《网络安全应急响应服务与CERNET的行动教学内容》由会员分享,可在线阅读,更多相关《网络安全应急响应服务与CERNET的行动教学内容(63页珍藏版)》请在金锄头文库上搜索。
1、网络安全应急响应服务与CERNET的行动,网络安全应急响应服务的背景 CERNET 计算机应急响应组(CCERT)运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献,内容提要,Internet 的安全问题的产生,Internet起于研究项目,安全不是主要的考虑 少量的用户,多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全 “Security issues are not discussed in this memo” 网络协议的开放性与系统的通用性 目标可访问性,行为可知性 攻击工具易用性 Internet 没有集中的管理权威和统一的政策
2、 安全政策、计费政策、路由政策,操作系统漏洞统计,两个实验,San Diego 超级计算中心 Redhat Linux 5.2 , no patch 8小时:sun rpc probe 21天: 20 次pop, imap, rpc, mountd使用Redhat6.X的尝试失败 40天: 利用pop 服务缺陷或的控制权 系统日志被删除 安装了rootkit、 sniffer,清华大学校园网 Redhat Linux 6.2 , 只开设telnet, www服务; 所有用户申请均可获得账号 7天后358个用户 两个用户利用dump获得root 控制权,安全应急响应服务背景,应急响应服务的诞生C
3、ERT/CC 1988年Morris 蠕虫事件直接导致了CERT/CC的诞生 CERT/CC服务的内容 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布:缺陷、公告、总结、统计、补丁、工具 教育与培训:CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT(也称IRT、CERT)组织建设,CERT/CC简介,现有工作人员30多人,12年里处理了288,600 封Email, 18,300个热线电话,其运行模式帮助了80多个CSIRT组织的建设,CERT/CC简介,CMU,SEI,Networked Systems Survivability pr
4、ogram,Survivable Network Management,CERT/CC,Survivable Network Technology,Incident Handling,Vulnerability Handling,CSIRT Development,DoD,安全应急响应服务背景,国外安全事件响应组(CSIRT)建设情况 DOE CIAC、FedCIRC、DFN-CERT等 FedCIRC、AFCERT, NavyCIRT 亚太地区:AusCERT、SingCERT等 FIRST(1990) FIRST为IRT组织、厂商和其他安全专家提供一个论坛,讨论安全缺陷、入侵者使用的方法和
5、技巧、建议等,共同的寻找一个可接受的方案。 80多个正式成员组织,覆盖18个国家和地区 从FIRST中获益的比例与IRT愿意提供的贡献成比例 两个正式成员的推荐,国内安全事件响应组织建设情况,计算机网络基础设施已经严重依赖国外; 由于地理、语言、政治等多种因素,安全服务不可能依赖国外的组织 国内的应急响应服务还处在起步阶段 CCERT(1999年5月),中国第一个安全事件响应组织 NJCERT(1999年10月) 中国电信ChinaNet安全小组 解放军,公安部 安全救援服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ,2000年3月,北京,安全应急响应组的
6、分类,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的 任何用户,产品用户,网络接入用户,企业部门、用户,商业IRT,网络服务提供商 IRT,厂商 IRT,企业 /政府 IRT,如:安全服务公司,如:CCERT,如:cisco, IBM,如:中国银行、 公安部,如CERT/CC, FIRST,如CNCERT/CC,安全应急响应服务组织的服务内容,CSIRT的服务内容 应急响应 安全公告 咨询 风险评估 入侵检测 教育与培训 追踪与恢复,安全应急响应服务的特点,技术复杂性与专业性 各种硬件平台、操作系统、应用软件; 知识经验的依赖性 由IRT中的人提供服务,而不是一个硬件或软件产品;
7、 突发性强 需要广泛的协调与合作,网络安全应急响应服务的背景 CCERT运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献,内容提要,CERNET在应急响应中的优势,高速的、大规模的网络环境 10M/ 100M/ 1000M的用户接入 活跃的攻击者和安全服务提供者 BBS、各种俱乐部,CERNET、 Internet2、IPv6 实验床,CERNET在应急响应中的优势,CERNET在应急响应中的优势,运行网络和实验网络, 可进行各种实验 IPv6实验床、Internet2 的国际接入 可控的网络基础设施 路由系统、域名系统、网络管理系统、电子邮件系统 主干网扩大
8、到省级节点,便于集中控制 以CERNET为依托的科研项目 九五攻关项目:网络管理、网络安全、安全路由器 高速IP网络安全运行监控系统 100M 流量分析与协同分布式入侵检测 多种角色:高校、NSP/ISP 便于国际交流、更加了解用户需求,CERNET 计算机安全应急响应组(CCERT),CERNET华东(北)地区网网络安全事件响应组(NJCERT),研发部,运行部,CCERT 事件处理,CCERT,NIC,NOC,地区网络中心,校园网络中心,Internet 用户,IPv6,网管,高速网,:,系统管理员,CERNET 计算机安全应急响应组(CCERT),主要客户群是CERNET 会员,但也有受
