《第二章网络安全知识之12》由会员分享,可在线阅读,更多相关《第二章网络安全知识之12(69页珍藏版)》请在金锄头文库上搜索。
1、 第二章第二章 网络安全技术网络安全技术教学目标教学目标:通过本章的学习,能使大家详细了解对网络各种安全问题的认识和解决办法,为电子商务网络方面提供安全保障。重难点知识重难点知识:1:网络安全的概念,主要目的(了解)2:主机安全技术的实现(熟悉)3:计算机病毒特征和防范(掌握)4:VPN的工作原理,功能,主要技术及组建(熟悉)5:防火墙技术的基本知识及配置(掌握)6:网络常见的攻击方式(熟悉)从广义上说指网络系统的硬件,软件及其数据受到保护,不因偶然的或恶意的意愿而遭到破坏,更改,泄露,使系统连续可靠的运行,网络不中断服务。本质上讲就是网上信息安全,包括静态存储安全和动态传输安全.凡是涉及到网
2、上信息保密性,完整性,可用性, 可控性技术都是网络安全.保密性:保密性:就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性:完整性:就是对抗对手主动攻击,防止信息被未经授权的人篡改。可用性:可用性:就是保证信息及信息系统确实为授权使用者所用。可控性:可控性:就是对信息及信息系统实施安全监控。任务一:网络安全的概念任务一:网络安全的概念网络安全的主要目的:网络安全的主要目的:网络安全工作的目的就是为了在安全网络安全工作的目的就是为了在安全法律法律,法规法规的的支持和指导下支持和指导下采用合适的采用合适的安全技术安全技术和和管理措施管理措施来完成以下任务:来完成以下任务:1)进不来:可以
3、使用访问控制机制,阻止非授权用户进入网络可以使用访问控制机制,阻止非授权用户进入网络2)拿不走:使用授权机制,实现对用户的权限控制,即不该拿走的拿不走使用授权机制,实现对用户的权限控制,即不该拿走的拿不走3)看不懂:使用加密机制,确保信息不暴露给未授权的实体,从而实现信息使用加密机制,确保信息不暴露给未授权的实体,从而实现信息的保密性。的保密性。4)改不了:使用数据完整性鉴别机制,保证只有得到允许的人才能修改据。使用数据完整性鉴别机制,保证只有得到允许的人才能修改据。5)走不脱:使用审记、监控等安全机制,对行为进行实时跟踪和记录,一旦使用审记、监控等安全机制,对行为进行实时跟踪和记录,一旦发现
4、攻击,提供调查依据和手段。发现攻击,提供调查依据和手段。网络安全的主要技术网络安全的主要技术2、病毒防范技术1、主机安全防范技术3、防火墙技术:5、VPN技术4、加密,身份认证技术任务二:主机安全的实现任务二:主机安全的实现1、物理安全:1)环境安全2)设备安全3)媒体安全2、操作系统安全操作系统安全配置方案内容提要操作系统概述安全配置初级篇安全配置中级篇安全配置高级篇安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTF
5、S分区运行防毒软件和确保备份盘安全。物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。停止Guest帐号在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。为了保险起见,最好给Guest加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒绝远程访问,如图7-1所示。限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略
6、设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。对于WindowsNT/2003主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。多个管理员帐号虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后,密码就存储再WinLogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Admin
7、istrator登录的次数和时间。案例1得到管理员密码用户登录以后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,可以利用程序将当前登录用户的密码解码出来。使用FindPass等工具可以对该进程进行解码,然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录,执行该程序,将得到当前用户得登录名。权限提升有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。其实不然,用普通用户帐号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。案例2普通用户建立管理员帐号利用Hacker帐户
8、登录系统,在系统中执行程序GetAdmin.exe,程序自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户名。输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成功的窗口。3.暴力攻击暴力攻击的一个具体例子是,一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解段单一的被用非对称密钥加密的信息,为了破解这种算法,一个黑客需要求助于非常精密复杂的方法,它使用120个工作站,两个超级计算机利用从三个主要的研究中心获得的信息,即使拥有这种配备,它也将花掉八天的时间去破解加密算法,实际上破解加密过程八天已是非常短
9、暂的时间了。字典文件一次字典攻击能否成功,很大因素上决定与字典文件。一个一次字典攻击能否成功,很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机,可以根据公司管理员的姓氏以及公司、不通地域的计算机,可以根据公司管理员的姓氏以及家人的生日,可以作为字典文件的一部分,公司以及部门的家人的生日,可以作为字典文件的一部分,公司以及部门的简称一般也可以作为字典文件的一部分,这样可以大大的提简称一般也可以作为字典文件的一部分,这样可以大大的提高破解效率。高破解效率。暴力破解操作系统密码字典文件为暴力破
10、解提供了一条捷径,程序首先通过扫描得到系统的用户,然后利用字典中每一个密码来登录系统,看是否成功,如果成功则将密码显示暴力破解软件密码目前许多软件都具有加密的功能,比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话,同样容易被破解。修改权限密码在对话框中选择选项卡“安全性”,在打开权限密码和修改权限密码的两个文本框中都输入“999”。输入密码保存并关闭该文档,然后再打开,就需要输入密码了,如图所示。破解Word文档密码该密码是三位的,使用工具软件,AdvancedOfficeXPPasswordRecover
