《网络安全建设课件说课材料》由会员分享,可在线阅读,更多相关《网络安全建设课件说课材料(55页珍藏版)》请在金锄头文库上搜索。
1、网络安全建设,中国教育和科研计算机网应急响应组CCERT 清华大学信息网络工程研究中心 张千里,目录,网络安全简介 垃圾邮件的预防 如何防止扫描和DOS攻击 系统安全管理和入侵的防范 网络安全常用工具 CCERT简介,网络安全简介,网络安全概念 常见的网络安全问题 垃圾邮件危害 DOS、扫描危害 蠕虫危害,网络安全概念,信息安全 保密性、完整性、可用性、可信性 把网络看成一个透明的、不安全的信道 系统安全: 网络环境下的端系统安全 网络安全 网络的保密性:存在性、拓扑结构等 网络的完整性:路由信息、域名信息 网络的可用性:网络基础设施 计算、通信资源的授权使用:地址、带宽,垃圾邮件危害,网络资
2、源的浪费 欧洲委员会公布的一份报告,垃圾邮件消耗的网络费用每年高达100亿美元 资源盗用 利用他人的服务器进行垃圾邮件转发 威胁网络安全 DOS攻击,DOS、扫描危害,占用资源 占用大量带宽 服务器性能下降 影响系统和网络的可用性 网络瘫痪 服务器瘫痪 往往与入侵或蠕虫伴随 缺陷扫描 DDOS,入侵、蠕虫造成的危害,信息安全 机密或个人隐私信息的泄漏 信息篡改 可信性的破坏 系统安全 后门的存在 资源的丧失 信息的暴露 网络安全 基础设施的瘫痪,垃圾邮件的预防,垃圾邮件特点 邮件转发原理 配置Sendmail关闭转发 配置Exchange关闭转发,垃圾邮件特点,内容: 商业广告 宗教或个别团体
3、的宣传资料 发财之道,连锁信等 接收者 无因接受 被迫接受 发送手段 信头或其它表明身份的信息进行了伪装或篡改 通常使用第三方邮件转发来发送,邮件转发原理,配置Sendmail关闭转发(一)简介,Sendmail 8.9以上版本 /etc/mail/relay-domains /etc/mail/access Sendmail 8.8以下版本 升级Sendmail 其它版本 配置Sendmail缺省不允许转发 编辑相应的允许转发IP列表,配置Sendmail关闭转发(二)Mc文件样例,divert(0)dnl VERSIONID(#)generic-solaris2.mc 8.8 (Berke
4、ley) 5/19/1998) OSTYPE(solaris2)dnl DOMAIN(generic)dnl FEATURE(access_db, dbm -o /usr/local/etc/mail/access) define(confPRIVACY_FLAGS,authwarnings,goaway,noexpn,novrfy)dnl MAILER(local)dnl MAILER(smtp)dnl,配置Sendmail关闭转发(三)Sendmail配置,Sendmail.cw 配置邮件服务器所接受的域名 C M Relay-domains 配置邮件服务器可以转发的地址 202.112.
5、50. 202.112.57.18 Access 允许对某一个来源地址进行配置 REJECT、RELAY、OK、”msg”,配置Sendmail关闭转发(四) access文件样本, 550:bad user name 202.112.55. RELAY 202.112.55.66REJECT,配置Sendmail关闭转发(五) Sendmail使用,建立别名 编辑aliases文件 Sendmail v bi初始化 启动 Sendmail bd q1h 使用access数据库 Makemap dbm /etc/mail/access /etc/mail/access,配置Exchange关闭
6、转发(一),Exchange Server 5.0 或以前版本 升级邮件系统 Exchange Server 5.5 以上 选择 Reroute incoming SMTP mail,配置Exchange关闭转发(二),填入所服务的域 点击Routing Restrictions,如何防止DOS和扫描,扫描简介 拒绝服务攻击简介 分布式拒绝服务攻击 DOS和扫描的防范 攻击取证和报告,扫描简介,缺陷扫描 目的是发现可用的缺陷 Satan、SSCAN Nmap -O 服务扫描 目的是为了发现可用的服务 WWW scan ftp scan Proxy scan,拒绝服务攻击简介,洪水式DOS攻击
7、SYN flood Smurf 利用系统或路由器缺陷DoS 攻击 Windows: IGMP fragmentation, OOB Linux: teardrop Solaris: ping of death 分布式拒绝服务攻击 往往既利用系统或者路由器的缺陷产生大规模的洪水式攻击 两方面的危害:被攻击者和被利用者,分布式拒绝服务(DDOS),以破坏系统或网络的可用性为目标 常用的工具: Trin00 TFN/TFN2K Stacheldraht 很难防范 伪造源地址,流量加密,因此很难跟踪,client,target,DOS和扫描的防范(一)路由器,访问控制链表 基于源地址/目标地址/协议端
8、口号 路径的完整性 防止IP假冒和拒绝服务(Anti-spoofing/DDOS) 检查源地址: ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包; 路由协议的过滤与认证 Flood 管理利用QoS的特征防止Flood interface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply,
9、DOS和扫描的防范(二)入侵检测和防火墙,入侵检测工具 了解情况 提供报告依据 指导应对政策 防火墙 建立访问控制 个人防火墙,攻击取证和报告,系统取证 Syslog系统日志 Netstat连接情况 CPU、Mem使用情况 网络取证 Tcpdump 路由器、防火墙纪录 入侵检测系统 报告责任方 对方CERT或本辖区CERT 对方责任人whois,系统安全管理和入侵防范,Windows系统安全管理 UNIX系统安全管理 路由器安全管理 如何检验入侵 蠕虫的危害及防范,Windows安全管理(一),操作系统更新政策 安装最新版本的补丁Service Pack; 安装相应版本所有的 hotfixes