9、理其他网络的报告和投诉 目前主要从事以下服务和研究: 事件响应:入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理 给站点管理员提供安全建议 提供安全信息公告和安全资源 反垃圾邮件、禁止扫描的公告 操作系统补丁、工具软件 网络安全领域的研究,包括 安全管理、入侵检测、安全体系结构、PKI,CCERT一年来回顾,所处理的事件可分为四类: 垃圾邮件和邮件炸弹 扫描 入侵 DOS 攻击 至2000年9月,处理了 2000 多份报告,其中包括 1800多起垃圾邮件和邮件炸弹报告; 110 起扫描与 DOS 攻击报告; 50 起入侵报告,常见安全事件报告与处理,垃圾邮件转发 90左右的报告与垃圾邮件有
10、关 国外的投诉 国内的报告 邮件服务器配置不当,为第三方中转邮件 危害: 流量盗用 -费用增加 可能导致邮件服务器的所有通信被受害者封锁;spamcop 对国家和社会安全的影响 解决方法: relay-test scan 重新配置、升级邮件系统 封锁国外转发转发垃圾邮件的站点,垃圾邮件的报告已逐渐减少,常见安全事件报告与处理,扫描,入侵的前兆 服务发现扫描,如 proxy hunter( 80, 8080,1080) 缺陷扫描,如SATAN 等工具 ftp, telnet ,ssh, pop2, pop3, sunrpc, netbios, imap, klogind, socks, 入侵 多
11、数入侵由于众所周知的缺陷,解决方法已有: Solaris rpc.statd, rpc.ttdbserver, Linux imapd, wu_ftp freeBSD pop3d Win2k Terminal Server, 很多案例由外部的报告发现,管理员并不知道,典型的入侵案例,缺陷扫描 Root compromise: pop3d 停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 甚至替换以下程序 /bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls 、/bin/netstat 安装窃听程序 sniffer :
12、/usr/.sniffit 重新启动 syslogd ,关闭pop3d 删除日志记录 wtmp、wtp、message、syslog,一般入侵步骤,拒绝服务攻击,DoS 攻击 land , teardrop, SYN flood ICMP : smurf Router: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal server Solaris : Linux: 其他.,SYN Flood,Send SYN (seq=100 ctl=SYN),SYN received,Send SYN (seq=300
13、 ack=101 ctl=syn,ack),Established (seq=101 ack=301 ctl=ack),attacker,target,Established (seq=301 ack=301 ctl=ack Data),SYN received,正常的TCP 连接建立过程 - 三次握手,ICMP Smurf,attacker,target,分布式拒绝服务(DDOS),以破坏系统或网络的可用性为目标 常用的工具: Trin00, TFN/TFN2K, Stacheldraht 很难防范 伪造源地址,流量加密,因此很难跟踪,client,target,DDOS攻击方法及防范,攻击
14、的两阶段: 第一阶段控制大量主机 利用系统的漏洞获得大量主机系统的控制权,并安装DDoS 工具;Linux imapd, Solaris rpc 、rstatd, Windows; 第二个阶段,发起攻击: 向目标发送大量的TCP/UDP/ICMP包,导致系统资源耗尽或网络拥塞,从而使目标系统或网络不能响应正常的请求。 DDOS防范: 网络中所有的系统都要安全的配置,不使之成为DDOS的源; 路由器/防火墙配置:过滤伪造源地址的IP 包 检测工具:find_ddosv31、ddos_scan、rid,扫描事件报告统计增长趋势,常见问题,管理问题:资产、策略、负责人, 没有明确的安全管理策略 操作
15、系统安装后使用缺省配置,不打补丁,运行许多不必要的服务; 99%以上的入侵是可以通过系统配置来防范的;,常用的攻击方法,常见问题,多种服务安装在同一服务器上,DNS/Mail/Web/ FTP 公用服务器用户口令过于简单,uid: stud? / Pwd:123456 审计功能没有激活,或管理员根本不检查审计日志 没有备份,系统在被入侵后很难恢复,事件处理的困难,服务本身缺乏项目和资金的支持; 人力资源与知识经验的不足; 缺乏迅速的联系渠道 过时的 whois 数据库,联系信息数据库不准确 ; 来自国外的投诉较多,国内的用户还没有足够的自我保护意识和能力,网络安全应急响应服务的背景 CCERT
16、 运行一年来的回顾 网络和系统安全配置建议 CERNET安全应急响应服务建设计划 参考文献,内容提要,NT 安全配置检查表,安装 不要同时安装其他操作系统,以防止越权访问和数据破坏 所有分区都选择NTFS格式,以支持访问控制 选择9个字符以上、不易猜测的口令 创建修复盘 补丁 安装最新版本的补丁Service Pack; 安装相应版本所有的 hotfixes 跟踪最新的SP 和 hotfix,NT 安全配置检查表,病毒防范 安装防病毒软件,及时更新特征库 政策与用户的教育:如何处理邮件附件、如何使用下载软件等 网络配置 关闭不必要的网络服务 配置防火墙/路由器,封锁不必要的端口:TCP port 135, 137, 139 and UDP port 138.,NT 安全配置检查表,账号与口令策略设置 口令安全策略:有效期、最小长度、字符选择 账号登录失败n次锁定 关闭缺省账号,guest, Administrator,文件系统与共享 系统分区的权限设置 如果不想提供共享
