网络与系统安全基础培训最新版.ppt

主讲人：赵高主讲单位：上海快钱支付清算有限公司,网络与系统安全基础知识培训,1、网络安全概述2、导致网络安全问题的原因3、网络安全特性4、影响网络安全的主要因素5、黑客常用攻击手段分析6、网络安全工具7、网络安全防护建议8、个人以及操作系统安全,培训内容,网络的安全是指通过采用各种技术和管理措施，使网络系 统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。,网络安全概述,虚拟专用网,防火墙,访问控制,防病毒,入侵检测,网络安全整体框架(形象图),导致网络信息安全问题的原因,内因：人们的认识能力和实践能力的局限性（1）设计上的问题：Internet 从一开始就缺乏安全的总体构想和设计，TCP/IP 协议是在可信环境下，为网络互联而专门设计的，缺乏安全措施的考虑。（历史造成）SYN Flood伪造源地址的半开扫描，DoS（2）实现上的问题:Windows XP 3000万行代码，Windows 2003 8000万行代码 Ping of Death(死亡之ping)Ping-t-l 65550 对方IP 人为的后门和设计中的 Bug（3）配置上的问题:默认的服务（4）管理上的问题：弱的口令,來源:CSI/FBI Computer Crime Survey,March 2008.,外国政府竞争对手黑客不满的雇员,导致网络信息安全问题的原因（外）,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,网络安全威胁,国内外黑客组织,北京绿色联盟技术公司()中国红客联盟(redhacker.org)中国鹰派()中国黑客联盟HackweiserProphetAcidklownPoizonboxPrime SuspectzSubexSVUNHi-Tech,常用攻击手段分别介绍,漏洞扫描,特洛伊木马,网络嗅探（Sniffer）技术,拒绝服务（DOS）和分布式拒绝服务,口令猜测,欺骗技术,缓冲区溢出,常用攻击手段漏洞扫描,扫描类型地址扫描,XXX.XXX.XXX.XXX,主机可使用的端口号为065535，前1024个端口是保留端口，这些端口被提供给特定的服务使用。常用的服务都是使用标准的端口，只要扫描到相应的端口开着，就能知道目标主机上运行着什么服务。然后入侵者才能针对这些服务进行相应的攻击。,扫描类型端口扫描,漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，可以发现系统中存在的不安全的地方。例如：操作系统漏洞弱口令用户应用程序漏洞配置错误等,扫描类型漏洞扫描,扫描器,SATANSAINTSSSStrobeX-Scan,ISS(安氏)PingerPortscanSuperscan流光,扫描工具：X-Scan-v3.2扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。,扫描器实例：X-Scan,木 马,木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成：服务器端和客户端。驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。,木马的分类,远程访问型特洛伊木马键盘记录型特洛伊木马密码发送型特洛伊木马破坏型特洛伊木马代理木马FTP型特洛伊木马网页型木马,手工放置,木马的植入方式,利用系统漏洞安装,电子邮件附件、浏览网页、FTP文件下载、QQ等方式传播,安装杀毒软件和防火墙检查INI文件查看win.ini中的“run=”、“load=”查看system.ini中的“shell=explorer.exe 程序名”后面所加载的程序。,木马的查杀,木马的查杀,检查注册表：在注册表中，最有可能隐藏木马的地方是HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce,检查注册表其他可能隐藏木马的注册表项还有：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsLoadHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows AppInit_DLLs,木马的查杀,检查服务 开始程序管理工具服务检查系统进程 系统信息软件环境正在运行任务(winXP)Pstools(winnt/2k)检查开放端口 Netstat an(winXP)、Fport(winnt/2k)监视网络通讯 防火墙、网络监视器(win2k)、Sniffer对可疑文件的分析 W32Dasm、IDA、Soft-ice,木马的查杀,定义 嗅探器(Sniffer)是能够从网络设备上捕获网络报文的一种工具Sniffer名称的来由 通用网络公司开发的一个程序NAI,网络监听/嗅探（Sniffer）,网络监听安全对策,规划网络 合理分段，采用交换机、路由器、网桥等设备，相互信任的主机处于同一网段采用加密会话 对安全性要求高的数据通讯进行加密传输 例如采用目前比较流行的SSL协议以及使用SSH这样的安全产品传送敏感使用一次性口令技术(OTP)为了防止ARP欺骗，使用永久的ARP缓存条目使用检测工具 TripWar Anti-Sniffer（L0pht，not free）,拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。