网络安全应急响应服务

资源描述

《网络安全应急响应服务》由会员分享，可在线阅读，更多相关《网络安全应急响应服务（63页珍藏版）》请在金锄头文库上搜索。

1、清华大学博士研究生段海新Email：清华大学信息网络工程研究中心北京 100084网络安全应急响应服务与CERNET的行动网络安全应急响应服务的背景 CERNET 计算机应急响应组(CCERT)运行一年回顾网络和系统安全配置建议 CERNET 安全应急响应服务计划参考文献内容提要Internet 的安全问题的产生 Internet起于研究项目,安全不是主要的考虑少量的用户，多是研究人员,可信的用户群体可靠性(可用性)、计费、性能、配置、安全 “Security issues are not discussed in this memo” 网络协议的开放性与系统的通用性

2、目标可访问性，行为可知性攻击工具易用性 Internet 没有集中的管理权威和统一的政策安全政策、计费政策、路由政策操作系统漏洞统计操作系统漏洞增长趋势两个实验 San Diego 超级计算中心 Redhat Linux 5.2 , no patch 8小时：sun rpc probe 21天： 20 次pop, imap, rpc, mountd 使用Redhat6.X的尝试失败 40天：利用pop 服务缺陷或的控制权系统日志被删除安装了rootkit、 sniffer 清华大学校园网 Redhat Linux 6.2 , 只开设 telnet, www服务；所有用户申

3、请均可获得账号 7天后358个用户两个用户利用dump获得 root 控制权安全应急响应服务背景应急响应服务的诞生CERT/CC 1988年Morris 蠕虫事件直接导致了CERT/CC的诞生 CERT/CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设CERT/CC简介现有工作人员30多人，12年里处理了288,600 封 Email, 18,300个热线电话，其运行模式帮助了80 多个C

4、SIRT组织的建设CERT/CC简介CMUSEINetworked Systems Survivability programSurvivable Network ManagementCERT/CCSurvivable Network TechnologyIncident HandlingVulnerability HandlingCSIRT DevelopmentDoD安全应急响应服务背景国外安全事件响应组（CSIRT）建设情况DOE CIAC、FedCIRC、DFN-CERT等 FedCIRC、AFCERT, NavyCIRT 亚太地区：AusCERT、SingCERT等 FIRST（1

5、990） FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。 80多个正式成员组织，覆盖18个国家和地区从FIRST中获益的比例与IRT愿意提供的贡献成比例两个正式成员的推荐国内安全事件响应组织建设情况计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务还处在起步阶段 CCERT（1999年5月），中国第一个安全事件响应组织 NJCERT（1999年10月）中国电信ChinaNet安全小组解放军，公安部安全救援服务公司中国计算机应

6、急响应组/协调中心CNCERT/CC 信息产业部安全管理中心，2000年3月，北京安全应急响应组的分类国际间的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业IRT网络服务提供商 IRT厂商 IRT企业 /政府 IRT如：安全服务公司如：CCERT如：cisco,IBM如：中国银行、公安部如CERT/CC, FIRST如CNCERT/CC安全应急响应服务组织的服务内容 CSIRT的服务内容应急响应安全公告咨询风险评估入侵检测教育与培训追踪与恢复安全应急响应服务的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件；知识经验的

7、依赖性由IRT中的人提供服务，而不是一个硬件或软件产品；突发性强需要广泛的协调与合作网络安全应急响应服务的背景 CCERT运行一年回顾网络和系统安全配置建议 CERNET 安全应急响应服务计划参考文献内容提要CERNET在应急响应中的优势高速的、大规模的网络环境 10M/ 100M/ 1000M的用户接入活跃的攻击者和安全服务提供者 BBS、各种俱乐部75410M+45M+45M155M(即将2.5G)2000.1-2000.10580近10M2M+2M1999.7-1999.12507近10M2M+2M1999.1-1999.064092M+4M2M1998.1-1998.