10、 跟踪最新的SP 和 hotfix 病毒防范 安装防病毒软件,及时更新特征库 政策与用户的教育:如何处理邮件附件、如何使用下载软件等 账号和口令管理 口令安全策略:有效期、最小长度、字符选择 账号登录失败n次锁定 关闭缺省账号,guest, Administrator,Windows安全管理(二),Windows服务管理 Terminal Server 中文输入法缺陷 网络共享 Nimda等一些蠕虫和和病毒 IIS UNICODE (nimda、Code Blue) Index Service ( CR I、CR II),Windows安全管理(三),操作系统更新 局域网防火墙 配置防火墙/路
11、由器,封锁不必要的端口:TCP port 135, 137, 139 and UDP port 138. 基于主机的访问控制 Windows 2000自带 个人防火墙,Unix安全管理(一),相应版本的所有补丁 账号与口令 关闭缺省账号和口令:lp, shutdown等 shadow passwd 用crack /john等密码破解工具猜测口令 (配置一次性口令) 网络服务的配置: /etc/inetd.conf, /etc/rc.d/* TFTP 服务 get /etc/passwd 匿名ftp的配置 关闭rsh/rlogin/rexec 服务 关闭不必要的 rpc 服务 安装sshd, 关
12、闭telnet 。 NFS export,Unix安全管理(二),操作系统更新 Solaris:ftp:/ Redhat:up2date 常见安全问题 Solaris 各种RPC服务 Linux printer Named Wu-ftpd,路由器安全管理(一),认证口令管理 使用enable secret , 而不用enable password TACACS/TACACS+, RADIUS, Kerberos 认证 控制交互式访问 控制台的访问:可以越过口令限制; 远程访问telnet, rlogin, ssh, LAT, MOP, X.29, Modem 虚拟终端口令保护:vty, tty
13、 :login , no password 只接收特定协议的访问,如transport input ssh 设置允许访问的地址:ip access-class 超时退出:exec-timeout 登录提示:banner login,路由器安全管理(二),关闭没有必要的服务 small TCP no service tcp-small-servers: echo / chargen / discard finger, ntp 邻机发现服务(cdp) 审计 SNMP 认证失败信息,与路由器连接信息: Trap 系统操作日志:system logging: console, Unix syslogd
14、, 违反访问控制链表的流量 操作系统更新 路由器IOS 与其他操作系统一样也有BUG,怎样检测系统入侵,察看登录用户和活动进程 w, who, finger ,last 命令 ps , crash 寻找入侵的痕迹 last, lastcomm, netstat, lsof, /var/log/syslog,/var/adm/messages, /.history 查找最近被修改的文件 :find 检测sniffer 程序 ifconfig, cpm,蠕虫的危害及防范(一)蠕虫简介,Morris蠕虫事件 发生于1988年,当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh,rexec:用户的
15、缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测 CR II蠕虫 感染主机全球超过30万台 导致大量网络设备瘫痪,蠕虫的危害及防范(二)Lion蠕虫,出现于今年四五月间 造成网络的针对53端口大面积扫描 主要行为 利用Bind 安全缺陷入侵 扫描一段B类网络 之后出现了很多类似的蠕虫 Raemon蠕虫 Sadmind 蠕虫 解决方法:更新Linux bind服务器,蠕虫的危害及防范(三)CR I,主要影响Windows NT系统和Windows 2000 主要影响国外网络 据CERT统计,至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓
16、冲区溢出缺陷进入系统 检查c:notworm文件是否存在以判断是否感染 中文保护(是中文windows就不修改主页) 攻击白宫! 解决方法:更新Windows 2000、NT操作系统和杀毒工具,蠕虫的危害及防范(三续)CR II,Inspired by CR I 影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统,由于一些参数的问题,只会导致NT死机 休眠与扫描:中文windows,600个线程,Code Red 扩散速度(7.19-7.20),Code Red v 1扩展速度(7.19-7.20),蠕虫的危害及防范(四)nimda,主要特点 综合了各种攻击和传染方法 第一款既有蠕虫特征又有病毒特征的恶意代码 影响面遍及全球 主要行为 群发电子邮件,付病毒 扫描共享文件夹, 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server,蠕虫的危害及防范(五)蠕虫的防范,完善的安全政策 定期更新杀毒工具 邮件、网络共享的安全使用规范 系统责任人和权限设置 有效的应对措施 与辖区CERT保持及时联系 首先设法避免蔓延