,拒绝服务攻击(DOS),TCP SYN AttackPing of Death,消耗系统资源(带宽、内存、队列、CPU)系统宕机阻止授权用户正常访问网络(慢、不能连接、没有响应),CPU,拒绝服务攻击DOS,!,为什么要进行Dos攻击放置木马需要重启使用IP欺骗，使冒用主机瘫痪使得被攻击的目标主机的日志系统失效常见DoS攻击种类死亡之Ping,land,teardrop,SYN floodICMP:smurf,拒绝服务攻击,拒绝服务：LAND 攻击,攻击者172.18.1.1,目标204.241.161.12,欺骗性的 IP 包源地址 204.241.161.12 Port 139目的地址 204.241.161.12 Port 139TCP Open,G.Mark Hardy,攻击者172.18.1.1,目标204.241.161.12,IP包欺骗源地址 204.241.161.12 Port 139目的地址 204.241.161.12 Port 139包被送回它自己,G.Mark Hardy,拒绝服务：LAND 攻击,LAND攻击防范：代理类的防火墙,攻击者172.18.1.1,目标204.241.161.12,IP包欺骗源地址 204.241.161.12 Port 139目标地址 204.241.161.12 Port 139TCP Open,防火墙,防火墙把有危险的包阻隔在网络外,G.Mark Hardy,以破坏系统或网络的可用性为目标常用的工具：Trin00TFN/TFN2K Stacheldraht很难防范伪造源地址，流量加密很难跟踪,分布式拒绝服务（DDOS）,client,target,DDoS,分布式拒绝服务攻击步骤1,ScanningProgram,不安全的计算机,Hacker,Internet,Hacker,被控制的计算机(代理端),黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。,2,Internet,分布式拒绝服务攻击步骤2,Hacker,黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。,3,被控制计算机（代理端）,MasterServer,Internet,分布式拒绝服务攻击步骤3,Hacker,Using Client program,黑客发送控制命令给主机，准备启动对目标系统的攻击,4,被控制计算机（代理端）,TargetedSystem,MasterServer,Internet,分布式拒绝服务攻击步骤4,Internet,Hacker,主机发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,MasterServer,Targeted System,被控制计算机（代理端）,分布式拒绝服务攻击步骤5,TargetedSystem,Hacker,目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。,6,MasterServer,User,Internet,被控制计算机（代理端）,分布式拒绝服务攻击步骤6,DDOS攻击的效果：由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。,分布式拒绝服务攻击,预防DDOS攻击的措施确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器（filter）或侦测器(sniffer)，在攻击信息到达之前阻挡攻击信息。,分布式拒绝服务攻击,对付 DDoS 攻击的方法,1定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。2在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。,BO、netbusService/Daemon帐户其他,后门程序,禁止/关闭不必要的服务/端口屏蔽敏感信息合理配置防火墙和IDS陷阱技术Honeypot 僚机策略,反扫描对策,网络安全的特征,（1）保密性confidentiality：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性integrity：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性availability：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性controllability：对信息的传播及内容具有控制能力。（5）可审查性：出现的安全问题时提供依据与手段,TCP/IP 网络的体系结构,TCP/IP 技术的发展设计目标 实现异种网的网际互连是最早出现的系统化的网络体系结构之一顺应了技术发展网络互连的应用需求采用了开放策略与最流行的 UNIX 操作系统相结合TCP/IP的成功主要应该归功于其开放性，使得最广泛的厂商和研究者能够不断地寻找和开发满足市场需求的网络应用和业务。