《{企业通用培训}网络安全基础培训V10》由会员分享,可在线阅读,更多相关《{企业通用培训}网络安全基础培训V10(37页珍藏版)》请在金锄头文库上搜索。
1、网络安全基础培训,内容纲要,网络安全概述 网络安全现状 网络不安全的原因 网络攻击介绍 网络入侵者 入侵动机 网络攻击手段 入侵步骤 防御措施 防火墙技术 漏洞扫描技术 入侵检测技术 VPN技术 防病毒软件,网络安全概述,随着Internet的迅速普及与发展,人们利用网络把孤立的单机系统连接起来,相互通信和共享资源,给生活与工作带来了极大的方便。但是,随之而来并日益严峻的问题是计算机信息的安全问题。 由于计算机信息有共享和易扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。,网络安全现状,
2、根据权威机构统计,现在平均每20秒就发生一起Internet入侵事件。 根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的 目前已知的黑客攻击方法就有四千多种,网络系统目前存在的威胁,电子谍报,蠕虫程序,特洛伊木马,黑客攻击,信息丢失、篡改、销毁,后门、隐蔽通道,计算机病毒,拒绝服务攻击,内部、外部泄密,网络不安全的原因,自身缺陷 + 开放性 + 黑客攻击 业务不安全 协议不安全,业务基于公开的协议 远程访问使得各种攻击无需到现场就能得手 连接是基于主机上的社团彼此信任的原则,历史原因,从网络互联协议的本质上讲:
3、 Internet从建立开始就缺乏安全的总体构想和设计 TCP/IP协议由于最初应用于军事,是为专有网络设计的;认为网络是安全的、可信的,缺乏安全措施的考虑。 在新的IPV6协议中通过增加身份验证头(AH)和封装安全性净荷(ESP)头来实现身份验证和安全性。,系统缺陷,人为原因,人为的无意失误 如操作人员安全安全意识不强,管理员口令设置简单,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 人为的恶意攻击 这是计算机网络所面临的最大威胁,对手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻
4、击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。,网络攻击介绍,网络的入侵者 黑客入侵动机 入侵步骤 常见网络攻击手段及工具 网络攻击原理,网络的入侵者,Phreaking(飞客) Hacker(黑客) Cracker(垮客),Phreaking(飞客),飞客是最古老的网络入侵者,他们通过电话用户线,使用特殊的设备和信号欺骗电话交换机,使电话交换机按照飞客的意图操作。,Hacker(黑客),有这样一群计算机的爱好者,他们分析系统的原理和实现,为系统挑出缺陷和漏洞,从而进一步完善系统。,Internet,Cracker(垮客),Cracker的攻击和入侵是恶意的,他
5、们试图使系统停止工作或停止服务,通过入侵,他们窃取信息,并以此赚钱。,黑客入侵动机,攻击的动机 出于政治目的、商业目的 出于好奇或者满足虚荣心 从技术上讲,黑客入侵的动机是成为目标主机的主人。只有获得了一台网络主机的超级用户权限后才能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。,什么导致黑客入侵,漏洞 系统漏洞(操作系统本身的漏洞) 人为因素(过于简单的口令) 后门 由系统开发人员留下的用于调试或其他目的的系统后门 攻击者留下的特洛伊木马 对外提供的服务 没有开启任何服务的主机绝对是安全的主机,黑客入侵的步骤,黑客常用攻击手段,VPN通道,系统弱密码入侵 利用CGI
6、/IIS漏洞入侵 Buffer Overflow入侵 DOS/DDOS攻击 IP Spoof入侵 网络监听(sniffer) 数据库弱密码入侵 Sql Injection入侵 利用PHP程序漏洞入侵 其它,黑客攻击常用工具,扫描器(SCANNER),什么是扫描器 扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。 扫描器能告诉我们什么? 扫描器能够发现目标主机某些内在弱点,这些弱点可能是破坏目标主机安全性的关键性因素。,常见的扫描器,口令入侵,安全口令的现状,口令入侵,口令破解 Unix口令通常限制
