《网络安全入门课件》由会员分享,可在线阅读,更多相关《网络安全入门课件(40页珍藏版)》请在金锄头文库上搜索。
1、网络安全入门,于广辉 大连理工大学网络中心,平台和安全性,关于Windows NT的C2安全级 C2是EPL中的一个非常地的安全级,而且,NT的C2级只限于某些特定的硬件平台上(Compaq Proliant 2000 或 4000 Pentium和DEC AXP/150 Alpha)。 NT的C2级证书的对象是一台无网络连接的,单独工作的工作站。,平台和安全性,从DOS开始 硬件 不可靠的CMOS口令 放电 Amidecod 获取AMI BIOS主板口令 AW.com 获得Award BIOS主板口令 Cwspwd15.zip 获得AMI, Award, Dell口令 键盘捕获工具 键盘捕获
2、工具是一种捕获出现在某一特定事件的任何击键动作的工具,平台和安全性,Play Back 1.9 记录一个任务的所有击键动作,并可以回放。有精确的时间顺序。 Windows95 很轻易就可以避开登录过程,平台和安全性,Microsoft Internet安全框架 (MISF) MISF目的是将一连串技术加入到Microsoft产品中。 AcitveX采用了Authenticode的技术,即系统中开发人员数字的为他的应用程序签名。 ActiveX的问题是ActiveX允许任何二进制代码的执行,恶意的ActiveX控件可以编写程序不需要用户的确认或同意就可以删除或修改用户本地攀上的文件或与其他计算机
3、链接的文件。表现较好的ActiveX空间也有染毒的危险。遗憾的事,病毒可以像一般代码那样加密。 1997年2月,德国的CCC(Chaos Computer Club)显示了能够从银行账户中窃取钱财病房到另一个账户的ActiveX控件,这些没有用到个人标示码(PIN)。这显示了ActiveX安全模型的巨大漏洞。,平台和安全性,Microsoft Windows NT Microsoft Windows NT采用了一个真正的安全模型。这个模型中最重要的是考虑了访问控制。访问控制主要是出现在基于UNIX的操作系统中。它包括关于谁可以访问文件、服务和目录控制。某些情况下,它也包含对访问可以出现的时间控
4、制。,平台和安全性,DAC 数据访问控制 DAC可以控制用户在一给定的时间内对那些文件和资源进入完全控制的权利。如在WindowsNT安全模型下,你可以禁止某个用户访问Excel。 NTFS是包含于NT发行版中的增强文件系统。FAT文件系统提供某些安全性,如控制用户访问和认证。然而对于严格的细节控制(对每个文件和目录的控制),你必须为分区选择NTFS。这个问题经常被忽视。,平台和安全性,WindowsNT的DAC与UNIX系统所实现的DAC策略相同。其中起核心作用的是文件所有权和特权的理论。即谁创建文件谁就拥有它, 而其他人对这个文件的访问以来与其管理者对它所作的限制。 Dump ACL 把所
5、有的控制情况放在一起并以完整的格式显示。 RegFind 查找注册表中的对象。,平台和安全性,NT的脆弱性 80端口的远程漏洞 早期的IIS 2.0, 只要向80端口发送 GET ./.,Web服务器就会崩溃。 现在IIS仍然有很多漏洞被发现 拒绝服务攻击 CPUHog 可以使NT服务器的CPU使用率达到100% 135,1031端口攻击 对其中一个发出几行文字,将时早期的NT CPU负载达到100% DNS拒绝服务攻击,平台和安全性,SMB(Sever Message Block)问题 SMB是一个客户/服务器模型的文件共享协议。它用于共享文件、目录、打印机和串行通信连接。它可以运行于(或相