11、y可以快速破解Word文档密码。破解Word文档密码点击工具栏按钮“OpenFile”,打开刚才建立的Word文档,程序打开成功后会在LogWindow中显示成功打开的消息。破解Word文档密码设置密码长度最短是一位,最长是三位,点击工具栏开始的图标,开始破解密码,大约两秒钟后,密码被破解了,如图5-16所示。管理员帐号改名Windows2000中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone。
12、具体操作的时候只要选中帐户名改名就可以了,如图所示。陷阱帐号所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组,如图所示。更改默认权限共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享,默认的属性就是“Eve
13、ryone”组的,一定不要忘了改。设置某文件夹共享默认设置如图所示。安全密码好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。屏幕保护密码
14、设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设置为最短时间“1秒”,如图所示。如何破解屏幕密码NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。在XP的开始-程序-命令提示符输入convertc:/fs:ntfs中的C:是转换C:盘,要转换其他的盘把C:换了就行了,转换后,就转不会来了,除非PQ防毒软件Windows2000/NT服务器一般都
15、没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。设置了放毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。备份盘的安全一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。不能把资料备份在同一台服务器上,这样的话还不如不要备份。安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁操作系统安全策略利用W
16、indows2003的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”,主界面如图所示。可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下,这些策略都是没有开启的。关闭不必要的服务Windows2003的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要
17、留意服务器上开启的所有服务并每天检查。Windows2003作为服务器可禁用的服务及其相关说明如表所示。服服务务名名说说明明Computer Browser维护维护网网络络上上计计算机的最新列表以算机的最新列表以及提供及提供这这个列表个列表Task scheduler允允许许程序在指定程序在指定时间时间运行运行Routing and Remote Access在局域网以及广域网在局域网以及广域网环环境中境中为为企企业业提供路由服提供路由服务务Removable storage管理可移管理可移动动媒体、媒体、驱动驱动程序和程序和库库Remote Registry Service允允许远许远程注册
18、表操作程注册表操作Print Spooler将文件加将文件加载载到内存中以便以后打到内存中以便以后打印。要用打印机的用印。要用打印机的用户户不能不能禁用禁用这项这项服服务务IPSEC Policy Agent管理管理IP安全策略以及启安全策略以及启动动ISAKMP/Oakley(IKE)和和IP安全安全驱动驱动程序程序Distributed Link Tracking Client当文件在网当文件在网络络域的域的NTFS卷中移卷中移动时发动时发送通知送通知Com+ Event System提供事件的自提供事件的自动发动发布到布到订阅订阅COM组组件件关闭不必要的端口关闭端口意味着减少功能,如果
19、服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口,在Winntsystem32driversetcservices文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。设置本机开放的端口和服务,在IP地址设置窗口中点击按钮“高级”,如图所示。在出现的对话框中选择选项卡“选项”,选中“TCP/IP筛选”,点击按钮“属性”,如图所示。一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。开启审核策略安全审核是安全审核是Windows 200
20、3最基本的入侵检测方法。当有人尝试对系统进行某最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。表很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。表7-2的的这些审核是必须开启的,其他的可以根据需要增加。这些审核是必须开启的,其他的可以根据需要增加。策略策略设设置置审审核系核系统统登登陆陆事件事件成功,失成功,失败败审审核核帐户帐户管理
21、管理成功,失成功,失败败审审核登核登陆陆事件事件成功,失成功,失败败审审核核对对象象访问访问成功成功审审核策略更改核策略更改成功,失成功,失败败审审核特核特权权使用使用成功,失成功,失败败审审核系核系统统事件事件成功,失成功,失败败审核策略在默认的情况下都是没有开启的,如图所示。双击审核列表的某一项,出现设置对话框,将复选框“成功”和“失败”都选中,如图所示。开启密码策略密码对系统安全非常重要。本地安全设置中的密码策略在默认密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表的情况下都没有开启。需要开启的密码策略如表7-3所示所示 策略策略设设置置密