8、12278128K64K/128K1997.1-1997.12联网用户数目国际出口带宽国内主干带宽时间CERNET、 Internet2、IPv6 实验床CERNET在应急响应中的优势CERNET在应急响应中的优势运行网络和实验网络, 可进行各种实验 IPv6实验床、Internet2 的国际接入可控的网络基础设施路由系统、域名系统、网络管理系统、电子邮件系统主干网扩大到省级节点，便于集中控制以CERNET为依托的科研项目九五攻关项目：网络管理、网络安全、安全路由器高速IP网络安全运行监控系统 100M 流量分析与协同分布式入侵检测多种角色：高校、NSP/ISP 便于国际交流

9、、更加了解用户需求CERNET 计算机安全应急响应组（CCERT） http:/CERNET华东（北）地区网网络安全事件响应组(NJCERT) http:/ 事件处理CCERTNICNOC地区网络中心校园网络中心Internet 用户IPv6网管高速网：系统管理员CERNET 计算机安全应急响应组（CCERT）主要客户群是CERNET 会员，但也有受理其他网络的报告和投诉目前主要从事以下服务和研究：事件响应：入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理给站点管理员提供安全建议提供安全信息公告和安全资源反垃圾邮件、禁止扫描的公告操作系统补丁、工具软件网络安全领域

10、的研究,包括安全管理、入侵检测、安全体系结构、PKICCERT一年来回顾所处理的事件可分为四类：垃圾邮件和邮件炸弹扫描入侵 DOS 攻击至2000年9月，处理了 2000 多份报告，其中包括 1800多起垃圾邮件和邮件炸弹报告; 110 起扫描与 DOS 攻击报告; 50 起入侵报告常见安全事件报告与处理垃圾邮件转发 90左右的报告与垃圾邮件有关国外的投诉国内的报告邮件服务器配置不当，为第三方中转邮件危害：流量盗用 -费用增加可能导致邮件服务器的所有通信被受害者封锁；spamcop 对国家和社会安全的影响解决方法： relay-test scan 重新配置、升级邮件

11、系统封锁国外转发转发垃圾邮件的站点垃圾邮件的报告已逐渐减少常见安全事件报告与处理扫描，入侵的前兆服务发现扫描，如 proxy hunter（ 80, 8080,1080）缺陷扫描，如SATAN 等工具 ftp, telnet ,ssh, pop2, pop3, sunrpc, netbios, imap, klogind, socks, 入侵多数入侵由于众所周知的缺陷，解决方法已有： Solaris rpc.statd, rpc.ttdbserver, Linux imapd, wu_ftp freeBSD pop3d Win2k Terminal Server, 很多案例由外部的报

12、告发现，管理员并不知道典型的入侵案例缺陷扫描 Root compromise: pop3d 停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 甚至替换以下程序 /bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls 、/bin/netstat 安装窃听程序 sniffer : /usr/.sniffit 重新启动 syslogd ,关闭pop3d 删除日志记录 wtmp、wtp、message、syslog一般入侵步骤拒绝服务攻击 DoS 攻击 land , teardrop, SYN flood ICMP : smu

13、rf Router: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal server Solaris : Linux: 其他. SYN FloodSend SYN (seq=100 ctl=SYN) SYN receivedSend SYN (seq=300 ack=101 ctl=syn,ack)Established (seq=101 ack=301 ctl=ack)attackertargetEstablished (seq=301 ack=301 ctl=ackData)1234SYN receiv

14、ed正常的TCP 连接建立过程 - 三次握手ICMP SmurfattackerICMP echo req Src: targetdst: xxx.xxx.xxx.255Echo replyEcho replyEcho replytarget分布式拒绝服务（DDOS）以破坏系统或网络的可用性为目标常用的工具： Trin00, TFN/TFN2K, Stacheldraht 很难防范伪造源地址，流量加密，因此很难跟踪clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDOS攻击方法及防范攻击的两阶段：第一阶

15、段控制大量主机利用系统的漏洞获得大量主机系统的控制权，并安装DDoS 工具；Linux imapd, Solaris rpc 、rstatd, Windows；第二个阶段，发起攻击：向目标发送大量的TCP/UDP/ICMP包，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常的请求。 DDOS防范：网络中所有的系统都要安全的配置，不使之成为 DDOS的源；路由器/防火墙配置：过滤伪造源地址的IP 包检测工具：find_ddosv31、ddos_scan、rid扫描事件报告统计增长趋势常见问题管理问题：资产、策略、负责人, 没有明确的安全管理策略操作系统安装后使用缺省配置，不打补丁，运行许多不必要的服务； 99%以上的入侵是可以通过系统配

展开阅读全文