《网络安全专业培训P177》由会员分享,可在线阅读,更多相关《网络安全专业培训P177(176页珍藏版)》请在金锄头文库上搜索。
1、网络安全培训,主要内容,网络安全的概念 安全的网络 常见网络攻击的介绍 常见主机攻击介绍 安全的主机 网络监测 事故处理 案例分析 FAQ,计算机安全简介,安全?,什么是计算机安全?谁定义计算机安全? 计算机安全(公安部定义1994): 计算机系统的硬件、软件和数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、显露,系统不能连续正常运行。 计算机安全的含义(1991): 避免窃取和破坏硬件 避免窃取和破坏信息 避免破坏服务,保密性、完整性和服务失效,保密性:防止信息在非授权情况下的泄漏。 完整性:保护信息使其不致被篡改或破坏。 服务失效:临时降低系统性能、系统崩溃而需要人工重新启动、因数据永
2、久性丢失而导致较大范围的系统崩溃。,可信系统的评价准则,计算机安全的内容,计算机实体安全 软件安全 数据安全 运行安全 环境安全,网络安全概述,网络安全概述,什么是网络安全?谁定义网络安全? 体系是网络安全的重要特性 安全需求和安全政策,主要的网络安全体系,安全管理制度 安全域边界管理 数据安全体制 安全监测分析系统 病毒防护? 自动安全管理系统? ,网络安全体系示意,不同体系所面对的威胁,不同体系面对不同来源的威胁 管理制度面对人的威胁 边界管理面对来自网络外部的威胁 数据安全体制主要针对内部或外部信道的威胁(此外,防止泄密、进行鉴别等) 安全监测系统用于发现和补救存在的危险,威胁从何而来?
3、,安全的模糊性 网络的开放性 产品的垄断性 技术的公开性 人类的天性,安全的模糊性,安全是相对的,不易明确安全的目标 安全是复杂的,不易认清存在的问题 安全是广泛的,不易普及安全的知识,网络的开放性,互联机制提供了广泛的可访问性 Client-Server模式提供了明确的攻击目标 开放的网络协议和操作系统为入侵提供了线索 用户的匿名性为攻击提供了机会,产品的垄断性,工业界试图将专用技术引入Internet以获得垄断地位,从而将开放式的环境演变为商品化的环境,如Active X。 专用技术的细节通常受到有关厂家的保护,因而缺乏广泛的安全讨论,容易出现安全缺陷,例如Active X允许进行控件下载
4、,又缺乏对控件的运行约束。,技术的公开性,如果不能集思广益,自由地发表对系统的建议,则会增加系统潜在的弱点被忽视的危险,因此Internet要求对网络安全问题进行坦率公开地讨论。 基于上述原则,高水平的网络安全资料与工具在Internet中可自由获得。,人类的天性,好奇心、显示心 惰性和依赖心理 家丑不可外扬,安全管理制度,木桶原则:木桶盛水的高度等于其最短的木板的长度 安全链条:链条的强度等于其最弱一环的强度 “人”是最短的木板和最弱的一环!,网络边界安全,网络边界安全,使用防火墙!? 什么是防火墙!? 机房里用防火砖砌的墙? 不同的人对防火墙有不同的定义! 一种定义:防火墙是允许或不允许特
5、定信息通过网络的某一关键路径的访问控制政策,防火墙和关键路径,关键路径可以是物理 的也可以是逻辑的,防火墙体系,IP Packet Filter (如路由器中的access list),堡垒主机、多协议过滤器 (如checkpoint防火墙),应用级防火墙 (如Proxy、分裂的DNS,Sendmail、 WEB过滤的Gaunlet防火墙),参考 OSI 模型 的近 似防 火墙 分层 体系,信息安全与网络安全,数据安全,数据保密:密码体制。 内容完整:数字签名,信息摘录。 无否认:公证机制,审计功能,数字签名。,网络安全,传输安全:数据保密,内容完整; 访问安全:身份认证,访问控制; 运行安全
6、:基础设施的可靠性,安全监测。,访问控制,用于限定对网络的使用,包括对某个用户进行访问控制;和对某个资源进行访问控制。 端系统访问控制 自主访问控制 强制访问控制 基于角色的访问控制政策 网络的访问控制:防火墙技术,构建安全的网络,构建安全的网络,明确安全需求 制定安全政策 在边界建立符合安全政策的防火墙体系 划分内部的安全政策域 对特定的主机节点进行加固 使用合理的访问控制政策、鉴别机制和数据安全体制 建立有效的可承受的监测体制,明确安全需求,不同的网络安全需求是不同的 安全需求是建立安全政策的基础 例如校园网可以有: 保证网络的可用:路由器不瘫痪、邮件发送正常等等 保证网络用户使用的可管理
7、 防止出现异常的流量导致异常的费用 防止对核心服务器的攻击,以保护学校的声望 对学校某学生的机器不特别关心,除非他报案,制定安全政策,根据安全需求制定安全政策 安全政策可以是形式化的,也可以是口语化的 安全政策表示的是什么是允许的什么是不允许的 例如(可以不用书面定义,可以包括所采用的技术手段的种类): 在边界使用防火墙,允许内部注册用户的对外访问,禁止随意的对内部访问等 内部开发网段使用SSH作为数据安全手段 鉴别采用口令认证的方式,在边界建立符合安全政策的防火墙体系,划分内部的安全政策域,例如某公司可以划为:用户上网域、服务器域、开发域等,Internet,路由器,WWW、SMTP,内部开
8、发区,服务器域(DMZ),用户上网区,服务器 开发 服务器 禁止 开发 禁止(允许FTP),对特定的主机节点进行加固,对特殊位置的主机必须进行加固 如上例 WWW服务器和Mail服务器 对于内部开发服务器也需要加固 可以制定一定的制度,要求内部员工也对各自的主机进行加固,使用合理的访问控制、鉴别机制和数据安全体制,建立授权访问控制的政策,例如:哪些人可以访问哪些信息、权限如何等 选择内部或外部使用的鉴别机制,例如口令机制、证书、LDAP、NIS 选择使用或不使用数据安全体制,使用哪种数据安全体制,例如CA、KDC。如采用Kerberos(KDC),建立有效的可承受的监测体制,使用不使用安全监测
