网络安全建设ppt课件.ppt

1网络安全建设ppt课件 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望2目录l网络安全简介l垃圾邮件的预防l如何防止扫描和DOS攻击l系统安全管理和入侵的防范l网络安全常用工具lCCERT简介3网络安全简介l网络安全概念l常见的网络安全问题l垃圾邮件危害lDOS、扫描危害l蠕虫危害4网络安全概念l信息安全保密性、完整性、可用性、可信性把网络看成一个透明的、不安全的信道l系统安全：网络环境下的端系统安全l网络安全网络的保密性：存在性、拓扑结构等网络的完整性：路由信息、域名信息网络的可用性：网络基础设施计算、通信资源的授权使用：地址、带宽？5常见的网络安全问题l垃圾邮件UCE:Unsolicited Commercial EmailUBE:Unsolicited Bulk EmailSpaml网络扫描和拒绝服务攻击端口扫描和缺陷扫描DDOS、DOSl入侵和蠕虫蠕虫：Lion、nimda、CR II系统缺陷6垃圾邮件危害l网络资源的浪费欧洲委员会公布的一份报告，垃圾邮件消耗的网络费用每年高达100亿美元 l资源盗用利用他人的服务器进行垃圾邮件转发l威胁网络安全DOS攻击7DOS、扫描危害l占用资源占用大量带宽服务器性能下降l影响系统和网络的可用性网络瘫痪服务器瘫痪l往往与入侵或蠕虫伴随缺陷扫描DDOS8入侵、蠕虫造成的危害l信息安全机密或个人隐私信息的泄漏信息篡改可信性的破坏l系统安全后门的存在资源的丧失信息的暴露l网络安全基础设施的瘫痪9垃圾邮件的预防l垃圾邮件特点l邮件转发原理l配置Sendmail关闭转发l配置Exchange关闭转发10垃圾邮件特点l内容：商业广告宗教或个别团体的宣传资料发财之道,连锁信等 l接收者无因接受被迫接受l发送手段信头或其它表明身份的信息进行了伪装或篡改通常使用第三方邮件转发来发送11邮件转发原理12配置Sendmail关闭转发（一）简介lSendmail 8.9以上版本/etc/mail/relay-domains/etc/mail/accesslSendmail 8.8以下版本升级Sendmaill其它版本配置Sendmail缺省不允许转发编辑相应的允许转发IP列表13配置Sendmail关闭转发（二）Mc文件样例divert(0)dnlVERSIONID(#)generic-solaris2.mc 8.8(Berkeley)5/19/1998)OSTYPE(solaris2)dnlDOMAIN(generic)dnlFEATURE(access_db,dbm-o/usr/local/etc/mail/access)define(confPRIVACY_FLAGS,authwarnings,goaway,noexpn,novrfy)dnlMAILER(local)dnlMAILER(smtp)dnl14配置Sendmail关闭转发（三）Sendmail配置lSendmail.cw配置邮件服务器所接受的域名lClMlRelay-domains配置邮件服务器可以转发的地址l202.112.50.l202.112.57.18lAccess允许对某一个来源地址进行配置REJECT、RELAY、OK、”msg”15配置Sendmail关闭转发（四）access文件样本 550:bad user name202.112.55.RELAY202.112.55.66REJECT16配置Sendmail关闭转发（五）Sendmail使用l建立别名编辑aliases文件Sendmail v bi初始化l启动Sendmail bd q1hl使用access数据库Makemap dbm/etc/mail/access /etc/mail/access17配置Exchange关闭转发（一）lExchange Server 5.0 或以前版本 升级邮件系统lExchange Server 5.5 以上选择 Reroute incoming SMTP mail 18配置Exchange关闭转发（二）l填入所服务的域l点击Routing Restrictions19如何防止DOS和扫描l扫描简介l拒绝服务攻击简介l分布式拒绝服务攻击lDOS和扫描的防范l攻击取证和报告20扫描简介l缺陷扫描目的是发现可用的缺陷Satan、SSCANNmap-Ol服务扫描目的是为了发现可用的服务WWW scanftp scanProxy scan21拒绝服务攻击简介l洪水式DOS攻击SYN floodSmurfl利用系统或路由器缺陷DoS 攻击Windows:IGMP fragmentation,OOBLinux:teardrop Solaris:ping of deathl分布式拒绝服务攻击往往既利用系统或者路由器的缺陷产生大规模的洪水式攻击两方面的危害：被攻击者和被利用者22分布式拒绝服务（DDOS）l以破坏系统或网络的可用性为目标l常用的工具：Trin00TFN/TFN2K