《《基本安全性》课件》由会员分享,可在线阅读,更多相关《《基本安全性》课件(42页珍藏版)》请在金锄头文库上搜索。
1、基本安全性,家庭和小型企业网络 第八章,目标,识别和描述各种网络威胁 识别各种攻击方式 描述安全规程和应用程序 描述防火墙的特点,以及如何应用防火墙来防范攻击,内容索引,8.1 网络威胁 8.2 攻击方式 8.3 安全策略 8.4 使用防火墙,8.1.1 网络入侵者,计算机网络中,不速之客的入侵可能导致代价高昂的网络中断和工作成果的丢失。针对网络的攻击有时具有相当的破坏性,可能造成重要信息或资产的损坏或失窃,导致时间上和金钱上的损失。 入侵者可通过软件漏洞、硬件攻击甚至一些科技含量很低的方法(例如猜测某人的用户名和密码)来获得对网络的访问权。通过修改或利用软件漏洞来获取访问权的入侵者通常被称为
2、黑客。,8.1.1 网络入侵者,一旦黑客取得网络的访问权,就可能给网络带来以下四种威胁:信息盗窃、身份盗窃、数据丢失/操纵、服务中断,8.1.1 网络入侵者,参见电子版教材练习8.1.1.2,8.1.2 网络入侵者的来源,网络入侵者造成的安全威胁可能来自网络内部和外部两个源头。 外部威胁是由组织外部活动的个人引起的。他们没有访问组织计算机系统或网络的权限。外部攻击者主要通过 Internet、无线链接或拨号访问服务器进入网络。,8.1.2 网络入侵者的来源,内部威胁是由具备授权用户帐户的个人,或能够实际接触网络设备的人员导致的。内部攻击者了解内部的政策和人员。他们往往清楚的知道,什么信息有价值
3、而且易受攻击,以及怎么获得该信息。 然而,并不是所有内部攻击都是故意的。在某些情况下,一个受信任的员工在公司外部工作时可能会感染上病毒或安全威胁,然后在不知情的情况下将它带到内部网络中,从而造成内部威胁。 许多公司都在防御外部攻击上花费了大量资源,但大多数威胁其实来自内部。据 FBI 调查显示,在报告的安全入侵事件中,约有 70% 都是因内部访问和计算机系统帐户使用不当造成的。,8.1.3 社会和网络钓鱼,对于内外两个源头的入侵者而言,要想获得访问权,最简单的一种方法就是利用人类行为的弱点。常见方法之一便是“社会工程”(Social Engineering)。 社会工程中最常用的三种技术有:假
4、托、网络钓鱼和语音网络钓鱼。,8.1.3 社会和网络钓鱼,假托 (Pretexting) 是一种社会工程方式,攻击者会对受害人编造虚假情景(假托),以使受害人泄漏信息或执行某种操作。通常是通过电话联系攻击目标。要使假托起作用,攻击者必须能够与目标人员或受害人建立合理联系。为此,攻击者一般需要预先进行一些了解或研究。例如,如果攻击者知道攻击目标的社会保险号码,他们就会使用该信息来获取攻击目标的信任。那么攻击目标便很有可能进一步泄漏信息。,8.1.3 社会和网络钓鱼,网络钓鱼是一种社会工程方式,网络钓鱼者将自己伪装为外部机构的合法人员。他们通常通过电子邮件联系攻击目标个人(网络钓鱼受害者)。网络钓
5、鱼者可能会声称,为了避免某些糟糕的后果,要求攻击目标提供确认信息(例如密码或用户名)。,8.1.3 社会和网络钓鱼,语音网络钓鱼/电话网络钓鱼 一种使用 IP 语音 (VoIP) 的新式社会工程被称为“语音网络钓鱼”(vishing)。在语音网络钓鱼攻击中,用户会收到一封语音邮件,邮件中指示他们拨打一个看上去像是正规电话银行服务的电话号码。随后,没有设防的用户拨打该号码时,通话会被窃贼截听。为了进行确认而通过电话输入的银行帐户号码或密码便被攻击者窃取。,8.2.1 病毒、蠕虫和特洛伊木马,其它类型的攻击,借助计算机软件的漏洞来执行。此类攻击技术包括:病毒、蠕虫和特洛伊木马。所有这些都是侵入主机