鱼与熊掌总是不能兼得，也正是其体系结构得开放性，导致了TCP/IP网络的安全性隐患！,TCP/IP 的网络互连,网际互连是通过 IP 网关（gateway）实现的网关提供网络与网络之间物理和逻辑上的连通功能网关是一种特殊的计算机，同时属于多个网络,TCP/IP与OSI参考模型,TCP/IP协议和OSI模型的对应关系,应用层表示层会话层传输层网络层数据链路层物理层,FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet,IEEE802.3,802.11等,ICMP,ARP RARP,OSI参考模型,Internet协议簇,物理层,网络安全防护模型PDRR,目前业界共识：“安全不是技术或产品，而是一个过程”。为了保障网络安全，应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生命周期的主动防御。,网络安全防护模型PDRR（续）,保护(PROTECT)传统安全概念的继承，包括信息加密技术、访问控制技术等等。检测(DETECT)从监视、分析、审计信息网络活动的角度，发现对于信息网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢复等方面的支持，使安全防护从单纯的被动防护演进到积极的主动防御。,网络安全防护模型PDRR（续）,响应(RESPONSE)在遭遇攻击和紧急事件时及时采取措施，包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。恢复(RECOVER)评估系统受到的危害与损失，恢复系统功能和数据，启动备份系统等。,安全技术选择-根据协议层次,物理层：物理隔离 链路层:链路加密技术、PPTP/L2TP 网络层:IPSec协议（VPN）、防火墙 TCP 层:SSL 协议、基于公钥的认证和对称钥加密技术 应用层:SHTTP、PGP、S/MIME、SSH(Secure shell)、开发专用协议（SET）,网络安全工具,物理隔离设备 交换机/路由器安全模块 防火墙(Firewall)漏洞扫描器 入侵检测系统IDS、入侵防御系统IPS、安全审计系统、日志审计系统绿盟远程安全评估系统 虚拟专用网（VPN）、上网行为管理系统 病毒防护（防病毒软件、防毒墙、防木马软件等）网络加速，负载均衡、流量控制,物理隔离,主要分两种：双网隔离计算机物理隔离网闸,物理隔离实现基本原理（1）,物理隔离实现基本原理（2）,内外网模块连接相应网络实现数据的接收及预处理等操作；交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接；数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧；集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。,物理隔离技术的应用,涉密网和非涉密网之间,物理隔离技术的优缺点,优点：中断直接连接 强大的检查机制 最高的安全性 缺点：对协议不透明，对每一种协议都要一种具体的实现 效率低,交换机安全模块,MAC绑定QOS设置多VLAN划分日志其他,路由器安全功能,访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址：ip verify unicast reverse-path 过滤RFC1918 地址空间的所有IP包；关闭源路由：no ip source-route路由协议的过滤与认证Flood 管理日志其他抗攻击功能,VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网 提供高性能、低价位的因特网接入VPN是企业网在公共网络上的延伸,VPN简介,网上数据泄漏的风险,恶意修改通道终点到：假冒网关,外部段（公共因特网）,ISP接入设备,原始终点为：安全网关,数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送恶意的ISP可以修改通道的终点到一台假冒的网关,远程访问,搭线监听,攻击者,ISP,ISP窃听,正确通道,VPN功能,数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护,远程访问,Internet,VPN是企业网在因特网上的延伸,VPN的典型应用,现有的VPN 解决方案,基于 IPSec 的VPN解决方案 基于第二层的VPN解决方案 非 IPSec 的网络层VPN解决方案 非 IPSec 的应用层解决方案,基于IPSec 的VPN 解决方案,在通信协议分层中，网络层是可能实现端到端安全通信的最低层，它为所有应用层数据提供透明的安全保护，用户无需修改应用层协议。,该方案能解决的问题：数据源身份认证：证实数据报文是所声称的发送者发出的。数据完整性：证实数据报文的内容在传输过程中没被修改过，无论是被故意改动或是由于发生了随机的传输错误。数据保密：隐藏明文的消息，通常靠加密来实现。