Stacheldrahtl很难防范l伪造源地址，流量加密，因此很难跟踪clienttargethandler.agent.DoSICMP Flood/SYN Flood/UDP Flood23DOS和扫描的防范（一）路由器l访问控制链表基于源地址/目标地址/协议端口号l路径的完整性防止IP假冒和拒绝服务（Anti-spoofing/DDOS）l检查源地址：ip verify unicast reverse-pathl 过滤RFC1918 地址空间的所有IP包；路由协议的过滤与认证lFlood 管理利用QoS的特征防止Floodinterface xyz rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply24DOS和扫描的防范（二）入侵检测和防火墙l入侵检测工具了解情况提供报告依据指导应对政策l防火墙建立访问控制个人防火墙25攻击取证和报告l系统取证Syslog系统日志Netstat连接情况CPU、Mem使用情况l网络取证Tcpdump路由器、防火墙纪录入侵检测系统l报告责任方对方CERT或本辖区CERT对方责任人whois26系统安全管理和入侵防范lWindows系统安全管理lUNIX系统安全管理l路由器安全管理l如何检验入侵l蠕虫的危害及防范27Windows安全管理（一）l操作系统更新政策安装最新版本的补丁Service Pack;安装相应版本所有的 hotfixes跟踪最新的SP 和 hotfixl病毒防范安装防病毒软件，及时更新特征库政策与用户的教育：如何处理邮件附件、如何使用下载软件等l账号和口令管理口令安全策略:有效期、最小长度、字符选择账号登录失败n次锁定关闭缺省账号，guest,Administrator28Windows安全管理（二）lWindows服务管理Terminal Serverl中文输入法缺陷网络共享lNimda等一些蠕虫和和病毒IISlUNICODE(nimda、Code Blue)lIndex Service(CR I、CR II)29Windows安全管理（三）l操作系统更新http:/l局域网防火墙配置防火墙/路由器，封锁不必要的端口：TCP port 135,137,139 and UDP port 138.l基于主机的访问控制Windows 2000自带个人防火墙30Unix安全管理（一）l相应版本的所有补丁l账号与口令l关闭缺省账号和口令：lp,shutdown等lshadow passwdl用crack/john等密码破解工具猜测口令l（配置一次性口令）l网络服务的配置：/etc/inetd.conf,/etc/rc.d/*lTFTP 服务 get/etc/passwdl匿名ftp的配置l关闭rsh/rlogin/rexec 服务l关闭不必要的 rpc 服务l安装sshd，关闭telnet。lNFS export 31Unix安全管理（二）l操作系统更新Solaris：ftp:/ secret,而不用enable passwordTACACS/TACACS+,RADIUS,Kerberos 认证l控制交互式访问控制台的访问：可以越过口令限制；远程访问telnet,rlogin,ssh,LAT,MOP,X.29,Modem虚拟终端口令保护：vty,tty ：login ，no password 只接收特定协议的访问，如transport input ssh设置允许访问的地址：ip access-class 超时退出：exec-timeout 登录提示：banner login33路由器安全管理（二）l关闭没有必要的服务small TCPno service tcp-small-servers:echo/chargen/discardfinger,ntp 邻机发现服务（cdp）l审计SNMP 认证失败信息，与路由器连接信息：Trap系统操作日志：system logging:console,Unix syslogd,违反访问控制链表的流量l操作系统更新路由器IOS 与其他操作系统一样也有BUG34怎样检测系统入侵l察看登录用户和活动进程w,who,finger,last 命令ps,crashl寻找入侵的痕迹last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,/.history查找最近被修改的文件 ：findl检测sniffer 程序ifconfig,cpm35蠕虫的危害及防范（一）蠕虫简介lMorris蠕虫事件发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法lRsh，rexec：用户的缺省认证lSendmail 的debug模式lFingerd的缓冲区溢出l口令猜测lCR II蠕虫感染主机全球超过30万台导致大量网络设备瘫痪36蠕虫的危害及防范（二）Lion蠕虫l出现于今年四五月间造成网络的针对53端口大面积扫描l主要行为利用Bind 安全缺陷入侵扫描一段B类网络l之后出现了很多类似的蠕虫Raemon蠕虫Sadmind 蠕虫l解决方法：更新Linux bind服务器37蠕虫的危害及防范（三）CR Il主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台l主要行为利用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护（是中文windows就不修改主页）攻击白宫！