞.網(wǎng)絡(luò)效勞平安系統(tǒng)啟動腳本sysV風(fēng)格的啟動腳本 rcX.d/KNprogSNprogK03rhnsdK24irdaS10networkS90crondK05anacronK25squidK60lpdS12syslogK05keytableK30sendmailS91smb2.BSD風(fēng)格的啟動腳本/etc/rc.confsshd_enable=“YES〞.網(wǎng)絡(luò)效勞平安使用命令工具來監(jiān)視網(wǎng)絡(luò)狀況

netstat

ifconfigLinux下的socklist

Freebsd下的sockstat

lsof–I

tcpdump.系統(tǒng)記帳1.普通的系統(tǒng)記賬連接/登錄記賬 ac命令(記錄登錄時長) last命令 who命令 w命令 lastlog/lastlogin命令2.進程記賬翻開進程記賬(FreeBSD為例)cd/var/accounttouchacctsavacctusracct accton/var/account/acct sa–a lastcomm.系統(tǒng)記帳系統(tǒng)計帳的相關(guān)記錄文件

/var/run/utmp/var/log/wtmp/var/account/acct.系統(tǒng)日志syslog的功能syslog的配置把syslog的信息輸出到其它效勞器或打印機把syslog的信息輸出到打印機:authpriv.*;mail.*;local7.*;auth.*;/dev/lp04.系統(tǒng)日志/記賬信息可以做什么和不可以做什么5.syslog的替代品syslog工具.主流UNIX廠商的平安信息Sun(Solaris)://sunsolve.sun/pub-cgi/show.pl?target=patches/patch-access=patches/patch-accessIBM(AIX)://www-1.ibm/services/continuity/recovery1.nsf/advisoriesHP(HP-UX)://us-support.external.hpSGI(IRIX)://sgi/support/security/index.htmlCompaq(Tru64UNIX,OpenVMS,Ultrix)ftp://ftp.service.digital/publicLinux(RedHatLinux)://redhat/apps/support/errata/Freebsd://FreeBSD.org/security/美國國家平安局發(fā)布的SE-Linux補丁:///selinux.應(yīng)用平安身份認證技術(shù):公開密鑰根底設(shè)施〔PKI〕是一種遵循標準的密鑰管理平臺,能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼效勞所必需的密鑰和證書管理。應(yīng)用效勞平安性:Web效勞器、郵件效勞器等的平安增強,使用S-HTTP、SSH、PGP等技術(shù)提高Web數(shù)據(jù)、遠程登錄、電子郵件的平安性。網(wǎng)絡(luò)防病毒技術(shù):病毒是系統(tǒng)中最常見的威脅來源。建立全方位的病毒防范系統(tǒng)是計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)的重要任務(wù)。.身份認證分類單因素認證雙因素認證挑戰(zhàn)/應(yīng)答機制認證時間同步機制認證.認證手段知道某事或某物擁有某事或某物擁有某些不變特性在某一特定場所〔或特定時間〕提供證據(jù)通過可信的第三方進行認證.非密碼認證機制口令機制一次性口令機制挑戰(zhàn)/應(yīng)答機制基于地址的機制基于個人特征的機制個人認證令牌.基于密碼的認證機制根本原理是使驗證者信服聲稱者所聲稱的,因為聲稱者知道某一秘密密鑰。基于對稱密碼技術(shù)基于公鑰密碼技術(shù).零知識認證零知識認證技術(shù)可使信息的擁有者無需泄露任何信息就能夠向驗證者或任何第三方證明它擁有該信息。在網(wǎng)絡(luò)認證中,已經(jīng)提出了零知識技術(shù)的一些變形,例如,F(xiàn)FS方案、FS方案和GQ方案。一般情況下,驗證者公布大量的詢問給聲稱者,聲稱者對每個詢問計算一個答復(fù),而在計算中使用了秘密信息。.典型的認證協(xié)議Kerberos系統(tǒng)Kerberos系統(tǒng)為工作站用戶〔客戶〕到效勞器以及效勞器到工作站用戶提供了認證方法,Kerberos系統(tǒng)使用了對稱密碼技術(shù)和在線認證效勞器。缺陷:需要具有很高利用率的可信〔物理上平安的〕在線效勞器;重放檢測依賴于時戳,意味著需要同步和平安的時鐘;如果認證過程中的密鑰受到威脅,那么傳遞在使用該密鑰進行認證的任何會話過程中的所有被保護的數(shù)據(jù)將受到威脅。.典型的認證協(xié)議X.509認證交換協(xié)議與Kerberos協(xié)議相比,X.509認證交換協(xié)議有一個很大的優(yōu)點:不需要物理上平安的在線效勞器,因為一個證書包含了一個認證授權(quán)機構(gòu)的簽名。公鑰證書可通過使用一個不可信的目錄效勞被離線地分配。X.509雙向交換同樣依賴于時戳,而X.509三向交換那么克服了這一缺陷。但X.509認證交換協(xié)議仍存在K

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論