重放攻击保护：保证攻击者不能截获数据报文，且稍后某个时间再发放数据报文，而不会被检测到。自动的密钥管理和安全关联管理：保证只需少量或根本不需要手工配置，就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针,AH协议（头部认证）ESP协议（IPsec 封装安全负载）ISAKMP/Oakley协议,基于 IPSec 的VPN解决方案需要用到如下的协议：,IPSec 框架的构成,基于第二层的VPN解决方案,公司内部网,拨号连接,因特网,用于该层的协议主要有：L2TP：Lay 2 Tunneling Protocol PPTP：Point-to-Point Tunneling Protocol L2F：Lay 2 Forwarding,L2TP的缺陷：仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址欺骗攻击。没有针对每个数据报文的完整性校验，就有可能进行拒绝服务攻击：发送假冒的控制信息，导致L2TP通道或者底层PPP连接的关闭。虽然PPP报文的数据可以加密，但PPP协议不支持密密钥的自动产生和自动刷新，因而监听的攻击者就可能最终破解密钥，从而得到所传输的数据。,非IPSec 的网络层VPN 解决方案,网络地址转换由于AH协议需要对整个数据包做认证，因此使用AH协议后不能使用NAT 包过滤由于使用ESP协议将对数据包的全部或部分信息加密，因此基于报头或者数据区内容进行控制过滤的设备将不能使用 服务质量由于AH协议将IP协议中的TOS位当作可变字段来处理，因此，可以使用TOS位来控制服务质量,非IPSec 的应用层VPN 解决方案,SOCKS位于OSI模型的会话层，在SOCKS协议中，客户程序通常先连接到防火墙1080端口，然后由Firewall建立到目的主机的单独会话，效率低，但会话控制灵活性大 SSL（安全套接层协议）属于高层安全机制，广泛用于Web Browse and Web Server，提供对等的身份认证和应用数据的加密。在SSL中，身份认证是基于证书的，属于端到端协议，不需要中间设备如：路由器、防火墙的支持 S-HTTP提供身份认证、数据加密，比SSL灵活，但应用很少，因SSL易于管理 S-MIME一个特殊的类似于SSL的协议，属于应用层安全体系，但应用仅限于保护电子邮件系统，通过加密和数字签名来保障邮件的安全，这些安全都是基于公钥技术的，双方身份靠X.509证书来标识，不需要Firewall and Router 的支持,SMIME Kerberos Proxies SET IPSec(ISAKMP),SOCKS SSL,TLS,IPSec(AH,ESP)Packet Filtering Tunneling Protocols,CHAP,PAP,MS-CHAP,TCP/IP 协议栈与对应的VPN协议,Application,现有的VPN 解决方案小结,网络层对所有的上层数据提供透明方式的保护，但无法为应用提供足够细的控制粒度数据到了目的主机，基于网络层的安全技术就无法继续提供保护，因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护堆栈高层的数据，但在传递过程中，无法抵抗常用的网络层攻击手段，如源地址、目的地址欺骗应用层安全几乎更加智能，但更复杂且效率低 因此可以在具体应用中采用多种安全技术，取长补短,防火墙的主要功能,监控并限制访问针对黑客攻击的不安全因素，防火墙采取控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。控制协议和服务针对网络先天缺陷的不安全因素，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。,防火墙的主要功能（续）,保护网络内部针对软件及系统的漏洞或“后门”，防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，进行访问上的限制；防火墙还可以屏蔽受保护网络的相关信息，使黑客无从下手。日志记录与审计当防火墙系统被配置为所有内部网络与外部Internet 连接均需经过的安全节点时，防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络。,防火墙的优点与不足,可屏蔽内部服务，避免相关安全缺陷被利用27层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限,入侵检测,基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为,网络防病毒,基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响,网络扫描器,通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点：有利于及早发现问题，并从根本上解决安全隐患不足：只能针对已知安全问题进行扫描准确性 vs 指导性,访问控制（1）,广义的访问控制功能包括鉴别、授权和记账等鉴别（Authentication）：辨别用户是谁的过程。