6、的恶意软件。它们会损坏系统、破坏数据以及拒绝对网络、系统或服务的访问。它们还可将数据和个人详细信息从没有设防的 PC 用户转发到犯罪者手中。在许多情况下,它们会自身复制,然后传播至连接到该网络的其它主机。,8.2.1 病毒、蠕虫和特洛伊木马,病毒是通过修改其它程序或文件来运行和传播的一种程序。病毒无法自行启动,而需要受到激活。有的病毒一旦激活,便会迅速自我复制并四处传播,但不会执行其它操作。这类病毒虽然很简单,但仍然非常危险,因为它们会迅速占用所有可用内存,导致系统停机。编写的更为恶毒的病毒可能会在传播前删除或破坏特定的文件。病毒可通过电子邮件附件、下载的文件、即时消息或磁盘、CD 或 USB
7、 设备传输。,参见电子版教材动画8.2.1.2,8.2.1 病毒、蠕虫和特洛伊木马,蠕虫类似于病毒,与病毒不同的是它无需将自身附加到现有的程序中。蠕虫使用网络将自己的副本发送到任何所连接的主机中。蠕虫可独立运行并迅速传播,它并不一定需要激活或人类干预才会发作。自我传播的网络蠕虫所造成的影响可能比单个病毒更为严重,而且可迅速造成 Internet 大面积感染。 特洛伊木马是一种非自体复制型程序,它以合法程序的面貌出现,但实质上却是一种攻击工具。特洛伊木马依赖于其合法的外表来欺骗受害人启动该程序。它的危害性可能相对较低,但也可能包含可损坏计算机硬盘内容的代码。特洛伊木马还可为系统创建后门,从而使黑
8、客获得访问权。,8.2.1 拒绝服务和暴力攻击,拒绝服务 (DoS) DoS 攻击是针对单个计算机或一组计算机执行的一种侵略性攻击,目的是拒绝为特定用户提供服务。DoS 攻击可针对最终用户系统、服务器、路由器和网络链接发起。 两种常见的 DoS 攻击为: SYN(并发)洪水攻击 向服务器发送大量请求客户端连接的数据包。这些数据包中包含无效的源 IP 地址。服务器会因为试图响应这些虚假请求而变得极为忙碌,导致无法响应合法请求。 死亡之 ping:向设备发送超过 IP 所允许的最大大小(65,535 字节)的数据包。这可导致接收系统崩溃。,8.2.1 拒绝服务和暴力攻击,8.2.1 拒绝服务和暴力
9、攻击,分布式拒绝服务 (DDoS) DDoS 的运行规模远比 DoS 攻击更大,通常会有成百上千个攻击点试图同时淹没攻击目标。攻击点可能是之前感染了 DDoS 代码的没有设防的计算机。感染 DDoS 代码的系统会在被调用时攻击目标站点。 暴力攻击 攻击者使用运行速度很快的计算机来尝试猜测密码或破解加密密钥。攻击者会在短时间内尝试大量可能的密码来获取访问权限或破译密钥。暴力攻击可引起针对特定资源的通信量过大或用户帐户锁定,从而导致拒绝服务。,参见电子版教材动画8.2.2.2,8.2.3 间谍软件、跟踪 Cookie、广告软件和弹出广告,许多威胁的目的是收集用户的相关信息以用于广告,尽管它们可能不
10、会损坏计算机,但仍会侵犯隐私,而且非常招人反感。,间谍软件是一种程序,用于在未得到用户认可或用户不知情的情况下从计算机中收集个人信息。然后,这些个人信息会发送至 Internet 上的广告商或第三方,其中可能包含密码和帐户号码。 间谍软件通常是在下载文件、安装其它程序或单击弹出广告时暗中安装。它会降低计算机速度,更改内部设置,导致更多的漏洞暴露给其它威胁。此外,间谍软件也难以删除。 跟踪 Cookie:Cookie 是间谍软件的一种形式,但也有一些 Cookie 起到积极的作用。Cookie 用于在 Internet 用户访问网站时记录用户的信息。由于它允许个性化定制以及其它一些节省时间的方法
11、,所以可能相当有用并受人欢迎。许多网站都要求用户启用 cookie 后才能进行连接。,8.2.3 间谍软件、跟踪 Cookie、广告软件和弹出广告,广告软件是另一种形式的间谍软件,它通过用户访问的网站收集用户信息。这些信息之后会被利用进行针对性的广告宣传。 弹出广告和背投广告是用户在浏览网站时显示的附加广告宣传窗口。与广告软件不同,弹出广告和背投广告并不收集关于用户的信息,而且通常只与所访问的网站关联。 弹出广告:在当前浏览器窗口的前端打开。 背投广告:在当前浏览器窗口的后端打开。,8.2.3 间谍软件、跟踪 Cookie、广告软件和弹出广告,8.2.4 垃圾邮件,垃圾邮件是非常严重的网络威胁