22、密码码复复杂杂性要求性要求启用启用密密码长码长度最小度最小值值6位位密密码码最最长长存留期存留期15天天强强制密制密码历码历史史5个个设置选项如图所示。开启帐户策略开启帐户策略可以有效的防止字典式攻击,设置如表所示。策略策略设设置置复位复位帐户锁帐户锁定定计计数器数器30分分钟钟帐户锁帐户锁定定时间时间30分分钟钟帐户锁帐户锁定定阈值阈值5次次备份敏感文件把敏感文件存放在另外的文件服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们不显示上次登录名默认情况下,终端服务接入服务器时,登陆对话框中会显示
23、上次登陆的帐户默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码猜测。做密码猜测。修改注册表禁止显示上次登录名,在修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改主键下修改子键:子键:SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,将键值改成,将键值改成1禁止建立空连接默认情况下,任何用户通过空连接连上服务器,进而可以
24、枚举出帐号,默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。猜测密码。可以通过修改注册表来禁止建立空连接。在可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键:主键下修改子键:SystemCurrentControlSetControlLSARestrictAnonymous,将键值改成将键值改成“1”即可。即可。下载最新的补丁很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的Windows2000不出一点安全漏洞。经常访问微软和一些安全站点,下载最
25、新的ServicePack和漏洞补丁,是保障服务器长久安全的唯一方法。安全配置方案高级篇高级篇介绍操作系统安全信息通信配置,包括十四条配置原则:关闭默认共享禁用DumpFile、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件关闭默认共享Windows2003安装以后,系统会创建一些隐藏的共享,可以在DOS提示符下输入命令NetShare查看。禁止这些共享,打开管理工具计算机管理共享文件夹共享,在相应的共享文件夹上按右键,点停止共享即可,如图所示。禁用Dump文件在系统崩溃和
26、蓝屏的时候,Dump文件是一份很有用资料,可以帮助查找问题。然而,也能够给黑客提供一些敏感信息,比如一些应用程序的密码等需要禁止它,打开控制面板系统属性高级启动和故障恢复,把写入调试信息改成无。加密Temp文件夹一些应用程序在安装和升级的时候,会把一些东西拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容。所以,给Temp文件夹加密可以给你的文件多一层保护。锁住注册表在Windows2003中,只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的
27、时候,一般需要锁定注册表。修改Hkey_current_user下的子键SoftwaremicrosoftwindowscurrentversionPoliciessystem把DisableRegistryTools的值该为1,类型为DWORD。解锁:gpedit。Msc用户配置管理模板系统阻止访问注册表编辑工具-(已禁用)关机时清除文件页面文件也就是调度文件,是Windows2003用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表修改主键HKEY_LOC
28、AL_MACHINE下的子键:SYSTEMCurrentControlSetControlSessionManagerMemoryManagement把ClearPageFileAtShutdown的值设置成1。补充内容清楚内存中不必要的垃圾软件Dll动态连接文件,影响计算机速度方法:Regedithkey_localmachinesoftwaremicrosoftwindowscurrentwersionexplorer增加一项名为alwaysunloaddll默认设置禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可
29、以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。使用智能卡对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。使用IPSec正如其名字的含义,正如其名字的含义,IPSec提供提供IP数据包的安全性。数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据计算机在传输之前加密数据,而接收方计算
30、机在收到数据之后解密数据。之后解密数据。利用利用IPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增强。 禁止判断主机类型黑客利用TTL(Time-To-Live,活动时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows2000。从图中可以看出,TTL值为128,说明改主机的操作系统是Windows2000操作系统。给出了一些常见操作系统的对照值。操作系操作系统类
31、统类型型TTL返回返回值值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240修改TTL的值,入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键:SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERS新建一个双字节项,如图所示。在键的名称中输入“defaultTTL”,然后双击改键名,选择单选框“十进制”,在文本框中输入111,如图所示。设置完毕重新启动计算机,再用Ping指令,发现TT
32、L的值已经被改成111了,如图所示。禁止Guest访问日志在默认安装的WindowsNT和Windows2003中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止Guest访问事件日志。禁止Guest访问应用日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。系统日志:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。安全日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。