授权（Authorization）对完成认证过程的用户授予相应权限，解决用户能做什么的问题。在一些访问控制的实现中，认证和授权是统一在一起的 记账（Accounting）；统计用户做过什么的过程，通常使用消耗的系统时间、接收和发送的数据量来量度。Tacacs、Tacacs+、Radius等技术能实现这三种功能。,访问控制（2）,RADIUS协议 针对远程用户Radius（Remote Authentication Dialin User service）协议，采用分布式的Client/Server结构完成密码的集中管理和其他访问控制功能；网络用户（Client）通过网络访问服务器（NAS）访问网络，NAS同时作为Radius结构的客户端，认证、授权和计帐的3A功能通过NAS和安全服务器（Secutity Server）或Radius服务器之间的Radius协议过程完成，而用户的控制功能在NAS实现。,访问控制（3）,TACAS协议 TACACS（Terminal Access Controller Access Control System-终端访问控制系统）是历史上用于UNIX系统的认证协议，它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统。TACACS对数据并不加密，因此它的安全性要差一些，针对这种情况，又设计了TACACS+和RADIUS协议。,访问控制（4）,TACACS+协议 由Cisco公司提出，在此协议中，当用户试图登录时，NAS将询问安全服务做什么，安全服务器通常知NAS输入用户名和密码，然后，发送接受或拒绝响应信息给NAS。用户登录进入之后，对于每一条用户输入的命令，NAS都将提请安全服务器进行授权。,访问控制（5）,TACACS+协议的应用,网络安全防护建议(1),经常关注安全信息发布www.cert.orgMicrosoft、Sun、hp、ibm等公司的安全公告www.bugtraq.org安全焦点 绿盟网站,网络安全防护建议(2),经常性检查重要服务器、网络设备是否存在安全漏洞www.nessus.org微软安全基线检测工具NmapX-scan流光ISS-SCANNER等其他商业安全工具Windows平台利用Msconfig检查启动项目,网络安全防护建议(3),根据安全公告、扫描结果及时打补丁或升级软件利用签名工具对系统重要文件进行签名，经常检查有无变化，防止木马植入关闭服务器或网络设备上不必要的功能或服务制定切实可行的安全策略，形成制度并强制执行,网络安全发展方向追求实效,安全理念主动防御安全工具高性能高安全高可靠安全管理注重制度建设和安全人才培养,安全防御措施（个人）,平时在桌面上的资料应及时备份至其他盘（非C盘）或者U盘。不在“我的文档”里放文件（因为大部分系统都默认其位置属于C盘）养成经常杀毒和清理插件的习惯，发现系统有问题时及时进行杀毒清理，另外可设置定期杀毒，防患于未然！（相关软件可找网管安装设置）使用U盘时请先杀毒，然后请尽量使用“右键打开”的方式打开U盘，因为很多U盘病毒都是通过“双击”来启动的，用右键打开一定程度上可以避免U盘病毒的传播。发现中毒迹象时，应尽可能的先备份文件至其他盘，若是连接内网的机器应立即断开内网（不会操作的直接拔网线）并通知网管，避免祸害局域网内其他电脑及服务器！电脑密码必须尽量复杂化，并不随意透露给任何人，否则后果自负。,利用Windows 2003的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图所示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。,操作系统安全策略,1）禁止建立空连接（IPC）默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous”的值改成“1”即可。如果使用“2”可能会造成你的一些服务无法启动，如SQL Server。,2）禁止管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters项对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。(关闭server服务),3)、停止不必要的服务 服务开的太多也不是个好事，将没有必要的服务通通关掉吧！特别是连管理员都不知道是干什么的服务，还开着干什么！关掉！免得给系统带来灾难。另外，管理员如果不外出，不需要远程管理你的计算机的话，最好将一切的远程网络登录功能都关掉。注意，除非特别需要，否则禁用“Task Scheduler”、“RunAs Service”服务！关闭一项服务的方法很简单，运行cmd.exe之后，直接net stop servername 即可。,Windows2003可禁用的服务,6)、设置生存时间以禁止黑客判断主机类型HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0 xff(0-255 十进制,默认值128)指定传出IP数据包中设置的默认生存时间(TTL)值。TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统。