12、,可导致 ISP、电子邮件服务器和最终用户系统不堪重负。垃圾邮件发送者通常利用未受安全保护的电子邮件服务器来转发电子邮件。垃圾邮件发送者可能使用黑客技术(例如病毒、蠕虫和特洛伊木马)来控制家用计算机。受控的这些计算机就会被用来在主人毫不知情的情况下发送垃圾邮件。垃圾邮件可通过电子邮件发送,如今它们还可通过即时消息软件发送。 据估计,Internet 上的每个用户每年收到的垃圾电子邮件超过 3,000 封。垃圾邮件消耗了大量的 Internet 带宽,此问题的严重性已引起了许多国家的重视,各国纷纷出台法律管制垃圾邮件的使用。,参见电子版教材动画8.2.4.1,8.3.1 常用安全措施,安全风险无
13、法彻底消除或预防。但有效的风险管理和评估可显著减少现有的安全风险。要将风险降至最低,人们必须认识到一点:没有任何一件产品可为组织提供绝对的安全保护。要获得真正的网络安全,需要结合应用多种产品和服务、制定彻底的安全策略并严格实施该策略。 安全策略: 标识和身份验证策略 密码策略 合理使用规定 远程访问策略 网络维护程序 事件处理程序,参见电子版教材动画8.3.1.1,8.3.1 常用安全措施,安全策略通过安全规程实施。这些规程定义了主机和网络设备的配置、登录、审计和维护过程。其中包括使用预防性措施来降低风险,以及采用主动措施来处理已知安全威胁。 可保护网络安全的一些安全工具和应用程序有: 软件补
14、丁和更新 病毒防护 间谍软件防护 垃圾邮件拦截器 弹出广告拦截器 防火墙,参见电子版教材动画8.3.1.2,8.3.2 更新和补丁,黑客用来获取主机和(或)网络访问权的最常见方法之一便是利用软件漏洞,因而及时对软件应用程序应用最新安全补丁和更新以阻止威胁极为重要。补丁是修复特定问题的一小段代码。更新则可能包含要添加到软件包中的附加功能以及针对特定问题的补丁。 操作系统(例如 Linux、Windows 等)和应用程序厂商会不断提供更新和安全补丁,以更正软件中已知的漏洞。此外,厂商通常还会发布补丁和更新的集合,称为服务包。值得庆幸的是,许多操作系统都具有自动更新功能,可在主机上自动下载和安装操作
15、系统与应用程序更新。,8.3.3 防病毒软件(检测病毒),即使操作系统和应用程序应用了所有最新的补丁和更新,仍然容易遭到攻击。任何连接到网络的设备都可能会感染上病毒、蠕虫和特洛伊木马。这些攻击可损坏操作系统代码、影响计算机性能、更改应用程序和毁坏数据。 感染病毒、蠕虫或特洛伊木马后,可能出现的症状有: 计算机行为开始变得不正常。 程序不响应鼠标和击键。 程序自行启动或关闭。 电子邮件程序开始外发大量电子邮件。 CPU 使用率非常高。 有不认识的,或大量进程运行。 计算机速度显著下降或崩溃。,8.3.3 防病毒软件,防病毒软件可用作预防工具和反应工具。它可预防感染,并能检测和删除病毒、蠕虫和特洛
16、伊木马。连接到网络的所有计算机都应安装防病毒软件。市面上存在许多防病毒程序。 防病毒程序可具有以下功能: 电子邮件检查 扫描传入和传出电子邮件,识别可疑的附件。 驻留内容动态扫描 在访问可执行文件和文档时对它们进行检查。 计划扫描 可根据计划按固定的间隔运行病毒扫描以及检查特定的驱动器或整个计算机。 自动更新 检查和下载已知的病毒特征码和样式,并可设为定期检查更新,8.3.4反垃圾邮件,垃圾邮件不仅惹人讨厌,还可能造成电子邮件服务器过载,有时还携带有病毒和其它安全威胁。垃圾邮件发送者还可以通过在主机上植入病毒或特洛伊木马代码来控制主机。让受控主机在用户毫不知情的情况下发送垃圾邮件。受到这种形式感染的计算机称为“垃圾邮件工厂” 反垃圾邮件软件可识别垃圾邮件并执行相应操作(例如将其放置到垃圾邮件文件夹或删除),从而为主机提供保护。此类软件可在机器本地加载,也可在电子邮件服务器上加载。此外,许多 ISP 也提供垃圾邮件过滤器。反垃圾邮件软件无法识别所有的垃圾邮件,因此打开电子邮件时仍须非常谨慎。有时候,有用的电子邮件也会被错误地当作垃圾邮件处理了。,参见电子版教材动画8.3.4.1,除了使用