6、连于)一系列其他协议上,包括 TCP/IP NetBIOS IPX/SPX 拒绝服务攻击 早期的NT可以通过向SMB服务器发送DIR .来摧毁目标机,平台和安全性,可能通过复杂的手段未经授权的安装远程主机的共享目录,平台和安全性,UNIX Unix平台已经发展了很多年。今天,他被定位为一个32(64)位的多任务,多用户的网络操作系统。它具有先进的安全特性,包括独立访问控制、加密和认证。 UNIX是安全的吗? Unix可以使安全的,但是大多是的默认安装是不安全的。,平台和安全性,什么是安全的Unix? Trusted UNIX被认为对一般敏感数据的使用是安全的。 XTS-300 STOP 4.1
7、a B3级 XTS-300 STOP 4.1a不仅仅是一个操作系统,而且包括硬件(Intel 80486PC/AT, EISA Bus)和软件(STOP 4.1a OS)。在底层它有一个类似UNIX的界面。在高层,它使用一个有等级的文件系统。这个操作系统的DAC(数据访问控制)非常完善,非常适合于敏感性工作。,平台和安全性,Trusted XENIX 4.0 B2级 Trusted XENIX是UNIX的安全增强版本。 Tusted XENIX提供小粒度的访问控制、审查能力和访问控制列表。另外,系统识别四个层次的安全用户(或特权用户): 系统安全管理员 安全操作员 收费管理员 审查员 这种操作
8、系统并不信任用户。系统结构依赖于人为定义的严格访问政策。攻击这样系统的唯一方法就是内部人进行破坏。负责系统维护的每个人相互之间都是相对独立的。每个可信用户必须对系统安全的某一特定部分负责。为了覆盖所有系统安全性,这些人必须协同工作。,平台和安全性,保护一个系统应该开始于安装。 开始安装时,对你机器安全性威胁是本地漏洞和极小的由供应厂商的程序员安装特罗伊木马的可能性。 控制台安全 让系统在单用户模式下需要口令 机器应该放在何处 不应该把一台有敏感数据的机器放在用户可以不受限制接触机器的地方。 若一个系统在物理上是不安全的,则整个系统都是不安全的。RFC1224,平台和安全性,保护你的安装介质 安
9、装介质应该放到一个安全的地方。请记住安装介质可用于对系统破坏。 绝对不能把安装介质放到离工作站附近! 缺省账号和口令 缺省口令,平台和安全性,口令安全 每种口令系统都有自己的弱点 必须为密码的选择制定一个标准 需要强制所有用户定期的改变他们的密码 隐藏口令 如果你的系统支持,一定要启用Shadow Password Shadow Password阻止了普通用户直接访问加密后的口令。 注意:如果你在本地保存口令攻击器,要确保除了你之外没有人可以使用它。,平台和安全性,安装一个主动口令检查程序 目前我们已经完成: 安装软件 定义root口令 定义控制台口令 物理的保护机器和安装介质 安装口令隐藏
10、如果要求用户提供一个他们自己喜爱的口令,他们将会选择很容易击破的口令。 主动口令检查器的目的是保证每个进入passwd文件的口令是不会有问题的。,平台和安全性,当用户选定一个希望的口令时,在口令被接受前,它与一个单词表和一系列规则相比较,若口令不满足这个程序的要求,强迫用户做出其他的选择。 检查服务 r系列服务 rsh,rlogin,rcp 用ssh进行替代 (Secure Shell),平台和安全性,finger服务器 其它远程服务 你应该确定的几个问题: 是否允许使用telnet从外部连接? FTP? 是否允许匿名ftp? telnet Telnet本身不是一个危险服务,但是一些实现有问题
11、。 Telnet采用明文传输密码,这本身对网络就是一个威胁。 如果一定要提供远程登录,请使用SSH。,平台和安全性,FTP 允许上传的匿名FTP是相当不安全的 利用incoming目录可以避开某些安全检查 常用FTP Wu-ftpd 早期wu-ftpd具有多个安全性漏洞,请是用最新版本或者最新版本的proftpd。 TFTP TFTP具很大的安全威胁,如果没有必要,一定要关掉它。,平台和安全性,NFS 尽量避免使用NFS,错误配置的NFS服务同样具有安全威胁。 HTTP 几个需要注意的地方: EXEC选项 SSI AllowOverride NONE,平台和安全性,为敏感内容选择s-http和