7、在8位以内,56位密钥加密 john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/sh NT口令通常限制在14位以内 口令破解的时间 Unix口令6位小写字母穷举:36小时8位小写字母穷举:3年 NT口令8位小写字母及数字穷举,时间通常不超过30小时,窃听器(SNIFFER),窃听原理它可以截获口令等非常秘密的或专用的信息,甚至还可以用来攻击相邻的网络,它本身完全只是被动地接收数据监听局域网中的广播式通信。 常用端口 ftp21 http80 pop3110 telnet23 常用窃听器 Sniffer NetXRay,特洛伊木马(Troj
8、an Horse),木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。比如冰河、NetSpy 木马的激活方式 在Win.ini中启动 修改文件关联属性 在System.ini中启动,拒绝服务(DoS),什么是DOS攻击? Denial of service 攻击通过大量通信量使企业网络或电子商务网站瘫痪。类似于几百个人同时拨一个电话,导致电话繁忙和不可用。这些攻击也会发送一些“特殊”的包,使远程的软件或服务瘫痪。这类攻击往往发送大量无用的包如SYN
9、或PING。 利用量导致拒绝服务 Email炸弹:它是一种简单有效的侵扰工具. 它反复传给目标接收者相同的信息, 用这些垃圾拥塞目标的个人邮箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 运行在windows平台上,使用非常简单. 利用系统缺陷导致拒绝服务 SYN flood Ping of Death Tear Drop IP Spoofing - IP Source route - WinNuke等,SYN flood原理,攻击者伪造源地址,发出Syn请求 利用三次握手,建立半连接,耗尽系统资源。 服务器上所有服务都不能正常使用,Syn 伪造源地址(1.
10、1.1.1),IP:211.100.23.1,1.1.1.1(TCP连接无法建立,造成TCP等待超时),Ack,大量的伪造数据包发向服务器端,分布式拒绝服务(DDoS),黑客控制了多台服务器,通过多个地点同时向被攻击的网站发出大量信息,使其超出该网站自身的负荷能力而“无法对用户提供正常服务”,网络安全防御措施,防火墙技术 漏洞扫描 入侵检测 VPN技术 防病毒软件,防火墙技术,网关 包过滤 状态检查 地址转换 SNAT/DNAT/PAT DMZ 访问控制,漏洞扫描,漏洞检测 报告服务进程 提取对象信息 评测风险 提供安全建议和改进措施 最大可能的消除安全隐患,入侵检测/入侵保护(IPS),入侵
11、保护是实时网络违规自动识别和响应系统。 它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方(如网络系统中涉密重要部门、Internet互连出口处),通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。 当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。 入侵检测系统与防火墙的结合使用,可以形成主动性的安全防御措施。,VPN概述,VPN的定义:Virtual Private Network是指依靠ISP或其他NSP在公用网络基础设施之上构建
12、的专用的数据通信网络,这里所指的公用网络有多种,包括IP网络、帧中继网络和ATM网络等。 VPN可分为三大类:(1)企业各部门与远程分支之间的Intranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。,VPN的构成,IP网络,ISP,二层隧道,三层隧道,VPN网关,VPN网关,局域网,局域网,远程用户,VPN技术,常见的VPN协议 第二层隧道: PPTP(Microsoft,3COM,Ascend.) Point to Point Tunneling Protocol,点对点隧道
13、协议 L2F(Cisco,北电) Layer 2 Forwarding,二层转发协议 L2TP(Microsoft,Ascend,Cisco,3COM) Layer 2 Tunneling Protocol,二层隧道协议 第三层隧道:IPSec隧道、IPIP隧道、GRE隧道 IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,,VPN的典型应用,INTERNET,VPN网关,VPN网关,VPN网关,移动用户,VPN,VPN,VPN,防病毒软件,防病毒现状 形成全方位病毒防御体系 建立分层病毒管理机制 “层层防护、集中控管” 防病毒管理体系 可操作性 统一性和强制性 全局性 动态性 管理与技术融合 职责分明 制度化,卡巴斯基 瑞星 趋势 诺顿 熊猫卫士,