,4)、使用组策略，IP策略 gpedit.msc mmc.exe5)、防范SYN攻击（见后面的专题）,1）制定详细的安全策略。2）安装防火墙。3）加强主机安全。4）采用加密和认证技术。5）加强入侵检测。6）安装备份恢复与审计报警系统。,保护网络安全的常用手段,1.在入侵者正在行动时，捉住入侵者。例如，当管理员正在工作时，发现有人使用超级用户的户头通过拨号终端登录。而超级用户口令只有管理员本人知道。2.根据系统发生的一些改变推断系统已被入侵。例如，管理员可能发现在/etc/passwd文件中突然多出了一个户头，或者收到从入侵者那里发来的一封嘲弄的电子邮件。一些系统中，操作一些文件失败时，会有一封邮件通知该用户。如果入侵者取得了超级用户权限，又操作文件失败，那么，系统会自动将操作失败的补救办法用邮件通知该用户，在这种情况下就发给了系统管理员用户。因而管理员便会知道系统已被入侵。3.从其他站点的管理员那里收到邮件，称从本站点有人对“他”的站点大肆活动。4.系统中一些奇怪的现象，例如，系统崩溃，突然的磁盘存取活动，或者系统突然便得非常缓慢。5.在系统中，有许多命令可以让人们发现系统是否被入侵。一些优秀的软件，例如Tiger，Tripwire可以帮助发现入侵。,怎样才能发现入侵者,思考以下问题：系统是否真的发生了安全事件？在一些时候看起来是一次入侵者的行为，其实是由于人的错误，或者软件的错误导致的。系统是否真的遭到了破坏？在许多入侵事件中，入侵者虽然进行了没有被许可的访问。但是并没有访问敏感信息，或者修改文件的内容。是否有必要保留一些证据，以备以后进行调查。使系统尽快回到正常状态是否很重要？是否准备检查文件已被改变或者移动？如果没有采取行动，是否能够入侵者修改了文件？如果这次入侵被本组织内部的人听到，会有什么的麻烦？如果被本单位以外的人听到又怎样？入侵是否会再次发生？,发现入侵后应遵循的原则一：不要惊慌,开始进行记录。在本子上记录下来所发现的一切，甚至包括日期和时间。如果是检查文本文件，将结果打印下来，然后写上相关信息和日期，如果系统中有足够的空间，对重要文件进行复制，这一点对以后的追踪和修复系统非常重要。,发现入侵后应遵循的原则二：作好记录,1.对问题进行分析和理解。2.限制或者停止破坏.3.诊断，并决定危害的程度4.恢复系统 5.处理问题,发现入侵后应遵循的原则三：进行计划,发现入侵者之后，有这样一些对策：1.不理。2.试图使用write或者talk这些工具询问他们究竟想要做什么。3.试图跟踪这个连接，找出入侵者的来路和身份。4.杀死这个进程来切断入侵者与系统的连接。拔下调制解调器或网线或者关闭计算机。5.管理员可以使用一些工具来监视入侵者，发现他们正在做什么。这些工具包括snoop、ps、lastcomm和ttywatch等。,入侵对策,1.检查单IP包首部（包括tcp、udp首部）即可发觉的攻击：如winnuke、ping of death、land，部分OS detection，source routing等。2.检查单IP包，但同时要检查数据段信息才能发觉的攻击：如利用cgi漏洞，和大量的buffer overflow攻击。易于察觉，但最好设为选用，由用户在性能、安全两者之间进行折衷。3.通过检测发生频率才能发觉的攻击：如扫描，syn flood,smurf等。需要维持一个额外的状态信息表，且因为结论是通过统计得来的，有误判漏判的可能。检测难度不是很大，但也要考虑对性能的影响。4.利用分片进行的攻击：如teadrop、nestea、jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类漏洞，必须提前作组装尝试（在IP层接受或转发时，而不是在向上层发送时）。分片不光可用来进行攻击，还可用来逃避未对分片进行组装尝试的IDS的检测。,网络攻击的检测,使用安全工具：SATAN，ISS Scanner，Strobe 使用防火墙 限制系统访问其它措施：配置软硬件，限制软硬件，服务器和路由器的安全，关闭无用户头，切断与网上连接。法律武器,已经遭到入侵了，有哪些预防和补救措施？,安全策略：没有明确的安全管理策略；管理问题：管理规章制度、策略、负责人的落实；操作系统安装后使用缺省配置，不打补丁，运行许多不必要的服务；99%以上的入侵是可以通过系统配置来防范的；用户安全意识；网络拓扑结构；安全工具的使用；,用户常见的问题,多种服务安装在同一服务器上，DNS/Mail/Web/FTP；公用服务器用户口令过于简单，uid:study Pwd:123456；审计功能没有激活，或管理员根本不检查审计日志；没有备份，系统在被入侵后很难恢复。,用户常见的问题,对于普通网络用户的建议和忠告,系统安装最新的补丁对系统进行合理配置不轻易运行任何不明软件安装杀毒软件及防火墙建立常用诊断工具包,(1).系统要尽量与公网隔离，要有相应的安全连接措施.(2).不同的工作范围的网络既要采用防火墙、安全路由器、保密网关等相互隔离，又要在政策允许时保证互通。(3).为了提供网络安全服务，各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性、业务流填充、路由控制、公证、鉴别审计等安全机制，并有相应的安全管理。(4).远程客户访问重要的应用服务要有鉴别服务器严格执行鉴别过程和访问控制。,网络安全的