《服务器安全防范体系》由会员分享,可在线阅读,更多相关《服务器安全防范体系(224页珍藏版)》请在金锄头文库上搜索。
1、服务器安全防范体系2011年11月*服务器安全培训索引Pages:2培训目录 第一讲:安全基础知识 第二讲:服务器安全规范 第三讲:操作系统安全 第四讲:常见应用安全 第五讲:操作实践*服务器安全培训索引Pages:3安全基础知识主要内容(1) 信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 扫描:扫描目的、使用工具获取信息 网络监听:监听原理与作用 拒绝服务:Syn Flood、udp Flood、Icmp Flood 木马:木马的概念、入侵途径、隐藏方式、特洛依木马简介 SQL注入:讲解SQL注入的思路与过程,防范SQL注入的方法*服务器安全培训索引Pages:4安全基
2、础知识主要内容(2) 主要安全技术 防火墙技术简介: 包过滤、应用层网关、状态检测、优缺点 入侵检测技术简介 主机入侵检测、网络入侵检测 扫描技术简介 扫描器分类、工作原理、端口扫描*服务器安全培训索引Pages:5服务器安全规范主要内容(1)服务器维护安全规范 口令安全 访问控制 安全责任的划分 安全检查 服务器上禁止操作行为 系统日志管理 安全隐患通告 系统安全设置的问题补丁管理流程 Autoup/Octopod简介、对比 补丁的下载、测试、上传、分发过程 补丁光盘的制作*服务器安全培训索引Pages:6服务器安全规范主要内容(2)目前采取的安全措施简介 日常监控、补丁管理、访问控制 主机
3、安全配置、安全检查 漏洞扫描、漏洞跟踪与分析、安全通告 安全控管(octopod)、HIDS、防病毒 备份、日志集中典型安全事件 介绍两个公司发生过的安全事件*服务器安全培训索引Pages:7操作系统安全主要内容(1) Windows系统安全 Windows安全特性 内建帐号,内建组、SAM 、SID NTFS、用户权利、权限、共享权限 Windows系统服务与进程、日志系统 Windows安装配置过程(介绍安全原则性的内容)*服务器安全培训索引Pages:8操作系统安全主要内容(2) Linux系统安全Linux帐号安全、口令安全 用户与UID、用户组与GID 文件类型、文件的权限 加强Li
4、nux安全的几点建议 关闭不必要的服务、远程维护openssh 启用syslog、升级主要应用 查看登录情况、网络连接、进程、系统资源 iptables策略*服务器安全培训索引Pages:9常见应用安全主要内容(1) Web安全(IIS)概述、漏洞、IIS组件的安装 IIS安全加固 删除:默认站点、示例文件、默认脚本、无用脚本映射 IIS工作目录修改、启用web日志、更改日志路径 Web站点权限设置、http 500错误重定向 禁用WebDav、启用ipsec保护*服务器安全培训索引Pages:10常见应用安全主要内容(2) 数据库安全(SQL Server 2000) 补丁管理 新装数据库服
5、务器的补丁要求 老数据库服务器的补丁要求 口令策略 数据库日志 去除部分危险扩展存储过程 数据库的端口保护*服务器安全培训索引Pages:11操作实践主要内容 讲解、演示以下内容: 服务器安全配置过程(依据服务器安全规范要求) 更改、删除帐号 启用安全日志 网络安全设置 Winchk/autoup配置安装 Octopod功能介绍、基本操作 NetView功能介绍、基本操作 Syslog与Hids初始化操作 在命令行下配置IPSEC安全基础知识网络安全部 2008年11月*安全基础知识主要内容 信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 主要的安全技术*安全基础知识信息安
6、全概念 信息安全的含义 保证信息内容在传储、传输和处理各环节的机密性、完整性 和可用性 对信息的传播及内容具有控制能力 不受偶然的或者恶意的原因而遭到破坏、更改、泄露 保证信息系统连续可靠的运行 网络服务不中断*安全基础知识安全问题产生的根源 网络建设之初忽略了安全问题 TCP/IP协议本身缺乏安全性 操作系统及应用自身存在的漏洞 操作系统及应用不安全的配置 来自内网用户的安全威胁 缺乏有效的手段监视、评估网络的安全性 邮件病毒、Web页面中中恶意Java/ActiveX控件 代码中存在安全漏洞 管理中存在的安全问题*安全基础知识安全漏洞 漏洞的概念 在硬件、软件、协议的具体实现或系统安全策略
7、上存在的缺陷, 可以使攻击者在未授权的情况下访问或破坏系统 可能存在于 网络设备:交换机、路由器的IOS存在的漏洞、配置 错误 操作系统:Windows、Unix/Linux存在的漏洞 应用服务:IIS、Apache、Serv_u存在的漏洞 网络协议:TCP/IP存在的缺陷 应用程序:用C、C+、ASP、PHP代码中 *安全基础知识漏洞带来的威胁 如果攻击者获得了一般用户的访问权限,那他就很有可能 再通过利用本地漏洞把自己提升为管理员权限:远程管理员权限 本地管理员权限 普通用户访问权限 权限提升 读取受限文件 远程拒绝服务 本地拒绝服务远程非授权文件存取 口令恢复 欺骗 服务器信息泄露 其它
8、 *安全基础知识黑客攻击典型步骤漏洞分析漏洞分析实施攻击实施攻击 exploitexploit消除证据消除证据 留下后门留下后门收集信息收集信息 扫描扫描*安全基础知识常见的攻击方式 扫描 网络监听 DoS与DDoS攻击 特洛依木马 SQL 注入*安全基础知识通过扫描获取信息收集目标服务器的信息 开放的端口和应用 操作系统类型 用户帐号信息 系统的漏洞 应用的漏洞 *安全基础知识网络监听监听的目的是截获通信的内容 监听的手段是对协议进行分析 常用的工具 Sniffer pro、Wireshark都是网络监听、协议分析的工具。 Tcpdump在共享网络中,可以监听所有流量 在交换环境中,必须设置
