《网络安全之一网络安全基础理论》由会员分享,可在线阅读,更多相关《网络安全之一网络安全基础理论(46页珍藏版)》请在金锄头文库上搜索。
1、网络安全基础理论中国电信2007年度宽带业务维护服务技能竞赛专用教材数据宽带业务维护服务技能竞赛办公室编制现在网络已经不仅仅是一个时髦的名 词。事实上它已经成为人们生活不可 缺少的一部分。前言学习完此课程,您将会: 了解病毒木马的传播原理和危害 掌握计算机安全操作的注意事项 了解常见协议的安全性问题学习目标第第1 1章章 病毒木马原理及防范病毒木马原理及防范第2章 计算机安全操作第3章 协议安全性目录第第1 1章章 病毒木马原理及防范病毒木马原理及防范第1节 定义第2节 传播原理第3节 危害第4节 防范内容介绍定义 计算机病毒是指编制或在计算机程序中插入破 坏计算机功能或数据,影响计算机使用并
2、能自 我复制的一组计算机指令或程序代码。 计算机木马通常是指在计算机用户不知道的情 况下安装或写入计算机的一类间谍程序软件。病毒的特性一般病毒具有以下特性: 可执行性与其他合法程序一样,是一段可执行程序,但不是一 个完整的程序,而是寄生在其他可执行程序上。 传染性他通过各种渠道从已被感染的计算机扩散到其他机器上 ,在某种情况下导致计算机工作失常。 潜伏性一些编制精巧的病毒程序,进入系统之后不马上发作, 隐藏在合法文件中,对其他系统进行秘密感染,一旦时机成熟,就 四处繁殖、扩散。 可触发性病毒具有预定的触发条件,可能是时间、日期、文件 类型或某些特定数据等。 针对性有些病毒针对特定的操作系统或特
3、定的计算机。 隐蔽性大部分病毒代码非常短小,也是为了隐蔽。 病毒的传播途径 计算机病毒的传播途径包括以下几个方面 :电子邮件 移动存储设备 网络共享 网页 无线通讯设备 即时通讯软件 IRC聊天软件 P2P软件计算机感染病毒的症状 病毒感染计算机以后可能会有以下的症状: 经常死机 系统无法启动 文件打不开 经常报告内存不够 提示硬盘空间不够 数据丢失 键盘或鼠标无端地锁死 系统运行速度慢 系统自动执行操作木马的危害 木马以控制用户电脑和窃取信息为主要目的, 主要的危害包括: 记录键盘操作,发送到指定邮箱 利用用户电脑,作为跳板攻击其他计算机 获取计算机上的重要信息 删除、篡改用户信息 获取网银
4、、邮箱等账号口令木马的伪装 木马的伪装一般有以下几种方式: 伪装图标 黑客为了迷惑用户,将木马服务端程序的图标换成一 些常见的文件类型的图标,这样当用户运行以后,木 马就悄悄运行了。 伪装文件名 图标修改往往和文件改名是一起进行的,黑客往往将 文件的名称取得非常的诱人,骗用户去运行它。 文件捆绑 文件捆绑就是通过使用文件捆绑器将木马服务端和正 常的文件捆绑在一起,达到欺骗对方从而运行捆绑的 木马程序。计算机病毒木马的防范措施 计算机安装完操作系统后,不要马上连接网络 。 马上安装防病毒软件,更新升级防病毒的查杀 代码,启动防病毒软件的实时监控和自动防护 功能 安装个人防火墙软件,阻止遭受网络蠕
5、虫的攻 击。 对进入计算机的文件都要使用防病毒软件进行 扫描查毒工作,不要轻易就运行。 定期文件备份。对于重要的文件资料应经常备 份 注意电脑异常。如果发觉有异常症状出现,应 立即进行病毒的查杀 第1章 病毒木马原理及防范第第2 2章章 计算机安全操作计算机安全操作第3章 协议安全性目录第第2 2章章 计算机安全操作计算机安全操作第1节 用户口令安全第2节 IP安全策略第3节 收发邮件的安全第4节 浏览网页的安全内容介绍选择强口令不要使用姓名、生日以及它们的简单组合作为口令口令应该保证一定的长度和复杂度长度最好在8位以上最好包含大小写字母、数字和其它字符的组合典型弱口令:NULL、name、1