12、ssl 进行备份 在把你的机器连到Internet之前做一个备份 不能允许其他用户接触介质,这些备份应该只能有可信任的人员才能接触。 备份以后安装TCP_Wrapper、TCPDUMP和Trip Wire,平台和安全性,TCP_Wrapper TCP Wrapper可以提供完整的日志,记录谁访问了你的系统;并且可以对谁能访问进行严格的控制。 TCPDump 一个很好的Sniffer,可以用来收集非法入侵信息和分析网络流量。 Trip Wire 对系统完整性进行检查 注意对检查结果单独离线存放,平台和安全性,关于X 启用 Xdm Authorization机制 注意.xhost 有可能的话在远程
13、机器上启用SSH转发 修订程序 从销售商获得系统的补丁 Solaris HP UX AIX ,平台和安全性,最后一步:把机器连到Internet上,远程攻击,远程攻击 一台远程计算机是这样一种机器,它不是你正在其上工作的那台,而是能利用某协议通过Internet或其他任何网络或介质被使用的计算机。 远程攻击的对象是攻击者还无法控制的远程计算机。,远程攻击,远程攻击的一般过程 收集足够的信息 系统管理员是谁 在目标网络上的计算机和它们的功能以及域服务器 他们操作系统 他们可能有的漏洞 他们的系统管理员进行的任何讨论,包括网络拓扑结构、网络管理、网络策略和网络构造等。,远程攻击,进行测试 搭建一个
14、模拟环境,然后进行一系列的攻击测试。 需要特别注意: 从攻击方来看这些攻击行为看上去象什么 从被攻击方来看这些攻击行为看上去象什么 寻找和漏洞相关的各种工具 形成一个攻击策略,远程攻击,一个完美的远程攻击不是那些仓促行事的入侵者能做到的。,防火墙,防火墙 防火墙是阻止外面的人对你的网络进行访问的任何设备,此设备通常是软件和硬件的组合体,它通常根据一些规则来挑选想要或者不想要的地址。 防火墙的类型 网络层(包过滤)防火墙 对数据包的IP地址和端口进行限制 通常具有很高的速度,能够方便处理大多数服务 不能有效处理对随机分配端口的服务,如RPC 应用代理/应用网关 当用户连接一个远程服务器时,向应用
15、代理发出请求。应用代理根据规则检查通过后,向远程服务器发出请求,并将结果返回用户主机。,防火墙,应用代理可以提供更多的控制,成熟的日志功能。然而,这些都是由牺牲速度换来的。 你需要为分别每个应用配置代理,并且只有常见的服务被应用代理所支持。 防火墙的局限性 防火墙能够使你的网络对未授权连接的任何人而言是不可见的(至少是不可到达的)。,防火墙,从理论上来讲,防火墙是你所能采取的最严格的安全措施。然而同样和容易带来一些问题: 防火墙带来的严格的安全性实际上削弱了网络的功能。你在安全上得到了多少,那么你在功能上就失去了多少。 防火墙很容易使你忽视内部的安全问题。这样防火墙就成了你位一的安全屏障,如果
16、防火墙一旦被突破,你将失去全部的安全性。 防火墙将成为网络的瓶颈。,防火墙,对某些情况来说,采用防火墙并不现实。如大的ISP的出口。,防火墙,如何构造防火墙 基本的步骤: 判别网络拓扑和使用的协议 形成策略 寻找足够的工具 充分利用这些工具 测试配置,防火墙,防火墙坚不可摧吗? 没有坚不可摧的防火墙。 常见的入侵方式如下: 从目标网络上跳出真正的攻击目标。 努力获得有关内部系统的确切信息。 阅读最新的安全文章 任何一个防火墙都无法有效的防止来自内部的攻击。,防火墙,商业防火墙 Checkpoint Firewall and Firewall-1 可以控制时间对象,可以将处理任务分散到一组工作站上。 Cisco PIX Nokia IP330, IP660 固化CheckPoint Firewall-1,IP电子欺骗,IP电子欺骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。 常见的攻击过程 让被替代的机器A休眠 发现目标机器B的序列号规律 冒充机器A向机器B发出请求,算出机器应该发来什么序列号,给出机器B想要的回应。,IP电子欺骗,这样就可以利用机器B对机器A的信