l解决方法：更新Windows 2000、NT操作系统和杀毒工具38蠕虫的危害及防范（三续）CR IIlInspired by CR I影响波及全球国内影响尤其广泛l主要行为所利用缺陷相同只感染windows2000系统，由于一些参数的问题，只会导致NT死机休眠与扫描：中文windows，600个线程39Code Red 扩散速度（7.19-7.20）40Code Red v 1扩展速度（7.19-7.20)41蠕虫的危害及防范（四）nimdal主要特点综合了各种攻击和传染方法第一款既有蠕虫特征又有病毒特征的恶意代码影响面遍及全球l主要行为群发电子邮件，付病毒扫描共享文件夹，扫描有漏洞的IIS,扫描有Code Red后门的IIS Server42蠕虫的危害及防范（五）蠕虫的防范l完善的安全政策定期更新杀毒工具邮件、网络共享的安全使用规范系统责任人和权限设置l有效的应对措施与辖区CERT保持及时联系首先设法避免蔓延利用访问控制建立停火区43常用网络安全工具介绍l入侵检测系统网络入侵检测系统其它入侵检测系统l风险评估和端口扫描l防火墙l安全传输44网络入侵检测系统lTcpdump可以得到数据包的原始记录需要较多的经验lSnort可配置性强，检测多种入侵，免费误警率高lRealsecure用户界面好，误警率低，稳定的技术支持贵45其它入侵检测系统l基于主机的入侵检测系统Syslog+grepSnort win32版l文件完整性检查系统tripware46风险评估和端口扫描l端口扫描工具Nmap：功能强大、速度快Strobe：使用简单l端口和进程对应工具LsofSocklistfportl缺陷扫描系统Satancops47防火墙l网络防火墙Linux：ipchains、netfilter其它UNIX操作系统：ipfilter商用防火墙lNetscreenlCheckpointl单机防火墙Zonealarm天网防火墙绿色警戒Win2000自带48安全传输lSSH/OPENSSH远程连接的安全版本也可以用来建立安全隧道进行安全数据传输lSSL目前主要用于WWW服务的安全数据传输stunnellVPN49安全应急响应服务l应急响应服务的诞生应急响应服务的诞生CERT/CC1988年Morris 蠕虫事件直接导致了CERT/CC的诞生CERT/CC服务的内容l安全事件响应l安全事件分析和软件安全缺陷研究l缺陷知识库开发l信息发布：缺陷、公告、总结、统计、补丁、工具l教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训l指导其它CSIRT（也称IRT、CERT）组织建设50CERT/CC简介简介l现有工作人员30多人，12年里处理了288,600 封Email,18,300个热线电话，其运行模式帮助了80多个CSIRT组织的建设51国际安全应急响应l国外安全事件响应组（CSIRT）建设情况DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT,NavyCIRT亚太地区：AusCERT、SingCERT等lFIRST（1990）FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。80多个正式成员组织，覆盖18个国家和地区从FIRST中获益的比例与IRT愿意提供的贡献成比例两个正式成员的推荐52国内安全事件响应组织l计算机网络基础设施已经严重依赖国外；l由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织l国内的应急响应服务还处在起步阶段CCERT（1999年5月），中国第一个安全事件响应组织NJCERT（1999年10月）中国电信ChinaNet安全小组解放军，公安部安全救援服务公司l中国计算机应急响应组/协调中心CNCERT/CC信息产业部安全管理中心，2000年3月，北京53中国教育和科研计算机网紧急响应组CCERT54应急处理、与您同行l中国教育和科研计算机网紧急响应组(CCERT)处理教育和科研计算机网络的安全事件，进行紧急响应联系方法：l(010)62784301lRl中国防病毒中心主要处理各种病毒方面的防止和预防，沟通用户和厂商联系方法：l(022)27316567lS55