6、23456、11111111 、 cisco选择强口令易记并且强度高密码推荐:1. 以符号隔开的短句,如IWant#Apple2. 长句的首字母Wiwy,ilttr.When I was young, I listened to the radio.3. 诗词的首字母cqmyg#ysdss(床前明月光,疑是地上霜) 启用密码策略使用Windows 2000中的账号策略设置:启用密码的复杂性要求限制密码的最小长度设定密码的最大存留期设置账号的锁定次数设置账号的锁定时间建议其它建议:新建一账号,赋予administrator权限,给该账号设 置一个强的口令;将原来的administrator账号改
7、为普通用户;禁用系统的guest账号;在多用户系统,为了保证其它用户账号不存在弱 口令,系统管理员可以采用密码审计工具进行模 拟的破解分析。 IP安全策略启用本机的IP安全策略可以实现对本机的简单访问控制。如果IP安全策略提供的控制不符合要求,可以 考虑采用个人防火墙系统。收发邮件的安全邮件的威胁邮件病毒:爱虫、Sircam、Nimda安全目标: 避免感染计算机病毒或木马程序 避免通过邮件发送的机密文件被网络窃听邮件病毒的机理1. 利用IE浏览器存在的MIME漏洞来实现。2. 当IE在解释邮件时,由于未能正确处理“Content -Type: audio/x-wav;”,导致附件自动下载,而且
8、 更为严重的是下载结束后自动打开附件,整个过 程中并不提示用户,这就导致病毒自身获取本地 权限执行附件内容。 邮件病毒的防范运行防病毒软件,实现实时的病毒检测;在进行病毒检测之前不要运行邮件的附件;对IE和Outlook Express进行安全设置对IE和Outlook Express进行安全升级修补安全漏 洞;针对由脚本编写的附件型邮件病毒,可以将vbs、 js 的文件关联到“记事本”IE和Outlook Express安全设置IE和Outlook Express安全设置1. 打开Internet Explorer2. 依次用鼠标点击:工具Internet选项安全3. 点击受限站点,查看其安
9、全级别是否为高4. 打开Outlook Express5. 依次用鼠标点击:工具选项安全6. 将“安全区域”设置为“受限站点区域”文件关联重定向打开资源管理器依次点击:工具文件夹选项在扩展名栏查找后缀为vbs、vbe、js、jse 的条目用鼠标选中该条目,点击更改,在出现的 打开方式对话框中查找记事本,然后选择 确定。邮件附件加密在将附件利用邮件进行传送前进行加密1. 对于Word、Excel文档,可以用系统本身的 加密功能进行加密; 2. 对于其它文件,可以采用Winzip进行加密; 3. 如果安全要求高,可以安装PGP套件。word文件加密word文件加密示范 1. 使用MS word打开
10、要发送的文件 2. 依次点击菜单:(工具选项保存) 3. 在出现的对话框中,找到“用于xxx.doc”的文件共享 选项,在打开权限密码中输入一个8位,含字母、数 字和标点的密码,如gsta*12c等。 4. 在出现的确认对话框再次输入该密码,然后点击“保 存”。 5. 如果不希望他人修改该文件,可以设置修改文件密 码,或者选择“建议以只读方式打开文档”。浏览网页安全安全威胁 :1.微软的IE的一些版本存在安全漏洞,可能导致用户在浏览网页是泄漏信息设置下载并运行恶意代码。2.网页中的Active X控件从而可以创建任意文件, 修改注册表,甚至可以下载并运行恶意软件。安全措施安全措施1. IE升级
11、2. 设置IE安全级别3. 禁用不安全的ActiveX对象4. 禁用FileSystemObject 对象禁用对象禁用不安全的使用FileSystemObject 对象:1. 依次点击“开始”“运行” 2. 键入命令regsvr32 scrrun.dll /u 3.点击确定禁用控件禁用不安全的Active X控件可能带来访问网页 的问题:频繁出现提示,并导致部分网页无 法正常浏览。解决措施:可以将信任的网站,列入信任站 点列表: 1. 打开IE,依次点击:工具internet选项安 全可信站点 2. 点击“站点”按钮,输入可信站点地址,点击“ 添加”。安全建议安全建议 不要使用盗版软件和网上来