9、端口镜像通过协议分析,可获取敏感的明文信息 Telnet、smtp、pop3、ftp、http等应用层协议都是明文传输*安全基础知识共享和交换环境下的监听 共享式网络 通过网络的所有数据包发往每一个主机 通过HUB连接起来的子网 可以直接监听 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候,只发到特定的端口上 可以通过配置“端口镜像”来实现监听*安全基础知识利用监听获取邮件密码 截获用户邮件口令*安全基础知识冒险岛抓包分析案例 设置抓包服务器 配置端口镜像 7x24小时抓包 进行协议分析 判断攻击类型*安全基础知识拒绝服务DoS 定义 通过某些手段使得
10、目标系统或者网络不能提供正常的服务 是针对可用性发起的攻击 原理 主要是利用了TCP/IP协议中存在的设计缺陷、操作系统或网络 设备的网络协议栈存在的缺陷 特点 难于防范*安全基础知识拒绝服务的形式 资源耗尽和资源过载 网络连接 带宽资源 其他资源,例如:磁盘空间被日志撑满 错误的配置 不当的配置造成某些服务无法访问 物理部件故障*安全基础知识拒绝服务攻击分类 拒绝服务攻击 Syn Flood Udp Flood Icmp Flood Ping of death Teardrop Smurf Land 主要介绍Syn flood、UDP Flood、ICMP Flood攻击*安全基础知识Syn
11、 Flood攻击(1) TCP协议 提供可靠的连接服务,采用三次握手建立一个TCP连接 TCP连接三次握手过程SYNSYN +ACKACKClientServerSYN_SENDSYN_RECVESTABLISHEDESTABLISHED*安全基础知识SYN Flood攻击(2) 原理: 利用TCP协议缺陷发送大量TCP半连接请求,使得目标机器不能进 一步接受TCP连接 对TCP而言,半连接是指一个没有完成三次握手过程的会话 配合IP欺骗,短时间内不断发送SYN包,使服务器回复SYN/ACK,并 不断重发直至超时 伪造的SYN包长时间占用未连接队列,达到上限后,服务器将拒绝 响应SYN请求,正
12、常的SYN请求被丢弃*安全基础知识SYN Flood攻击(3)攻击者 172.18.1.1InternetInternetCode目标 192.0.2.1欺骗性的 IP 包 源地址是伪造的 目标地址是 192.0.2.1 TCP OpenSYN*安全基础知识SYN Flood攻击(4)攻击者 172.18.1.1InternetInternet目标 192.0.2.1SYN+ACK同步应答响应 源地址 192.0.2.1 目标地址不存在 TCP ACK未连接队列 达到上限*安全基础知识SYN Flood攻击案例外高桥机房下载系统DLC服务器61.152.103.129遭到Syn-Flood攻击
13、 *安全基础知识UDP Flood攻击 原理: UDP协议是无连接的协议,提供不可靠的传输服务 不需要用任何程序建立连接来传输数据 攻击者向目标机端口发送了足够多的 UDP 数据包的时候,整个 系统就会瘫痪。 使用目标机忙于处理UDP报文,无法处理其它的正常报文,从而 形成拒绝服务*安全基础知识ICMP Flood 原理 利用ping对网络进行诊断,发出ICMP 响应请求报文 计算机收到ICMP echo后会回应一个ICMP echo reply报文 攻击者向目标机发送大量的ICMP echo报文 目标机忙于处理这些报文,无法处理其它网络报文,从而形成拒 绝服务*安全基础知识UDP Flood
14、攻击案例 冒险岛三区服务器受到DDOS攻击事件 异常:发现大量发往UDP 8585端器的UDP包 影响:端口流出流量95.29M上层交换机上联端口流量639.27M 处理方法:在6509上配置ACL过滤攻击报文*安全基础知识DDOS攻击介绍(1) 分布式拒绝服务(DDOS) Distributed Denial of Service 传统的拒绝服务是一台机器向受害者发起攻击 DDOS攻击是多台主机合作,同时向一个目标 发起攻击*安全基础知识DDOS攻击介绍(2)主控端代理端*安全基础知识模拟试题1 下面哪项不是Syn flood攻击的特征? A 网络流量异常增大 B 服务器80端口建立了大量的
15、TCP连接 C 服务器收到大量的SYN请求 D 未连接队列超过上限*安全基础知识特洛依木马 木马的由来 古希腊人围攻特洛伊城时使用的木马计 计算机中的特洛伊木马的名字就是由此 得来 定义 隐藏在正常程序中的一段具有特殊功能 的程序,其隐蔽性极好,不易察觉,是 一种极为危险的网络攻击手段 木马的组成 server端:安装在目标机器上的软件 client端:用于控制目标机器的软件*安全基础知识木马入侵的途径 捆绑欺骗 如把木马服务端和某个游戏捆绑成一个文件后中发给别人 危险下载点 攻破下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄 放回去让别人下载 ; 直接将木马改名上载到FTP网站上,等待别人下载 网站挂马 在网站的网页中植入木马或插入下载木马的连接 主要是利用IE浏览器的漏洞 利用系统漏洞入侵后安装木马*安全基础知识木马的特征 隐蔽性 包含在正常程序中,当用户执行正常程序启动 在用户难以察觉的情况下,完成一些危害用