9、系统 基于网络还是基于主机的安全监测系统 例如: 在边界上使用基于网络的入侵检测系统 在服务器上使用基于主机的安全状态检查系统 等等,总结,计算机安全是指对计算机硬件、软件和数据的保护 网络安全是成体系的 网络边界的管理常常使用防火墙体系 信息安全依靠数据安全体系保障 安全监测体系可以用于发现系统漏洞和入侵行为 根据安全需求和安全政策建立相对安全的网络,常见攻击介绍,针对网络的攻击 拒绝服务攻击(Deny of Service) 针对主机的攻击 缓冲区溢出攻击(buffer overflow) 后门和木马(backdoor&Trojan) 蠕虫、病毒,网络入侵的步骤,(简单服务失效攻击) 获取
10、目标系统信息 从远程获取系统的部分权利 从远程获取系统的特权 清除痕迹 留后门 破坏系统,常见网络攻击 DoS,消耗有限资源 网络链接 带宽消耗 其他资源 处理时间 磁盘空间 账号封锁 配置信息的改变,DoS分类,Syn flood 其他flood(smurf等) 分布式DoS(DDoS),Syn flood 攻击原理,攻击TCP协议的实现 攻击者不完成TCP的三次握手 服务器显示TCP半开状态的数目 与带宽无关 通常使用假冒的源地址 给追查带来很大的困难,TCP Three-Way Handshake,Client initiates request,Connection is now ha
11、lf-open,Client connection Established,Server connection Established,Client connecting to a TCP port,SYN Flood Illustrated,Client spoofs request,half-open,half-open,half-open,Queue filled,Queue filled,Queue filled,Client SYN Flood,Syn flood攻击实例,服务器很容易遭到该种攻击 南邮“紫金飞鸿”曾遭受该攻击的困扰,SYN Flood Protection,Cisc
12、o routers TCP 截取 截取SYN报文,转发到server 建链成功后在恢复client与server的联系 Checkpoint Firewall-1 SYN Defender 与Cisco 路由器的工作原理累死 攻击者依然可以成功 耗尽路由器或者防火墙的资源,TCP Intercept Illustrated,Request connection,Answers for server,Finishes handshake,Request connection,Server answers,Finishes handshake,SYN Flood Prevention,增加监听队列
13、长度 依赖与操作系统的实现 将超时设短 半开链接能快速被淘汰 有可能影响正常使用 采用对该攻击不敏感的操作系统 BSD Windows,Smurf 攻击原理,一些操作系统的实现会对目的地址是本地网络地址的ICMP应答请求报文作出答复。 以网络地址为目标地址发送ICMO应答请求报文,其中很多主机会作出应答。 攻击者将ICMP报文源地址填成受害主机,那么应答报文会到达受害主机处,造成网络拥塞。,Smurf Attack Illustrated,ICMP Echo Request,Attacker spoofs address,Amplifier: Every host replies,Smurf攻
14、击的预防,关闭外部路由器或防火墙的广播地址特性;防止目标地址为广播地址的ICMP报文穿入。 成为smurf攻击的目标,需要在上级网络设备上做报文过滤。,分布式DoS(Distributed DOS),从多个源点发起攻击 堵塞一个源点不影响攻击的发生 采用攻击二级结构 攻击控制用的称为 handlers 发起攻击用的 agents 攻击目标为targets,DDOS Illustrated,Client,Agent,Handler,Agent,Agent,Handler,Agent,Agent,Agent,DDoS攻击,目前没有 很好的预防方法 DDoS攻击开销巨大 但是一般主机不可能成为DDo
15、S的目标 Yahoo曾经遭受过DDoS攻击 Sadmind/unicode蠕虫为DDoS做准备,针对主机的攻击,缓冲区溢出 后门和木马 蠕虫、病毒,缓冲区溢出,程序收到的参数比预计的长 程序的栈结构产生混乱 任意输入会导致服务器不能正常工作 精心设计的输入会导致服务器程序执行任意指令,Buffer Overflow Illustrated,main() show (“THIS IS MORE THAN 24 CHARACTERS!”); show(char*p) strbuff24; strcpy(strbuf,p); ,main() data,main() return,Saved regi
16、ster,Show() data Strbuf 24 bytes,strcpy() return,E R S !,T H I S . I S . M O R E . T H A N . 2 4 . C H A,R A C T,Return address corrupt,缓冲区溢出的预防,联系供应商 下载和安装相关的补丁程序 如果有源代码 自己修改源代码,编译安装,后门和木马,应用背景:攻入系统之后,为以后方便、隐蔽的进入系统,有时候攻击者会在系统预留后门。 Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often