12、历不明的程序 浏览网页、下载文件和接收Email 的时候要确保打开了反病毒 软件的实时监控功能 拒绝任何未经确认的索要账号等重要信息的请求 定期清理电脑上留下的重要信息,如Cookie 、历史记录等 不要在个人用机上运行黑客类程序 遇到蓝屏死机、程序运行缓慢、系统自动重启等不正常情况的 时候要尽快检查,必要时向专家求助。 关注所使用的操作系统和应用系统的安全公告信息,确定自己 的系统是否存在相关问题,及时解决。 在进行文件和目录共享时注意进行权限控制。第1章 病毒木马原理及防范第2章 计算机安全操作第第3 3章章 协议安全性协议安全性目录第第3 3章章 协议安全性协议安全性第1节 数据包窃听第
13、2节 信息泄漏第3节 DHCP协议安全第4节 ARP协议安全内容介绍数据包窃听 网络的数据包窃听可以获取未经加密的数据包 内容,这些不安全的协议包括: Telnet FTP SNMP POP HTTP数据包窃听的防范 采用加密的通讯协议 Telnet-SSH HTTP-Https 采用VPN加密隧道 IPSec SSL MPLS信息泄露 CDP、snmp等服务有可能造成设备信息的非正常泄露 CDP信息泄露ISP1ISP2信息泄露 Snmp弱口令导致的信息泄露信息泄露 Snmp弱口令导致的信息泄露信息泄露的防范 关闭CDP (config)#no cdp run (config-if)#no c
14、dp enable 将snmp的权限设置为read-only;修改缺省口令;设置 snmp的访问控制列表(Config)# access-list 10 peimit 192.168.1.0 0.0.0.255 (config)#snmp-server community Sec!324a ro 10DHCP攻击的防范 将交换机与DHCP 服务器所连端口设为Trust状 态,其它端口设为Untrust状态 Untrust状态:只能发出DHCP请求包 Trust状态:可以转发DHCP响应包clientDHCP server攻击者UntrustTrustUntrustDHCP请求DHCP响应DHC
15、P响应DHCP防范示例switch(config)#ip dhcp snooping switch(config)#ip dhcp snooping vlan 5/* 定义哪些 VLAN 启用 DHCP snooping switch(config)#int fa0/1 /*dhcp服务器所在端口 switch(config-if)#ip dhcp snooping trust switch(config)#int range fa0/2 - 12 /* 其它端口 switch(config-if)#no ip dhcp snooping trust/*缺省值(Default) switch(config-if)#ip dhcp snooping limit rate 10/* (pps)一定程度上防止 DHCP 拒绝服务攻击 Cisco交换机上的防范示例:ARP欺骗1 ARP欺骗:构造虚假的IP地址与MAC地址对应关 系以太网头部ARP请求/响应源目的发送端目的端B请求A的mac地址正常的arp回应虚假的arp回应ARP欺骗2使client无法正常上网:121攻击者不断向client发送ARP响应包,称网关IP_B对应的 mac地址为MAC_G2Client要上网时,使用MAC_G作为目标MAC地址对外发包,
